第二章 風險分析
- 風險管理
- 評估:確定并評估系統中存在的風險
- 分析:分析風險對系統產生的潛在影響
- 回應:規劃如何回應風險的策略
- 緩解: 緩解風險對未來安全造成的不良影響
- 風險分析流程
- 資產確定
- 漏洞確定
- 威脅評估
- 可能性量化
- 影響分析
- 應對措施確認
- 風險分類:
- 自然
- 人為
- 系統
- 風險計算 :ALE(年度損失預期, annual loss expectancy) = SLE(單一損失預期,single loss expectancy)* ARO(年發生率,annual rate of occurrence)
- Single Loss Expectancy (SLE) = AV(asset value) x EF(exposure factor)
- 風險回應的技巧
- 接受 :承認并接受該風險及其帶來的損失
- 轉移:第三方,比如保險公司
- 避免:消除風險的來源
- 緩解: IDS等
- 風隙訓解和控制型別:
- 技術控制:防火墻
- 管理控制: 用流程監控組織安全策略的服從情況
- 操作控制: 保護日常業務操作
- 損失控制: 滅火器、灑水系統
- 變更管理(change Management):批準并執行變更的系統性方法,以確保資訊技術服務達到最佳的安全性,穩定性,可用性,
- 分析:
- 變更的需求
- 變更的型別
- 組織文化
- 計劃:
- 變更的角色
- 變更的職責
- 解決阻力
- 實施:
- 管理過渡階段
- 確定采用變更
- 執行專案之后的審核
- 分析:
- 業務影響分析(business impact analysis| BIA):用于確定組織風險及其對持續性任務關鍵型的業務與流程產生的影響
- 關鍵流程的優先級
- 可承受停機時間的預估
- 財務損失的影響
- 需要恢復的資源
- 效率降低的可能性
- 關鍵系統和功能相對重要性的方法
- 最大可承受停機時間(MTD):限制了企業恢復運營所需的恢復時間
- 平均故障時間(MTTF):設備或組件預計運行的平均時間
- 平均修理、更換時間(MTTR):設備或組件從事件或故障中恢復所需的時間
- 平均故障間隔時間(MTBF):設備或組件中發生故障的預計時間間隔
- 恢復時間目標(RTO):事件發生后恢復正常業務操作和活動的時間長度
- 恢復點目標(RPO):組織能承受的丟失資料不可恢復的最長時間
- 將MTTF和MTTR相加也可以計算出MTBF
第三章 確定安全威脅
-
攻擊者的型別
- 黑客和攻擊者
- 白帽:文明入侵
- 黑帽:惡意入侵
- 威脅執行者:
- 腳本小子(script kiddie):依賴工具進行攻擊的黑客,新手
- 電子活動家,黑客行為主義者(hackivist):為實作政治或者社會變革
- 有組織的犯罪:計劃進行犯罪活動的個人小組
- 民族國家:政府情報機構經常使用不同型別的威脅來實作他們的政治和軍事目的
- 內部人員:目標組織內部人員
- 競爭對手: 獲取了商業競爭對手敏感資訊訪問權限的組織
- 威脅執行者的屬性判斷維度:
- 內部還是外部
- 復雜程度
- 資源/資金
- 意圖/動機
-
社會工程(social engineering)攻擊
- 網路釣魚:基于電子郵件的社會工程攻擊
- 魚叉式釣魚:選定了特定的目標
- 捕鯨(Whaling):選擇高價值的目標的魚叉式釣魚
- 語音釣魚(vishing)
- 短信釣魚(Smishing)
- 物理利用
- 肩窺(shoulder surfing)
- 垃圾搜尋(Dumpster diving)
- 跟隨進入(Tailgating):在合法員工不知情不允許的情況下跟隨進入
- 捎帶(Piggy backing):在員工允許的情況下進入安全區
