网络攻击

网络攻击的定义因其入侵类型而异。例如，某些攻击旨在使系统产生异常响应，而另一些攻击则旨在造成物理损害或财产损失。一些定义将非国家行为者发起的攻击排除在外，而另一些定义则要求攻击目标为国家实体。

确保系统安全依赖于维护信息安全的三要素（CIA 三元组）：

• 机密性： 防止未经授权的信息访问。
• 完整性： 防止未经授权的信息修改。
• 可用性： 保证有被授权的信息和资源访问能够及时、可靠。

虽然可用性对于某些基于 Web 的服务来说可能并非至关重要，但它可能是工业控制系统等关键基础设施安全中最严重的问题。

IETF

• IETF定義攻擊于 RFC 2828

2017 年上半年，20 亿条数据记录被网络攻击窃取或影响，勒索软件赎金支付达到 20 亿美元，是 2016 年的两倍。 2020 年，随着 COVID-19 全球大流行导致远程办公的增加，网络安全统计数据显示，被黑客入侵和数据泄露事件大幅增加。 预计到 2022 年，全球信息安全市场将达到 1704 亿美元。

随着计算机系统在日常生活和人际交往中发挥越来越重要的作用，其复杂性和互联性也日益提高。 虽然这带来了效率、功能和便利性的提升，但也使得系统更容易受到攻击，并加剧了潜在攻击带来的后果。尽管开发人员致力于交付完全符合预期的产品，但实际上所有软件和硬件都不可避免地存在程序错误。当程序错误可能被恶意利用，危及系统安全时，就被称为安全漏洞。

软件供应商通常会发布补丁程序来修复已知的漏洞。 然而，尚未发现的漏洞（称为零日漏洞）以及尚未修补的漏洞仍然可能被攻击者利用。值得注意的是，如果攻击者利用漏洞发起攻击，软件供应商在法律上不对由此造成的损失承担责任。 这种免责条款可能会导致一些开发者倾向于开发成本更低但安全性较差的软件。

漏洞的可利用性取决于恶意攻击者的能力。 最具价值的漏洞允许攻击者在用户不知情的情况下注入并运行恶意代码（称为恶意软件）。然而，如果没有可利用的漏洞，攻击者将无法获得对系统的访问权限。

系统的架构和设计决策对其安全性起着至关重要的作用。 传统的安全增强方法是检测易受攻击的系统并对这些系统进行加固以增加攻击难度，但这只是部分有效的。 对于高度复杂和互联的系统，进行正式的风险评估以确定其被攻破的可能性是不切实际的， 并且也很难确定在安全方面应该投入多少资金。 由于网络威胁的不断变化和不确定性，风险评估可能会产生成本高昂或无法承受的缓解方案。 截至2019年 (2019-Missing required parameter 1=month!)^[update]，尚无商用的、广泛使用的主动防御系统，无法通过有意增加系统的复杂性或可变性来提高防御能力，从而增加攻击难度。 另一方面，网络弹性方法假设攻击不可避免，并侧重于即使部分系统遭到破坏也能保护基本功能，例如采用微隔离（英语：Microsegment）、零信任和业务连续性规划等方法。

确保所有软件都已完全修补可以防止大多数攻击。然而，即使是完全修补的系统仍然容易受到利用零日漏洞的攻击。 攻击风险最高的时刻是在漏洞被公开披露或发布补丁之后，因为攻击者创建漏洞利用的速度比开发和部署补丁的速度更快。

软件解决方案旨在防止未经授权的访问并检测恶意软件的入侵。 对用户进行培训可以避免网络攻击（例如，不要点击可疑链接或电子邮件附件），尤其是那些依赖于用户错误的攻击。 但是，过多的规则会导致员工忽视它们，从而抵消任何安全改进。 还可以使用规则和程序来防止某些内部攻击。 技术解决方案可以防止许多导致数据易受攻击者攻击的人为错误，例如加密所有敏感数据、防止员工使用不安全的密码、安装防病毒软件以防止恶意软件，以及实施强大的补丁系统以确保所有设备都保持最新状态。

关于不同网络攻击预防措施的有效性和成本效益，几乎没有证据。 尽管关注安全可以降低攻击风险，但要为复杂系统实现完美的安全性是不可能的，而且许多安全措施在成本或可用性方面都存在不可接受的缺点。 例如，降低系统的复杂性和功能性可以有效地减少攻击面。物理隔离网闸是一种真正有效的防御攻击措施，但这在现实中很少可行。 在某些司法管辖区，法律要求对攻击进行防护。

