赞
踩
该知识领域是CISSP八大知识领域中的最后一个,同时也是内容最丰富的,主要涉及如下考点,具体内容分布于如下各个子章节:
前期回顾:
目标:保护资产(信息、系统、设备、设施)
IT信息安全要求应尽关心 (Due Care) 和尽职审查(Due Diligence),即采取合理谨慎的措施来持续保护组织的资产。
授予用户仅访问执行工作所需数据或资源的权限,可防止未经授访问导致保密性丧失。
主体仅被授予完成工作所需的特权,而不再被授予更多特权。限制和控制特权可保护数据的保密性和完整性。在实施最小特权时需要了解:
确保个体无法完全控制关键职能或系统。可以使得个人参与恶意、欺诈或未经授权的活动变得困难,不过也同时扩大了检测和报告的范围。相关概念有:
即经过两个人批准后才能执行关键任务(如银行保险箱要求两把钥匙)。
将 SOD 和双人控制结合,基础思想是将执行操作所需的信息或特权分配给两个或更多个用户。
作为一种安全控制措施可以实现同行评审、减少欺诈并实现交叉培训,同时可起到威慑和检测作用。
提供了一种同行评审形式,有助力于发现欺诈串通行为。
大多数安全专业人士建议至少休假一周,最好是两周,以阻止欺诈行为。其想法是,在员工不在且不具备使掩盖行为永久化所需的访问权限期间,欺诈计划将被揭露。
特权若被滥用,可能对组织资产的 CIA 造成重大破坏,因此监控特权实体及其访问权限非常重要。需要监控的特权:
政府:绝密、秘密、机密和未分类;
民用:机密(Confidential)、私有、敏感和公开。
安全控制需要在整个生命周期内对信息进行保护,相关术语:
SLA 是组织与外部实体之间的协议,它规则了性能预期,如果供应商无法满足预期,则会有对应处罚条款。相关术语还有:
谅解备忘录(memorandum of understanding,MOU)
不正规,缺少处罚条款
互连安全协议(Interconnection Security.Agreement,ISA)
提了双方如何建立、维护和断开连接的相关信息,还包括了保护数据的加密算法,适用于双方或多方之间计划传输敏感数据场景。
适用于员工单独工作场景(如警卫值班遇到一群人闯入时可以利用胁迫系统发出警报)
员工出差场景可能遇到歹徒下手。员工还需要注意:
使用VPN将他们的笔记本电脑和移动设备连接到可信的网络,并确保所有流量都通过VPN进行隧道传输,这是她确保他们使用互联网的最佳选择。
发生灾难后处理人员安全问题
License Key
物理资产范围远超IT硬件,包括所有物理资产(如组织建筑及所含内容)。访问控制方法有:
有时也称虚拟桌面环境VDE
SDN 将控制平面与数据平面分离,控制平面使用协议来决定发送流量的位置,而数据平面包含决定是否转发流量的规则。
通常提供可通过 Web 浏览器访问的功能齐全的应用程序。
CSP(Cloud Service Provider)负责SaaS 服务的所有维护,用户不需要管理或控制任何云资产。
为用户提供一个计算平台,包括硬件、操作系统和应用程序。
用户可在主机上管理自己的应用程序以及一些主机配置。
CSP 负责维护主机和底层云基础架构。
公有云模型是指可供任何用户租用或租赁的资产,资产由外部云服务提供商(CSP)管。
私有云部署模型适用于单个组织的云资产。组织可以使用自有资源创建和托管私有云。
社区云部署模型为两个或多个有共同关切的组织(例如有类似的任务、安全要求、策
略或合规性考虑的组织)提供云资产。云资产可以由一个或多个组织拥有和管理。维
护责任根据资产托管方和服务模型进行分配。
混合云模型是指两个或多个云的组合,混合云由一种提供数据和程序迁移的技术结合在一起。
保护介质及其存储数据
磁带受损极易丢失数据,建议组织至少保留两份数据备份。一份以备不时之需,一份保存在异地安全位置。
管理指南:
要考虑对备份进行加密,防止在丢失时数据泄露。
管理员使用移动设备管理 (Moblie Device Management,MDM) 系统注册员工设备,可监视和管理设备,并确保这些设备保持更新。
平均故障时间(Mean Time To Failure,MTTF) 表示可重复使用的次数或期望保存多少年。介质达到MTTF时就应该将其销毁。
擦除不会从介质中删除所有可用数据,但清除会删除。
确保系统从安全一致的状态部署,并在整个生命周期内保持安全一致的状态。基线和镜像通常可用于系统部署。Windows上常用的配置管理如下:
基线是起点,即系统初始配置。
基线镜像可确保系统所需的安全设置总能正确配置,从而提高系统安全性
未授权的变更可能直接影响CIA中的A,一些变更会消弱安全性。变更管理控制是ISO通用标准中一些安全保障要求(Security Assurance Requirement,SAR)的强制性内容。
许多配置和变更管理概念源自ITIL(Information Technology Infrastructure Library)。
变更管理流程帮助员工执行安全影响分析。在生产环境变更前,专家会评估变更,从而识别所有安全影响。变更管理流程如下:
比如初始版本标记1.0,经历一次小更新后标记为1.1,经过一次重要更新后标记为2.0,这么做可以追踪部署软件随时间的变更。
配置文档应包括如下内容:
