@火凤凰
2年前 提问
1个回答

外部攻击包括哪些类别

趣能一姐
2年前

外部攻击包括以下类别:

  • 尝试破坏凭据:攻击者使用几种方法来获得用户账户凭据。最熟知的方法是对单个用户账户进行字典攻击。在这种情况下,攻击者只知道一个用户账户名。另一种方法对目录服务数据库中包含的每个用户账户应用同一组密码。在第二种情况下,攻击者多半拥有组织目录服务的访问权限。要检测这第二种攻击,需要监视一系列账户的账户锁定和多次登录失败,即使总登录尝试次数低于账户锁定阈值。

  • 利用安全漏洞:因为任何计算机上都可能存在安全漏洞,所以攻击者会尝试利用这些安全漏洞来侵入组织的网络。外围网络上的安全监视特别重要,因为这些计算机最容易受到攻击者的攻击。除非存在能够检测到攻击正在进行的机制,否则,组织可能直到攻击者破坏其网络时才会意识到情况不妙。对外围网络计算机的安全监视必须能够检测一系列事件。利用安全漏洞的典型情况包括未经授权的访问尝试和特权身份使用。

  • 安装木马程序套件或特洛伊木马:通过安全监视检测是否安装了木马程序套件很困难,但并非不可行。未知程序在很短的间隔内连续启动和停止,就可能表明它是木马程序套件。在木马程序套件启动后,操作系统就无法再检测它。此后,该程序似乎退出了,不再生成任何事件。特洛伊木马通常比木马程序套件更容易识别,因为它们不具有木马程序套件的诡秘特性。键击记录程序(尝试记录键击的程序)也属于此类别。

  • 欺骗用户运行恶意程序:使用此方法时,攻击者尝试绕过防火墙和外围网络向用户传送可执行附件。电子邮件是最常见的传送机制,但其他连接(如到感染病毒的Web站点的连接)也可达到同样目的。攻击者的第一个难题是让用户运行程序。如果用户执行程序,程序就会在用户的安全上下文中启动。程序随后可以尝试升级权限,如获得管理员等效权限或网络访问权限。可以配置过程跟踪来检测程序启动尝试。

  • 访问未经授权的计算机:管理员使用远程管理工具(如终端服务)连接到特定计算机的情况日益增多。因此,应监视这些计算机上是否存在交互式登录尝试,并检查连接尝试的有效性。检查内容包括查明使用服务账户的登录、记录使用未经授权的账户访问服务器的尝试、检查来自意外地理区域的服务器访问尝试、列出来自外部IP地址范围的服务器访问尝试。