您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
簡析網(wǎng)絡(luò)安全中的足跡識別與防護
足跡識別(footprinting),又稱為“網(wǎng)絡(luò)踩點”,是網(wǎng)絡(luò)安全運營人員、滲透測試人員甚至攻擊者都會經(jīng)常采用的一種方法,主要用于收集有關(guān)目標企業(yè)的網(wǎng)絡(luò)活動信息,以識別潛在的安全漏洞。
在實際安全運營工作中,足跡識別往往作為收集組織威脅態(tài)勢情報的第一步,通過掃描開放端口、繪制網(wǎng)絡(luò)拓撲圖以及收集有關(guān)主機、操作系統(tǒng)、IP地址和用戶賬戶等信息,可以深入了解組織的目標系統(tǒng)。使用足跡識別,網(wǎng)絡(luò)安全研究人員可以定位現(xiàn)有漏洞并評估組織的安全狀況,而攻擊者則會根據(jù)新發(fā)現(xiàn)的漏洞制定相關(guān)攻擊活動計劃。
足跡識別的類型
根據(jù)不同的方法和技術(shù)組合以及與目標系統(tǒng)的交互程度,可以對網(wǎng)絡(luò)安全足跡識別進行以下分類:
● 被動足跡識別:這種方法使用搜索引擎和社交網(wǎng)站收集信息,而不與目標系統(tǒng)直接交互。這種方法在技術(shù)上具有挑戰(zhàn)性,因為它不涉及活躍的網(wǎng)絡(luò)流量,而是從存儲和歸檔的數(shù)據(jù)源收集數(shù)據(jù)。
● 主動足跡識別:這種方法涉及直接與目標系統(tǒng)進行交互,通過使用各種技術(shù)和工具來主動探測和獲取信息。例如,通過端口掃描、網(wǎng)絡(luò)映射、操作系統(tǒng)識別、漏洞掃描等手段,主動足跡識別可以獲得更詳細和準確的目標組織信息。
足跡識別的方法
網(wǎng)絡(luò)安全專業(yè)人員可以采用以下足跡識別方法,收集目標組織的詳細足跡信息:
● 搜索引擎——使用主流搜索引擎中的高級搜索運算符以及視頻、FTP和物聯(lián)網(wǎng)搜索引擎,收集關(guān)于企業(yè)組織的公開可用信息,防止社會工程攻擊。還可以使用高級的搜索黑客技術(shù),并參考Google等黑客數(shù)據(jù)庫(GHDB)來探測敏感信息和潛在的服務(wù)器漏洞。
● Web服務(wù)——可以利用許多在線平臺進行足跡識別,例如人員搜索引擎、金融服務(wù)、商業(yè)概述網(wǎng)站、職位網(wǎng)站和公開源代碼存儲庫。這些平臺提供了豐富的數(shù)據(jù),可以用于分析用戶行為、推薦個性化內(nèi)容和服務(wù),并為企業(yè)和組織提供更精確的目標定位和廣告投放。
● 社交網(wǎng)站——可以通過員工在社交網(wǎng)站上公開發(fā)布的信息收集到有價值的個人和組織信息。這些信息可以用于社交工程、市場調(diào)研、競爭情報等方面,能夠整合和分析社交媒體數(shù)據(jù),揭示用戶的興趣、偏好、社交關(guān)系等,從而提供更準確的用戶畫像和目標定向。很多企業(yè)和組織也會通過這種方式來更好地了解其目標受眾,并制定針對性的營銷和策略。
● 網(wǎng)站收集——該技術(shù)監(jiān)視和分析目標網(wǎng)站的信息,包括IP地址、域所有者、域名、子目錄、參數(shù)、站點主機、腳本平臺和操作系統(tǒng)詳細信息。這類技術(shù)使用多種工具,比如網(wǎng)站爬蟲、網(wǎng)站鏡像、監(jiān)視工具和網(wǎng)絡(luò)數(shù)據(jù)提取工具。通過對目標網(wǎng)站的信息進行監(jiān)控和分析,能夠獲取有關(guān)網(wǎng)站結(jié)構(gòu)、技術(shù)架構(gòu)和運行環(huán)境的詳細了解。
● 電子郵件——使用電子郵件跟蹤工具和分析電子郵件頭部,可以獲取發(fā)件人和收件人的IP地址、地理位置、路由路徑、代理、鏈接、操作系統(tǒng)和瀏覽器信息。這類足跡識別技術(shù)可以幫助企業(yè)識別可疑的郵件來源,檢測釣魚郵件和惡意鏈接,并提供更準確的郵件過濾和安全防護。還可以幫助企業(yè)了解郵件的傳播路徑和接收者的行為習(xí)慣,從而改進郵件營銷策略、提高郵件交付率和用戶參與度。
● WHOIS—— WHOIS提供當前的域名和所有者詳細信息,提供諸如域名、所有者聯(lián)系信息、創(chuàng)建日期和公共網(wǎng)絡(luò)范圍之類的信息,可以為企業(yè)組織開展市場調(diào)研、品牌保護和網(wǎng)絡(luò)安全預(yù)防提供支持。