网络攻击链（Cyber kill chain）是攻击者实施网络攻击的过程。

1. 侦察：潜在攻击者搜索有关目标系统的信息，以便对其进行攻击。他们可能会寻找公开来源情报或进行社会工程学攻击以获取有关目标系统的信息。
2. 武器化：在发现漏洞后，攻击者构建漏洞利用程序以获取访问权限，并构建恶意软件以实施攻击。
3. 投递：恶意软件构建完成后，会被投递到目标系统。 大多数数据泄露和恶意软件植入都是通过网络钓鱼实现的，攻击者发送恶意通信（通常是电子邮件），试图诱骗收件人点击链接或附件以传递恶意软件。路过式下载不需要任何点击，只需访问恶意网站即可。 有时，攻击的幕后黑手是内部人员，他们可以利用自己的凭据绕过安全措施。 一些攻击是通过与目标有业务关系的关联公司间接进行的。其他攻击可能通过直接访问硬件来实现，特别是在贿赂或勒索的情况下。
4. 利用：攻击者的软件在目标系统上执行，并经常创建后门以允许攻击者进行远程控制。
5. 许多攻击者不会立即发动攻击。 攻击者通常会在系统中断（例如崩溃或重启）后寻求持久化，逃避检测，并提升权限， 并确保与其控制器之间的多个通信通道畅通。 其他常见操作包括响应远程控制以及收集数据并将其复制到攻击者控制的设备（数据外泄）。

安装恶意软件后，其行为会因攻击者的目标而异。 许多攻击者试图在不影响系统的情况下窃听系统。尽管这类恶意软件可能会产生意外的副作用，但通常很难被检测到。僵尸网络是由受感染设备组成的网络，可用于发送垃圾邮件或实施拒绝服务攻击——向系统发送过多的请求，使其无法一次性处理，导致系统无法使用。 攻击者还可能使用计算机挖掘加密货币（例如比特币）以牟取私利。勒索软件是被用于加密或销毁数据的软件，攻击者要求支付赎金以恢复目标系统。加密货币的出现使匿名交易成为可能，这导致勒索软件的需求急剧增加。

人们对黑客的刻板印象是独自工作的个人。然而，许多网络威胁实际上是由资源丰富的专家团队发起的。 “网络犯罪收益的增长导致攻击事件越来越多，攻击手段也越来越专业化，攻击者也更加专业。此外，与其他形式的犯罪不同，网络犯罪可以在远程进行，而且网络攻击通常很容易扩大规模。” 许多网络攻击是由内部人员发起或促成的，这些内部人员通常是员工，他们为了更有效地完成工作而绕过安全程序。 攻击者的技能和复杂程度差异很大，他们攻击特定目标的决心也各不相同，有些攻击者只是机会主义地选择容易攻击的目标。 攻击者的技能水平决定了他们准备发动哪种类型的攻击。最高级的攻击者可以在一个加固的系统中潜伏很长一段时间而不被发现。

攻击者的动机和目标也各不相同。根据预期的威胁是被动间谍活动、数据操纵还是主动劫持，可能需要采取不同的缓解方法。

软件供应商和政府主要对未公开的漏洞（零日漏洞）感兴趣， 而有组织的犯罪集团则更感兴趣于基于已知漏洞的现成漏洞利用工具包， 因为后者便宜得多。 市场缺乏透明度会导致一些问题，例如买家无法保证零日漏洞没有被出售给另一方。 买卖双方都在暗网上发布广告，并使用加密货币进行无法追踪的交易。 由于编写和维护能够攻击各种系统的软件非常困难，犯罪分子发现，将漏洞出租比直接使用它们更有利可图。

网络犯罪即服务（英语：Cybercrime as a service），即黑客出售预先打包好的软件，这些软件可以用来发动网络攻击，这种模式正变得越来越流行，因为它比传统的网络攻击风险更低，利润更高。 这种模式的主要形式是创建一个由受感染设备组成的僵尸网络，然后将其出租或出售给其他网络犯罪分子。不同的僵尸网络配备了不同的任务，例如DDOS攻击或密码破解。 也可以购买用于创建僵尸网络的软件，以及将购买者的恶意软件加载到僵尸网络设备上的网络机器人。 使用由卖方控制的僵尸网络进行的DDOS攻击即服务也很常见，这可能是最早出现的“网络犯罪即服务”产品，也可以通过在蜂窝网络上进行短信轰炸来实施。“恶意软件即服务”和“勒索软件即服务”的出现使得没有技术能力的个人也能发动网络攻击。