补丁和漏洞管理不仅适用于工作站和服务器,也适用于运行 OS 的所有计算设备。(如路由器、交换机、防火墙、打印机等)
补丁管理计划包含:
微软在每个月第二个周二定期发布补丁,所以产生了“周三漏洞利用日”术语。
修补程序(Hotfix)、更新(update)和安全修复程序(security fixes)都是为纠正单个问题而设计的单个修补程序的同义词。Service Pack是许多不同更新的集合,用作操作系统或应用程序的主要更新。
漏洞扫描器是测试系统和网络是否存在已知安全问题的软件工具。
作为风险分析或评估的二部分执行,识别系统在某个时间点的漏洞。
漏洞通常用CVE字典来标识。CVE使得组织不必花费任何资源来管理漏洞的命名和定义,而专注于检查漏洞的方法。
任何安全方案都以预防事件发生作为主要目标,事件响应的主要目的是将组织受到的影响降至最低限度。
事件:对组织资产的CIA产生负面影响的任何事件。 ITIL V3把事件定义为“IT服务的计划外中断或质量的下降” 。
计算机安全事件:指由攻击造成的事故,或由用户恶意或蓄意行为造成的事件。
以下事件一般指的都是计算机安全事件。主要包括:
检测 -> 响应 -> 消减 -> 报告 -> 恢复 -> 补救 -> 总结教训
响应主体:
组织对事件响应的速度越快,损害限制在有限范围的机会越大。
注意:内含证据的计算机不可关闭,计算机一但关机,RAM中的临时文件和数据便会丢失,相关证据便会丢失。
旨在遏制事件的发展。如断开网卡电缆把问题遏制在一个网络内。
指在本单位通报所发生的事件并将情况上报组织外的相关部门和官员。如阿里因发现 Apache Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理受到严厉处罚。
调查人员从系统收集了适当证据后就需要恢复系统,或使其返回完全正常的工作状态。
将一个遭到破坏的系统从头重建时,必须确保系统配置恰当,安全性至少要达到事件前的水平。
对事件进行分析研究,争取搞清什么原因导致事件的发生,然后采取措施防止事件再次出现。
安全人员回顾事件发生和响应的整个过程,确认是否可以从中总结经验教训。这一阶段的输出可以反馈给事件管理的第一环节(检测)。
由于入侵预防系统IPS包含检测能力,所以出现了IDPS (入侵检测和预防系统)概念。
安全信息和事件管理(Security Information and Event Management,SIEM)主要功能:
1. 基于知识的检测
亦称基于签名或模式匹配的检测,最常用的检测方法,它使用了IDS供应商开发的已知攻击数据库。
缺点:只对已知的攻击方法宥效
2. 基于行为的检测
亦称统计入侵检测、异常检测和基于启发检测。它在系统上创建一个正常的活动和事件基线作为起点,通过积累的基线数据来确定正常活动,便可检测出恶意入侵或事件的异常活动。
优点:可检测出还没有签名的较新攻击
缺点:会有误报,可能会收到正常活动的告警
1. 基于主机的IDS
监测一台计算机上的活动,如进程调用、系统及程序和基于主机防火墙日志记录的信息。 HIDS与反恶意软件程序很像,许多HIDS包含了反恶意软件能力。
优点:
1、检套事件的详细程序超过NIDS,并能精确定位被攻击破坏的文件和攻击者调用过的进程;
2、可检测出NIDS检测不出来的主机系统异常情况。 缺点:
需要管理每个系统,管理成本高,会消耗大量系统资源,降低主机性能
2. 基于网络的IDS
监测并评估网络活动,从中找出攻击工异常事件。通过远程传感器监测大型网络,监测对象有路由器、防火墙和支持端口映射的网络交换机等。
优点:能够检测到刚发起或正在进行的攻击,但不能总是提供有关攻击得逞的信息。
缺点:不知道攻击是否影响了特定系统、用户账号、文件或应用程序。
IPS是一种特殊类型的IDS,可在攻击到达目标系统之前将其检测出来并加以拦截。IPS和IDS 之间的明显差别在于IPS是安放在承载通信流的线路上,而IDS只能在攻击达到目标之后才能把它查出来。
尽管IDPS 可以保护网络,管理员还是会用额外的安全控制来加强保护力度。
蜜罐是为充当陷阱引诱入侵者入内而创建的单个计算机。蜜网是两个或多个连接在一起假装网络的蜜罐。蜜罐中配置了安全漏洞,合法用户不会访问蜜罐,所以访问蜜罐的很可能主是入侵者。
目的:
蜜罐的使用带来了诱惑与诱捕的问题。在互联网上设置一个系统,让它的安全漏洞全部暴露,活跃的服务都便于攻击利用,便是一种诱惑。受诱惑的攻击者自行决定是否采取非法或未授权活动。
诱捕是非法的,当蜜罐主人主动诱导访客进入网站,然后指挥他们未授权入侵的时候发生了诱捕。采取行动前需要清楚不同的国家对诱惑和诱捕的规定。
填充单元(如今已经很少使用)系统类似于蜜罐,当IDPS检测到入侵者时,入侵者会被自动转移到填充单元。
警示向用户和入侵者宣传基本安全方针策略。通常会指出任何在线活动都将授受审计,处于监测之下。如未经授权严令禁止, 否则会被送上法庭授受指控。
关键点::
1. EDR
端点检测与响应 (Endpoint detection and response,EDR) 一般包含如下能力:
2. MDR
