最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。

信息安全概述

业界 admin 10浏览 0评论

名词解释

大数据:指的是所涉及的资料量规模巨大到无法透过主流软件工具,在合理时间内达到撷取、管理、处理、并整理成为帮助企业经营决策更积极目的的资讯。

云计算:是指通过网络提供计算资源(如服务器、存储、数据库、软件开发平台等)和服务的一种模式,用户无需直接管理和控制这些资源,而是按需获取和使用这些资源。这种服务方式可以发发提高计算机资源的灵活性和可扩展性,降低用户的IT成本和维护难度

云服务器:是提供云计算服务的虚拟化服务器,通过互联网提供计算、存储、网络等资源,用户可按需使用

人工智能:是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学

网络空间:一个由信息基础设施组成相互依赖的网络。

信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。

网络安全:计算机网络环境下的信息安全。

漏洞(脆弱性):可能被一个或多个威胁利用的资产或控制的弱点

攻击:企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为

入侵:对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。

0day漏洞(零日漏洞):通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是还没有开发出安全补丁的漏洞

后门:绕过安全控制而获取对程序或系统访问权的方法

WEBSHELL:以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门

社会工程学:通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进入注入欺骗、受伤等危害手段取得自身利益的手法

exploit:简称exp,漏洞利用

APT攻击:高级持续威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

1、协议栈的脆弱性和常见安全风险

协议栈自身的脆弱性体现于:

  1. 缺乏数据源验证机制

  2. 缺乏完整性验证机制

  3. 缺乏机密性保障机制

网络的基本攻击模式:

1、截获:嗅探(sniffing)和监听(eavesdropping)

2、篡改:数据包篡改(tampering)

3、中断:拒绝服务(dosing)

4、伪造:欺骗(spoofing)

被动威胁:拦截(机密性)

主动威胁:篡改(完整性)、中断(可用性)、伪造(真实性)

1、物理层

1.1 物理攻击

物理设备破坏:

  • 指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等

  • 设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听:

  • 光纤监听

  • 红外监听

2、链路层

2.1 MAC洪泛攻击

  • 交换机中存在着一张记录着MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;

  • 泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。

交换机的工作原理:交换机收到数据后,会先记录数据帧中的源MAC地址和交换机端口的映射并保存到MAC地址表中。然后将目标MAC地址同MAC地址表中的记录对比,以决定由哪个端口转发,如果不在表中则泛洪(flood)

MAC洪泛攻击原理:攻击者通过发送大量虚假MAC地址来占满交换机中的MAC地址表,因此其他主机发送数据帧时,会被交换机洪泛处理,所以攻击者就可以就接收到其他主机的数据帧。

特点:由于攻击者需要发送大量的虚假MAC地址和交换机洪泛大量的数据帧,会导致大量占用自己的带宽和交换机的带宽,伤人也伤已。


2.2 ARP欺骗

当A与B需要通讯时:

  • A发送ARP Request询问B的MAC地址

  • Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的MAC地址是B的,但是实际上是Hacker的)

  • 之后A发送给B的正常数据包都会发给Hacker

ARP协议:通过广播请求来获取目标设备的MAC地址。当一个设备需要发送数据到另一个设备时,它会发送一个ARP请求,询问局域网内的所有设备,是否由指定IP地址对应的MAC地址,目标设备收到该请求后,会回复一个ARP应答告诉请求者它的MAC地址

ARP欺骗原理:通过发送伪造的ARP数据包,让目标设备误以为攻击者是其网关或其他设备,从而达到欺骗目标设备的目的。这样攻击者就可以收到目标设备发出的数据包并进行截获,甚至篡改数据包中的内容。

3、网络层

3.1 ICMP攻击

ICMP协议:是TCP/IP协议簇中的一个子协议,用于在IP主机和路由器之间传递控制信息。这些控制消息用于处理网络不通、主机是否可达、路由是否可用等网络本身的消息。

ICMP攻击原理:利用ICMP协议的特点,从而伪装成受害设备向目标设备发送大量无效或高流量的ICMP数据包,从而耗尽目标设备的资源,造成目标设备的瘫痪。

4、传输层

4.1 TCP SYN Flood攻击

SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。----拒绝服务攻击

TCP协议是带状态的协议

TCP SYN Flood攻击原理:客户机通过不断向目标设备发送建立连接的SYN请求,而目标设备向客户机回复ACK并发送SYN请求后,在目标设备等待客户机的ACK的这段时间里,会占用目标设备的资源。而建立的会话过多会耗尽目标设备的资源。

SYN洪水攻击防范措施:

  1. 使用代理防火墙或每目标IP代理阈值,每目标ip丢包阈值

  2. 首包丢包

  3. SYN cookie

1、使用代理防火墙或每目标IP代理阈值,每目标ip丢包阈值

在客户机和服务器之间设置一个代理服务器,只有客户机先和代理防火墙建立连接后,代理防火墙才会和服务器建立连接,从而连接客户机和服务器。

但是当代理服务器被攻击而奔溃时,服务器也无法与外界产生连接。

当访问IP超过阈值时,不在和其他IP建立连接,这种措施大大限制了服务器效率。

2、首包丢包

当建立TCP连接时,如果遇到包丢失会重新发送包。所以我们将第一个SYN包丢弃,等待第二个SYN包才建立连接,可以防范一些TCP SYN Flood攻击。但是攻击者也可以设置为发送两次SYN包来对付这种防御措施。

