文章速覽：
攻擊者常用的戰術、技術和程序（TTPs）
網絡攻擊者的目標數據類型
抵御網絡威脅的三大最佳方法
事件響應的最佳實踐
評估事件響應團隊的標準

在數字化時代，網絡安全成為了一個日益嚴峻的挑戰。組織不僅需要意識到潛在的網絡威脅，還需采取有效措施來預防和應對這些威脅。隨著網絡攻擊手段的不斷演進，如何有效保護組織的網絡安全、防范潛在的數據泄露，成為了每個組織不可回避的重要議題。
近期，SecurityScorecard與Cyentia Institute的報告顯示，98%的組織至少與一個過去兩年內遭遇過數據泄露的第三方有所關聯，這說明大多數組織至少間接面臨著其無法控制的環境風險。鑒于此，組織需了解數據泄露的形成過程、檢測手段及有效應對策略。

一、攻擊者常用的戰術、技術和程序（TTPs）
網絡攻擊者通常會運用多種戰術、技術和程序（TTPs）攻擊數字系統和網絡，并不斷升級攻擊手法以越過安全措施。這些惡意行為包括利用系統漏洞、未授權獲取敏感信息等一系列策略。
1、網絡釣魚攻擊
常見戰術之一是網絡釣魚電子郵件，攻擊者偽造看似合法的消息，誘導用戶點擊惡意鏈接或下載帶病毒的附件。攻擊者會通過社交工程的技巧，操縱目標的行為，使網絡釣魚攻擊能成為系統滲透的有效且普遍的方法。
2、利用零日漏洞
零日漏洞也是網絡攻擊者常用的一種技術。攻擊者利用操作系統、應用程序或固件的已知弱點進行未授權訪問。他們可能會使用自動化的工具掃描網絡漏洞，或對未修補的系統漏洞加以利用。這也強調了定期軟件更新和補丁的重要。
3、惡意軟件攻擊
攻擊者常常通過復雜的混淆技術，保障他們的惡意軟件避免被殺毒軟件發現。攻擊者會將惡意軟件引入到目標系統以執行未授權活動，如加密文件的勒索軟件或秘密收集敏感信息的間諜軟件。
4、中間人攻擊
中間人攻擊即攻擊者攔截或修改通信雙方的信息。實現的技術層面，如DNS欺騙或是會話劫持等，均可用于竊聽敏感數據交換。
5、憑證盜竊
憑證盜竊也是一種常見方法，通過鍵盤記錄、憑證釣魚或利用弱認證機制等方式盜取用戶名和密碼。一旦憑證泄露后，攻擊者可在網絡中橫向移動，升級其權限，獲取關鍵系統的訪問權限。

二、網絡攻擊者的目標數據類型
攻擊者不斷尋找各種敏感且有價值的數據，尋找可以用于金融利益、間諜活動或破壞操作的信息。他們目標的數據性質多樣，反映了網絡威脅不斷演變的情況。
1、財務數據
財務數據仍然是主要目標，包括信用卡詳情、銀行賬戶信息和個人身份信息（PII），可用于身份盜竊或欺詐交易。這些數據在暗網上通常具有很高的價值，在地下市場中價格不菲。
2、企業間諜活動
企業間諜活動是網絡攻擊背后的另一個驅動力，黑客會竊取知識產權、商業秘密和專有信息。這種間諜活動可能造成嚴重后果，影響公司的競爭優勢、研發努力和市場定位。
3、醫療數據
隨著醫療記錄數字化，醫療數據也成為了有利可圖的目標。病人信息，包括醫療歷史、治療計劃和保險細節，不僅可用于身份盜竊，還可用于對醫療機構的虛假保險索賠甚至敲詐。
4、政府和軍事數據
政府和軍事實體面臨著不斷的網絡攻擊風險，攻擊者尋求機密信息、防御策略和敏感的外交通信。對國家安全的潛在影響使這些目標對有其它國家支持的黑客而言會特別誘人。
勒索軟件攻擊已成為顯著問題，網絡犯罪分子會加密受害者的數據，并索要贖金以釋放數據。這會對個人、企業乃至關鍵基礎設施造成影響，進而造成運營的中斷和經濟損失。
5、生物識別和物聯網數據
隨技術進步，如生物識別和物聯網（IoT）數據等新類型的數據成為攻擊者的新目標。