- 水坑攻擊(waterring hole attack):在目標經常訪問的網站中注入惡意代碼
- 網路釣魚:基于電子郵件的社會工程攻擊
-
確定惡意軟體
- 惡意代碼:不受歡迎或者未經授權的軟體,在目標系統中破壞系統或將系統資源重定向以實作攻擊者的利益,
- 病毒(virus):可以將自己附加在其他檔案中,通過自我復制從一臺計算機中傳播到另一臺中的惡意代碼片段
- 蠕蟲(worm):一種惡意軟體,能在感染系統之間進行自我復制,但是它不需要人的行為就能進行復制,也不需要附著在其他程式或檔案中
- 廣告軟體(Adware):自動顯示或者下載未經請求廣告的軟體
- 間諜軟體(spyware):秘密安裝的惡意軟體,目的是為了跟蹤并報告目標系統的使用情況,并收集攻擊者希望獲取的其他資料
- 特洛伊木馬(Trojan horse):是一種惡意軟體,會對系統造成破壞或為攻擊者提供監控和控制系統的平臺
- 鍵盤記錄器(keylogger):用于識別并記錄用戶進行的每次擊鍵行動的硬體設備或軟體程式
- 遠程訪問木馬(remote access Trojan/RAT):為攻擊者提供目標計算機的未授權訪問和控制
- 邏輯炸彈(logic bomb):在目標計算機中保持休眠指導被某個特定事件激活的代碼片段
- 僵尸網路(botnet):被bot程式控制感染的一組計算機
- 勒索軟體(Ransomware):感染后限制受害者對主機及其資料的訪問
- 高級持續性攻擊(advanced persistent threat/APT):使用多個攻擊向量來獲取敏感資源的未授權訪問,然后在長時間段內保留訪問權限
-
基于軟體的威脅
- 軟體攻擊(software attack):針對軟體資源、包括作業系統、應用程式、訪問、協議和檔案得任何攻擊,
- 密碼攻擊(password attack):攻擊者嘗試獲取密碼的未授權訪問或使用,
- 猜測
- 偷竊
- 字典攻擊
- 暴力破解(Brute force attack)
- 彩虹表(rainbow table attack)
- 生日攻擊
- 加密攻擊:是一種軟體攻擊、利用了代碼、密文、協議、密鑰管理系統等加密系統元素中的缺陷
- 已知明文攻擊(KPA)
- 選擇明文攻擊(Chosen plaintext attack)
- 唯密文攻擊(ciphertext-only attack)
- 選擇密文攻擊(chosen ciphertext attack)
- 降級攻擊(Downgrade attack)
- 重放攻擊(Replay attack)
- 后門攻擊(backdoor attack):攻擊者通過創建一個叫做后門的軟體機制獲取計算機訪問權限
- 應用程式攻擊(application attack):針對網頁或者其他C/S架構的應用程式軟體的攻擊
- 跨站腳本(XSS)
- 跨站請求偽造(CSRF)
- 命令注入:
- SQL注入
- LDAP注入
- XML注入
- 目錄遍歷(Directory traversal)
- 零day
- 緩沖區溢位(buffer overflow)
- 驅動器操縱(driver manipulation):攻擊者重寫或者替換合法設備的驅動器或應用程式編程介面(api)
- 插片(Shimming)在應用程式和作業系統之間開發并應用額外的程式的程序
- 重構(Refactoring)重新構建應用程式代碼
- 權限擴大
- 縱向權限擴大
- 橫向權限擴大
-
確定基于網路的攻擊
- 常識,略
-
無線威脅
- 欺騙訪問點(rogue access point):企業或私有網路中的未授權無線訪問點
- 雙面惡魔(evil twin):欺騙用戶相信無線網路中的訪問點是合法的
- 干擾(jamming):無線電波擾亂802.11無線信號的一種攻擊