3、SYN cookie

在TCP建立连接过程中,服务端会在第二次握手后将连接放到半连接队列中,然后在第三次握手成功后,从半连接队列中移除加入到全连接队列中。

在没有开启SYN cookie的情况下,如果半连接队列满了,就会将新连接直接丢弃。

而开启了SYN cookie后,可以在不使用半连接队列的情况下直接成功建立连接。开启SYN cookie后,当服务器收到SYN请求(第一次握手)后,会根据当前状态计算出一个cookie值,并在SYN+ACK报文(第二次握手)中发出,当客户端返回ACK报文(第三次握手)时会再次带上该cookie值,服务端验证该cookie值合法后,加入到全连接队列中。

SYN cookie缺点:

  1. MSS大小只有8个取值(只有3个bit表示)

  2. 加密是比较耗CPU的

  3. 如果客户端的第三次ACK丢失的话,由于服务器并没有存储连接信息,所以不会重发ACK+SYN。从而导致客户端只能空等一段时间直到超时。

SYN cookie缺陷的克服:TCP Cookie Transaction (TCP CT),是一种新的标准,专门克服以上问题

5、分布式拒绝服务攻击(DDoS)

通过master控制大量的agent来对目标设备进行攻击

master可以理解为CC服务器,agent称为肉鸡,他们形成的是僵尸网络

DDoS一般通过木马来控制大量计算机,从而形成大规模互联网资源

DDoS攻击原理:攻击者通过大规模互联网流量耗尽攻击目标的网络资源,使目标系统无法进行网络连接、无法响应正常请求

DDoS攻击风险防护方案:

  • 网络设备性能充裕:防火墙、路由器、交换机性能必须有富余
  • 网络带宽资源充裕:保持一定比例的网络带宽余量
  • 异常流量清洗:通过抗D设备清洗异常流量
  • 通过CDN分流:多节点分担DDoS攻击流量
  • 分布式集群:每个节点分配足够资源数据回发瘫痪攻击源

6、应用层

6.1 DNS欺骗攻击

DNS欺骗攻击原理:攻击者伪装成DNS服务器,向受害者发送虚假的DNS响应,告诉受害者请求的域名对应的IP地址是攻击者自己控制的恶意网站的IP地址。

2、操作系统的脆弱性及常见攻击

2.1 操作系统自身的漏洞

人为原因:在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。

客观原因:受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。

硬件原因:由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。

2.2 缓冲区溢出攻击

缓冲区溢出攻击原理:缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变

缓冲区溢出的危害:

  • 最大数量的漏洞类型
  • 漏洞危害等级高

缓冲区溢出攻击过程及防御:

如果可精确控制内存跳转地址,就可以执行指定代码,获得权限或破坏系统

寻找程序漏洞->编制缓冲区移除程序->精确控制跳转地址->执行设定的代码->获得系统权限或破坏系统

缓冲区溢出的防范可以从以下三个方面考虑:

用户:

  • 补丁
  • 防火墙

开发人员:

  • 编写安全代码,对输入数据进行验证
  • 使用相对安全的函数

系统:

  • 缓冲区不可执行技术
  • 虚拟化技术

3、终端的脆弱性及常见攻击

3.1 勒索病毒

定义:一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。

特点:调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。

危害:勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。

工作过程:勒索病毒通过自身的解密函数解密回连服务器地址,通过HTTP GET请求访问加密数据,保存加密数据到本地目录,然后通过解密函数解密出数据保存为DLL,最后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。

发展历程:

勒索病毒第一阶段:锁定设备,不加密数据

勒索病毒第二阶段:加密数据,交付赎金后解密

勒索病毒第三阶段:攻陷单点后,横向扩散

勒索病毒第四阶段:加密货币的出现改变勒索格局

勒索病毒第五阶段:RaaS模式初见规模

RaaS模式:勒索软件即服务(RaaS)框架可以供任何人使用,即使这些人并没有编码技能,因为它提供了快速实施加密和与命令和控制服务器通信的基本工具。直接交付“结果”给营销团队,客户只需提供数据和运营授权,供应商则通过专业运营这些数据为客户创造实际的财务价值。

勒索病毒的杀链分析:

总结:勒索病毒感染与传播的方式主要为五种,分别是钓鱼邮件、蠕虫式传播、恶意软件捆绑、暴力破解和Exploit Kit分发

勒索病毒的特点:

针对攻击者:传播入口多,传播技术隐蔽、勒索产业化发展

针对受害者:安全状况看不清、安全设备防不住、问题处置不及时

3.2 挖矿病毒

定义:一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋利,使得受害者机器性能明显下降,影响正常使用。

特点:占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。

危害:占用系统资源、影响系统正常使用。

工作过程:

受害者A机器会从攻击者Web服务器下载挖矿程序,而后会利用系统上的已有漏洞建立后门。

攻击脚本首先杀死其他同类产品以及安全软件。

并且每隔一定周期检测一次进程是否存,添加计划任务并且检查木马文件,若未检测到就会自行远程下载并执行。

同时,程序自动扫描受害者机器上的SSH文件,进行横向感染。

矿场一般都建在山里,因为山区的电费便宜,并且利于散热。

3.3 特洛伊木马

定义:完整的木马程序一般由两个部份组成:服务器程序与控制器程序。 “中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。

特点:注入正常程序中,当用户执行正常程序时,启动自身。 自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。

危害:个人隐私数据泄露,占用系统资源

工作过程:

木马一般都采用C/S架构,服务器程序被植入到受害者的电脑中,控制器程序攻击者端运行,攻击者利用控制器程序主动或被动的连接服务器,对目标主机的控制。

木马运行后,会打开目标主机的一个或多个端口。 连接成功后,攻击者进入目标主机电脑内部,通过控制器可以对目标主机进行控制操作。

而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术实现连接隐藏,以提高木马种植和控制的成功率。

木马是最奸诈狡猾的病毒,像传说中的特洛伊木马,他们擅长使用诡计,一不小心我们就可能从网上下载木马,木马病毒会伪装成游戏或者常用软件,有些木马还会给电脑开新的后门,让犯罪分子轻易侵入你的电脑获取信息,可怕吧,要防止木马,你必须在信任的网站下载内容就像咳嗽要掩口,饭前要洗手,提高警惕还要经常更新电脑软件,安装杀毒工具,一遍防范于未然,一遍亡羊补牢,另外陌生的链接、附件都不要点击

