网络安全防护与数据分析手册.docxVIP

网络安全防护与数据分析手册

第一章网络威胁态势与风险识别

1.1当前主流攻击手段解析

针对企业内网的高频“内部横向移动”攻击，如使用Mimikatz等工具提取NTLM哈希后，攻击者通过Mimikatz命令集在域控制器间批量窃取凭证，可瞬间将整台服务器从正常状态切换为攻击模式，这种“内部渗透”往往比外部入侵更难发现，因为源IP为内网段，且流量特征类似正常业务。针对关键基础设施的“零日漏洞”利用，攻击者利用操作系统或数据库中存在未修复的CVE漏洞，通过特制的混淆脚本绕过常规防火墙检测，利用漏洞管理员的疏忽在凌晨时段完成数据窃取，此类攻击在2023年Q4全球范围内导致数千万美元损失，是典型的“静默爆发”。

针对云环境的服务账号权限提升（RCE）攻击，攻击者通过漏洞利用脚本以管理员身份运行任意二进制文件，从而获得对云主机、数据库甚至外部网络的完全控制，这种攻击通常伴随异常的系统调用频率和大量临时文件，极易被常规日志误判为误操作。针对物联网设备的“僵尸网络”传播，攻击者通过钓鱼邮件诱导员工恶意软件，利用漏洞将设备批量感染并加入恶意控制组，僵尸网络成员数量呈指数级增长，单个感染设备可成为整个攻击链的跳板，用于进一步攻击其他受感染设备。针对零日漏洞的“勒索软件”加密，攻击者利用未公开的漏洞在夜间对敏感数据文件进行加密，并随机加密密钥，导致数据无法恢复