隨著越來越多的組織將最重要的數據放到網上，越來越需要了解如何使用信息風險管理來降低網絡安全風險的信息安全專業人員。這與越來越多的使用和監管對外包的關注相結合，意味著供應商風險管理和第三方風險管理框架比以往任何時候都更加重要。網絡攻擊是訪問計算機系統或者大小，修改或竊取數據的未經授權的企圖。網絡破壞分子可以使用多種攻擊媒介，推出包括網絡攻擊的惡意軟件，網絡釣魚，勒索，以及人在這方面的中間人攻擊。固有風險和殘余風險使這些攻擊中的每一個都成為可能。

為什么會發生網絡攻擊？

網絡攻擊背后的動機各不相同。最常見的網絡攻擊類別是民族國家攻擊這種類型的攻擊由代表一個國家的網絡破壞分子發起。民族國家攻擊者通常以關鍵基礎設施為目標，因為它們在受到攻擊時對一個國家的負面影響最大。

內部與外部網絡威脅

網絡攻擊可能來自組織內部或外部：

• 內部網絡攻擊：從組織的安全邊界內部發起，例如有權訪問敏感數據并竊取數據的人員
• 外部網絡攻擊：從安全邊界外部發起，例如由僵尸網絡驅動的分布式拒絕服務攻擊（DDoS 攻擊）。

網絡攻擊的目標是什么？

網絡攻擊針對具有一個或多個可以利用的漏洞的資源（物理或邏輯）。作為攻擊的結果，資源的機密性、完整性或可用性可能會受到損害。在某些網絡攻擊中，對資源的破壞、數據泄露或控制可能超出最初確定為易受攻擊的范圍，包括獲得對組織的 Wi-Fi 網絡、社交媒體、操作系統或敏感信息（如信用卡或信用卡）的訪問權限。銀行帳號。

這種高度復雜的網絡攻擊能夠繞過防火墻和虛擬專用網，因為它們隱藏在合法的計算機進程后面。這也使得執法部門很難追蹤負責任的網絡破壞分子。機密性、完整性和可用性被稱為 CIA 三元組，是信息安全的基礎。

被動與主動網絡攻擊

網絡攻擊可以是被動的，也可以是主動的。被動網絡攻擊包括試圖在不影響系統資源的情況下訪問或使用來自目標系統的信息- 例如，域名搶注。主動網絡攻擊包括 故意 更改系統或影響操作的嘗試——例如，數據泄露和勒索軟件攻擊。

最常見的網絡攻擊類型

主動網絡攻擊的示例包括：

1. 蠻力攻擊： 一種流行的破解方法，涉及猜測用戶名和密碼以獲得對系統或敏感數據的未經授權的訪問。
2. 跨站點腳本 (XSS)：一種通常在 Web 應用程序中發現的安全漏洞。XSS 使攻擊者能夠將客戶端腳本注入到其他用戶查看的網頁中，并可能用于繞過訪問控制，例如同源策略。
3. 拒絕服務攻擊 (DoS)：當合法用戶由于惡意網絡威脅行為者的行為而無法訪問信息系統、設備或其他網絡資源時發生。
4. Exploit： 利用漏洞導致意外行為或未經授權訪問敏感數據的軟件、數據或命令序列。
5. 電子郵件欺騙：使用偽造的發件人地址創建電子郵件。由于核心電子郵件協議缺乏身份驗證，網絡釣魚攻擊和垃圾郵件可能會欺騙電子郵件標頭，從而誤導收件人對電子郵件發件人的認識。
6. 網絡釣魚：通過偽裝成合法網站收集敏感信息，例如登錄憑據、信用卡號、銀行帳號或其他財務信息。
7. 中間人：攻擊者中繼并可能改變認為他們直接通信的兩方之間的通信。這允許攻擊者中繼通信、監聽，甚至修改每一方所說的內容。
8. Man-in-the-browser：特洛伊木馬的代理，通過利用瀏覽器中的漏洞來修改網頁和交易內容，或以隱蔽的方式插入新內容來感染 Web 瀏覽器。
9. Ping 泛洪：一種簡單的拒絕服務攻擊，攻擊者使用 ICMP“回顯請求”(ping) 數據包淹沒受害者。
10. Ping of death：對計算機系統的攻擊，涉及向計算機發送格式錯誤或其他惡意 ping
11. Smurf 攻擊：一種分布式拒絕服務攻擊，其中使用 IP 廣播地址向計算機網絡廣播大量帶有目標受害者的欺騙源 IP 的 Internet 控制消息協議 (ICMP) 數據包。
12. 緩沖區溢出：攻擊者通過覆蓋應用程序的內存來利用緩沖區溢出問題。這會改變程序的執行路徑，觸發損壞文件或暴露私人信息的響應
13. 堆溢出：緩沖區溢出的一種形式，當一塊內存被分配給堆并且數據被寫入該內存而沒有對數據進行任何邊界檢查時，就會發生這種形式的緩沖區溢出。
14. 堆棧溢出：一種緩沖區溢出，它導致程序向位于堆棧上的緩沖區寫入的數據多于為緩沖區分配的數據，從而導致堆棧上的相鄰數據損壞，從而導致程序崩潰或操作不正確。
15. 格式字符串攻擊：當輸入字符串的提交數據被應用程序評估為命令時發生。通過這種方式，攻擊者可以執行代碼、讀取堆?；蛟谡谶\行的應用程序中導致分段錯誤，從而導致可能危及系統安全性或穩定性的新行為。
16. 直接訪問攻擊：黑客能夠訪問計算機并直接從中下載數據的攻擊。
17. 社會工程： 社會工程是一種攻擊媒介，它利用人類心理和敏感性來操縱受害者泄露機密信息和敏感數據或執行違反通常安全標準的操作。
18. 間諜軟件：不需要的軟件，一種惡意軟件或惡意軟件，旨在暴露敏感信息、竊取互聯網使用數據、訪問或損壞您的計算設備。
19. 篡改：旨在對最終用戶造成傷害的產品或服務的修改。
20. 權限提升： 該開發編程錯誤，的脆弱性，設計缺陷，配置監督或訪問控制在操作系統或應用程序，以獲得到該通常由應用程序或用戶受限資源的未授權訪問。
21. 病毒：一種計算機程序，在執行時通過修改其他計算機程序并插入自己的代碼來復制自己。
22. 捕鯨攻擊：一種針對高級管理人員（如 CEO 或 CFO）的網絡釣魚攻擊，旨在竊取公司的敏感信息。這可能包括財務信息或員工的個人信息。
23. 蠕蟲：一種自我復制的惡意軟件，在感染其他計算機的同時在受感染的系統上保持活動狀態。
24. 勒索軟件： 一種惡意軟件或惡意軟件，旨在拒絕訪問計算機系統或數據，直到支付贖金。勒索軟件通過網絡釣魚電子郵件、惡意廣告、訪問受感染的網站或利用 漏洞進行傳播。
25. 特洛伊木馬：任何誤導用戶其真實意圖的惡意軟件。
26. 惡意代碼：對計算機用戶有害的任何程序或文件。惡意軟件的類型包括計算機病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件和勒索軟件。
27. SQL 注入：一種代碼注入技術，用于攻擊數據驅動的應用程序，其中惡意 SQL 語句被插入到輸入字段中以執行（例如，將數據庫內容轉儲給攻擊者）。
28. 零日漏洞利用：軟件、硬件或固件開發人員不知道的未修補安全漏洞，以及攻擊者用來利用安全漏洞的漏洞。