3.4 蠕虫病毒

定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。

特点:不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。

危害:拒绝服务、隐私信息丢失

工作过程:蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段 

  1. 首先蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。
  2. 然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。
  3. 同时,蠕虫程序生成多个副本,重复上述流程。

蠕虫更可怕,即使我们什么也不做,只要电脑联网,蠕虫就会感染网上的病毒,不管是局域网,还是广域网,他们都擅长走后门,就是通过电脑软件的漏洞入侵,一定被感染,蠕虫还会找其他电脑的后门,一路披荆斩棘的走下去,最好的防护措施是更新系统,修复漏洞;门关好了,蠕虫就爬不进来了

3.5 宏病毒

定义:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

特点:感染文档、传播速度极快、病毒制作周期短、多平台交叉感染

危害:感染了宏病毒的文档不能正常打印。 封闭或改变文件存储路径,将文件改名。 非法复制文件,封闭有关菜单,文件无法正常编辑。 调用系统命令,造成系统破坏。

工作过程:

打开感染宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上。

从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

3.6 流氓软件/间谍软件

定义:流氓软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。 间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。

特点:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等。

危害:窃取隐私,影响用户使用体验。

工作过程:

在自身安装包中捆绑其它有害软件的安装包(目标软件具有完善卸载功能且无害、无明显恶意行为的)收集敏感信息,但隐私权协议未注明,隐私权协议缺失,或将隐私信息向第三方泄露/出售。

明显弱化系统安全性或稳定性的应用,如后台植入、破坏系统文件、恶意修改根证书等。无法以自身设置取消的返利链接捆绑或主页绑定。

流氓软件、间谍软件起源于国外的“Badware”一词。对“Badware”的定义为:是一种跟踪你上网行为并将你的个人信息反馈给隐藏的市场利益集团的软件,并且,他们可以通过该软件能向受害者弹出广告。

3.7 僵尸网络

定义:采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

僵尸程序:指实现恶意控制功能的程序代码;

控制服务器:指控制和通信(C&C)的中心服务器

特点:可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来,可以一对多地执行相同的恶意行为。

危害: 拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿

工作过程:

Botnet的工作过程包括传播、加入和控制三个阶段。

在传播阶段,通过主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马等途径在网络中传播。

在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去。

在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为。

终端安全防范措施

  1. 不要点击来源不明的邮件附件,不从不明网站下载软件
  2. 及时给主机打补丁,修复相应的高危漏洞
  3. 对重要的数据文件定期进行非本地备份
  4. 尽量关闭不必要的文件共享权限以及关闭不必要的端口
  5. RDP远程服务器等连接尽量使用强密码,不要使用弱密码
  6. 安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

4、其他常见攻击

4.1 社工攻击

原理:社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为。 在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

防御手段:定期更换各种系统账号密码,使用高强度密码等

4.2 拖库、洗库、撞库

原理:

拖库:是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。

洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作洗库。

最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用统一的用户名密码。

防御手段:重要网站/APP的密码一定要独立 、电脑勤打补丁,安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP,用安全的加密方式(如WPA2),密码复杂些、电脑习惯锁屏等。

攻击过程:黑客为了得到数据库的访问权限,取得用户数据,通常会从技术层面 和社工层面两个方向入手。技术方面大致分为远程下载数据库文件、利用 web应用漏洞、利用web服务器漏洞。

4.3 跳板攻击

原理:攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板”完成攻击行动。 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

防御手段:安装防火墙,控制流量进出。系统默认不使用超级管理员用户登录,使用普通用户登录,且做好权限控制。

攻击过程:首先,攻击者会监听、扫描某一特定主机或网段。实施跳板攻击时, 黑客首先要控制“跳板”,也就攻击目标的代理。然后借助“跳板”进行 实际的攻击操作,而跳板机就成了提线木偶。虽然跳板本身可能不会被攻击, 但最终被攻击者会把其当作入侵来源。

4.4 钓鱼式攻击/鱼叉式钓鱼攻击

原理:钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

防御手段:保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,加强网络站点的监管。

4.5 水坑攻击

原理:攻击者首先通过猜测(或观察)确定特定目标经常访问的网站,并入侵其中一个或多个网站,植入恶意软件。最后,达到感染目标的目的。

防御手段:在浏览器或其他软件上,通常会通过零日漏洞感染网站。 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。 如果恶意内容被检测到,运维人员可以监控他们的网站和网络,然后阻止流量。

攻击过程:黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的 弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就 会“中招”。

水坑攻击时一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。

早在 2012 年,国外就有研究人员提出了“水坑攻击”的概念。这种攻击方式的命名受狮子等猛兽的狩猎方式启发。在捕猎时,狮子并不总是会主动出击,他们有时会埋伏水坑边上,等目标路过水坑停下来喝水的时候,就抓住时机展开攻击。这样的攻击成功率就很高,因为目标总是要到水坑“喝水”的。

5、信息安全要素

信息安全五要素:

  1. 保密性—confidentiality  
  2. 完整性—integrity  
  3. 可用性—availability  
  4. 可控性—controllability  
  5. 不可否认性—Non-repudiation

