Entry № 1014
侦察
侦察 是什么?
侦察攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。
侦察是入侵前的情报收集阶段。在 MITRE ATT&CK 中,它被列为 TA0043 战术,涵盖扫描 IP 段、从 LinkedIn 收集员工姓名、开源情报(OSINT)收集、DNS 枚举以及在粘贴站点搜索泄露凭据等技术。它同时也是洛克希德·马丁公司网络杀伤链的第一阶段。侦察可以是被动的——只使用已经公开发布的数据;也可以是主动的,即攻击者直接探测目标并可能产生可被检测的遥测。防御者通过攻击面管理、欺骗(deception)、品牌监控、下线服务以及在网络日志中检测可疑扫描或枚举行为来降低侦察收益。
● 示例
- 01
抓取一家公司的 GitHub 组织,寻找硬编码凭据和内部主机名。
- 02
对互联网进行大规模扫描,寻找暴露的 RDP 服务器和预认证横幅。
● 常见问题
侦察 是什么?
攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。 它属于网络安全的 防御与运营 分类。
侦察 是什么意思?
攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。
如何防御 侦察?
针对 侦察 的防御通常结合技术控制与运营实践,详见上方完整定义。