● 域名系統(tǒng)(DNS)——DNS記錄提供了所選擇網(wǎng)絡(luò)的區(qū)域數(shù)據(jù),比如IP地址、域的郵件服務(wù)器、CPU類型和操作系統(tǒng)等??梢酝ㄟ^DNS詢問和反向DNS查找方法獲取DNS信息。通過分析DNS信息,足跡識別技術(shù)可以提供更詳細的網(wǎng)絡(luò)拓撲圖、服務(wù)器配置信息和網(wǎng)絡(luò)架構(gòu)視圖,從而有助于網(wǎng)絡(luò)安全評估、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)調(diào)查等領(lǐng)域的工作。
● 網(wǎng)絡(luò)足跡識別——通過分析網(wǎng)絡(luò)IP范圍,有助于了解目標網(wǎng)絡(luò)的大小、分布和組織結(jié)構(gòu)。利用路由跟蹤數(shù)據(jù),可以追蹤數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸路徑,從而獲取目標網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。包括了解該網(wǎng)絡(luò)中的路由器、交換機和其他網(wǎng)絡(luò)設(shè)備的布局和連接方式。
● 社會工程——一些攻擊者也會通過竊聽、背后偷窺和冒充等社會工程伎倆獲得敏感數(shù)據(jù)。
實施足跡識別的步驟
通過了解目標組織的技術(shù)架構(gòu)和潛在安全風(fēng)險,可以采取相應(yīng)的措施,從而提高信息化系統(tǒng)的安全性。在足跡識別過程中一般會遵循四個關(guān)鍵步驟,以收集重要信息。
1. 目標識別。第一步是識別目標組織和其系統(tǒng),以便進行足跡識別。這可以通過掃描網(wǎng)絡(luò)以查找開放端口,或使用像Shodan和Censys這樣的物聯(lián)網(wǎng)搜索引擎來完成。在這個階段,主要目標是識別出目標系統(tǒng)的關(guān)鍵信息和網(wǎng)絡(luò)架構(gòu)。
2. 信息收集。在此階段,主要收集與目標組織相關(guān)的重要信息,包括獲取目標的IP地址、開放端口和服務(wù)、用戶名和密碼等敏感數(shù)據(jù)。企業(yè)可以利用各種技術(shù)和工具,如網(wǎng)絡(luò)掃描、漏洞掃描、社交工程等,來完成這些信息的收集工作。
3. 結(jié)果分析。在此階段主要是分析提取的數(shù)據(jù),以尋找潛在的漏洞和安全弱點,或者將結(jié)果與已知漏洞進行比對,以確定可能的攻擊路徑。
4. 模擬進攻規(guī)劃。足跡識別的最后一個階段,就是根據(jù)之前收集到的數(shù)據(jù),模擬定制一些可用的攻擊利用或選擇合適的攻擊向量,以侵入易受攻擊的系統(tǒng)。攻擊規(guī)劃可能包括制定攻擊策略、選擇合適的工具和技術(shù),并考慮如何最大限度地利用發(fā)現(xiàn)的漏洞。
防御足跡識別攻擊的建議
網(wǎng)絡(luò)安全是一個持續(xù)的過程,需要定期檢查和改進安全措施,以適應(yīng)不斷變化的威脅環(huán)境。為增強系統(tǒng)的安全性,企業(yè)可以參考以下防御建議,來減少足跡識別攻擊的風(fēng)險:
● 使用防火墻限制不必要的網(wǎng)絡(luò)流量,包括設(shè)置規(guī)則,以防止未經(jīng)授權(quán)的DNS流量,以及限制ICMP ping請求。
● 監(jiān)控安全事件和日志文件,以查找可疑流量、畸形的DNS查詢和所使用的高級搜索參數(shù)。
● 使用代理服務(wù)器阻止碎片化或畸形的數(shù)據(jù)包,這類數(shù)據(jù)包常用于足跡識別活動。
● 對IP地址空間進行TCP、UDP和ICMP掃描,以評估網(wǎng)絡(luò)漏洞,提前發(fā)現(xiàn)敞開的端口。
● 設(shè)置DNS記錄,確保日志信息是私密的。
● 確保只有獲得授權(quán)的用戶才能訪問系統(tǒng)上的重要端口和服務(wù)。
● 聘請信譽良好的滲透測試人員幫助識別安全缺口。
● 定期監(jiān)測和更新漏洞,以保護系統(tǒng)免受攻擊。
參考鏈接:https://www.tripwire.com/state-of-security/understanding-cybersecurity-footprinting-techniques-and-strategies
來源:安全牛