什么是网络攻击？| IBM

什么是网络攻击？

网络攻击是指以未经授权的方式访问网络、计算机系统或数字设备，故意窃取、暴露、篡改、禁用或破坏数据、应用程序或其他资产的行为。

威胁参与者出于各种原因发起网络攻击，从小额盗窃发展到战争行为。他们采用各种策略，例如恶意软件攻击、社会工程诈骗和密码窃取，以未经授权的方式访问目标系统。

网络攻击会扰乱、损害甚至摧毁企业。数据泄露的平均成本为435 万美元。成本包括发现和应对违规行为的费用、停机费用和收入损失，以及对企业及其品牌声誉的长期损害。

但某些网络攻击的成本可能比其他攻击高很多。勒索软件攻击要求支付的赎金甚至高达4000 万美元（ibm.com 外部链接）。在一次攻击中，商业电子邮件泄露 (BEC) 诈骗从受害者处窃取了 4700 万美元的资金（ibm.com 外部链接）。危害客户个人可标识信息 (PII) 的网络攻击可能会导致客户失去信任、监管罚款，甚至法律诉讼。预计到 2025 年，网络犯罪每年给世界经济造成的损失高达 10.5 万亿美元（ibm.com 外部链接）。

为什么会发生网络攻击？

网络攻击背后的动机可能各不相同，但主要分为三类：犯罪、政治和个人。

出于犯罪动机的攻击者通过窃取金钱和数据或导致业务中断来谋取经济利益。网络犯罪分子可能会侵入银行账户直接窃取资金，或利用社会工程诈骗诱骗人们向其汇款。黑客有可能窃取数据，然后以不同方式利用，包括身份盗用、在暗网上销售，或者要求赎金。

敲诈勒索是另一种流行的策略。黑客可能会使用勒索软件、DDoS 攻击或其他策略来劫持数据或设备，直到公司付款为止。根据X-Force 威胁情报指数，27% 网络攻击的目标是勒索受害者。

出于个人动机的攻击者，例如心怀不满的现任或前任员工，主要是为了报复他们所感受到的轻视。他们可能会窃取资金、敏感数据或破坏公司系统。

出于政治动机的攻击者通常会牵涉到网络战、网络恐怖主义或“黑客行动主义”。在网络战中，民族国家行为体常常以敌方政府机构或关键基础设施为目标。例如，自俄罗斯-乌克兰战争爆发以来，双方都经历了针对重要机构发动的一系列网络攻击事件（ibm.com 外部链接）。激进的黑客，也被称为“黑客行动主义者”，可能不会对攻击目标造成广泛的损害。相反，他们通常会向公众公布攻击，以博取人们对其事业的关注。

不常见的网络攻击动机包括企业间谍活动，即黑客通过窃取知识产权来获得相对于竞争对手的不公平优势，以及利用系统漏洞向他人发出警告的治安黑客。有些黑客发起入侵只是为了消遣，享受智力挑战。

谁是网络攻击的幕后黑手？

犯罪组织、国家行为体和个人都有可能发起网络攻击。对威胁参与者进行分类的一种方法是，区分外部威胁或内部威胁。

外部威胁无权使用网络或设备，但会采取任何方式侵入。外部网络威胁参与者包括有组织的犯罪集团、职业黑客、国家资助的行为体、业余黑客和黑客活动分子。

内部威胁是指有权合法访问公司资产，且故意或不慎滥用权限的用户。其中包括具有系统访问权限的员工、业务合作伙伴、客户、承包商和供应商。

疏忽的用户可能会令其公司面临风险，但如果用户故意使用其特权发起恶意活动，就构成了网络攻击。如果员工不慎将敏感信息存储在不安全的驱动器中，这并不构成网络攻击，但如果一名心怀不满的员工出于个人利益而故意复制机密数据，则构成网络攻击。

