攻击树测试

攻击树测试

攻击树测试

• 用(你的学号%10)+1 确定序号，完成下面的内容：

1 给如何偷汽车创建攻击树。在这道题以及其他攻击树的练习题中，可以通过图来描述攻击树，也可以使用一个编号的列表来描述攻击树（比如，1，1.1，1.2，1.2.1，1.2.2，1.3，…）。

2 给如何不付费进入体育馆创建攻击树。

3 给如何不付费就从餐馆获得食物创建攻击树。

4 给如何获得某人网上银行账户名和口令创建攻击树。

5 给如何阅读某人的电子邮件创建攻击树。

6 给如何阻止某人阅读他的电子邮件创建攻击树。

7 给如何伪装成某人发送电子邮件创建攻击树。这里攻击者的目标是让电子邮件的收件人相信她收
到的一封邮件是发自某人的（例如 Bob），而 Bob 实际上并没有发送过这封邮件。

8 寻找最近三个月内公布或发布的新产品或系统，
选择一个你了解的资产并为如何损坏那个资产创建攻击树。

9 从媒体报道或者个人经历中选择一个实际的案例，在案例中攻击者没有利用最脆弱环节就成功地
攻击系统。描述一下整个系统，并解释你所认为系统中最脆弱的环节及原因，接着描述一下系统是如何被攻破的。

10 描述一个实际的案例说明“针对一种类型的攻击来提高系统的安全
性会增加其他攻击成功的可能性”。

我的学号是20211308 （2021138%10）+1=9

9 从媒体报道或者个人经历中选择一个实际的案例，在案例中攻击者没有利用最脆弱环节就成功地
攻击系统。描述一下整个系统，并解释你所认为系统中最脆弱的环节及原因，接着描述一下系统是如何被攻破的。

系统描述

• 索尼影业的信息系统是一个庞大的网络，包含了大量的服务器、工作站、移动设备等，用于存储电影、员工数据、财务信息等敏感数据。该系统采用多层防御机制，包括防火墙、入侵检测系统、数据加密和访问控制等。

最脆弱环节

• 在这个系统中，最脆弱的环节可能是员工的安全意识。尽管技术防护措施可能很强大，但人为因素往往是安全防护中的弱环节。员工可能会通过点击钓鱼邮件、使用简单密码或未经授权的设备访问公司网络等行为，无意中给攻击者提供入侵的机会。

攻破过程

• 在索尼影业的案例中，黑客组织“朝鲜守卫者”（Guardians of Peace）通过钓鱼邮件诱导索尼员工点击了恶意链接或附件，从而植入了恶意软件。这一行为没有直接针对系统的技术脆弱点，而是利用了员工的安全意识不足。一旦恶意软件被激活，黑客就能够侵入网络，获取控制权，并最终泄露了大量敏感数据，包括未发行电影、员工个人信息等。

在这个案例中，尽管系统可能具备先进的技术防护措施，但由于人为因素的脆弱性，黑客仍然成功实施了攻击。这表明在安全防护中，提高员工的安全意识和培训是非常重要的。