Ang mga network engineer, sa ibabaw, ay "mga teknikal na manggagawa" lamang na nagtatayo, nag-o-optimize, at nag-troubleshoot ng mga network, ngunit sa katotohanan, tayo ang "unang linya ng depensa" sa cybersecurity. Ang ulat ng CrowdStrike noong 2024 ay nagpakita na ang mga pandaigdigang cyberattack ay tumaas ng 30%, kung saan ang mga kumpanyang Tsino ay dumaranas ng pagkalugi nang higit sa 50 bilyong yuan dahil sa mga isyu sa cybersecurity. Walang pakialam ang mga kliyente kung isa kang operations o security specialist; kapag may nangyaring insidente sa network, ang engineer ang unang dapat sisihin. Hindi pa banggitin ang malawakang paggamit ng AI, 5G, at mga cloud network, na naging dahilan upang maging mas sopistikado ang mga paraan ng pag-atake ng mga hacker. Mayroong sikat na post sa Zhihu sa China: "Ang mga network engineer na hindi natututo ng seguridad ay pinuputol ang sarili nilang ruta ng pagtakas!" Ang pahayag na ito, bagaman malupit, ay totoo.
Sa artikulong ito, magbibigay ako ng detalyadong pagsusuri ng walong karaniwang pag-atake sa network, mula sa kanilang mga prinsipyo at case study hanggang sa mga diskarte sa pagtatanggol, na pinapanatili itong praktikal hangga't maaari. Baguhan ka man o batikang beterano na gustong isulong ang iyong mga kasanayan, ang kaalamang ito ay magbibigay sa iyo ng higit na kontrol sa iyong mga proyekto. Magsimula na tayo!
No.1 Pag-atake ng DDoS
Ang mga pag-atake ng Distributed Denial-of-Service (DDoS) ay nananaig sa mga target na server o network na may napakalaking halaga ng pekeng trapiko, na ginagawang hindi naa-access ang mga ito sa mga lehitimong user. Kasama sa mga karaniwang pamamaraan ang pagbaha ng SYN at pagbaha ng UDP. Noong 2024, ipinakita ng ulat ng Cloudflare na ang mga pag-atake ng DDoS ay umabot sa 40% ng lahat ng pag-atake sa network.
Noong 2022, isang e-commerce platform ang dumanas ng pag-atake ng DDoS bago ang Singles' Day, na may pinakamataas na trapiko na umabot sa 1Tbps, na nagdulot ng pag-crash ng website sa loob ng dalawang oras at nagresulta sa pagkalugi ng sampu-sampung milyong yuan. Isang kaibigan ko ang namamahala sa emergency response at halos mabaliw sa pressure.
Paano ito maiiwasan?
○Paglilinis ng Daloy:I-deploy ang mga serbisyo sa proteksyon ng CDN o DDoS (gaya ng Alibaba Cloud Shield) upang i-filter ang nakakahamak na trapiko.
○Bandwidth Redundancy:Magreserba ng 20%-30% ng bandwidth upang makayanan ang mga biglaang pagtaas ng trapiko.
○Alarm sa Pagsubaybay:Gumamit ng mga tool (tulad ng Zabbix) upang subaybayan ang trapiko sa real time at alerto sa anumang mga abnormalidad.
○Planong Pang-emergency: Makipagtulungan sa mga ISP upang mabilis na lumipat ng mga linya o harangan ang mga mapagkukunan ng pag-atake.
No.2 SQL Injection
Ang mga hacker ay nag-inject ng malisyosong SQL code sa mga field ng pag-input ng website o mga URL para magnakaw ng impormasyon sa database o makapinsala sa mga system. Noong 2023, isang ulat ng OWASP ang nagsabi na ang SQL injection ay nanatiling isa sa nangungunang tatlong pag-atake sa web.
Ang website ng small-to-medium-sized na enterprise ay nakompromiso ng isang hacker na nag-inject ng "1=1" na pahayag, na madaling nakuha ang password ng administrator, dahil nabigo ang website na i-filter ang input ng user. Sa kalaunan ay natuklasan na ang development team ay hindi nagpatupad ng input validation.
Paano ito maiiwasan?