保密性—confidentiality,对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。  

完整性—integrity,对抗对手主动攻击,防止信息被未经授权的篡改。  

可用性—availability,确保信息及信息系统能够为授权使用者所正常使用 这三个重要的基本属性被国外学者称为“信息安全金三角”(CIA,Confidentiality-Integrity-Availability)

5.1 保密性

保密性:确保信息不暴露给未授权的实体或进程。

目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

举例说明:通过加密技术保障信息的保密性

5.2 完整性

完整性:只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。防篡改

5.3 可用性

可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作。防中断

5.4 可控性

可控性:主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性

5.5 不可否认性

不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。

6、整体安全解决方案

企业信息安全建设规划目标:

  1. 风险可视化(Visibility ) 未知攻,焉知防,看见风险才能防范风险
  2. 防御主动化(Proactive) 最好的防守是进攻,主动防御,纵深防御 是设计的目标
  3. 运行自动化( Automation ) 全天候自动化的安全运营才能保障安全体系的落实
  4. 安全智能化(Intelligent) 信息安全未来的重点将转向智能驱动,并能抵御未知高级威胁

网络安全行业对风险的应对:

关于风险处置的方法安全产业界也是有一些共识的。例如:主张防御、检测、响应的PDR模型和ISO27001信息安全管理体系要求等。

但这些方法在落地过程中也遇到了一些困难。比如说:以往大部分的安全投资主要聚焦在防御上,却忽视了检测与响应。面对频繁出现的新威胁,传统基于策略库的安全工具很难去识别这些风险,而威胁大量爆发后技术人员也难以快速完成检测和响应等处置工作。

在管理方面,很多单位做信息安全管理体系,编写了很多管理制度,但制度的执行也困难重重。在很多组织是没有足够的人手去落地这些制度。比如说:即使有了响应安全漏洞的流程,但具备响应能力的人员数量不足以保障该流程的落地实施等。

传统安全方案痛点:

  1. 产品堆叠为主:基于产品堆叠的安全建设方式,导致设备之间缺乏联动、安全运维负责
  2. 边界防护为主:单纯边界防护为基础的解决方案,一旦边界被突破内网一马平川
  3. 被动防守为主:依靠挖掘漏洞、匹配特征、设置规则的被动防御模式,缺乏威胁情报,导致不能有效防护新型新型

基于风险驱动、立体保护、主动防御的思路原则,深信服设计了整套的APDRO能力模型,指导用户建设足以“面向未来,有效保护”的安全防护能力。 我们认为网络安全能力的建设趋势会从防御能力向检测和响应能力方向升级;

应对威胁的类型、频率、数量的增加,需要利用基于人工智能的自动化工具来提升防护、检测与响应的效率,并利用人工智能提升未知威胁的检测能力; 同时需要通过人工运营来充分利用前期采购的各类安全设备,做好安全管理制度和安全业务目标的落地和落实工作。

非安全区:非安全区是数据中心等关键区域与外部直接连接的区域,属于非信任区域,对经过此区域的数据流应进行严格的安全控制;

半安全区:半安全区是非安全区与安全区之间的过渡区域,用于分割它们之间的直接联系,隐藏安全区的内部资源。此区域通常部署所有与外部连通、为非信任来源提供服务的系统和设备,如VPN、DNS、Proxy、Web、前置系统等服务器。

安全区:安全级别较高,包括数据中心核心交换、业务测试区、次核心业务区属于安全区;

核心安全区:安全级别最高,核心业务区都属于核心安全区。核心安全区属于被信任区域;从非安全区、半安全区到核心安全区不允许有直接访问。

上网行为管理:用户、行为、流量

五大主打场景:

1、互联网出口终端上网安全防护解决方案 该方案在用户、行为、业务等维度实现更多元素的可视,并对可视数据进行综合分析,实现风险定位及图形化威胁展示。同时针对黑客攻击链所有环节均可持续检测,利用云沙盒技术和大数据威胁情报分析平台,可以及时、准确的响应安全事件,将威胁影响面降到更低。

2、网站安全立体保护解决方案 该方案针对用户Web业务网站防护,将过去以特征更新为主的静态防御体系,通过深信服下一代防火墙赋予云端安全检测能力,从而实现主动积极的防御,一旦某台设备发现新型、未知威胁可以通过云端快速进行更新,24小时内实现全网拦截。结合云端自动化网站安全异常监测技术,可以在网站出现漏洞、篡改、黑链、挂马等安全事件时,在数分钟之内让用户获得通报和预警。

3、广域网全网安全感知解决方案 该方案不仅可以提升广域网的安全防护能力,还能够帮助用户实时了解分支机构安全风险,避免分支机构存在安全建设薄弱点从而成为入侵短板,以便真正实现管理集中化和运维自动化

4、数据中心应用层安全加固方案 该方案可对数据中心安全进行有效补充,解决在设计初期仅规划防火墙,缺乏完善的安全防御和检测技术所带来的风险。主要包含应用层安全加固、增强安全检测技术和简化安全管理三个方面,可以保障在复杂业务环境下数据中心信息安全。

5、数据中心安全域隔离解决方案 该方案可以将数据中心按照不同安全等级进行区域划分,实现层次化、重点化、全面化的保护和访问控制。有效解决传统防火墙中存在的上线部署、业务新增和日常管理策略复杂、可视性差等问题。

综上所述,为有效应对未来复杂的快速攻击,我们需要更自动化的响应能力和更高效的闭环能力,这就需要一个集“集安全风险感知、预测、决策和协同处置为一体” 的 “现代化攻防对抗能力中心”,并拥有“精准、高效、易用”的出色能力,我们把这样的一个中心,称为“安全大脑”,该理念契合当下“智慧、智能”的时代特点,基于“人工智能和大数据技术”实现安全数据到安全能力的转化。 信服安全感知平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁

