常见威胁类型
学习目标:识别 SOC 日常工作中最常遇到的威胁类型及其特征。
恶意软件(Malware)
勒索软件(Ransomware)
加密受害者文件并索要赎金。
- 特征:大量文件被加密、出现勒索信、文件扩展名被修改
- 典型家族:LockBit, BlackCat/ALPHV, Royal
- SOC 关注点:异常的文件系统活动、加密行为、可疑进程
木马(Trojan)
伪装成正常程序的恶意软件。
- 特征:合法程序名但异常行为、异常网络连接
- 常见类型:远控木马(RAT)、银行木马、下载器
蠕虫(Worm)
能自我复制和传播的恶意软件。
- 特征:网络流量异常增大、多台主机同时感染
- 传播方式:漏洞利用、网络共享、可移动存储
社会工程(Social Engineering)
钓鱼攻击(Phishing)
通过伪造邮件/网站诱骗用户泄露信息或执行恶意操作。
| 类型 | 说明 |
|---|---|
| 邮件钓鱼 | 大规模发送伪造邮件 |
| 鱼叉钓鱼(Spear Phishing) | 针对特定个人的定向钓鱼 |
| 鲸钓(Whaling) | 针对高管的钓鱼 |
| 商业邮件欺诈(BEC) | 冒充高管或供应商诱导转账 |
识别钓鱼邮件的要点
- 发件人地址与显示名不匹配
- 紧迫性语言("立即"、"紧急"、"账号将被冻结")
- 链接指向与声称不一致的域名
- 附件类型可疑(.exe、含宏的 Office 文件)
网络攻击
DDoS 攻击
通过大量流量使目标服务不可用。
- SOC 信号:带宽突增、服务响应变慢、大量来自同一区域的请求
中间人攻击(Man-in-the-Middle)
攻击者截获并可能篡改通信双方的数据。
- SOC 信号:证书告警、ARP 异常、DNS 异常
暴力破解(Brute Force)
反复尝试用户名密码组合以获取访问权限。
- SOC 信号:短时间内大量登录失败、来自异常 IP 的认证请求
内部威胁(Insider Threat)
来自组织内部人员的恶意或疏忽行为。
- 恶意内部人员:故意窃取数据、破坏系统
- 疏忽内部人员:误操作、违反安全策略
- SOC 信号:异常数据访问模式、非工作时间活动、大量数据下载
高级持续性威胁(APT)
国家级或组织化的攻击团体,具有高度的持久性和隐蔽性。
- 特点:长期潜伏、定向攻击、使用零日漏洞和定制工具
- SOC 挑战:传统签名检测难以发现,需要行为分析和威胁狩猎