许多安金供应商将EDR 功能作为托管服务提供安装、配置和监控服务,来减轻客户安全团队的负担。这些托管EDR产品被称 为托管检测和响应(Managed Detection and Response,MDR)服务。
3. UEBA
用户与实体行为分析 (User and Entity Behavior Analytics,UEBA)关注端点和其他设备上基于用户的活动,构建每个人 正常活动的基线文件,然后突出显示可能指示潜在与该基线的偏差。 UEBA工真与EDR功能的不同之处在于,UEBA真有分析功能,专注于用户,而EDR 则专注于端点的分析。
可阻止用户运行未经授权的应用程序,防止恶意软件感染。如iPhone和iPad上运行的iOS, 用户只能安装苹果应用商店里的应用。
通过IP 地址、端口和一些协议编号过滤通信流量来保护网络。ICMP使用了编号为1的协议,因此防火墙可允许带1号协议的通信流量通过,以此放行ping 通信流量。
沙箱为应用程序提供安全边界,可防止应用程序与其他应用程序交互。反恶意软件程序借助沙箱技术来测试未测试或观察恶意软件的行为。
有些组织将安全服务外包给第三方,如审计、渗透测试等。
**注意:**处理重要信用卡交易的机构必须遵守支付行业数据标准(Payment Card Industry Data Security, Standard,PCI-DSS),不允许将自己的责任外包。
一些 SaaS 供应商提供了安全服务,使用这些 SaaS 服务也属于第三方安全服务范畴。
渗透测试模拟真实攻击,以确定攻击者可用哪些技术手段来绕过应用程序、系统、网络或机构的安全控制。主要内容包括:
注意:渗透测试是侵入性的,会对系统的可用性产生影响。因此开展前需要得到高管的书面批准。
日志记录和监测结合使用可跟踪、记录和审查活动从而形成一个全面问责体系。
如 Windows 系统中的事件查看器。
安全日志系统日志应用日志防火墙日志变更日志。
通常将日志文件拷贝到一个中央系统(如SIEM))中保护起来,即便攻击篡改或损坏了原始文件,安全人员仍能利用副本来查询事件缘由。
将有关事件和事发情况的信息保存记录,安全人员从审计踪迹提取事件信息,用于证明罪责、反驳指挥或其他用途。可让行事主体约束自己行为和活动负责。
对外出通信流量进行监测,以防数据外泄。
数据丢失预防 (Data Loss Prevention,DLP) 系统旨在阻止数据外泄。DLP分为两类:
将消息嵌入文件。如在图片文件中修改几个位,用来嵌入一条消息。
将图像或图案不显眼的嵌到纸张上。 DLP 系统可以检测未加密文件中的水印。目前流行的是数字水印。
审计的两种含义:
对环境进行系统化审查以确保法规得到遵守并查出异常情况、未授权事件甚至犯罪行为。审计员负责主持开展:
定期进行以确保对象访问和账户管理工作将安全策略落到实处。关注点为用户不拥有过多权限,账户受到了适当管理。
安全审计和审查有助于确保机构适当执行安全控制。安全审计常常被视为应尽关心的关键要素,如果高管没有依照规定执行定期安全审查,则安全破坏或策略违规造成的缺失追究机构高管的责往。
安全审计和审查包含项目:
审计报告包含敏感信息,只允许有足够权限的人员接触。
审计员完成审计报告后会依照安全策略文件的规定将报告分发给指定接收方。
外部审计周期较长,甚至几个月。审计过程中审计人员可以发布临时报告(如遇到紧迫问题或情况等不及审计报告出台)。审计人员完成调查后通常会召开一个退出会议,陈述和讨论自己发现并与受影响方探讨解决问题的办法。审计人员退出会议结束并离开受雇机构后才会向机构提交最终审计报告。这种做法可以免受压迫影响。
SOAR 、AI 、Threat Intelligence
安全编排、自动化与响应 (Security orchestration, automation, and response ,SOAR) 涉及一组技术允许组织自动化 响应某些事件。
机器学习是人工智能的一部分,指的是一个系统可以通过经验自动提高。ML 为计算机系统提供了学习能力。
机器学习系统(人工智能的一部分)众一组规则或指南开始。人工智能系统从无到有,逐步学习规则。然后它创建自己的算法学习规则并基于这些规则应用机器学习技术。
威胁情报是指收集潜在威胁的数据。它包括使用各种源以获得有关当前威胁的及时信息。许多组织都用它来狩猎消除威胁。
几十年来,军方一直使用杀伤链模型来破坏袭击。军事模式有很多深度,但简而言之,它包括以下阶段:
一些组织已经对军事杀伤链进行了调整,以创建网络杀伤链模型。例如,洛克希德 ·马丁公司创建了Cyber Kill Chain框架。它包括进攻的七个有序阶段;
若想了解更多关于Kill Chain的细节,可以参阅如下博主文章:
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作私营部门、政府以及网络安全产品和服务社区开发特定威胁模型和方法的基础。
ATT&CK框架包括两个部分:
若想了解更多关于ATT&CK的细节,可以参阅如下博主文章:
威胁源是与当前和潜在威胁相关的稳定原始数据流。比如通过RSS 订阅的博客内容。
威胁搜寻是在网络中主动搜索网络威胁的过程,而非被动等待传统的网络工具来检测和报告攻击。
