雖然網(wǎng)絡攻擊不斷增加和發(fā)展，但無論黑客用于獲取訪問權(quán)限的復雜性如何，只要站穩(wěn)腳跟、隱藏惡意軟件、執(zhí)行有效負載或泄露數(shù)據(jù)，他們的攻擊就會從偵察開始。

他們將盡最大努力發(fā)現(xiàn)暴露的資產(chǎn)，并探測目標的攻擊面，尋找可用作切入點的缺口。

因此，第一道防線是盡可能地限制潛在攻擊者可用的潛在有用信息。與往常一樣，需要考慮操作必要性和安全問題之間的拉鋸戰(zhàn)，這需要更好地了解通常使用的信息類型。

黑客在偵察期間會尋找哪些信息？

在對組織進行偵察時，黑客 - 無論是白帽子還是黑帽 - 都在"套管關(guān)節(jié)"。為了計劃他們的攻擊，他們將嘗試發(fā)現(xiàn)盡可能多的信息：

您的基礎架構(gòu)

• 您使用的技術(shù)類型 - 由于沒有完美的技術(shù)，因此了解用于構(gòu)建和管理基礎架構(gòu)的技術(shù)是黑客的第一步。它們旨在發(fā)現(xiàn)漏洞以滲透您的基礎架構(gòu)并保護自己免受檢測。黑客可以通過收聽技術(shù)論壇中的對話來獲取有關(guān)您的技術(shù)以及如何使用它們的信息。參與此類討論的DevOps應避免泄露其真實身份或可能識別組織的信息。
• 面向互聯(lián)網(wǎng)的服務器 - 服務器保存組織的重要信息。黑客將試圖找到從未使用或未修補的服務到開放端口的漏洞。
• 在公共網(wǎng)絡上用作服務器的任何系統(tǒng)都是目標，因此系統(tǒng)管理員必須在以下方面格外警惕：
• 使所有服務保持最新
• 盡可能選擇安全協(xié)議
• 將每臺計算機的網(wǎng)絡類型限制為嚴格的最低限度，最好是每臺計算機一個
• 監(jiān)視所有服務器的可疑活動
• 您的操作系統(tǒng) （OS） – 每個操作系統(tǒng)都有自己的漏洞。Windows、Linux、Apple 和其他操作系統(tǒng)會定期發(fā)布新發(fā)現(xiàn)的漏洞和補丁。一旦網(wǎng)絡攻擊者知道您使用的操作系統(tǒng)，就會利用這些公開可用的信息。
• 例如，在論壇對話中，您的會計師解釋了如何在 Windows 8 Excel 電子表格上使用某個函數(shù)，告訴黑客會計師使用 Windows 并且多年來一直沒有更新他的操作系統(tǒng)。
• 這個花絮鼓勵網(wǎng)絡攻擊者進一步挖掘，因為如果允許有權(quán)訪問您組織財務信息的員工在很少（如果有的話）更新的端點上工作，則員工的端點安全性就會松懈。
• 您的安全成熟度 - 黑客是人類，因此往往很懶惰。執(zhí)行偵察任務的黑客發(fā)現(xiàn)您正在使用XSPM（擴展安全態(tài)勢管理）平臺，他知道，即使存在可利用的入口點，升級也會在每一步受到阻礙，并且實現(xiàn)惡意操作將需要更高水平的規(guī)劃。這阻止了大多數(shù)潛在的網(wǎng)絡攻擊者。

憑據(jù)

• 電子郵件地址 - 由于人類思維是最難升級和修補的軟件，網(wǎng)絡釣魚仍然是黑客的頭號滲透媒介。雖然某些電子郵件地址（如信息、支持、銷售等）必須是公開的，但黑客可以利用員工的個人電子郵件進行一般網(wǎng)絡釣魚郵件和魚叉式網(wǎng)絡釣魚。
• 用戶名和密碼 - 暗網(wǎng)黑客的購物中心充滿了以低得離譜的價格出售的憑據(jù)，因此建議定期更改密碼。
• 對于系統(tǒng)管理員和其他具有高特權(quán)訪問權(quán)限的用戶，保持一流的密碼衛(wèi)生 - 和MFA！- 是絕對必須的，因為如果他們的憑據(jù)落入黑客手中，整個系統(tǒng)可能會受到不可挽回的損害。

你能發(fā)現(xiàn)黑客偵察嗎？

預先警告是預先武裝的，因此傾聽敵對偵察活動的跡象可能是一個聰明的主意。偵察活動可分為兩類：

• 主動偵察：黑客使用工具或間諜軟件進入您的系統(tǒng)。這應該會觸發(fā)來自正確配置的檢測工具的警報，通知安全信息團隊黑客正在"套管"它們。
• 這應該促使啟動安全驗證活動，以確保充分監(jiān)控潛在的安全漏洞，并安排優(yōu)先修補。
• 被動偵察：黑客通過收集有關(guān)您的基礎架構(gòu)技術(shù)詳細信息或電子郵件地址的公開信息來"跟蹤"您。這實際上是無法察覺的。

黑客如何處理偵察期間收集的信息？

網(wǎng)絡攻擊者的目標分為四大類：

• 盜竊 - 就數(shù)量而言，迄今為止最大的類別，旨在竊取的攻擊可以細分為與盜竊目標相匹配的更多類別：
• 數(shù)據(jù) – 數(shù)據(jù)是21世紀的貨幣，右手邊的任何數(shù)據(jù)都可以轉(zhuǎn)化為價值。從信用卡詳細信息到用戶的個人信息，再到旅行習慣等通用數(shù)據(jù)，所有數(shù)據(jù)都可能被盜用用于商業(yè)、戰(zhàn)略甚至軍事目的。
• 知識產(chǎn)權(quán) – 知識產(chǎn)權(quán)為許多組織和企業(yè)提供了優(yōu)勢。例如，競爭者對獲取這些信息有直接的興趣。
• 計算資源 – 用于為基礎架構(gòu)供電的資源成本高昂，因此具有吸引力。今天，被盜資源的主要用途是加密采礦。
• 勒索 - 最著名的勒索軟件，勒索軟件劫持部分或全部基礎設施，加密數(shù)據(jù)，并要求以加密貨幣支付以解密受影響的數(shù)據(jù)。泄露數(shù)據(jù)并威脅要出售數(shù)據(jù)也是勒索軟件威脅的一部分。
• 信息收集 - 一種隱蔽的攻擊類型，可能長時間未被發(fā)現(xiàn)。通常，這些被民族國家，政治對手或商業(yè)競爭對手征用。
• 破壞/接管基礎設施 - 旨在超越或摧毀的攻擊通常由針對關(guān)鍵基礎設施的民族國家領(lǐng)導，特別是激進的競爭對手或黑客主義者。

考慮到網(wǎng)絡攻擊可能造成的損害范圍，對于偵察網(wǎng)絡攻擊者來說，使偵察盡可能徒勞或令人生畏是一個好政策。這解釋了當前更好的攻擊面管理 （ASM） 趨勢。

注：本文由Cymulate研究副總裁Sasha Gohman撰寫。