网络攻击的目标有哪些？

威胁参与者通常会侵入计算机网络，因为他们想窃取特定的东西。常见目标包括：

金钱
企业财务数据
客户名单
客户数据，包括个人可标识信息（PII） (PII) 或其他敏感个人数据
电子邮件地址和登录凭证
知识产权，例如商业秘密或产品设计

在某些情况下，网络攻击者根本不想窃取任何东西。相反，他们只是希望破坏信息系统或 IT 基础设施，以损害企业、政府机构或其他目标。

网络攻击对企业哪些影响？

一旦得手，网络攻击可能会损害企业。可能的后果包括停机、数据丢失和金钱损失。例如：

黑客可以利用恶意软件或拒绝服务攻击，造成系统或服务器崩溃。停机可能导致重大服务中断和财务损失。《数据泄露成本》报告显示，泄露事件造成的平均业务损失高达 142 万美元。
SQL 注入攻击允许黑客更改、删除或窃取系统中的数据。
网络钓鱼攻击允许黑客诱骗人们向其发送资金或敏感信息。
勒索软件攻击可以使系统瘫痪，直到公司向攻击者支付赎金。一份报告（ibm.com 外部链接）显示，平均赎金高达 812,360 美元。

除了直接损害目标之外，网络攻击还可能产生一系列次级成本和后果。例如，《数据泄露成本》报告显示，企业平均花费 262 万美元用于检测、应对和补救泄露事件。

网络攻击对受害者的影响也可能超过直接攻击目标。2021 年，DarkSide 勒索软件团伙攻击了美国最大成品油管道运营商，科洛尼尔管道运输公司（Colonial Pipeline）。攻击者使用泄露的密码侵入公司的网络（ibm.com 外部链接）。为美国东部沿海提供 45% 天然气、柴油和喷气燃料供应的管道系统被迫下线，造成广泛的燃料短缺。

Colonial Pipeline 以比特币加密货币的形式向网络犯罪分子支付了大约 500 万美元的赎金（ibm.com 外部链接）。不过，在美国政府的帮助下，该公司最终追回了 230 万美元的赎金。

常见的网络攻击类型有哪些？

网络犯罪分子使用许多复杂的工具和技术对企业 IT 系统、个人计算机和其他目标发起网络攻击。一些最常见的网络攻击类型包括：

恶意软件

恶意软件是指恶意导致受感染的系统无法运行的软件。恶意软件可以破坏数据、窃取信息，甚至擦除对操作系统运行能力至关重要的文件。恶意软件有多种形式，包括：

特洛伊木马会伪装成有用的程序，或者隐藏在合法软件中，以欺骗用户进行安装。远程访问特洛伊木马 (RAT) 会在受害者的设备上创建秘密后门，而 Dropper 特洛伊木马会在稳定植入后安装其他恶意软件。
勒索软件是一种复杂的恶意软件，它使用强大的加密手段劫持数据或系统。然后，网络犯罪分子会索要赎金，作为释放系统和恢复功能的条件。IBM 《X-Force 威胁情报指数》显示，勒索软件是第二常见的网络攻击类型，占攻击事件的 17%。
Scareware 使用伪造信息来恐吓受害者下载恶意软件，或将敏感信息发送给诈骗犯。
间谍软件是一种秘密收集敏感信息的恶意软件，例如用户名、密码和信用卡号。它会将信息发送给黑客。
Rootkit 是一种恶意软件包，允许黑客以管理员级别访问计算机操作系统或其他资产。
蠕虫是自我复制的恶意代码，可以自动在应用程序和设备之间传播。

社会工程

社会工程攻击会操纵人们实施不当行为，例如分享他们不应该分享的信息、下载他们不应该下载的软件或向犯罪分子汇款。

网络钓鱼是最普遍的社会工程攻击之一。根据 《数据泄露成本》报告，它是泄露事件的第二常见原因。最基本的网络钓鱼诈骗使用虚假的电子邮件或短信来窃取用户凭证、泄露敏感数据，或传播恶意软件。网络钓鱼邮件通常被伪装成合法来源。他们通常会诱导受害者点击一个超链接，将其定向至恶意网站或打开一个实际上是恶意软件的电子邮件附件。