多年前,攻击者通常在进入网络后立即造成损害。然而,许多攻击者现在试图尽可能长时间地留在网络中。作为一个例子,APT通常在网络中保持数月未被发现。
一种流行的威胁狩猎方法是使用杀伤链模型。
将常见攻击方法进行分析和特征提取,将攻击原理或者攻击对象分类抽象描述出来,形成通用的攻击方法我们称之攻击模式。如业界的常见攻击模式枚举和分类(Common Attack Pattern Enumerations and Classifications ,CAPEC),CAPEC是一个常见攻击模式的枚举和分类系统。它由MITRE公司开发,以CVE和CWE为基础,提供了公开的常见攻击模式列表和分类,旨在帮助安全专业人员更好地理解和应对常见的攻击模式。
CAPEC当前最新版本为 3.9,共收录了 559 种攻击模式,发布于2023年1月24号。
价值:
知攻才能防,攻击方式很多,攻击模式库可以帮助开发、设计、测试及安全爱好者快速了解常见的攻防方法和思路,为安全攻击(渗透测试、漏洞挖掘)和安全防御(安全设计、安全编码、安全配置)提供帮助。
CAPEC优点:
CAPEC缺点:
攻击模式库通用性强,攻击模式内容描述、缓解措施非常抽象,很难直接运用。
没有针对行业分类,如 Web、Android、IoT、 云安全等。
若想了解更多关于CAPEC的细节,可以参阅如下博主文章:
某些形式的攻击以缓慢、渐进的增量发生,而不是通过明显或可识别的尝试来破坏系统安全性或完整性。两种这样的攻击形式是数据欺骗和 salami 攻击。
攻击描述:是利用缓冲区溢出漏洞(可能会覆盖系统代码,允许攻击者在利用漏洞服务器上执行任意代码。)所进行的攻击行动,缓冲区溢出是一种针对操作系统、应用软件中广泛存在的攻击方式,攻击可以导致获取 shell权限或让程序运行失败、系统关机、重新启动等后果。
攻击场景:与缓冲区交互的编程语言中,如C/C++开发的系统,容易遭受缓冲区溢出攻击。
消减措施
攻击描述:命令注入(Command Injection),应用程序调用一些命令热行函数(如 system)进行相应功能操作时,对执行命令的参数未进行合法校验,最终实现通过易受攻击的应用程序在主机操作系统上执行任意命令(如任意删除/变更文件、添加账号、关机/重新启动等)。
攻击场景:系统中存在直接或者间接调用操作系统Shell/CMD的接口,且参数由外部可以控制。
消减措施:
攻击描述:程序中如果使用了未经校验的外部输入来拼接SQL语句,攻击者可以通过构造恶意输入来改变原本的SQL逻辑或执行额外的SQL语句,如拖库、获取管理员、获取 WebShell权限等。
攻击场景:系统中存在数据库的场景。
消减措施
轻型目录访问协议(Lightweight Directory. Access Protocol,LDAP),是一种通讯协议,LDAP支持TCP/IP, 默认的端口是389,加密的端口是636。 LDAP本质就是一个采用了树来存储数据的数据库,查询速度极快。
OpenLDAP默认情况下会明文保存用户名和密码。
LDAP具有特定的查询结构,并具有特定的语法,来对特定目录进行遍历。LDAP注入攻击和SQL注入攻击类似,利用用户输入的参数生成LDAP查询,由于部分参数没有适当的过滤,因此攻击者可以注入恶意代码以造成恶意攻击。
XML 注入攻击和SQL 注入攻击的原理 一 样,利用了XML 解析机制的漏洞,如果系统对用户输入"<"
,">"
没有做转义的处理,攻击者可以修改XML 的数据格式,或者添加新的XML 节点,就会导致解析XML 异常,对流程产生影响。
外部实体 (XML Externai Entity,XXE) 注入攻击,由于程序在解析输入的XML 数据时,解析了攻击者伪造的外部实体而引发的攻击者利跨用站外脚部本实体的引用功能可实现对任意支件的读取。
攻击描述:提权提升是黑客常见的攻击方法,攻击可以利用无权限或低权限,通过设计、配置、编码漏洞获取到更高的权限。
攻击场景:系统中存在不同权限级别,如操作系统中存在普通用户和 Root用户、Web 系统存在普通用户和管理员用户。
消减措施
权限提升**
权限提升常见方法之一使用rookit, 可从网上免费下载,它利用OS 已知的漏洞可让攻击者通过社会工程学或密码攻击获得 的普通账号提权到 root 级别。
攻击描述:暴力破解又称穷举法,是一种针对资产(信息、功能、身份)密码/认证的破解方法,是常见的攻击方法,攻击可 以导致非法获取他人认证信息(如密码),通过密文获取明文密码等。
攻击场景:所有认证鉴权的场景都需要分析被暴力破解的风险。如管理协议暴力破解(如SSH、Telnet、RDP等)、业务场景 暴力破解(如登陆、身份识别)、关键资源(如SessionID)、 密文等。
消减措施
彩虹表(散列值,如/etc/shadow)
密码猜测攻击(常用密码(如生日、电话号码、姓名))
检测时间to使用时间TOCTOU(Time Of Check/Use)是一个时间型漏洞,当月程序检查访问许可权限的时间远早于资源请求 的时间,就会出这种问题。举例:
管理员取消了某个特殊权限,但这个限制只有在用户下次登录时才生效,那么已经登录在的用户主能继承访问资源。 后门允许开发人员绕过正常的访问控制且未记录在公开文档中的命令。