- 藍牙劫持(bluejacking):向其他啟用藍牙功能的設備中發送不想要的藍牙信號的方式
- 藍牙竊聽(bluesnarfing):在通信范圍內(1類100米)獲取使用藍牙連接中的未授權資訊的訪問權限
- 近場通信(NFC)
- 無線電射頻識別系統(RFID):使用電磁場來自動識別或者跟蹤附加在選定物件上存盤了有關物件資訊的標簽或者芯片
- 戰爭駕駛(war driving)或者戰爭漫步(war walking):用智能手機平板等無線跟蹤設備搜索無線網路實體的行為
- 資料包嗅探(packet sniffing)
- IV攻擊
- 無線重放
- WEP和WPA攻擊
- WPS攻擊:對8位數字的暴力破解,先破解前4位,再破解后3位,最后一位是校驗和
-
物理威脅
- 硬體攻擊(hardware attack):對計算機物理組成和外圍設備的攻擊
- 鍵盤記錄攻擊
- 環境威脅和漏洞:
- 火災
- 颶風和臺風
- 洪災
- 極端溫度
- 極端濕度
第四章 執行安全評估
- 確定漏洞
- 軟體漏洞
- 0 day
- 不合理的輸入處理
- 不合理的錯誤處理
- 資源耗盡
- 競爭狀態(race condition)
- 記憶體漏洞:
- 記憶體泄露
- 緩沖區溢位
- 整數溢位
- 指標解參考
- DDL注入
- 加密漏洞
- 網路架構漏洞
- 賬戶漏洞
- 操作漏洞
- 軟體漏洞
- 評估漏洞
- 安全評估(security assessment) :通過一組綜合性的技術測驗安全控制程序,暴露出你的工具、技術、服務和操作中的任何熱點或者差距
- 安全評估技巧:
- 審核基線報告(baseline report):基線報告是一組被應用到組織中特定系統或網路的安全和配置設定集合,譬如使用
- code review:可以手動分析、也可以使用自動原始碼分析工具
- 確定攻擊面(attack surface):所有可能暴露給攻擊者并被利用的專案組合,
- 安全架構審核:對組織當前安全基礎架構模型的評估
- 審核安全設計:使用結構化的審核結果
- 漏洞評估工具:
- 漏洞掃描器
- 埠掃描器
- 協議、資料包分析器
- 指紋識別工具(fingerprinting):也叫標志提取(banner grabbing)
- 網路列舉器
- 密碼暴力破解工具
- 備份工具
- 蜜罐
- 誤檢(false pasitive):掃描器確定漏洞,但實際不是漏洞
- 漏檢(false negative):工具確定某個專案不是漏洞,而實際是漏洞
-評估漏洞的準則:- 考慮主機的作業系統和平臺是如何進行配置的
- 不要依賴默認的主機配置來獲得最佳安全性
- 創建與你的安全需求相對應的自定義主機配置
- 思考軟體中的零日漏洞是如何顯著增加攻擊風險的
- 思考組織開發或者使用應用程式是如何受到不合理輸入處理和記憶體問題等漏洞的影響的
- 思考使用過時的密碼套件是如何危害網路流量加密的
- 評估你的數字證書中的錯誤配置,如無效的格式編排
- 評估加密密鑰管理系統中是否存在可能是攻擊者更容易訪問私鑰的弱點
- 思考你的網路架構是如何使攻擊者更容易地獲得訪問權限或者發動拒絕服務狀況的
- 思考錯誤配置的用戶、計算機賬戶是如何造成威脅的
- 確定組織中極易受到社會工程攻擊的任何用戶,因此需要對這些人員進行培訓
- 確定任何缺乏有效規劃的關鍵業務流程,如壽命末期(EOL)流程等
- 思考系統延伸和未登記資產是如何使組織中的所有要素變得更難保護
- 安全評估技巧:
- 安全評估(security assessment) :通過一組綜合性的技術測驗安全控制程序,暴露出你的工具、技術、服務和操作中的任何熱點或者差距
- 實施滲透測驗(penetration test)
- 滲透測驗的技巧:
- 偵察:主動(掃描)、被動(社工)
- 初步利用:獲取網路訪問權限、獲得內部證書賬號等
- 權限擴大
- 跳板(Pivoting)
- 維持(persistence)
- 盒測驗方法:
- 黑盒測驗
- 灰盒測驗
- 白盒測驗
- 滲透測驗工具
- 利用框架
- 資料清除工具
- 資訊隱藏工具
- 社交工程工具
- 壓力測驗工具
- 滲透測驗的技巧:
第五章 實作主機和軟體的安全性
-
實作主機的安全性
- 加固(hardening):修改系統的默認配置來關閉漏洞,從整體上保護系統不受攻擊,
- 作業系統加固技巧:
- 與最低權限原則類似,確保作業系統符合最少功能原則
- 通過系統基于主機的防火墻禁用任何不必要的網路埠
- 禁用運行在系統上的任何不必要的服務
- 充分利用供應商或者行業認可的組織提供的任何安全配置來加強系統的防御能力
- 禁用系統上的任何默認賬戶,使攻擊者無法通過這些賬戶獲取訪問權限
- 強制要求用戶更改掉分配給他們的默認密碼
- 執行補丁管理服務,以便能夠更高效的管理所有軟體和服務的自動更新和補丁
- 可信計算基礎(TCB):計算機系統中用于負責確保安全策略得到實施,系統安全性得到保障的硬體、韌體和軟體的組成部分,
- 可信OS:滿足TCB安全要求的作業系統
- 依據通用標準(common vriteria /CC)來檢查系統是否滿足特定標準,
- 被評物件被分為1-7級的評估保障等級(evaluation assurance level/EAL)
- 硬體和韌體安全
- BIOS/UEFI:基本輸入輸出系統(BIOS)、同一可擴展韌體介面(UEFI),作業系統啟動初始化硬體
- 信任根和HSM:信任根,通過使用能保持資料機密性和防止被篡改的加密機制,實施硬體平臺的可信計算架構的技術,硬體安全模塊(HSM)是一種能提供信任根功能的物理設備- TPM:可信平臺模塊,是一種安全加密處理器,用于生成加密密鑰
- 安全啟動和遠程認證:安全啟動是一種UEFI功能,在操作程序中阻止不想要的行程執行,UEFI采用啟動加載程式的加密散列來確保其完整性,TPM為啟動散列簽名,然后發送遠端進行認證,
- FDE/SED:FDE:基于硬體的全磁盤加密,使存盤設備在硬體層面進行加密,避免依賴軟體解決方案
- EMI保護:電磁干擾保護,避免被未授權用戶接收到電磁輻射來獲取敏感資料
- EMP保護:電磁脈沖保護,電磁脈沖可能破壞設備硬體
- 供應鏈安全:
- 供應、制造、分配、最終向消費者發布商品和服務的端到端程序
- 安全基線
- 一組應用到組織中特定主機上的安全和配置設定
- 軟體更新
- 補丁(Patch)
- 熱修復(Hotfix),緊急發布的補丁
- 匯總(rollup),以前發布的補丁和熱修復的集合
- 服務包(server packet)
- 黑白名單
- 黑名單:阻止特定程式
- 白名單:允許特定程式
- 防惡意軟體:
- 防病毒(antivirus)
- 防垃圾郵件(Anti-span)
- 防間諜軟體(Anti-spyware)
- 彈出視窗阻止程式(Pop-up blocker)
- 基于主機的防火墻(Host-based firewall)
- 高級防惡意軟體:
- 端點保護
- 惡意軟體沙盒(malware sandbox)
- 逆向工程(reverse engin)
- 硬體外圍設備的安全:
- 無線鍵盤和滑鼠:無線干擾觸發擊鍵行為
- 顯示:如智能電視
- 外部存盤設備:嚴格控制諸如usb之類設備的接入
- 列印機和多功能設備:自動清除快取
- 攝像頭和麥克風:高敏感度的主機不應當允許此類設備的接入
- 嵌入式系統:
- ICS/SCADA:工控系統(ICS)主要用于監控和資料采集(SCADA),安全性差,私有協議實作通信,普通網路中的防護設備無效