网络攻击的目标范围从个人到企业和政府实体。 许多网络攻击都被挫败或未遂，但成功的攻击可能会造成灾难性的后果。 了解网络攻击的负面影响有助于组织确保其预防策略具有成本效益。 一篇论文将网络攻击造成的危害分为以下几个领域：

• 物理损害，包括人身伤害或死亡，或财产损失
• 数字损害，例如数据破坏或恶意软件植入
• 经济损失，例如运营中断造成的损失、调查成本或监管罚款
• 心理伤害，例如用户因数据泄露而感到不安
• 声誉损害，攻击造成的声誉损失
• 对整个社会的负面溢出效应，例如消费者因攻击而无法获得重要服务

每天都有成千上万条数据记录从个人手中被盗。 根据2020年的一项估计，55%的数据泄露是由有组织犯罪造成的，10%是由系统管理员造成的，10%是由终端用户（如客户或员工）造成的，10%是由国家或与国家有关联的行动者造成的。 机会主义犯罪分子可能会造成数据泄露，他们通常使用恶意软件或社会工程学攻击，但如果安全措施高于平均水平，他们通常会转移目标。更有组织的犯罪分子拥有更多资源，并且更加专注于特定目标数据（英语：Targeted threat）。 他们都出售自己获取的信息以获取经济利益。 数据泄露的另一个来源是出于政治动机的黑客，例如匿名者，他们针对特定的目标。 国家支持的黑客的目标是其本国公民或外国实体，目的是政治迫害和间谍活动。

数据泄露后，犯罪分子会通过出售数据来赚钱，例如用户名、密码、社交媒体或客户忠诚度账户信息、借记卡和信用卡号码， 以及个人健康信息（参见医疗数据泄露（英语：Medical data breach））。 这些信息可用于各种目的，例如垃圾邮件、使用受害者的忠诚度或支付信息获取产品、药物欺诈（英语：Drug fraud）、保险欺诈， 尤其是身份盗窃。 消费者因数据泄露造成的损失通常是企业的负面外部性。

关键基础设施是指被认为最重要的基础设施，例如医疗保健、供水、交通和金融服务，这些基础设施越来越多地由信息物理系统管理，而这些系统的功能依赖于网络访问。 多年来，作家们一直在警告网络攻击可能带来的灾难性后果，但截至2023年 (2023-Missing required parameter 1=month!)^[update]这些后果并未成为现实。 这些极端情况仍然可能发生，但许多专家认为，造成物理损害或传播恐怖的挑战不太可能被克服。 小规模的网络攻击经常发生，有时会导致基本服务中断。

除法律、技术和公共关系恢复工作等方面的直接成本外，几乎没有经验证据表明数据泄露会造成经济损害（如声誉损害）。 一些试图将网络攻击与股价短期下跌联系起来的研究得出了相互矛盾的结果，一些研究发现损失不大，另一些研究发现没有影响，还有一些研究人员从方法论的角度批评了这些研究。对股价的影响可能因攻击类型而异。 一些专家认为，证据表明，数据泄露造成的直接成本或声誉损害不足以充分激励企业进行预防。

政府网站和服务是受网络攻击影响的对象之一。 一些专家假设，网络攻击会削弱社会信任或对政府的信任，但截至2023年 (2023-Missing required parameter 1=month!)^[update]这种说法只有有限的证据支持。

对攻击做出快速反应是限制损害的有效方法。 响应可能需要各种各样的技能，从技术调查到法律和公共关系。由于网络攻击的普遍性，一些公司会在检测到任何攻击之前就计划好事件响应，并可能指定一个 计算机应急响应小组 来处理事件。

许多攻击从未被发现。在被发现的攻击中，平均发现时间为197天。 一些系统可以使用反病毒、防火墙或入侵检测系统等技术检测并标记可能表明攻击的异常情况。一旦怀疑有可疑活动，调查人员就会寻找攻击指标（英语：Indicators of attack）和入侵指标。 如果攻击目标是信息可用性（例如拒绝服务攻击），而不是完整性（修改数据）或机密性（在不更改数据的情况下复制数据），则发现速度更快，可能性更大。 国家行为者更有可能对攻击保密。使用有价值漏洞的复杂攻击不太可能被发现或公布，因为攻击者希望保护漏洞的利用价值。

证据收集工作会立即进行，优先考虑可能会被快速擦除的 易失性 证据。 收集有关违规行为的数据可以为以后的诉讼或刑事起诉提供便利， 但前提是收集数据的方式符合法律标准并维护了证据链（英语：Chain of custody）。