目录遍历 (file path traversal, 又称文件路径遍历),攻击者可以读取运行应用程序的服务器上的任意文件和目录,包括 应用程序代码和数据、凭据以及敏感的操作系统文件;某些情况下,攻击者可能写入服务器上的任意文件,从而控制服务器。
根本原因:
Web 服务器或者应用程序对用户输入的文件名称或路径缺少验证而导致。例如没有充分过滤用户输入的../
目录跳转符。
防御:
文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文 件使用硬编码, 一般是不会出现安全问题,但是有时可能不确定需要包含哪些具体文件,所以就会采用变量的形式来传递需要包含的文件,但是在使用包含文件的过程中,未对包含的变量进行检查及过滤,导致外部提交的恶意数据作为变量进入到 了文件包含的过程中,从而导致提交的恶意数据被执行。
文件包含漏洞分为:
跨站脚本攻击 (Cross-site scripting,XSS), 允许恶意用户将代码注入到网页上,恶意代码被执行,破坏用户与网页的正常交互。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。
攻击描述:攻击者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。
攻击形式:反射型跨站脚本攻击、存储型跨站脚本攻击、 DOM 跨站攻击
攻击场景:客户端必须能执行脚本语言,比如Javascript, 服务端存在输入校验的漏洞,没有做输出编码。
消减措施
恶意脚本在当前请求中
恶意脚本存储在网站数据库中,如
<p>Hello everyone,</p>
<p>I am planning an upcoming trip to <A HREF=
'https://www.mlb.com/mets/ballpark'>Citi Field</A> to see the Mets take on the
Yankees in the Subway Series.</p>
<p>Does anyone have suggestions for transportation? I am staying in Manhattan
and am only interested in <B>public transportation</B> options.</p>
<p>Thanks!</p>
<p>Mike</p>
<SCRIPT>alert('Cross-site scripting!')</SCRIPT>
一些XSS攻击特别狡猾,通过修改用户浏览器中的文档对象模型 (DOM) 环境。这些攻击没有出现在网页的HTML代码中,但 仍然非常危险。
防御:
CSRF(Cross-site request forgery,跨站请求伪造),用户在非自己本意的情况下,页面访问了非本站点的请求。
防御:
服务侧请求伪造(Server-Side, Request Forgery,SSRF)指攻击者利用漏洞诱使服务器端应用程序向攻击者选择的任意域 发出HTTP 请求。(主要目标为从外网无法访问的内网系统)
根本原因: 服务端提供了从其他服务器应用获取数据的功能,未对用户可控的目标地址进行过滤与限制;存在缺陷的web应用成为了攻 击远程和本地服务器的代理。
常见功能点:分享功能(url 地址)、转码服务、在线翻译、图片加载与下载、网站采集抓取、收藏功能等等;
防御:
硬件攻击主要是二方面, 一是底层软件,二是硬件器件。
攻击描述:硬件攻击的目标侧重于计算系统中使用的物理硬件的芯片、电路板、设备端口或包括计算机系统及嵌入式系统在 内的其他组件的破坏、替换、修改和利用。仿冒GPS 信号是其中一种攻击方法
攻击场景:通过GPS 信号来执行关键操作,如攻击无人机。
消减措施(针对案例)
攻击描述:通过注入故障,诱导芯片改变执行流程或强迫芯片产生异常输出,对异常输出进行推理和分析,可获得密码算法密钥,常见的故障注入方法有:时钟故障注入、电压故障注入、电磁故障注入、激光故障注入等。
攻击场景:需要近距离物理接触。
消减措施:物理防护。
攻击描述:
利用设备的接口对芯片进行电磁和功耗的分析,无需对芯片进行破坏。攻击与具体的实现有关,因此不是通用的,但比古典密码分析更强大,能够在极少的时间内攻破密码系统,被认为是对密码实现设备的严重威胁。
评估AES 等密码算法过程中,密码学界就达成共识,即使密码算法对传统密码分析是安全的,但如果不能安全的实现,该算法也是无用的。
消减措施(消除或降低侧信道信息与密钥的相关性):
DES 密码算法案例:差分能量分析 (Differential Power Analysis,DPA)
因为计算机硬件是由各种电子元件构成的,许多计算机硬件设备在正常操作期间都会发射电磁(Emit Electromagnetic, EM)辐射。与其他计算机或外围设备通信的过程中产生的电磁波可以被拦截。通过拦截和处理来自键盘和计算机监视器的电磁辐射,甚至可重新创建键盘输入或 监视器输出的数据。你还可在数据通过网段时被动地检测和读取网络数据包(即实际上不用电缆连接)。这些辐射泄漏可能会导致严重的安全问题,但通常很容易解决。