- 微型控制器:嵌入式系統和CPU、記憶體模塊、外圍設備的組合
- 實時作業系統:(RTOS)
- 智能設備:有自主計算屬性的電子設備
- IOT:物聯網
- 攝像系統
- 特殊用途系統
- 保護主機的準則:
- 實時跟進作業系統供應商的安全資訊
- 在作業系統中應用安全設定,禁用不必要的服務
- 為系統創建安全基線,提高加固程序的效率
- 將基線與當前主機配置對比
- 考慮實施黑白名單
- 確保系統中的所有關鍵活動都被記錄下來
- 審核日志
- 準備第三方審計
- 在主機中實施防惡意軟體方案
- 考慮不同硬體外圍設備的特殊安全意義
- 考慮嵌入式系統的特殊安全意義
-
實作云和虛擬化的安全性
- 虛擬化的安全性:
- 補丁管理:補丁管理系統應當部署到位,以確保安裝了所有相關補丁
- 最小權限:為任何虛擬環境確定訪問控制分配時,必須應用最小權限的概念
- 日志:虛擬環境中的用戶和系統活動應當進行記錄并審核
- 聯網:僅在必要時候啟用系統間的網路連接
- 快照:持續不斷的補充快照,
- 避免VM蔓延(VM sprawl):虛機數量超出組織的控制或管理能力之時,解決辦法是使用虛機生命管理周期方案
- VM逃逸(VM escape):攻擊者在虛擬機上執行代碼,允許運行在虛擬機上的應用程式脫離虛擬環境并直接與超級管理器互動,防止虛機逃逸:保持虛擬軟體最新,限制主機和租戶之間的資源共享功能
- 云部署模型:
- 私有:通過私有網路發布,組織可以更好的控制服務的私密性和安全性
- 公共:通過互聯網提供按需付費的計算資源
- 社群:多個組織共享云服務的所有權
- 混合:一個物體中結合兩種或者多種部署方式
- 云服務的型別:
- 軟體即服務(SaaS):向云用戶提供應用程式
- 平臺即服務(PaaS):向客戶提供虛擬系統
- 基礎設施(IaaS):向用戶提供客戶端所需的任意或所有的基礎設施的訪問(資料中心、服務器、聯網設備)
- 安全即服務(SECaaS):客戶能夠利用供應商在計算機安全的特定區域內提供的資訊、服務、軟體、基礎設施和流程,
- 保護虛擬和基于云的資源的準則:
- 考慮在你的組織中使用虛擬化,實作更簡單高效的資源管理
- 認識不同虛擬化型別之間的區別并確定哪種最符合你的要求
- 確保VM軟體以及主機和客戶機的操作都定期打補丁
- 對訪問虛擬機執行最小權限原則
- 確保虛擬機記錄關鍵事件的日志
- 配置虛擬聯網設備,以支持必要的隔離通訊
- 創建最佳虛機狀態的快照
- 結合使用虛機生命周期管理方案
- 熟悉不同的云部署模型和服務型別
- 考慮利用SECaaS將一些安全操作轉移給第三方供應商
- 虛擬化的安全性:
-
實作移動設備的安全性
- 移動設備的連接方式
- 蜂窩移動網路(cellular network)
- Wi-Fi
- 藍牙
- NFC
- 紅外線
- SATCOM:專用移動何不,接受和發送來自軌道衛星的無線電信號
- ANT:專有無線網路技術,主要用于傳感器之間的通信,如心率監測器
- USB
- 移動設備安全控制:
- 螢屏鎖定
- 強密碼和pin碼
- 全設備加密
- 遠程擦除、鎖定
- 地理定位(GPS)、地理圍欄(Geofencing)
- 訪問控制
- 應用程式、內容管理
- 資產跟蹤和清單控制
- 推送通知服務
- 限制可移動存盤功能
- 存盤磁區
- 容器化
- 禁用不使用的功能
- 移動設備的監控和執行
- 來自第三方商店的應用安裝
- 應用側面加載
- rooting、越獄
- 自定義韌體配置
- 韌體OTA更新
- 運營商解鎖
- 攝像頭和麥克風的使用
- 地理標記
- 外部媒介的使用
- SMS、MMS的使用
- Wi-Fi直連的使用
- 資料共享
- 支付方式的使用
- 移動部署模型
- 企業擁有:用于作業的所有設備的唯一所有者是組織
