博客
什么是漏洞利用?
摘要形状摘要形状

漏洞利用是一种软件,数据或命令序列,它利用a  漏洞  引起意外行为或获得未经授权的访问 敏感数据.

识别出漏洞后,它们将发布 常见的漏洞和暴露(CVE).

CVE. 是一个免费的漏洞词典,旨在改善全球 网络安全网络弹性 通过为给定漏洞或曝光创建标准化标识符。

利用如何工作?

利用在操作系统中利用安全漏洞,软件,计算机系统,物联网(IOT)设备或其他安全漏洞。 

一旦使用了漏洞,它通常会被漏洞系统或软件的软件开发人员所知,并且通常通过修补程序修复并变得无法使用。

这就是为什么许多网络犯罪分子,以及军事或政府机构没有发布漏洞  CVE.  但选择保持他们私密。 

当发生这种情况时,漏洞被称为a 零天漏洞或零日漏洞利用

政府机构(NSA)的一个着名例子选择保留软件漏洞的私人是EeternalBlue。

ETERERBLUE利用Microsoft Windows操作系统的遗留版本,该系统使用过时的服务器消息块(SMB)协议。 

网络犯罪分子开发了这一点 想哭   勒索制造器 它被剥削的EternalBlue,它蔓延到截至150个国家的估计200,000多台电脑,损失在埃塞勒布鲁斯修补之前数十亿美元到数十亿美元。

尽管软件开发人员发出修补程序来修复ETERERBLUE,但这种已知的漏洞仍然是一个大的 网络安全风险 由于用户采用了差的补丁。 

什么是不同类型的利用?

漏洞可以分为五大类:

  1. 硬件:  糟糕的加密,缺乏 配置管理 或固件漏洞。 
  2. 软件:  内存安全违规(缓冲区溢出,过度读取,悬垂指针),输入验证错误(代码注入, 跨站点脚本(XSS),目录遍历,电子邮件注入,格式串攻击,HTTP标头注射,HTTP响应分裂, SQL注入 ),特权混淆错误( ClickJacking. ,跨站点请求伪造,FTP反弹攻击),竞争条件(Symlink比赛,使用时间使用时间错误),侧信机攻击,定时攻击和用户界面故障(批责受害者,种族条件,警告疲劳)。
  3. 网络:  未加密的通信线路, 中间人攻击域名劫持typosquatting. , 较差的  网络安全,缺少身份验证或默认密码。  
  4. 人员:  令人难以招募的政策和过程,缺乏安全意识培训,坚持不懈 信息安全政策,密码管理差或落下 社会工程学 attacks like  网络钓鱼 矛网络钓鱼,前进,蜂蜜诱捕,冒险,水壶或 捕鲸 .  
  5. 物理网站: 差的物理安全,尾随和缺乏钥匙卡 访问控制

在每个类别中,我们可以将漏洞拆分为两组:已知的漏洞和零日利用:

  • 已知的漏洞: 利用安全研究人员了解并已记录。利用这个目标已知 漏洞 通常已经修补,但由于修补缓慢,仍然是一种可行的威胁。 
  • 零天漏洞: 尚未向公众报告或上市的漏洞  CVE. 。这意味着网络犯罪分子在开发人员能够发出补丁之前已经发现了漏洞利用,在某些情况下开发商 甚至可能甚至不知道漏洞

漏斗发生如何发生?

发生了几种方法:

  • 远程漏洞利用: 在网络上运行,并在不需要访问易受攻击的系统的情况下利用漏洞。
  • 本地利用: 需要先前访问易受攻击的系统,并增加安全管理员授予的攻击者的特权。 
  • 客户漏洞利用: 对客户端应用程序的漏洞利用存在,通常由修改服务器组成,该服务器在使用客户端应用程序访问时发送漏洞。它们还可能需要从用户的互动并依赖于 社会工程学 techniques like  网络钓鱼  or 矛网络钓鱼 to spread or adware. 

一般来说,爆炸旨在损坏 机密性,完整性或可用性(CIA Triad) 软件或系统。

通过瞄准多个来源的多种网络犯罪分子 攻击向量,首先获得有限的访问,然后使用一秒钟  漏洞  升级权限,直到获得root访问权限。

那'为什么为什么那些被保护的人 信息安全网络安全 and 数据安全 must employ 防守深入.

例如,攻击者可以通过安装损坏计算机的机密性  恶意软件  在计算机上,通过将恶意代码注入Web浏览器或通过执行由特洛伊木马的僵尸网络供电的分布式拒绝服务(DDOS)攻击来注入Web浏览器的完整性。 

什么是漏斗套装?

Exploit套件是一个程序,攻击者可以用于在常用软件中启动攻击漏洞,例如Adobe Flash,Java和Microsoft Silverlight等常用软件。 

典型的exproit套件提供管理控制台,漏洞针对不同的应用程序和多个插件,使其更容易启动a  网络攻击 .

由于其自动化自然,漏洞套件是一种流行的蔓延方法 恶意软件的类型 并产生利润。漏洞套件的创造者可以提供他们的利用套件作为服务或作为一次性购买。

如何减轻利用的风险?

您的组织可以通过在释放后立即安装所有软件补丁来减轻漏洞利用的风险,提供网络安全意识和网络安全  opsec.  像防病毒一样培训和投资安全软件, 自动泄露的凭证发现和数据曝光检测.

它还支付了解云安全,如 S3安全性被设计缺陷.

另一个,经常被忽视  攻击矢量  这代表着重要意义 网络安全风险 are 第三方供应商

你的供应商加工 敏感数据 (e.g. 受保护的健康信息(PHI)个人身份信息(PII) or 生物识别数据)可以是目标 企业间谍活动 or  网络攻击  if they have worse 网络安全 比你的组织。 

供应商风险管理 是一个越来越重要的部分 信息风险管理,投资于发展强劲 第三方风险管理框架供应商管理政策 and 网络安全风险评估 process.

询问当前和潜在的供应商 SOC 2 保证报告并避免捐赠者'T符合您的安全标准。 

第三方风险 and 第四方风险 是很多人的核心 数据违规 and  数据泄漏 。 与之  数据泄露的成本 涉及第三方的平均达到429万美元,支付 防止数据违规

如果您的安全团队很小,请考虑 自动化供应商风险管理.

简而言之,专注于防止利用而不是清理它们。即使你认识到你被攻击,  IP归属 and 数字取证 won'T始终能够为您提供答案。

什么是漏洞利用的例子?

2016年,雅虎宣布泄露了超过10亿用户账户,使其成为其中之一 最大的数据违规行为 曾经。攻击者能够获得访问,因为雅虎正在使用称为MD5的弱和过时的散列算法。 

另一个着名的例子是  想哭   勒索制造器  Cryptowomom被剥削了EternalBlue  漏洞 。 Eternalblue被盗了  泄露  在攻击前几个月被称为影子经纪人。 

虽然Eeternalblue很快修补了,但很多卫生'S成功是由于没有修补或使用旧的Windows系统的组织。

upguard如何保护您的组织免受利用

在Upguard,我们可以 保护您的业务免受数据泄露的影响 并帮助您不断监控 所有供应商的安全姿势.

大学教师'等待网络攻击让您的业务瘫痪, 点击这里 现在是免费的upguard试用!

自由

白色upguard徽标
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
 提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  •  检查图标
    即时洞察力您可以立即采取行动
  •  检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 03:09:31

最近发表