○Naka-parameter na query:Ang mga developer ng backend ay dapat gumamit ng mga inihandang pahayag upang maiwasan ang direktang pagsasama-sama ng SQL.
○Departamento ng WAF:Maaaring harangan ng mga firewall ng web application (gaya ng ModSecurity) ang mga nakakahamak na kahilingan.
○Regular na Pag-audit:Gumamit ng mga tool (tulad ng SQLMap) upang mag-scan para sa mga kahinaan at i-back up ang database bago mag-patch.
○Access Control:Ang mga gumagamit ng database ay dapat na bigyan lamang ng pinakamababang mga pribilehiyo upang maiwasan ang kumpletong pagkawala ng kontrol.
No.3 Cross-site Scripting (XSS) Attack
Ang pag-atake ng cross-site scripting (XSS) ay nagnanakaw ng cookies ng user, session ID, at iba pang malisyosong script sa pamamagitan ng pag-inject sa mga ito sa mga web page. Ang mga ito ay ikinategorya sa mga naka-reflect, naka-imbak, at DOM-based na mga pag-atake. Noong 2024, ang XSS ay umabot sa 25% ng lahat ng pag-atake sa web.
Nabigo ang isang forum na i-filter ang mga komento ng user, na nagpapahintulot sa mga hacker na magpasok ng script code at magnakaw ng impormasyon sa pag-log in mula sa libu-libong user. Nakakita ako ng mga kaso kung saan ang mga kliyente ay nangikil sa halagang CNY500,000 yuan dahil dito.
Paano ito maiiwasan?
○Pag-filter ng input: Takasan ang input ng user (tulad ng HTML encoding).
○Diskarte sa CSP:Paganahin ang mga patakaran sa seguridad ng nilalaman upang paghigpitan ang mga source ng script.
○Proteksyon ng browser:Itakda ang mga header ng HTTP (gaya ng X-XSS-Protection) upang harangan ang mga nakakahamak na script.
○Tool Scan:Gamitin ang Burp Suite para regular na suriin ang mga kahinaan ng XSS.
No.4 Pag-crack ng Password
Nakukuha ng mga hacker ang mga password ng user o administrator sa pamamagitan ng mga brute-force na pag-atake, pag-atake sa diksyunaryo, o social engineering. Isang ulat ng Verizon noong 2023 ang nagpahiwatig na 80% ng mga cyber intrusions ay nauugnay sa mahihinang mga password.
Ang router ng isang kumpanya, gamit ang default na password na "admin," ay madaling na-log in ng isang hacker na nagtanim ng backdoor. Ang inhinyero na kasangkot ay kasunod na sinibak, at ang manager ay pinanagot din.
Paano ito maiiwasan?
○Mga Kumplikadong Password:Puwersahin ang 12 o higit pang character, magkahalong case, numero, at simbolo.
○Multi-factor Authentication:Paganahin ang MFA (gaya ng SMS verification code) sa mga kritikal na kagamitan.
○Pamamahala ng Password:Gumamit ng mga tool (tulad ng LastPass) upang pamahalaan sa gitna at regular na baguhin ang mga ito.
○Limitahan ang mga Pagsubok:Ang IP address ay naka-lock pagkatapos ng tatlong nabigong pagtatangka sa pag-login upang maiwasan ang mga malupit na pag-atake.
No.5 Man-in-the-middle Attack (MITM)
Nanghihimasok ang mga hacker sa pagitan ng mga user at server, humarang o nakikialam sa data. Ito ay karaniwan sa pampublikong Wi-Fi o hindi naka-encrypt na mga komunikasyon. Noong 2024, 20% ng pag-sniff ng network ang mga pag-atake ng MITM.
Ang Wi-Fi ng coffee shop ay nakompromiso ng mga hacker, na nagreresulta sa mga user na nawalan ng sampu-sampung libong dolyar kapag na-intercept ang kanilang data habang nagla-log in sa website ng isang bangko. Nang maglaon, natuklasan ng mga inhinyero na hindi ipinapatupad ang HTTPS.
Paano ito maiiwasan?
○Pilitin ang HTTPS:Ang website at API ay naka-encrypt gamit ang TLS, at ang HTTP ay hindi pinagana.
○Pagpapatunay ng Sertipiko:Gamitin ang HPKP o CAA upang matiyak na ang sertipiko ay mapagkakatiwalaan.