- BYOD:自帶設備(bring your own device)模型將控制權和所有權從組織轉移到個人員工
- CYOD:choose your own device,與BYOD類似,員工對設備有實質性的責任,員工必須從可接受設備串列中選擇
- COPE:企業擁有,個人啟用
- VMI:virtrual mobile infrastructure虛擬移動基礎架構
- BYOD安全控制
- 策略:起草一份有關組織中的BYOD處理方式的企業策略
- 所有權歸屬:制定清晰的界限,明確定義員工所有和組織所有的內容
- 補丁管理和防惡意軟體:鼓勵用戶在個人設備中下載防惡意軟體應用
- 考慮架構和基礎設施的需求:用以支撐計入設備的增長
- 取證:面對復雜的系統和設備
- 隱私支持
- 實作移動設備安全性的準則
- 了解移動設備可能在組織中使用的不同的連接方式
- 了解你對特定連接方式應用的不同的控制等級
- 在你的組織中納入移動設備管理平臺
- 在移動設備上實施安全控制,如螢屏鎖定、地理定位、遠程擦除、設備加密
- 監控與移動設備有關的特定活動
- 運營商解鎖
- 執行策略限制或者禁止特定移動設備活動的使用
- 考慮移動設備可以在組織中部署的不同方式
- 了解組織中允許BYOD的內在風險
- 移動設備的連接方式
-
在軟體開發生命周期中納入安全性
- 軟體開發生命周期(SDLC)
- 發起——設計——實施——測驗——部署——處理
- 軟體開發模型
- 瀑布模型(waterfall model):SDLC階段是串聯的,每個階段只有在前一個階段確定的所有任務完成后才能開始,適合時間不是重要限制的專案
- 發起、起草要求
- 設計
- 實施
- 驗證、測驗
- 維護、處理
- 敏捷模型(agile model):側重于不同階段的適應性措施,以便開發人員能更容易的協作并對變更作出回應
- 逐步分解計劃
- 只需要簡短迭代,即可快速修改并適應需求
- 瀑布模型(waterfall model):SDLC階段是串聯的,每個階段只有在前一個階段確定的所有任務完成后才能開始,適合時間不是重要限制的專案
- DevOps:DevOps(Development和Operations的組合詞)是一種重視“軟體開發人員(Dev)”和“IT運維技術人員(Ops)”之間溝通合作的文化、運動或慣例
- 版本控制(versioning version control):確保構成專案的資產在進行更改時能夠得到密切管理,其優勢在于可以將代碼中的錯誤或安全問題和特定版本關聯,以及恢復到舊版本
- 保護代碼的技巧
- 合理的輸入驗證
- 合理的錯誤處理
- 加密
- 代碼簽名
- 模糊(Obfuscation)
- 代碼重用
- 限制死代碼(執行成功,但其結果實際未在軟體中使用)
- 服務器端和客戶端
- 限制資料暴露
- 記憶體管理
- 存盤程式
- 代碼測驗方法
- 靜態代碼分析,原始碼閱讀
- 動態代碼分析:fuzzing
- 壓力測驗(stress testing)
- 沙盒
- 模型驗證
- 將安全性納入軟體開發生命周期
- 將安全性集成到軟體開發生命周期的每個階段
- 選擇最適合你的安全和業務需求的軟體開發模型
- 考慮采用DevOps
- 在開發程序中加入版本控制
- 整合安全編碼技術
- 通過各種方法來測驗評估軟體的安全性
- 軟體開發生命周期(SDLC)
第六章 實作網路的安全性
-
配置網路安全技術
- 網路設備
- 路由器
- 訪問控制串列(acl)
- 交換機
- mac系結
- 防洪:flood guard
- 防環
- 代理:
- 流量轉發
- 內容過濾
- 防火墻:
- 隱式拒絕(implicit deny)
- 型別:主機防火墻、網路防火墻、Web防火墻(WAF)
