攻击向量

攻击实际是如何发生的

好莱坞电影里，黑客们在终端上疯狂地输入绿色代码。现实情况远没有那么光鲜。大多数安全漏洞始于几种常见的攻击向量：

网络钓鱼：诱骗用户点击链接、打开附件或在虚假网站上输入凭据。这仍是主要的初始访问方式。鱼叉式网络钓鱼针对特定个人，使用定制化的诱饵。

恶意软件：旨在破坏或获取未经授权访问的软件：勒索软件会加密文件并索要赎金，木马伪装成合法软件，蠕虫则会自动在网络间传播。

供应链攻击：入侵受信任的供应商或软件依赖项。2020年的SolarWinds攻击将恶意代码注入常规软件更新，并分发给18,000家组织，包括美国政府机构。

凭据攻击：暴力破解密码、凭据填充（使用其他泄露事件中的泄露密码）或利用从未更改的默认凭据。

零日漏洞利用：攻击软件供应商尚未知晓的漏洞。这类攻击较为罕见，但破坏性极大，因为没有可用的补丁。

威胁行为者与 MITRE

谁在发起攻击？

并非所有攻击者都相同。安全专业人员会根据动机和能力对其进行分类：

脚本小子：使用预置工具的低技能攻击者。他们会造成实际损害，但技术水平不高。

黑客活动分子：出于政治或社会动机。他们通过网站篡改、数据泄露或发起拒绝服务攻击来表达观点。

网络犯罪分子：以营利为目的。包括勒索软件团伙、诈骗团伙和数据经纪人。这是适应互联网的组织犯罪。

国家行为者（APT）：由政府支持的高级持续性威胁。他们拥有雄厚的预算、定制工具和以年计的耐心。典型活动包括间谍活动、基础设施破坏和知识产权盗窃。

内部人员：拥有合法访问权限的员工或承包商，他们或出于恶意或因疏忽而滥用权限。

MITRE ATT&CK 框架

MITRE ATT&CK 是一个公开的知识库，收录了真实世界攻击者使用的技术，按阶段组织：初始访问、执行、持久化、权限提升、横向移动、数据渗出等。防御者可利用它了解攻击者在每个阶段的行为，并据此构建检测机制。

防火墙、VPN 和 IDS/IPS

网络防御层

网络安全旨在控制进入、离开以及在网络内部流动的流量。单一设备无法独自完成所有任务：纵深防御意味着多层控制的叠加。

防火墙：第一道防线。防火墙会检查网络流量，并根据规则允许或阻止流量。基本防火墙通过 IP 地址和端口号进行过滤。下一代防火墙 (NGFW) 会检查流量的实际内容，并能识别特定应用程序。

VPN（虚拟专用网络）：在两点之间加密流量，在不可信网络（如公共互联网）上创建安全隧道。远程工作者使用 VPN 访问公司内部资源，就像在现场一样。

IDS/IPS（入侵检测/预防系统）：IDS 监控流量并在发现可疑活动时发出警报。IPS 同样监控流量，但能自动阻止可疑流量。可以把 IDS 比作安防摄像头，而 IPS 则相当于带警卫的安防摄像头，警卫可以锁门。

网络分段：将网络划分为隔离区域，使一个区域的入侵无法轻易扩散到其他区域。营销部门的受感染工作站不应能访问财务部门的数据库服务器。

零信任与 DNS 安全

零信任架构

传统网络安全遵循城堡与护城河模型：外围防御坚固，但一旦进入内部，就被视为可信。这种模式在攻击者突破外围时会彻底失效，或者当外围消失（例如人人远程办公）时同样失效。

零信任 颠覆了这一模型：永不信任，始终验证。无论请求来自网络内部还是外部，都必须进行身份验证、授权和加密。其核心原则包括：

- 明确验证：基于所有可用数据（身份、位置、设备健康状况、服务或工作负载、数据分类）进行身份验证和授权。

- 最小权限访问：仅授予用户和系统完成任务所需的最小权限，且仅在需要时授予。

- 假设已遭入侵：系统设计时假定攻击者已进入内部，最大程度缩小任何安全事件的爆炸半径。

DNS 安全

DNS 将域名解析为 IP 地址。攻击者会利用多种方式进行攻击：DNS 欺骗将用户重定向到恶意站点，DNS 隧道将数据外泄隐藏在 DNS 查询中，以及域名劫持接管合法域名。DNSSEC 为 DNS 响应添加加密签名以防止篡改。

注入攻击

当应用程序成为攻击面

网络防御可能完美无缺，但如果应用程序本身存在漏洞，攻击者就能直接从前门进入。

SQL 注入：攻击者将恶意 SQL 代码插入到输入字段中。如果应用程序通过拼接用户输入来构建数据库查询，攻击者就可以读取、修改或删除整个数据库。例如，在登录表单中输入 ' OR 1=1 -- 可能会完全绕过身份验证。

跨站脚本 (XSS)：攻击者将恶意 JavaScript 注入到其他用户将要查看的网页中。当受害者加载页面时，脚本会在其浏览器中运行，并可能窃取会话 Cookie、重定向到钓鱼网站，或修改他们在页面上看到的内容。

OWASP Top 10：开放 Web 应用程序安全项目定期发布一份最关键的 Web 应用安全风险清单。注入和 XSS 已连续十多年上榜。其他条目还包括失效的访问控制、安全配置错误和不安全的设计。

修复注入攻击的方法不只是输入过滤，而是使用参数化查询（也称为预编译语句）。不要用用户输入拼接 SQL 字符串，而是将输入作为单独的参数传递，数据库会将其视为数据而非代码。

