1. 横向移动
1.1. 攻击者在成功进入系统后试图做的最主要的事情:巩固和扩大他们的存在
1.2. 攻击者在最初的攻击之后,就会从一台设备转移到另一台设备,希望可以获得高价值的数据
1.3. 还将寻找能够获得对受害者网络的额外控制的方法
1.4. 将努力不触发告警或引起任何警觉
1.5. 横向移动包括扫描网络以寻找其他资源、收集和利用凭据,或者收集更多信息以进行渗透
1.6. 横向移动是很难阻止的,这是因为组织通常仅仅在网络的几个网关处设置安全措施
- 1.6.1. 是攻击中最关键的阶段,因为在这个阶段,攻击者会寻求资产和更多权限,甚至遍历多个系统,直到他们对其达成的目标满意为止
1.7. 恶意行为只有在安全区域之间移动时才会被检测到,而在安全区域内则不会
1.8. 横向移动是网络威胁生命周期中的一个重要阶段,因为它使攻击者能够获得更有能力破坏网络重要方面的信息和访问等级
2. 渗透
2.1. 外部侦察方法包括垃圾搜索、使用社交媒体和社会工程
2.2. 垃圾搜索是指从一个组织已经处理掉的设备中收集有价值的数据
2.3. 社交媒体可以用来监视目标用户,并获得他们可能不小心发布的凭据
3. 网络映射
3.1. 在一次成功攻击后,攻击者将尝试映射网络中的主机,以发现包含有价值信息的主机
3.1.1. 最常用的工具之一是Nmap
3.1.2. 可以继续测试网络中感兴趣的计算机上运行的操作系统
3.1.3. 如果黑客可以知道目标设备上运行的操作系统和特定版本,就很容易选择可以有效使用的黑客工具
3.2. Nmap工具具有复杂的操作系统指纹识别功能,几乎总能成功地告诉我们诸如路由器、工作站和服务器等设备的操作系统相关信息
3.3. 网络映射之所以是可能的,而且在很大程度上很容易做到,是因为在防范网络映射方面存在挑战
3.3.1. 组织可以选择完全屏蔽其系统,以防止类似Nmap扫描的攻击,但这主要是通过网络入侵检测系统(Network Intrusion Detection System,NIDS)来实现的
3.3.2. 当黑客扫描单个目标时,他们会扫描网络的本地网段,从而避免流量通过NIDS
3.3.3. 为了防止扫描发生,组织可以选择使用基于主机的入侵检测系统(Host-Based Intrusion Detection System,HIDS),但大多数网络管理员不会考虑在网络中这样做,特别是在主机数量庞大的情况下
3.4. 每台主机中增加的监控系统将导致更多告警,并且需要更多的存储容量,根据组织的规模不同,这可能会导致太字节(TB)级的数据,其中大部分是误报
3.5. 受害者组织最大的希望是基于主机的安全解决方案
3.5.1. 可以使用入侵防御系统(Intrusion Defense System,IDS)和防火墙来保护组织的网络免受未经授权的Nmap扫描
3.5.2. 有些方法非常极端,包括向攻击者返回误导性信息、减慢Nmap扫描的速度、限制这些Nmap扫描提供的信息量、完全阻止Nmap扫描,以及混淆网络,即使攻击者成功地执行了他们的扫描,也不会了解你的网络中的情况
3.5.3. 混淆网络使得攻击者不能理解网络,这意味着授权的网络管理员也可能无法理解网络
3.5.4. 使用软件来阻止端口扫描器以阻止扫描比较危险,因为它可能会通过该软件本身引入额外的漏洞
3.6. 扫描、关闭/阻止、修复
-
3.6.1. 保护网络免受攻击者的Nmap扫描的最有效方法之一是自己进行扫描
- 3.6.1.1. 进攻是最好的防御
-
3.6.2. 主动扫描
- 3.6.2.1. 允许你在攻击者发现网络中的弱点之前找到它
-
3.6.3. 阻止未使用的可用端口也很重要