名词解释

大数据:指的是所涉及的资料量规模巨大到无法透过主流软件工具,在合理时间内达到撷取、管理、处理、并整理成为帮助企业经营决策更积极目的的资讯。

云计算:是指通过网络提供计算资源(如服务器、存储、数据库、软件开发平台等)和服务的一种模式,用户无需直接管理和控制这些资源,而是按需获取和使用这些资源。这种服务方式可以发发提高计算机资源的灵活性和可扩展性,降低用户的IT成本和维护难度

云服务器:是提供云计算服务的虚拟化服务器,通过互联网提供计算、存储、网络等资源,用户可按需使用

人工智能:是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学

网络空间:一个由信息基础设施组成相互依赖的网络。

信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。

网络安全:计算机网络环境下的信息安全。

漏洞(脆弱性):可能被一个或多个威胁利用的资产或控制的弱点

攻击:企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为

入侵:对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。

0day漏洞(零日漏洞):通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是还没有开发出安全补丁的漏洞

后门:绕过安全控制而获取对程序或系统访问权的方法

WEBSHELL:以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门

社会工程学:通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进入注入欺骗、受伤等危害手段取得自身利益的手法

exploit:简称exp,漏洞利用

APT攻击:高级持续威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

1、协议栈的脆弱性和常见安全风险

协议栈自身的脆弱性体现于:

  1. 缺乏数据源验证机制

  2. 缺乏完整性验证机制

  3. 缺乏机密性保障机制

网络的基本攻击模式:

1、截获:嗅探(sniffing)和监听(eavesdropping)

2、篡改:数据包篡改(tampering)

3、中断:拒绝服务(dosing)

4、伪造:欺骗(spoofing)

被动威胁:拦截(机密性)

主动威胁:篡改(完整性)、中断(可用性)、伪造(真实性)

1、物理层

1.1 物理攻击

物理设备破坏:

  • 指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等

  • 设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听:

  • 光纤监听

  • 红外监听

2、链路层

2.1 MAC洪泛攻击

  • 交换机中存在着一张记录着MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;

  • 泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。

交换机的工作原理:交换机收到数据后,会先记录数据帧中的源MAC地址和交换机端口的映射并保存到MAC地址表中。然后将目标MAC地址同MAC地址表中的记录对比,以决定由哪个端口转发,如果不在表中则泛洪(flood)

MAC洪泛攻击原理:攻击者通过发送大量虚假MAC地址来占满交换机中的MAC地址表,因此其他主机发送数据帧时,会被交换机洪泛处理,所以攻击者就可以就接收到其他主机的数据帧。

特点:由于攻击者需要发送大量的虚假MAC地址和交换机洪泛大量的数据帧,会导致大量占用自己的带宽和交换机的带宽,伤人也伤已。


2.2 ARP欺骗

当A与B需要通讯时:

  • A发送ARP Request询问B的MAC地址

  • Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的MAC地址是B的,但是实际上是Hacker的)

  • 之后A发送给B的正常数据包都会发给Hacker

ARP协议:通过广播请求来获取目标设备的MAC地址。当一个设备需要发送数据到另一个设备时,它会发送一个ARP请求,询问局域网内的所有设备,是否由指定IP地址对应的MAC地址,目标设备收到该请求后,会回复一个ARP应答告诉请求者它的MAC地址

ARP欺骗原理:通过发送伪造的ARP数据包,让目标设备误以为攻击者是其网关或其他设备,从而达到欺骗目标设备的目的。这样攻击者就可以收到目标设备发出的数据包并进行截获,甚至篡改数据包中的内容。

3、网络层

3.1 ICMP攻击

ICMP协议:是TCP/IP协议簇中的一个子协议,用于在IP主机和路由器之间传递控制信息。这些控制消息用于处理网络不通、主机是否可达、路由是否可用等网络本身的消息。

ICMP攻击原理:利用ICMP协议的特点,从而伪装成受害设备向目标设备发送大量无效或高流量的ICMP数据包,从而耗尽目标设备的资源,造成目标设备的瘫痪。

4、传输层

4.1 TCP SYN Flood攻击

SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。----拒绝服务攻击

TCP协议是带状态的协议

TCP SYN Flood攻击原理:客户机通过不断向目标设备发送建立连接的SYN请求,而目标设备向客户机回复ACK并发送SYN请求后,在目标设备等待客户机的ACK的这段时间里,会占用目标设备的资源。而建立的会话过多会耗尽目标设备的资源。

SYN洪水攻击防范措施:

  1. 使用代理防火墙或每目标IP代理阈值,每目标ip丢包阈值

  2. 首包丢包

  3. SYN cookie

1、使用代理防火墙或每目标IP代理阈值,每目标ip丢包阈值

在客户机和服务器之间设置一个代理服务器,只有客户机先和代理防火墙建立连接后,代理防火墙才会和服务器建立连接,从而连接客户机和服务器。

但是当代理服务器被攻击而奔溃时,服务器也无法与外界产生连接。

当访问IP超过阈值时,不在和其他IP建立连接,这种措施大大限制了服务器效率。

2、首包丢包

当建立TCP连接时,如果遇到包丢失会重新发送包。所以我们将第一个SYN包丢弃,等待第二个SYN包才建立连接,可以防范一些TCP SYN Flood攻击。但是攻击者也可以设置为发送两次SYN包来对付这种防御措施。