网络犯罪分子还开发出了更复杂的网络钓鱼方法。鱼叉式网络钓鱼是一种针对性很强的攻击，旨在操纵特定个人，通常使用受害者公共社交媒体资料中的详细信息来使骗术更具说服力。捕鲸网络钓鱼是一种鱼叉式网络钓鱼攻击，专门针对企业高层管理人员。在商业电子邮件泄露 (BEC)骗局中，网络犯罪分子冒充高管、供应商或其他业务伙伴，诱骗受害者进行汇款或泄露敏感数据。

拒绝服务攻击

拒绝服务 (DoS) 攻击和分布式拒绝服务 (DDoS) 攻击用欺诈性流量轰炸系统资源。这种流量导致系统过载，无法响应合法请求并且处理能力下降。拒绝服务攻击的目的可能是攻击本身，也可能是为其他攻击做准备。

DoS 攻击和 DDoS 攻击之间的区别较为简单，DoS 攻击使用单一来源生成欺诈性流量，而 DDoS 攻击则使用多个来源。DDoS 攻击通常采用僵尸网络实施。僵尸网络是在黑客控制下，由感染恶意软件的联网设备组成的网络。僵尸网络可能由笔记本电脑、智能手机和物联网 (IoT) 设备组成。受害者通常不知道僵尸网络何时劫持了他们的设备。

账户盗用

账户盗用是黑客劫持合法用户帐户进行恶意活动的任何攻击。网络犯罪分子可以通过多种方式侵入用户的帐户。他们可以通过网络钓鱼攻击来窃取凭据，或从暗网上购买被盗的密码数据库。他们可以使用 Hashcat 和 John the Ripper 等密码攻击工具来破解密码加密，或进行蛮力攻击，具体包括运行自动化脚本或机器人来生成并测试潜在密码，直至密码有效。

中间人攻击

在中间人 (MiTM) 攻击（也称为“窃听攻击”）中，黑客秘密拦截两方之间或用户与服务器之间的通信。MitM 攻击通常采用不安全的公共 WiFi 网络实施，威胁者相对容易监视流量。

黑客可能会读取用户的电子邮件，甚至在电子邮件到达收件人之前秘密篡改电子邮件。在会话劫持攻击中，黑客会中断用户与托管重要资产（如机密公司数据库）的服务器之间的连接。黑客将其 IP 地址与用户 IP 地址交换，使服务器认为黑客是登录到合法会话的合法用户。黑客可以借此自由窃取数据或以其他方式造成严重破坏。

供应链攻击

供应链攻击是黑客用来破坏公司的网络攻击，攻击目标包括软件供应商、材料供应商和其他服务提供商。供应商通常以某种方式连接到客户网络，这使得黑客可以借助供应商网络作为攻击媒介，同时访问多个目标。

例如，2020 年，俄罗斯国家行为体攻击了软件供应商 SolarWinds，并以软件更新为幌子向其客户分发恶意软件（ibm.com 外部链接）。该恶意软件允许俄罗斯间谍使用 SolarWinds 服务访问美国各政府机构的敏感数据，包括财政部、司法部和国务院。

其他类型的网络攻击

跨站脚本（XSS）

跨站脚本 (XSS) 攻击将恶意代码插入合法 Web 页面或 Web 应用程序中。当用户访问网站或应用程序时，代码会自动在其网络浏览器中运行，通常用于窃取敏感信息或将用户重定向到欺骗性的恶意网站。攻击者经常使用 JavaScript 进行 XSS 攻击。

SQL 注入

SQL 注入攻击采用结构化查询语言 (SQL) 向网站或应用程序的后端数据库发送恶意命令。黑客通过搜索栏和登录窗口等面向用户的字段输入命令。随后，命令被发送到数据库，请求数据库返回私人数据，如信用卡号码或客户详细信息。

DNS 隧道

DNS 隧道将恶意流量隐藏在 DNS 包内，使其能够绕过防火墙和其他安全措施。网络犯罪分子利用 DNS 隧道创建秘密通讯信道，借此悄悄提取数据或在恶意软件与命令和控制 (C&C) 服务器之间建立连接。

