侦察
侦察 是什么?
侦察攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。
侦察是入侵前的情报收集阶段。在 MITRE ATT&CK 中,它被列为 TA0043 战术,涵盖扫描 IP 段、从 LinkedIn 收集员工姓名、开源情报(OSINT)收集、DNS 枚举以及在粘贴站点搜索泄露凭据等技术。它同时也是洛克希德·马丁公司网络杀伤链的第一阶段。侦察可以是被动的——只使用已经公开发布的数据;也可以是主动的,即攻击者直接探测目标并可能产生可被检测的遥测。防御者通过攻击面管理、欺骗(deception)、品牌监控、下线服务以及在网络日志中检测可疑扫描或枚举行为来降低侦察收益。
● 示例
- 01
抓取一家公司的 GitHub 组织,寻找硬编码凭据和内部主机名。
- 02
对互联网进行大规模扫描,寻找暴露的 RDP 服务器和预认证横幅。
● 常见问题
侦察 是什么?
攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。 它属于网络安全的 防御与运营 分类。
侦察 是什么意思?
攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。
侦察 是如何工作的?
侦察是入侵前的情报收集阶段。在 MITRE ATT&CK 中,它被列为 TA0043 战术,涵盖扫描 IP 段、从 LinkedIn 收集员工姓名、开源情报(OSINT)收集、DNS 枚举以及在粘贴站点搜索泄露凭据等技术。它同时也是洛克希德·马丁公司网络杀伤链的第一阶段。侦察可以是被动的——只使用已经公开发布的数据;也可以是主动的,即攻击者直接探测目标并可能产生可被检测的遥测。防御者通过攻击面管理、欺骗(deception)、品牌监控、下线服务以及在网络日志中检测可疑扫描或枚举行为来降低侦察收益。
如何防御 侦察?
针对 侦察 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 072
攻击面管理(ASM)
对所有可能让组织面临网络攻击风险的资产进行持续的发现、清点、分类和监控。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- defense-ops№ 535
初始访问
MITRE ATT&CK 战术 TA0001,涵盖攻击者首次在目标环境中建立立足点所使用的各种技术。
- defense-ops№ 325
发现(MITRE 战术)
MITRE ATT&CK 战术 TA0007,涵盖攻击者获得访问后用于了解受害环境的各种技术。