3、SYN cookie

在TCP建立连接过程中,服务端会在第二次握手后将连接放到半连接队列中,然后在第三次握手成功后,从半连接队列中移除加入到全连接队列中。

在没有开启SYN cookie的情况下,如果半连接队列满了,就会将新连接直接丢弃。

而开启了SYN cookie后,可以在不使用半连接队列的情况下直接成功建立连接。开启SYN cookie后,当服务器收到SYN请求(第一次握手)后,会根据当前状态计算出一个cookie值,并在SYN+ACK报文(第二次握手)中发出,当客户端返回ACK报文(第三次握手)时会再次带上该cookie值,服务端验证该cookie值合法后,加入到全连接队列中。

SYN cookie缺点:

  1. MSS大小只有8个取值(只有3个bit表示)

  2. 加密是比较耗CPU的

  3. 如果客户端的第三次ACK丢失的话,由于服务器并没有存储连接信息,所以不会重发ACK+SYN。从而导致客户端只能空等一段时间直到超时。

SYN cookie缺陷的克服:TCP Cookie Transaction (TCP CT),是一种新的标准,专门克服以上问题

5、分布式拒绝服务攻击(DDoS)

通过master控制大量的agent来对目标设备进行攻击

master可以理解为CC服务器,agent称为肉鸡,他们形成的是僵尸网络

DDoS一般通过木马来控制大量计算机,从而形成大规模互联网资源

DDoS攻击原理:攻击者通过大规模互联网流量耗尽攻击目标的网络资源,使目标系统无法进行网络连接、无法响应正常请求

DDoS攻击风险防护方案:

  • 网络设备性能充裕:防火墙、路由器、交换机性能必须有富余
  • 网络带宽资源充裕:保持一定比例的网络带宽余量
  • 异常流量清洗:通过抗D设备清洗异常流量
  • 通过CDN分流:多节点分担DDoS攻击流量
  • 分布式集群:每个节点分配足够资源数据回发瘫痪攻击源

6、应用层

6.1 DNS欺骗攻击

DNS欺骗攻击原理:攻击者伪装成DNS服务器,向受害者发送虚假的DNS响应,告诉受害者请求的域名对应的IP地址是攻击者自己控制的恶意网站的IP地址。

2、操作系统的脆弱性及常见攻击

2.1 操作系统自身的漏洞

人为原因:在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。

客观原因:受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。

硬件原因:由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。

2.2 缓冲区溢出攻击

缓冲区溢出攻击原理:缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变

缓冲区溢出的危害:

  • 最大数量的漏洞类型
  • 漏洞危害等级高

缓冲区溢出攻击过程及防御:

如果可精确控制内存跳转地址,就可以执行指定代码,获得权限或破坏系统

寻找程序漏洞->编制缓冲区移除程序->精确控制跳转地址->执行设定的代码->获得系统权限或破坏系统

缓冲区溢出的防范可以从以下三个方面考虑:

用户:

  • 补丁
  • 防火墙

开发人员:

  • 编写安全代码,对输入数据进行验证
  • 使用相对安全的函数

系统:

  • 缓冲区不可执行技术
  • 虚拟化技术

3、终端的脆弱性及常见攻击

3.1 勒索病毒

定义:一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。

特点:调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。

危害:勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。

工作过程:勒索病毒通过自身的解密函数解密回连服务器地址,通过HTTP GET请求访问加密数据,保存加密数据到本地目录,然后通过解密函数解密出数据保存为DLL,最后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。

发展历程:

勒索病毒第一阶段:锁定设备,不加密数据

勒索病毒第二阶段:加密数据,交付赎金后解密

勒索病毒第三阶段:攻陷单点后,横向扩散

勒索病毒第四阶段:加密货币的出现改变勒索格局

勒索病毒第五阶段:RaaS模式初见规模

RaaS模式:勒索软件即服务(RaaS)框架可以供任何人使用,即使这些人并没有编码技能,因为它提供了快速实施加密和与命令和控制服务器通信的基本工具。直接交付“结果”给营销团队,客户只需提供数据和运营授权,供应商则通过专业运营这些数据为客户创造实际的财务价值。

勒索病毒的杀链分析:

总结:勒索病毒感染与传播的方式主要为五种,分别是钓鱼邮件、蠕虫式传播、恶意软件捆绑、暴力破解和Exploit Kit分发

勒索病毒的特点:

针对攻击者:传播入口多,传播技术隐蔽、勒索产业化发展

针对受害者:安全状况看不清、安全设备防不住、问题处置不及时

3.2 挖矿病毒

定义:一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋利,使得受害者机器性能明显下降,影响正常使用。

特点:占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。

危害:占用系统资源、影响系统正常使用。

工作过程:

受害者A机器会从攻击者Web服务器下载挖矿程序,而后会利用系统上的已有漏洞建立后门。

攻击脚本首先杀死其他同类产品以及安全软件。

并且每隔一定周期检测一次进程是否存,添加计划任务并且检查木马文件,若未检测到就会自行远程下载并执行。

同时,程序自动扫描受害者机器上的SSH文件,进行横向感染。

矿场一般都建在山里,因为山区的电费便宜,并且利于散热。

3.3 特洛伊木马

定义:完整的木马程序一般由两个部份组成:服务器程序与控制器程序。 “中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。

特点:注入正常程序中,当用户执行正常程序时,启动自身。 自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。

危害:个人隐私数据泄露,占用系统资源

工作过程:

木马一般都采用C/S架构,服务器程序被植入到受害者的电脑中,控制器程序攻击者端运行,攻击者利用控制器程序主动或被动的连接服务器,对目标主机的控制。

木马运行后,会打开目标主机的一个或多个端口。 连接成功后,攻击者进入目标主机电脑内部,通过控制器可以对目标主机进行控制操作。

而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术实现连接隐藏,以提高木马种植和控制的成功率。

木马是最奸诈狡猾的病毒,像传说中的特洛伊木马,他们擅长使用诡计,一不小心我们就可能从网上下载木马,木马病毒会伪装成游戏或者常用软件,有些木马还会给电脑开新的后门,让犯罪分子轻易侵入你的电脑获取信息,可怕吧,要防止木马,你必须在信任的网站下载内容就像咳嗽要掩口,饭前要洗手,提高警惕还要经常更新电脑软件,安装杀毒工具,一遍防范于未然,一遍亡羊补牢,另外陌生的链接、附件都不要点击