有几种TEMPTEST技术可防止EM辐射窃听。这些包括:
攻击描述:攻击者监视公共或内网之间的网络流量,通过网络嗅探流量,可能会获取到被攻击者的机密信息,如未加密协议的认证信息。
攻击场景:存在未加密的通讯协议中,如RDP、Telnet、SMB、HTTP、VNC、MySQL 等协议。
消减措施
产品设讦过程需要分析和识别不安全协议,尽量使用安全的协议代替,针对兼容场景默认不启用不安全协议。如FTP->SFTP、
HTTP->HTTPS 等,同时规避低版本协议和不安全套件都会导致潜在安全风险,如 SSLv2、SSHv1等,以及 RC4等不安全加密 算法。
产品设计时需要考虑网络隔离风险,如二层、三层隔离。
攻击描述:
中间人攻击 (Man-in-the-MiddleAttack, 简称 “MITM 攻击”)是一种“间接”的入侵攻击,中间人攻击技术要 求远高于其他攻击,即要在客户端面前装扮服务器,又要在服务器侧面前装扮客户端。当两组件通讯时就可以获取到所有通 讯信息,这类攻击可导致信息泄漏、内容篡改、越权等安全风险。
攻击场景:此类攻击的目标是两个组件(通常是客户端和服务器)之间的通信。
涉及技术:
消减措施:
攻击描述:供应链攻击是通过操纵计算机系统硬件、软件或服务来破坏供应链生命周期,以进行间谍活动、窃取关键数据或 技术,破坏关键任务或基础设施。供应链中植入恶意软件是其中一种攻击方法。
攻击场景:在系统离开制造商之后但在部窘在受害著位置之前对系统进行物理访问。
消减措施:
案例:
典型的社会工程学攻击为钓鱼攻击。具体细节如下:
攻击描述:社会工程学是黑客凯文.米特尼克悔改后在《欺骗的艺术》中所提出的,是一种是利用人的薄弱点,通过欺骗手段 而入侵讦算机系统的一种攻击方法。钓鱼攻击是社会工程学攻击的一种方式。
攻击场景:攻击者需要与受害者建立联系,会访问共同的资源,如邮件、手机、搜索网站等。
消减措施
攻击案例
2015年12月,乌克兰电力区域被攻击,导致遭遇了大规模停电。后分析攻击入口就是通过邮件钓鱼攻击从而被植入木马。
典型方式 | 描述 |
---|---|
仿冒软件 | 1、冒充银行的网站,网站页面和内容与银行几乎相同。 2、冒充系统管理软件,如2015年中文版本Putty事件 |
相似域名 | 工行 www.Icbc.com->假冒 www.1cbc.com I |
内容诱惑 | 美女视频,图标是视屏,实际为可执行文件的木马; 免费资源自标范围内故意丢下带木马的U 盘; 免费WIFI热点。 |
钓鱼攻击 | 攻击方法群发邮件、污染缓存、伪造短息、伪造邮件来源、搜索推广、利用漏洞钓鱼攻击、先渗透再钓鱼 |
攻击描述:信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运 行等方面,是信息系统安全运行的基本保障。
攻击场景:需要近距离物理接触。
典型攻击方式:
案例:
主控单板串口供生产及维修过程使用,攻击者通过物理接触后,通过跳线连接串口,然后访问操作系统Shell。
射频识别,RFID(Radio Frequency Identification)技术,又称无线射频识别,是一种通信技术,可通过无线电讯号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。射频的话,一般是微波,1-100GHz, 适用于短距离识别通信。
如果能收到目标IP的Ping响应,则可获知:
主机名是通过DNS查找显示的,而通过防火墙允许的ICMP类型不是通过仅执行ping显示的。ICMP可以用于路由器广播,但ping不会显示它们!
利用Nmap探测网络中存活主机系统并确定其上运行的服务(如telnet 服务,端口号23)
Nessus、GSM、RSAS、OpenVAS、Nexpose 等工具
僵尸网中的计算机就像是机器人(亦称为僵尸)一样依照攻击者(亦称僵尸牧人)的指令做任何事情,计算机往往会在感染 了某种恶意代码/软件后加入僵尸网络。防御如下:
拒绝服务(DoS) 攻击阻止系统处理或响应对资源的合法访问或请求。攻击形式有:
分布式友射型拒绝服务(DRDoS), 借助一种方法来反射攻击,它不直接攻击目标,而是操纵流量或网络服务使攻击反射到目标。(如DNA投毒攻击、 Smurf攻击)
SYN Flood 攻击是一种常见DoS攻击形式。攻击者利用三次握手协议原理,发出多个SYN 包,但是绝不用ACK 包完成连接。利用SYN cookie和缩短服务器等待ACK 的时间(默认3分钟)可以阻止这种攻击。
TCP协议在三次握手的过程中设置了一些异常处理机制:
漏洞:因为服务器资源有限,可以维护的 SYN RECV 状态超过极限后就不再接受新的 SYN 报文,也就是拒绝新的 TCP 连接建 立。这就是一个漏洞。
TCP复位攻击:攻击者在RST 包中假造源 IP地址并切断活跃会话,两个系统需要重新建立会话,系统需要重新创建数据消耗大量资源;
Smurf(蓝精灵)和Fraggle攻击都属于DoS攻击。Smurf攻击是分布式拒绝服务(DDoS)攻击的一种形式,该攻击会导致计算机网络停止服务。Smurf程序通过利用互联网协议(IP)和互联网控制消息协议(ICMP)的漏洞来实现其目的。ping包含一个重定向函数,允许将回显响应发送到写源系统不同的自的地。