在攻击发生后，隔离受影响的系统通常是重中之重，可以通过关闭、隔离、使用沙盒系统了解更多有关攻击者的信息、修补漏洞和重建来实现。一旦确定了系统被入侵的确切方式，通常只需要解决一两个技术漏洞即可控制违规行为并防止其再次发生。然后，渗透测试可以验证修复程序是否按预期工作。 如果涉及恶意软件，组织必须调查并关闭所有渗透和渗出途径，以及从其系统中找到并删除所有恶意软件。隔离可能会损害调查，而某些策略（例如关闭服务器）可能会违反公司的合同义务。在完全控制违规行为后，公司便可以着手将所有系统恢复到运行状态。维护备份并测试事件响应程序可用于改进恢复。

对网络攻击进行归因很困难，而且对成为网络攻击目标的公司来说，兴趣不大。相比之下，情报机构通常对查明攻击背后是否有国家支持有着强烈的兴趣。 与亲自发起的攻击不同，确定网络攻击背后的实体很困难。 网络攻击归因的另一个挑战是伪旗行动的可能性，即真正的攻击者使其看起来像是其他人发起了攻击。 攻击的每个阶段都可能会留下证据，例如日志文件中的条目，这些证据可用于帮助确定攻击者的目标和身份。 在攻击发生后，调查人员通常首先会保存他们能找到的所有证据， 然后尝试确定攻击者。 执法机构可能会调查网络事件， 尽管很少能抓住自负的黑客。

多数国家都认同，网络攻击受制于规范国际法中武力的使用（英语：Use of force in international law）的法律， 因此网络攻击作为一种战争形式很可能违反了禁止侵略原则。 因此，网络攻击可以作为侵略罪被起诉。 各国也一致认为网络攻击受国际人道主义法的约束， 如果网络攻击的目标是民用基础设施，则可能构成战争罪、危害人类罪或种族灭绝罪。 如果没有确凿的证据将攻击归咎于特定国家，国际法院就无法执行这些法律，而国家采取的反制措施也同样不合法。

在许多国家，网络攻击可根据各种旨在打击网络犯罪的法律予以起诉。 在刑事诉讼中，将攻击行为排除合理怀疑地归因于被告也是一项重大挑战。 2021年，联合国会员国开始谈判一项网络犯罪条约草案。

许多司法管辖区都制定了数据泄露通知法（英语：Data breach notification laws），要求组织在发生网络攻击时通知个人数据遭到泄露的人员。

台灣

• 刑法，第36章 妨害電腦使用罪

美國

• CNSS Instruction No. 4009

中国大陆

• 破坏计算机信息系统罪

• Asbaş, C.; Tuzlukaya, Ş. Cyberattack and Cyberwarfare Strategies for Businesses. Conflict Management in Digital Business: New Strategy and Approach. Emerald Group Publishing. 2022: 303–328 [2024-07-20]. ISBN 978-1-80262-773-2. doi:10.1108/978-1-80262-773-220221027. （原始内容存档于2024-09-10） （英语）. 
• Daswani, Neil; Elbayadi, Moudy. Big Breaches: Cybersecurity Lessons for Everyone. Apress. 2021. ISBN 978-1-4842-6654-0. 
• Li, Yuchong; Liu, Qinghui. A comprehensive review study of cyber-attacks and cyber security; Emerging trends and recent developments. Energy Reports. 2021, 7: 8176–8186. Bibcode:2021EnRep...7.8176L. doi:10.1016/j.egyr.2021.08.126 . 
• Libicki, Martin C.; Ablon, Lillian; Webb, Tim. The Defender's Dilemma: Charting a Course Toward Cybersecurity (PDF). Rand Corporation. 2015 [2024-07-20]. ISBN 978-0-8330-8911-3. （原始内容存档 (PDF)于2024-10-08） （英语）. 
• Linkov, Igor; Kott, Alexander. Fundamental Concepts of Cyber Resilience: Introduction and Overview. Cyber Resilience of Systems and Networks. Springer International Publishing. 2019: 1–25. ISBN 978-3-319-77492-3 （英语）. 
• Tjoa, Simon; Gafić, Melisa; Kieseberg, Peter. Cyber Resilience Fundamentals. Springer Nature. 2024. ISBN 978-3-031-52064-8 （英语）. 

• 黑客、網絡戰
• 高级长期威胁
• 间谍软件、軟件後門
• 计算机病毒、電腦蠕蟲、殭屍網絡
• ATT&CK
• 漏洞、漏洞管理