3.4 蠕虫病毒

定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。

特点:不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。

危害:拒绝服务、隐私信息丢失

工作过程:蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段 

  1. 首先蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。
  2. 然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。
  3. 同时,蠕虫程序生成多个副本,重复上述流程。

蠕虫更可怕,即使我们什么也不做,只要电脑联网,蠕虫就会感染网上的病毒,不管是局域网,还是广域网,他们都擅长走后门,就是通过电脑软件的漏洞入侵,一定被感染,蠕虫还会找其他电脑的后门,一路披荆斩棘的走下去,最好的防护措施是更新系统,修复漏洞;门关好了,蠕虫就爬不进来了

3.5 宏病毒

定义:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

特点:感染文档、传播速度极快、病毒制作周期短、多平台交叉感染

危害:感染了宏病毒的文档不能正常打印。 封闭或改变文件存储路径,将文件改名。 非法复制文件,封闭有关菜单,文件无法正常编辑。 调用系统命令,造成系统破坏。

工作过程:

打开感染宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上。

从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

3.6 流氓软件/间谍软件

定义:流氓软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。 间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。

特点:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等。

危害:窃取隐私,影响用户使用体验。

工作过程:

在自身安装包中捆绑其它有害软件的安装包(目标软件具有完善卸载功能且无害、无明显恶意行为的)收集敏感信息,但隐私权协议未注明,隐私权协议缺失,或将隐私信息向第三方泄露/出售。

明显弱化系统安全性或稳定性的应用,如后台植入、破坏系统文件、恶意修改根证书等。无法以自身设置取消的返利链接捆绑或主页绑定。

流氓软件、间谍软件起源于国外的“Badware”一词。对“Badware”的定义为:是一种跟踪你上网行为并将你的个人信息反馈给隐藏的市场利益集团的软件,并且,他们可以通过该软件能向受害者弹出广告。

3.7 僵尸网络

定义:采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

僵尸程序:指实现恶意控制功能的程序代码;

控制服务器:指控制和通信(C&C)的中心服务器

特点:可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来,可以一对多地执行相同的恶意行为。

危害: 拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿

工作过程:

Botnet的工作过程包括传播、加入和控制三个阶段。

在传播阶段,通过主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马等途径在网络中传播。

在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去。

在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为。

终端安全防范措施

  1. 不要点击来源不明的邮件附件,不从不明网站下载软件
  2. 及时给主机打补丁,修复相应的高危漏洞
  3. 对重要的数据文件定期进行非本地备份
  4. 尽量关闭不必要的文件共享权限以及关闭不必要的端口
  5. RDP远程服务器等连接尽量使用强密码,不要使用弱密码
  6. 安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

4、其他常见攻击

4.1 社工攻击

原理:社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为。 在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

防御手段:定期更换各种系统账号密码,使用高强度密码等

4.2 拖库、洗库、撞库

原理:

拖库:是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。

洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作洗库。

最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用统一的用户名密码。

防御手段:重要网站/APP的密码一定要独立 、电脑勤打补丁,安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP,用安全的加密方式(如WPA2),密码复杂些、电脑习惯锁屏等。

攻击过程:黑客为了得到数据库的访问权限,取得用户数据,通常会从技术层面 和社工层面两个方向入手。技术方面大致分为远程下载数据库文件、利用 web应用漏洞、利用web服务器漏洞。

4.3 跳板攻击

原理:攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板”完成攻击行动。 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

防御手段:安装防火墙,控制流量进出。系统默认不使用超级管理员用户登录,使用普通用户登录,且做好权限控制。

攻击过程:首先,攻击者会监听、扫描某一特定主机或网段。实施跳板攻击时, 黑客首先要控制“跳板”,也就攻击目标的代理。然后借助“跳板”进行 实际的攻击操作,而跳板机就成了提线木偶。虽然跳板本身可能不会被攻击, 但最终被攻击者会把其当作入侵来源。

4.4 钓鱼式攻击/鱼叉式钓鱼攻击

原理:钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

防御手段:保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,加强网络站点的监管。

4.5 水坑攻击

原理:攻击者首先通过猜测(或观察)确定特定目标经常访问的网站,并入侵其中一个或多个网站,植入恶意软件。最后,达到感染目标的目的。

防御手段:在浏览器或其他软件上,通常会通过零日漏洞感染网站。 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。 如果恶意内容被检测到,运维人员可以监控他们的网站和网络,然后阻止流量。

攻击过程:黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的 弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就 会“中招”。

水坑攻击时一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。

早在 2012 年,国外就有研究人员提出了“水坑攻击”的概念。这种攻击方式的命名受狮子等猛兽的狩猎方式启发。在捕猎时,狮子并不总是会主动出击,他们有时会埋伏水坑边上,等目标路过水坑停下来喝水的时候,就抓住时机展开攻击。这样的攻击成功率就很高,因为目标总是要到水坑“喝水”的。

5、信息安全要素

信息安全五要素:

  1. 保密性—confidentiality  
  2. 完整性—integrity  
  3. 可用性—availability  
  4. 可控性—controllability  
  5. 不可否认性—Non-repudiation

保密性—confidentiality,对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。  

完整性—integrity,对抗对手主动攻击,防止信息被未经授权的篡改。  

可用性—availability,确保信息及信息系统能够为授权使用者所正常使用 这三个重要的基本属性被国外学者称为“信息安全金三角”(CIA,Confidentiality-Integrity-Availability)