- 負載均衡:
- 豐富的調度(scheduling)方法:
- round robin
- affinity:持續性
- 冗余:
- active-passive:主備
- active-active:主主
- 豐富的調度(scheduling)方法:
- 網路掃描器和分析工具
- 資料包分析器(sniffer)
- 協議分析器(protocol analyzer)
- 網路列舉器(networking enumerator)
- 入侵檢測系統(IDS)
- NIDS(網路入侵檢測系統)
- 可以識別流氓系統(rogue system)
- 發現偵查行為
- WIDS(無線入侵檢測系統)
- 查找非法接入點可能存在的威脅
- NIDS(網路入侵檢測系統)
- 入侵防御系統(IPS)
- 主動阻止檢測到的威脅
- 基于主機的IPS(HIPS)
- 網路監控系統的型別
- 基于簽名監控:預定義規則,不可接受的事件具有特定的已知特征
- 基于例外的監控:定義了事件的預期結果或模式,然后識別不遵循這些模式的任何事件
- 基于行為的監控:確定物體的表現方式,然后審查物體未來的行為以查看它是否偏離常態
- 啟發式監控:確定物體在特定環境中的行為方式,并據此確定物體的性質
- 安全資訊和事件管理(SIEM):
- 自動報警
- 時間同步
- 洗掉重復事件
- 一次寫入,多次讀取
- 資料丟失/泄露預防(Data loss/leak prevention)
- 主動監控資料并監測任何未經授權的損壞、移動、復制等行為
- 虛擬私有網路(VPN)
- 安全網關
- 統一威脅管理(UTM)
- 路由器
- 配置網路安全技術的準則:
- 熟悉構成網路的常見設備,以及每種設備的特定安全問題
- 實施協議及資料包分析器等網路掃描技術,以及時了解網路中的流量狀態
- 實施網路入侵檢測系統,以識別不需要的網路行為
- 了解主動入侵防御設備的風險,特別是誤報
- 考慮將SIEM技術結合到組織中以匯總和關聯網路事件資料
- 考慮實施dlp技術以防止敏感資料丟失
- 實施VPN
- 應用安全網關
- 使用UTM
- 網路設備
-
保護網路設計要素
- 非軍事區(DMZ):可供外部公眾訪問的內部網路區域
- 網路隔離(network isolation):
- 空隙(air gap):物理隔離
- 子網劃分:subneting
- vlan
- 軟體定義網路(SDN):轉發和控制分離
-
實施安全的網路協議和服務
- DNS安全措施:
- 將DNS服務器置于防火墻的保護之內
- 阻斷不必要的入站請求
- 只開放必要埠
- 實施域名系統安全擴展
- 定期更新DNS
- 備份DNS
-網路基本輸入輸出系統(NetBIOS): - 基本會話通訊
- 使用資料報的無連接通訊
- 名稱注冊
- 安全維護:實施強密碼策略、限制網路共享的根訪問權限、禁用慷訓話功能
- DNS安全措施:
-
安全的無線流量
- 無線天線型別:
- 全向天線:
- 橡皮鴨(rubber duck):體積小,主要用于對講機、短距離無線網
- 圓形天花板:室內提供無線信號
- 定向天線:
- 八木:主要用于無線電定向天線及長距離無線聯網
- 拋物線:常用于蝶形衛星天線,具有顯著增益
- 背射:小型定向天線,常用與無線網路中的針對特定區域
- 易拉罐天線:自制定向天線
- 全向天線:
- 802.11協議
- 802.11a:在5G頻段上支持54Mbps的速度,僅在60英尺內
- 802.11b:第一個WiFi規范,在2.4Ghz提供11Mbps傳輸速度,覆寫1000英尺,向后兼容802.11
- 802.11g:在2.4Ghz可達54Mbps
- 802.11n:在2.4Ghz或5Ghz吞吐可到600Mbps