零日攻击

零日攻击利用零日漏洞，包括安全社区未知漏洞，或者已识别但尚未修补的漏洞。在开发人员发现这些缺陷之前，这些漏洞可能会存在数天、数月或数年，从而成为黑客的主要攻击目标。

无文件攻击

无文件攻击利用合法软件程序中的漏洞，将恶意代码直接注入计算机内存中。网络犯罪分子经常利用 PowerShell（一种内置于 Microsoft Windows 操作系统中的脚本编制工具）来运行恶意脚本，达到更改配置或窃取密码的目的。

DNS 欺骗

DNS 欺骗攻击（也称为“DNS 中毒”）会秘密编辑 DNS 记录，用虚假 IP 地址替换网站的真实 IP 地址。当受害者试图访问真实网站时，他们可能会在不自知的情况下被定向至恶意副本，导致数据泄露或恶意软件传播。

网络攻击的预防、检测和响应

企业可以通过实施网络安全系统和策略来减少网络攻击。网络安全是结合技术、人员和流程来保护关键系统和敏感信息免受数字攻击的实践。

网络攻击的预防

许多企业实施威胁管理战略，以识别和保护企业最重要的资产和资源。威胁管理可能包括策略和安全解决方案，例如：

身份和访问管理 (IAM)平台和策略，包括最低权限访问、多重身份验证 (MFA) 和强密码策略，可确保只有正确的人员才能访问正确的资源。公司还可能要求远程员工在通过不安全的 WiFi 访问敏感资源时使用虚拟专用网 (VPN)。
全面的数据安全平台和数据丢失预防 (DLP) 工具可以加密敏感数据、监控其访问和使用情况，并在检测到可疑活动时发出警报。企业还可以定期进行数据备份，以最大程度地降低泄露造成的损失。
防火墙可以阻止威胁参与者侵入网络。防火墙还可以阻止溢出网络的恶意流量，例如试图与命令和控制服务器通信的恶意软件。
安全意识培训可以帮助用户识别和避免一些最常见的网络攻击载体，如网络钓鱼和其他社会工程攻击。
漏洞管理策略，包括补丁管理计划和定期渗透测试，可以在黑客利用漏洞之前发现并关闭漏洞。
攻击面管理 (ASM)工具可以在网络攻击者发现潜在易受攻击的资产之前，对其进行识别、编目和修复。
统一终端管理 (UEM)工具可以针对公司网络上的所有端点（包括笔记本电脑、台式机和移动设备）实施安全策略和控制。

检测网络攻击

完全阻止尝试性网络攻击是不可能的，因此企业还可以使用持续的安全监控和早期检测流程，识别并标记正在进行的网络攻击。例如：

安全信息和事件管理 (SIEM)系统可以集中并跟踪不同内部网络安全工具发出的警报，包括入侵检测系统 (IDS)、端点检测和响应系统 (EDR) 以及其他安全解决方案。
威胁情报平台增加了安全警报，帮助安全团队了解他们可能面临的网络安全威胁类型。
杀毒软件可以定期扫描计算机系统中的恶意程序，并自动根除已识别的恶意软件。
主动威胁搜寻流程可以追踪在网络中秘密潜伏的网络威胁，例如高级持续性威胁 (APT)。

应对网络攻击

企业还可以采取各种措施，确保适当应对正在进行的网络攻击和其他网络安全事件。例如：

事件响应计划可以遏制并根除各种类型的网络攻击、恢复受影响的系统并分析根本原因，以防范未来的攻击。事件响应计划可降低网络攻击的总体成本。 《数据泄露的代价》报告显示，拥有正式事件响应团队和计划的企业将应对攻击的成本平均降低了 58%。
安全编排、自动化和响应 (SOAR)解决方案允许安全团队协调半自动化或全自动运行手册中的不同安全工具，以实时响应网络攻击。
扩展检测和响应 (XDR)解决方案集成了跨所有安全层（用户、端点、电子邮件、应用程序、网络、云工作负载和数据）的安全工具和操作。XDR 可以自动执行复杂网络攻击的预防、检测、调查和响应流程，包括主动威胁搜寻。