5.1 保密性

保密性:确保信息不暴露给未授权的实体或进程。

目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

举例说明:通过加密技术保障信息的保密性

5.2 完整性

完整性:只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。防篡改

5.3 可用性

可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作。防中断

5.4 可控性

可控性:主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性

5.5 不可否认性

不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。

6、整体安全解决方案

企业信息安全建设规划目标:

  1. 风险可视化(Visibility ) 未知攻,焉知防,看见风险才能防范风险
  2. 防御主动化(Proactive) 最好的防守是进攻,主动防御,纵深防御 是设计的目标
  3. 运行自动化( Automation ) 全天候自动化的安全运营才能保障安全体系的落实
  4. 安全智能化(Intelligent) 信息安全未来的重点将转向智能驱动,并能抵御未知高级威胁

网络安全行业对风险的应对:

关于风险处置的方法安全产业界也是有一些共识的。例如:主张防御、检测、响应的PDR模型和ISO27001信息安全管理体系要求等。

但这些方法在落地过程中也遇到了一些困难。比如说:以往大部分的安全投资主要聚焦在防御上,却忽视了检测与响应。面对频繁出现的新威胁,传统基于策略库的安全工具很难去识别这些风险,而威胁大量爆发后技术人员也难以快速完成检测和响应等处置工作。

在管理方面,很多单位做信息安全管理体系,编写了很多管理制度,但制度的执行也困难重重。在很多组织是没有足够的人手去落地这些制度。比如说:即使有了响应安全漏洞的流程,但具备响应能力的人员数量不足以保障该流程的落地实施等。

传统安全方案痛点:

  1. 产品堆叠为主:基于产品堆叠的安全建设方式,导致设备之间缺乏联动、安全运维负责
  2. 边界防护为主:单纯边界防护为基础的解决方案,一旦边界被突破内网一马平川
  3. 被动防守为主:依靠挖掘漏洞、匹配特征、设置规则的被动防御模式,缺乏威胁情报,导致不能有效防护新型新型

基于风险驱动、立体保护、主动防御的思路原则,深信服设计了整套的APDRO能力模型,指导用户建设足以“面向未来,有效保护”的安全防护能力。 我们认为网络安全能力的建设趋势会从防御能力向检测和响应能力方向升级;

应对威胁的类型、频率、数量的增加,需要利用基于人工智能的自动化工具来提升防护、检测与响应的效率,并利用人工智能提升未知威胁的检测能力; 同时需要通过人工运营来充分利用前期采购的各类安全设备,做好安全管理制度和安全业务目标的落地和落实工作。

非安全区:非安全区是数据中心等关键区域与外部直接连接的区域,属于非信任区域,对经过此区域的数据流应进行严格的安全控制;

半安全区:半安全区是非安全区与安全区之间的过渡区域,用于分割它们之间的直接联系,隐藏安全区的内部资源。此区域通常部署所有与外部连通、为非信任来源提供服务的系统和设备,如VPN、DNS、Proxy、Web、前置系统等服务器。

安全区:安全级别较高,包括数据中心核心交换、业务测试区、次核心业务区属于安全区;

核心安全区:安全级别最高,核心业务区都属于核心安全区。核心安全区属于被信任区域;从非安全区、半安全区到核心安全区不允许有直接访问。

上网行为管理:用户、行为、流量

五大主打场景:

1、互联网出口终端上网安全防护解决方案 该方案在用户、行为、业务等维度实现更多元素的可视,并对可视数据进行综合分析,实现风险定位及图形化威胁展示。同时针对黑客攻击链所有环节均可持续检测,利用云沙盒技术和大数据威胁情报分析平台,可以及时、准确的响应安全事件,将威胁影响面降到更低。

2、网站安全立体保护解决方案 该方案针对用户Web业务网站防护,将过去以特征更新为主的静态防御体系,通过深信服下一代防火墙赋予云端安全检测能力,从而实现主动积极的防御,一旦某台设备发现新型、未知威胁可以通过云端快速进行更新,24小时内实现全网拦截。结合云端自动化网站安全异常监测技术,可以在网站出现漏洞、篡改、黑链、挂马等安全事件时,在数分钟之内让用户获得通报和预警。

3、广域网全网安全感知解决方案 该方案不仅可以提升广域网的安全防护能力,还能够帮助用户实时了解分支机构安全风险,避免分支机构存在安全建设薄弱点从而成为入侵短板,以便真正实现管理集中化和运维自动化

4、数据中心应用层安全加固方案 该方案可对数据中心安全进行有效补充,解决在设计初期仅规划防火墙,缺乏完善的安全防御和检测技术所带来的风险。主要包含应用层安全加固、增强安全检测技术和简化安全管理三个方面,可以保障在复杂业务环境下数据中心信息安全。

5、数据中心安全域隔离解决方案 该方案可以将数据中心按照不同安全等级进行区域划分,实现层次化、重点化、全面化的保护和访问控制。有效解决传统防火墙中存在的上线部署、业务新增和日常管理策略复杂、可视性差等问题。

综上所述,为有效应对未来复杂的快速攻击,我们需要更自动化的响应能力和更高效的闭环能力,这就需要一个集“集安全风险感知、预测、决策和协同处置为一体” 的 “现代化攻防对抗能力中心”,并拥有“精准、高效、易用”的出色能力,我们把这样的一个中心,称为“安全大脑”,该理念契合当下“智慧、智能”的时代特点,基于“人工智能和大数据技术”实现安全数据到安全能力的转化。 信服安全感知平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁

发布评论

评论列表 (0)

  1. 暂无评论