1、恶意软件创建网络包
使用Smurf恶意软件,攻击者创建链接到欺骗性IP地址的ICMP回显请求。假IP实际上是目标服务器的IP。所以当回显请求返回时,它会去往目标而不是攻击者。
2、ICMP ping消息发送到目标IP地址
然后将ICMP ping消息发送到目标IP广播网络,该网络将消息中继到连接到网络的所有设备。请求接收数据包的设备向 欺骗的IP地址发送回响应。
3、持续的“回声”使网络瘫痪
目标服务器从网络上的所有设备接收连续的回复,这些回复再次从服务器发回。这种无限循环称为“回声”,会淹没网络并无限期地关闭它。
使用限制:
由于路由器等三层设备本身就不会转发目的地址是广播地址的报文,因此Smurf攻击在网络上很难形成攻击。
消减措施:
Fraggle攻击是Smurf攻击的一种变体。这种攻击本质上与Smurf攻击相同,但它不会向直接广播地址发送ICMP回声请求,而是会发送UDP数据包。在应对Fraggle攻击时,可以采取与上述相同的方法来减轻影响。
Ping Flood 攻击使用ping 请求淹没受害者。
防御:拦截ICMP通信流;
根据微软的统计数据, 一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求。
正常 ping包通常只有32位或64位,死亡ping攻击将ping包的大小必到64KB以上,超出许多系统的处理能力。最终会导致被攻击目标缓冲区溢出,引起拒绝服务攻击。有些时候导致telne和http服务停正,有些时候路由器重启。
ping of death攻击在ICMP回显请求数据包的有效负载中放置了超过规范允许的数据。这类似于现代的缓冲区溢出攻击,攻击者试图在目标系统的内存中放置更多的数据,而目标系统的存储器消耗的空间比分配给该数据的空间更多。
限制:由于补丁更新,死亡Ping攻击如今已经很难得逞
大数据包通过网络发送时,通常会拆成较少的片段,接收系统收到后再将数据包片段重新组合成原始包。 泪滴攻击会把这些数据包打碎,致命系统无法恢复,旧系统遇到这种情况时就会崩溃。
限制:补丁更新已经解决了此问题。
攻击者把受害者的 IP地址即用作源IP又用作目标IP,以这种方式向受害者发送欺骗性SYN 包。LAND攻击诱骗系统不断回复自己,最终导致系统崩溃或重启。
防御:
许多形式的恶意软件利用了Oday,漏洞(黑客发现的安全漏洞还没有安全社区彻底解决),主要原因有:
防御:
恶意软件指在计算机上执行有害、未经授权或未知活动的任何脚本或程序。恶意代码存在多种形式,其中包括病毒、蠕虫、 木马、内含破坏性宏的文档、逻辑炸弹等。
病毒、特洛伊木马依靠用户对计算机的不当使用在系统间传播
最令安全管理员头疼的恶意软件形式。
主引导记录病毒 (Master Boot Record,MBR)是已经最早的病毒感染形式。
MBR病毒将主要的代码保存在存储介质的其他部分,系统读取受感染的MBR 时,病毒会引导系统读取并执行存储在其他地方 的代码,从而将病毒加载到内存。
感染不同类型的可执行文件,并在0S 执行文件时被激活。
宏是某些应用程序为了自动执行重复任务而实现了某些脚本功能,宏被感染可成为宏病毒。
将自己注入到可信的系统进程中,如explorer.exe。
逻辑炸弹感染系统并且在满足指定逻辑条件(如时间、程序启动、 Web 站点登录等)前保持休眠状态的恶意软件。许多病毒和特洛伊木马都包含逻辑炸弹组件。
特洛伊木马伪装成有用的程序(如游戏),但实际上在后台运行恶意代码。
不需要人为干预就可以自己传播。
广告软件虽然在形式上与间谍软件非常相似,但有不同的用途。它使用多种在受感染的计算机上显示广告的技术。最简单的广告软件形式是当你上网时,在屏幕上显示弹出广告。更邪恶的版本可能监控你的购物行为,并将你重定向到竞争对手的网站。
间谍软件和广告软件都属于一类被称为潜在有害的软件程序(potentially unwanted programs/applications,PUPs/PUAs),用户同意在其系统上安装的软件,但会执得角户呆希望或朱授权的功能。
间谍软件监视用户的操作并将重要细节传输到远程系统。
勒索软件是一种将加密技术武器化的恶意软件。
员工对自己供职的机构实施破坏的一种犯罪行为。(员工对组织不满或离职后访问权限依然保留时最容易出现蓄意破坏)
收集组织专用、私密、敏感或机密信息的恶意行为。许多间谍案件可以追溯到由国家资助的高级持续威胁 (APT)。
防御:严格控制对所有非公开数据的访问、对应聘者进行彻底审查以及有效跟踪所有员工的活动。
重新配置系统使用其具有可信系统的IP,然后试图获得其他资源的权限,防御如下:
常用劫持技术:
系统恢复与容错的主要目标是消除单点故障 (Single Point Of Failure,SPOF) 导致整个系统崩溃。
RAID包括两个或以上磁盘,常见配置如下:
注意:大多数基于硬件的阵列支持热插拔,冷插拔的RAID要求关机后才能更换损坏的驱动器。
可通过故障转移集群含两个或以上的服务器,如果其中一台故障,集群中的其他服务器可通过故障转移技术接管其负载。