身份验证与安全开发生命周期

正确实现身份验证

身份验证是证明你就是你所声称的那个人。授权是确定你被允许执行哪些操作。混淆这两者是漏洞的常见来源。

多重身份验证 (MFA)：需要两个或多个因素：你知道的东西（密码）、你拥有的东西（手机或硬件密钥）、你是什么（指纹）。MFA 能阻止绝大多数基于凭证的攻击，因为仅凭被盗的密码是不够的。

OAuth 2.0 和 OpenID Connect：用于委托授权和身份验证的标准。当你点击“使用 Google 登录”时，OAuth 允许应用程序通过 Google 验证你的身份，而无需看到你的 Google 密码。

安全软件开发生命周期 (SDLC)

安全不能在开发完成后才添加。安全 SDLC 将安全集成到每个阶段：

- 设计：威胁建模：可能出现什么问题？

- 开发：安全编码标准、代码审查、静态分析工具

- 测试：动态分析、渗透测试、模糊测试

- 部署：强化配置、密钥管理

- 维护：补丁管理、漏洞扫描、依赖项更新

事件响应生命周期

当预防失效时

没有完美的防御。当发生入侵时，事件是小事还是灾难，取决于你响应得有多快、多有效。

标准事件响应生命周期包含六个阶段：

1. 准备阶段：组建团队、定义角色、创建剧本、进行桌面演练。这一切都在事件发生之前完成。未做好准备的团队会浪费宝贵时间来确定各自职责。

2. 检测与分析：识别正在发生的事件并确定其范围。这是 SIEM（安全信息和事件管理）系统汇总整个环境中的日志并对可疑模式发出警报的地方。SOC（安全运营中心）分析师全天候对这些警报进行分类处理。

3. 遏制：止血。短期遏制可能意味着将受感染的机器与网络隔离。长期遏制可能意味着在调查期间构建一个干净的并行环境。

4. 根除：彻底清除攻击者的存在：恶意软件、后门、被入侵的账户以及持久化机制。

5. 恢复：将系统恢复到正常运行状态。验证环境是否干净。密切监控攻击者是否仍然存在的迹象。

6. 经验教训：最容易被忽视的阶段。进行无责备的事后分析：发生了什么、如何被发现、哪些有效、哪些无效，以及为防止再次发生将采取哪些改变。

事件响应场景

场景：凌晨2点的勒索软件

你是值班安全分析师。凌晨2:14，你的SIEM触发警报：多台文件服务器显示异常加密活动。几分钟内，欧洲办公室的员工报告他们的文件已被替换为勒索信，要求支付50枚比特币。

你的应急响应计划要求你向IR团队负责人上报并遵循勒索软件响应手册。CEO正在来电。法务部门想了解通知义务。IT总监想知道备份是否干净。

经验教训 [BLOCK_TYPE ir/lessons]

每个人都会跳过的阶段

在即时危机解决后，经验教训阶段决定组织是否真正得到改进。无责事后分析会问： [BLOCK_TYPE ir/lessons]

- 初始访问向量是什么？ [BLOCK_TYPE ir/lessons]

- 攻击者在检测到之前在环境中停留了多久（驻留时间）？ [BLOCK_TYPE ir/lessons]

- 哪些控制措施失败了，为什么？ [BLOCK_TYPE ir/lessons]

- 哪些控制措施有效？

- 将采取哪些具体、可衡量的措施来防止再次发生？

无责一词至关重要。如果人们害怕惩罚，就会隐瞒错误。如果他们隐瞒错误，组织就永远无法学习。目标是修复系统，而不是惩罚个人。

近年来，勒索软件攻击的平均停留时间有所下降，但对于其他类型的攻击，攻击者通常会数周或数月不被发现。检测速度是安全运营中最重要的指标之一。

网络安全中的职业路径

这些知识的应用方向

网络安全领域存在巨大的人才短缺：全球有数十万个职位空缺。该领域为不同性格和技能的人提供了多条职业路径：

SOC 分析师：第一线。SOC 分析师轮班监控警报、分类事件并上报威胁。这是进入网络安全领域最常见的起点。需要轮班工作且容易产生警报疲劳，但能快速积累深厚的实践经验。

渗透测试员（Pentester）：你获得报酬并获授权入侵组织系统。你在攻击者之前发现漏洞。需要具备网络、Web 应用和操作系统方面的深厚技术技能。创造性问题解决能力至关重要。

安全工程师：设计并构建防御基础设施：防火墙、SIEM 系统、身份平台、加密系统。这是构建者角色。与 DevOps 和云工程有很强的重叠。

数字取证与事件响应（DFIR）：调查员。当发生入侵时，DFIR 专业人员会重构事件发生的过程、方式和时间。需要细致入微的注意力，并适应法律程序和证据处理。

认证

认证并非必需，但它们能打开大门：

- CompTIA Security+：行业标准入门级认证。涵盖基础安全概念。良好的起点。

- OSCP (Offensive Security Certified Professional)：动手渗透测试认证。你有24小时时间在实验室中入侵多台机器。备受推崇且难度极高。

- CISSP (Certified Information Systems Security Professional)：管理级认证，涵盖安全策略、风险管理和治理。需要五年工作经验。广泛用于高级和领导岗位。

Your Security Mindset

总结

你已经涵盖了大量内容：CIA三元组、威胁行为者与攻击向量、网络防御与零信任、应用安全与注入攻击、从检测到经验教训的事件响应，以及将所有这些付诸实践的职业路径。

纵深防御的核心原则是单一控制措施不足以提供足够保护。你需要将防火墙与网络分段结合，网络分段与监控结合，监控与事件响应结合，而所有这些都需要训练有素的人员，他们知道当某个环节失效时该如何应对。

攻击者只需要找到一个漏洞。防御者需要覆盖所有漏洞。这种不对称性使这个领域既充满挑战又至关重要。