3.6.3.1. 攻击者的端口扫描威胁就变小了,因为你可以判断他们将获得的信息类型以及这些信息会给公司带来什么样的危险
3.6.3.2. 安全团队对端口扫描器很偏执,组织往往会因为他们的偏执而部署最具防御性的安全系统
3.6.4. 修复已知漏洞
-
3.6.5. 可以通过外部方法或公开可达但不需要对外公开的服务,应该在防火墙点上被阻止
3.6.5.1. 如果员工需要访问这些服务,他们可以使用VPN来访问
3.6.5.2. 应该禁用这些不必要的服务
3.6.5.3. 最好确保禁用不必要的服务和端口,以免被攻击者利用
3.6.6. 需要修复系统中已知的漏洞,确保防火墙阻止私人服务,禁用不必要的服务,并且可以更进一步,使用入侵防御系统来帮助保护你免受零日攻击和其他威胁
-
3.6.7. 主动扫描网络并审核服务和资产应该是网络安全的首要任务
3.6.7.1. 应该定期进行
3.6.7.2. 定期扫描和审核将使你能够掌握安全态势,并保持网络安全
3.6.7.3. 测试不佳和实施不佳的系统在被扫描时往往会崩溃
3.6.7.4. 建议网络扫描应该从简单的端口扫描开始,然后再进行更复杂的网络扫描过程
3.7. 阻止和降速
3.7.1. 保护网络的最佳方法之一就是对网络进行良好的配置
3.7.2. 一个配置良好的网络可以很好地将入侵者拒之门外
-
3.7.3. 正规防火墙的基本规则总是首先拒绝
-
3.7.3.1. 默认设置是在识别和允许重要的流量通过之前,先阻止所有流量进入网络
3.7.3.1.1. 在最初阻止重要流量(由于用户报告了问题)后允许其通过,比允许不良流量通过更好也更容易,这意味着攻击者可以进入网络
3.7.3.1.2. 合法的流量很容易被发现,因为合法用户会不断报告他们的流量无法通过,直到网络管理员最终纠正这种情况
3.7.3.2. 有助于减缓使用Nmap工具进行大规模侦察的速度
-
-
3.7.4. 过滤端口是一个旨在挫败攻击者的有效过程
3.7.4.1. Nmap根本不知道探测为什么会被丢弃,也不知道端口是否被过滤
3.7.4.2. 最好确保防火墙确实会丢弃数据包,而不以错误消息等反馈做出响应
-
3.7.4.3. 目的是确保数据包被丢弃而不是被拒绝
3.7.4.3.1. 拒绝意味着一个错误消息被发送回Nmap扫描器
3.7.4.3.2. 拒绝消息有助于缓解网络故障和拥塞,因为它向攻击者表明探测被防火墙阻止
3.7.4.3.3. 使用丢弃时,不会向Nmap扫描程序发回任何消息
3.7.4.3.4. 丢弃是减慢侦察过程的最理想的结果
-
3.7.5. 确保未使用的端口不会进行监听,关闭未使用的端口
- 3.7.5.1. 关闭且可以过滤的端口对端口扫描程序非常有效
3.8. 检测Namp扫描
3.8.1. 任何连接到互联网的组织都会经常面临扫描
3.8.2. 扫描中有许多是寻找Windows漏洞和其他漏洞的互联网蠕虫
3.8.3. 开发漏洞代码的人可能会扫描大范围的系统,以找到易受其攻击的系统
-
3.8.4. 日志文件本身不足以检测出端口扫描
- 3.8.4.1. 使用日志文件并不是检测Nmap活动的非常有效的标准,也就是说,它的效果微乎其微
3.8.5. 识别正在进行的扫描活动的常见方式之一是许多网络服务的错误消息增多
3.9. 技巧
3.9.1. 使用巧妙的技巧是一种常见的做法,特别是在管理员采取攻击性的方法并对Nmap扫描创建虚假响应的情况下
3.9.2. 这些技巧是为了迷惑和减慢Nmap扫描工具,它们可以有效地解决问题,保护网络免受恶意扫描
3.9.3. 降低速度的技巧往往是在没有任何安全考虑的情况下编写的,攻击者可以利用它们来获取有关系统的宝贵信息
3.9.4. 使用这些技巧可能会适得其反,最终可能会使黑客而不是网络管理员受益