○Proteksyon ng VPN:Ang mga sensitibong operasyon ay dapat gumamit ng VPN upang i-encrypt ang trapiko.
○Proteksyon ng ARP:Subaybayan ang ARP table para maiwasan ang ARP spoofing.
No.6 Phishing Attack
Gumagamit ang mga hacker ng mga spoofed na email, website, o text message para linlangin ang mga user na magbunyag ng impormasyon o mag-click sa mga nakakahamak na link. Noong 2023, ang mga pag-atake sa phishing ay umabot sa 35% ng mga insidente sa cybersecurity.
Isang empleyado ng isang kumpanya ang nakatanggap ng email mula sa isang taong nag-aangking boss nila, humihiling ng money transfer, at nawalan ng milyun-milyon. Sa kalaunan ay natuklasan na ang email domain ay pekeng; hindi ito na-verify ng empleyado.
Paano ito maiiwasan?
○Pagsasanay sa Empleyado:Regular na magsagawa ng pagsasanay sa kamalayan sa cybersecurity upang ituro kung paano tukuyin ang mga email ng phishing.
○Pag-filter ng Email:Mag-deploy ng anti-phishing gateway (gaya ng Barracuda).
○Pag-verify ng Domain:Tingnan ang domain ng nagpadala at paganahin ang patakaran ng DMARC.
○Dobleng Pagkumpirma:Ang mga sensitibong operasyon ay nangangailangan ng pag-verify sa pamamagitan ng telepono o nang personal.
No.7 Ransomware
Ini-encrypt ng Ransomware ang data ng mga biktima at humihingi ng ransom para sa pag-decryption. Ang ulat ng Sophos noong 2024 ay nagpahiwatig na 50% ng mga negosyo sa buong mundo ay nakaranas ng mga pag-atake ng ransomware.
Ang network ng isang ospital ay nakompromiso ng LockBit ransomware, na nagdulot ng system paralysis at ang pagsususpinde ng mga operasyon. Ang mga inhinyero ay gumugol ng isang linggo sa pagbawi ng data, na nagdulot ng malaking pagkalugi.
Paano ito maiiwasan?
○Regular na Backup:Off-site na backup ng kritikal na data at pagsubok sa proseso ng pagbawi.
○Pamamahala ng Patch:I-update kaagad ang mga system at software para mai-plug ang mga kahinaan.
○Pagsubaybay sa Pag-uugali:Gumamit ng mga tool ng EDR (gaya ng CrowdStrike) para makakita ng maanomalyang gawi.
○Network ng Paghihiwalay:Pag-segment ng mga sensitibong sistema upang maiwasan ang pagkalat ng mga virus.
No.8 Zero-day Attack
Sinasamantala ng mga zero-day na pag-atake ang mga hindi natukoy na kahinaan ng software, na nagpapahirap sa mga ito na pigilan. Noong 2023, iniulat ng Google ang pagtuklas ng 20 mataas na panganib na zero-day na kahinaan, na marami sa mga ito ay ginamit para sa mga pag-atake sa supply chain.
Ang isang kumpanya na gumagamit ng SolarWinds software ay nakompromiso ng isang zero-day na kahinaan, na nakakaapekto sa buong supply chain nito. Ang mga inhinyero ay walang magawa at makapaghintay lamang ng isang patch.
Paano ito maiiwasan?
○Intrusion Detection:I-deploy ang IDS/IPS (gaya ng Snort) para subaybayan ang abnormal na trapiko.
○Pagsusuri ng Sandbox:Gumamit ng sandbox para ihiwalay ang mga kahina-hinalang file at suriin ang kanilang gawi.
○Threat Intelligence:Mag-subscribe sa mga serbisyo (gaya ng FireEye) para makuha ang pinakabagong impormasyon sa kahinaan.
○Pinakamababang Pribilehiyo:Paghigpitan ang mga pahintulot ng software upang bawasan ang pag-atake.
Mga kapwa miyembro ng network, anong mga uri ng pag-atake ang naranasan mo? At paano mo sila hinarap? Sabay-sabay nating pag-usapan ito at magtulungan para mas lumakas pa ang ating mga network!
Oras ng post: Nob-05-2025