不间断电源 (UPS)、 发电机或它们两者结合提供容错能力。
系统可被预置成在损坏后处理故障防护或应急开放状态。两者区别在于是注重安全性还是可用性。
4 种受信恢复:
服务质量(Quality of service,QoS) 控制能够保护负载下的数据网络的完整性。关键指标有:
DRP首先标识业务单元,确定优先顺序,最终输出一张业务单元的优先级列表。列表中最好包含:
如果培训预算允许,对主要员工进行危机培训是个好方法,至少能确保有一些员工知道如何用正确的方法处理紧急情况,并 对那些受到灾难恐吓的同事起到重要的现场领导作用。
灾难来袭时,组织能在内部与外部之间进行通信。
在设计灾难恢复计划时,重要的目标是将工作组恢复到日常工作中来。
主站点不可用时要使用的备用站点。
1. 冷站点
只是备用设施(如仓库、空的办公大楼),没有预先安装计算基础设施,没有可供使用的网络线路。
2. 热站点
有固定的被维护的备用工作设施,并附带完备的服务器、通信线路,并已经安装了OS 和 APP。主站点服务器上的数据会定期 或持续复制到热站点中对应的服务器上。
3. 温站点
介于冷站点与热站点之间,是灾难恢复专家可选择的中间场所,与热站点不同的是,它不包含生产数据。灾难发生后将其激活需要12小时以上。
4. 移动站点
移动站点属于非主流方案, 一般会配置为冷站点或温站点。
5. 服务局
服务局是出租计算机时间的公司。
6. 云计算
按需提供服务,如华为云、 AWS。
相互援助协议 (Mutual Assistance Agreement,MAA), 两个组织承诺在灾难发生时通过共享计算设施或其他技术资源彼此 援助。
有以下缺点导致很难实施:
1. 电子链接(electronic vaulting)
数据库备份通过批量传送方式转移到远处场所(如热站点)。
2. 远程日志处理
更快的方式传输数据,通常为每小时或更短
3. 远程镜像
最先进的数据库备份方案。主库数据修改远程服务器同时收到副本。
4. 事务日志记录
不仅仅是一种恢复技术,它是一个生成远程日志中使用的日志的过程。
DRP中应包括一份人员名单,以便在发生灾难时进行联络。他们承担关键灾难恢复任务。
DRP 团队到达现场时首要任务是评估现状。
三种主要备份类型:
差异备份还原时间短,但创建备份所需时间比增量备份长。
软件托管协议下,软件开发商将应用程序的源代码副本提供给独立的第三方组织,如果开发商无法满足SLA 或公司破产,第三方将向最终用户提供此副本。
电力、水等
与BCP一样,对所有涉及DRP的人员进行培训十分重要,DPR需要进行完整文档记录并标记为极其敏感文档。
将人员部署到替换的恢复场所并实施场所启用的过程,不会中断主要设施的运营,属于并行状态。
非常难执行,通常会遇到来自管理层阻力。
DRP是一份灵活的文档,随时组织需求的变化,DRP 需要修改以适应变化。
1. 行政调查
行政调查属于内部调查,它检查业务问题或是否违反组织的政策。
2. 犯罪调查
犯罪调查通常由执法者进行,是针对违法行为进行的调查。
3. 民事调查
民事调查通常不涉及执法,而是涉及代表法律团队工作的内部员工和外部顾问
4. 监管调查
政府机构在认为个人或企业可能违法时会执行监管调查。监管调查一般由政府工作人员执行。 一些监管调查可能不涉及政府 机构而是基于行业标准,如 PCI DSS。
5. 电子发现
在法律诉讼中,各方都有义务保存与案件相关的证据,并通过发现过程与诉讼中的对手共享信息。该发现过程适用于纸质记录和电子记录,电子发现(或电子发现)过程促进了电子信息披露的处理。电子发现参考模型 (EDRM) 从九个方面描述了进行电子发现的标准过程:
满足以下三个要求:
To be admissible, evidence must be relevant, material, and competent.
涉及所有处理证据的人,维护证据链时,应该记录以下信息:
计算机证据国际组织(International Organization on Computer Evidence,IOCE) 给出了 6 条原则:
1. 介质分析
取证磁盘控制器执行四个功能:
出于取证目的对硬盘驱动器进行审查就是媒体分析的一个例子。
2. 网络取证分析
3. 软件分析
4. 硬件/嵌入式设备分析
两个因素考虑是否要请求执法机构介入:
主要原则:
如果证据在收集过程中发生变更,就会被法院驳回。
Linux工具dd创建了一个非常适合取证使用的目标驱动器的逐位副本,并且dd的特殊取证版本可以提供更多的取证功能。
每一项调查都应提交一份最终报告,记录调查的目标、程序、收集的证据以及调查的最终结果。
APT增多,攻击者有雄厚资金、先进技术和丰富资源,他们代表国家、恐怖组织等,对非常具体的目标进行有效攻击。
用于获取公司机密信息。
用于非法获得钱财和服务。
目的是中断正常的生活并制造恐怖攻击的气氛。
动机通常源于不满发起的攻击。
通常由菜鸟发起,又被称为脚本小子。
(ISC)² 道德规范:
RFC 1087 说明了怀有以下目的的行为是不道德的:
前期回顾:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。