部署一項(xiàng)有效的企業(yè)安全策略需要了解黑客的攻擊手法，技術(shù)和步驟

黑客攻擊在大眾心里神秘而高端，但很多攻擊實(shí)際上并沒(méi)有電影劇情中那么“酷炫”，最常見(jiàn)的攻擊僅僅是利用脆弱的、盜用的憑證完成登錄就行了。

數(shù)據(jù)泄露的案例數(shù)量近年來(lái)居高不下。與大眾想法和電影劇情相反，網(wǎng)絡(luò)攻擊極少情況下是由神秘的電腦高手軍團(tuán)發(fā)起，而且攻擊者也不都是通過(guò)最先進(jìn)的技術(shù)滲透到企業(yè)的周邊防御中?，F(xiàn)實(shí)可以說(shuō)是截然不同的：網(wǎng)絡(luò)攻擊者不再以黑客技術(shù)進(jìn)行入侵——他們僅僅是利用脆弱的、竊取的或是盜用的憑證完成登錄就行了。部署一項(xiàng)有效的企業(yè)安全策略需要了解黑客的攻擊手法，技術(shù)和步驟——通常我們將這三點(diǎn)簡(jiǎn)稱為T(mén)TP。

多年來(lái)，黑客技術(shù)的解析總是被弄得很玄乎，而且讓大家以為數(shù)據(jù)泄露通常都是利用零日漏洞，而且需要大量復(fù)雜代碼才能入侵到那些堅(jiān)不可摧的周邊防御中。然而，線上問(wèn)題的反饋分析表明，攻擊之源經(jīng)常就是被破壞的憑證。

萬(wàn)豪國(guó)際集團(tuán)，快餐連鎖唐恩都樂(lè)和美國(guó)思杰公司遭遇的數(shù)據(jù)入侵事件只是其中的冰山一角。據(jù)Centrify最近的一份研究表明，74%的受訪企業(yè)的入侵都與盜用特權(quán)賬戶有關(guān)。這與Forrester估計(jì)的80%的占比很接近。

當(dāng)特權(quán)賬戶被盜用，網(wǎng)絡(luò)攻擊者會(huì)假裝是正式員工或是系統(tǒng)后臺(tái)，再執(zhí)行惡意操作，且不會(huì)被安全防護(hù)軟件檢測(cè)為入侵者。一旦黑客盜用了特權(quán)賬戶，就能在網(wǎng)絡(luò)環(huán)境中隨意來(lái)去，竊取數(shù)據(jù)或搞破壞。

目前的網(wǎng)絡(luò)攻擊風(fēng)格

網(wǎng)絡(luò)攻擊風(fēng)格五花八門(mén)，但都包含三個(gè)主要階段，而且適用于外部和內(nèi)部威脅：

第一階段：盜用

現(xiàn)在，多數(shù)網(wǎng)絡(luò)攻擊都是通過(guò)憑據(jù)收割的行動(dòng)從前端進(jìn)入。常見(jiàn)的憑據(jù)收割方式包括社工技巧，密碼嗅探，網(wǎng)絡(luò)釣魚(yú)，數(shù)據(jù)掃描，惡意軟件攻擊或是綜合以上幾種方式。網(wǎng)絡(luò)罪犯?jìng)冞€會(huì)利用暗網(wǎng)上獲取的數(shù)百萬(wàn)憑據(jù)。一旦掌握被竊的，弱密碼的或是已經(jīng)曝光的憑據(jù)，攻擊者就可以暴力破解，憑據(jù)嗅探或口令攻擊等方式登錄到目標(biāo)網(wǎng)絡(luò)環(huán)境中。

由于賬戶盜用攻擊可以繞開(kāi)最堅(jiān)固的安全防護(hù)，企業(yè)需要改變思路，利用“零信任”方法，假設(shè)攻擊者已經(jīng)潛伏在網(wǎng)絡(luò)中。這將很好的影響企業(yè)的網(wǎng)絡(luò)安全架構(gòu)。

第二階段：挖掘

一旦進(jìn)入目標(biāo)環(huán)境內(nèi)部，黑客可以通過(guò)偵察來(lái)識(shí)別常規(guī)IT日程，安全措施，網(wǎng)絡(luò)流量，還可以掃描整個(gè)IT環(huán)境全盤(pán)了解網(wǎng)絡(luò)資源，特權(quán)賬戶和服務(wù)。域控制器，ActiveDirectory和服務(wù)器都是被偵察的主要對(duì)象，因?yàn)樵谶@些目標(biāo)里，黑客可以獲取額外的特權(quán)憑據(jù)，從而得到更多的優(yōu)先訪問(wèn)權(quán)限。

為了極大地限制黑客執(zhí)行偵察和橫向移動(dòng)的能力，企業(yè)應(yīng)該考慮PAM（優(yōu)先訪問(wèn)管理）的最佳案例：

一律采用多因素驗(yàn)證

部署適可而止和即時(shí)的優(yōu)先權(quán)限

開(kāi)辟一塊“訪問(wèn)區(qū)域”

利用“安全管理環(huán)境”

第三階段：偷數(shù)據(jù)并掩蓋自己的行為

一旦攻擊者發(fā)現(xiàn)有價(jià)值數(shù)據(jù)的隱藏之處，他們一般會(huì)想辦法提升自己的權(quán)限，目的是竊取數(shù)據(jù)并隱藏自己的行為以避免被檢測(cè)到。通常，他們還會(huì)用SSH密鑰創(chuàng)建一個(gè)后門(mén)，留給自己以后竊取更多數(shù)據(jù)。

預(yù)防數(shù)據(jù)被竊的幾種方法包括：部署微軟推薦的MFA，對(duì)管理員賬戶作“空氣隔離”，采用基于主機(jī)的審查和監(jiān)控，利用機(jī)器學(xué)習(xí)法則監(jiān)控特權(quán)賬戶的行為，識(shí)別“不恰當(dāng)”操作和高風(fēng)險(xiǎn)操作，并對(duì)其發(fā)起警告。

最后，了解黑客的TTP（攻擊手法，技術(shù)和步驟）可為協(xié)調(diào)防御措施和威脅提供一個(gè)路線圖。在這種情況下，企業(yè)需要意識(shí)到基于外圍環(huán)境的安全問(wèn)題，也就是說(shuō)光是注意安全防護(hù)端點(diǎn)，防火墻和網(wǎng)絡(luò)是不夠的。身份管理問(wèn)題已經(jīng)成為了新的外圍安全問(wèn)題，也成為了減輕身份盜用的戰(zhàn)場(chǎng)。要通過(guò)驗(yàn)證訪問(wèn)者身份，訪問(wèn)請(qǐng)求發(fā)出的代碼語(yǔ)境，訪問(wèn)環(huán)境的風(fēng)險(xiǎn)程度來(lái)部署最低級(jí)別的授權(quán)控件，如此才可以防止賬戶盜用造成的攻擊。