總體而言，網絡安全領域是動態的，攻擊者不斷調整策略，利用新漏洞竊取有價值的數據。組織和個人需保持警惕，采取強有力的網絡安全措施，防范這些不斷演變的威脅。

三、抵御網絡威脅的最佳方法
為抵御網絡威脅，保護組織免受不斷演變的網絡攻擊，實施強大網絡安全措施至關重要。有效的保護將涉及技術解決方案、員工培訓和主動風險管理三個方面的結合。
1. 最先進的防護技術
首先，組織需投資最新的網絡安全技術，包括但不限于防火墻、殺毒軟件和入侵檢測系統等網絡安全組件。定期更新和修補軟件的補丁對防御潛在的攻擊行為而言至關重要。為敏感數據進行加密還提供了額外的保護層。
2. 員工培訓
其次，全面的員工培訓計劃至關重要。人為錯誤是網絡安全漏洞的重要因素，常常由網絡釣魚或誤下載惡意內容引發。培訓員工對釣魚嘗試進行識別、維護強密碼以及識別社交工程技巧，可顯著降低網絡攻擊風險。
3. 主動風險管理
最后，組織需采取主動的風險管理辦法。進行定期的網絡安全評估、漏洞測試，并制定事件響應計劃是這方面的關鍵。準備檢測、應對并恢復網絡風險事件與對其采取預防是同等重要的。

四、事件響應的最佳實踐
有效應對網絡攻擊，最小化損害、保護敏感信息和快速恢復運營至關重要。幾個最佳實踐確保組織能夠妥善應對和從網絡威脅中恢復。
1、詳細記錄的事件響應計劃
首先，擁有詳細記錄的事件響應計劃至關重要。這個計劃應該概述角色和職責、溝通協議以及識別、控制、根除、恢復和從事件中學習的應對SOP。
2、定期培訓
定期培訓和演練，包括模擬不同類型網絡攻擊，評估組織準備情況，對確保事件響應團隊熟悉程序并能夠在壓力下迅速響應而言十分重要。
3、關鍵資產清單
此外，維護關鍵資產的詳盡清單，了解組織網絡架構，有助于快速識別和控制事件。使用先進威脅檢測工具，監控異常并實施實時警報，增強及時檢測和應對威脅的能力。
4、與執法機構和同行合作
與外部機構，如執法機關和行業同行合作，可在事件響應期間提供寶貴的見解和支持。事后分析和記錄有助于持續改進事件響應計劃，解決漏洞，增強整體網絡安全等級。在不斷演變的威脅環境中，這些最佳實踐使組織能夠有效應對并減輕網絡攻擊的影響。

五、評估事件響應團隊的標準
以下這幾個標準，可以作為評估事件響應人員和團隊的重要參考指標：
1.是否有應對各類網絡事件的經驗，如勒索軟件攻擊、數據泄露和網絡釣魚嘗試？以及幫助第三方應對的經驗如何？
2.是否有進行事件響應演練的經驗，如桌面演習或紅隊評估？
3.能否評估并理解SIEM數據？
4.是否有與外部合作伙伴，如執法部門或網絡保險公司合作的經驗？
5.是否能采取合法可接受的取證方法，并對可能受損的設備和/或防火墻日志進行復雜數字取證調查？
6.是否有與媒體、保險、法律和其他合作伙伴合作的經驗？這些合作伙伴是否已簽約并在發生數據泄露時可用？

審核編輯 黃宇