- 802.11ac:在5Ghz頻段中增加更寬的信道來提高802.11n的性能,將吞吐提高到1300Mbps
- 無線加密協議:
- 有線等效保密(WEP):使用Rivest Cipher 4(RC4)演算法為802.11a和802.11b協議的無線銅須提供64位、128位、256位加密,依賴初始化向量來隨機化相同的文本字串,被棄用
- 無線保護訪問(WPA):在802.11i標準開發程序中被引入,提供了密鑰動態分配,避免WEP的密鑰攻擊漏洞,通過TKIP提供128位加密密鑰
- 無線保護訪問(WPA2):增加了AES加密,提供128位密鑰
- 無線認證協議:
- 可擴展認證協議(EAP):客戶端服務器使用插件進行相互認證
- 802.1X:封裝基于局域網的EAP通訊
- 受保護的可擴展認證協議(PEAP)
- radius聯合認證
- 無線客戶端認證方法:
- WPA/2-個人:依賴預共享密鑰(PSK),因此也被稱為WPA/2-PSK,連接WiFi時從輸入的密碼中生成
- WPA/2-企業:要求在使用WiFi前通過802.1X與radius服務器進行身份認證
- WiFi保護設定(WPS):客戶端輸入與特定訪問點相關聯的PIN碼
- 無線訪問點的安全性:
- MAC過濾
- 禁用服務集識別符號(SSID)廣播
- 信號配置:調整無線強度,避免戰爭駕駛攻擊
- 選擇胖瘦AP
- 無線天線型別:
第七章 管理身份識別和訪問
-
實施身份識別和訪問管理(IAM)
- 訪問控制模型:
- 強制訪問控制(MAC):通過標簽判斷是否可以訪問資源
- 自主訪問控制(DAC):物件所有者將主體訪問訪問控制串列中,主體即可訪問
- 基于角色的訪問控制(RBAC):主體會被分配預定義的角色,網路物件被配置為只允許特定的角色訪問,
- 基于規則的訪問控制(rule-based access control)
- 基于屬性的訪問控制(ABAC)
- 生物識別設備
- 指紋掃描器
- 語音識別器
- 視網膜掃描儀
- 虹膜掃描儀
- 面部識別設備
- 生物識別因素:
- 錯誤接受率(false acceptance rate FAR),未經授權的用戶在生物識別系統中錯誤的通過驗證的百分比
- 錯誤拒絕率(false rejection rate FRR),被生物認證系統錯誤拒絕的授權用戶的百分比
- 交叉錯誤率(crossover error rate (CER)),FAR和FRR相等時的值,低CER值表示系統作業在最佳狀態
- 基于證書的認證
- 智能卡上集成電路芯片
- 802.1X
- 訪問控制模型:
-
配置目錄服務(directory service)
- 用于存盤特定網路中的所有物件的身份資訊,包括,用戶、組、服務器、客戶端、列印機和網路服務
- 目錄機制:目錄結構由schema控制,該模式定義了如何創建物件以及物件有哪些特征的規則
- 輕型目錄訪問協議(LDAP),LDAP埠389,LDAPS埠686:
- LDAP客戶端向LDAP服務器進行身份認證
- 服務的機制定義了客戶端在訪問目錄資料庫時可以和不可以執行的任務
- LDAP機制是可擴展的
- 常見的目錄服務:
- active directory
- oracle directory
- openDJ
- openLDAP
- open directory
-
配置訪問服務
- 遠程訪問協議:
- 點到點(PPP):常用于終端接入,提供密碼認證
- 點到點隧道協議(PPTP):微軟的二層VPN協議,由于存在漏洞,已不再推薦
- 第二層隧道協議(L2TP):常結合IPsec同時提供和認證和加密功能
- 安全套接字隧道協議(SSTP):基于SSL/TLS并使用PPP報頭封裝IP資料包
- 基于HMAC的一次性密碼(HOTP):基于HMAC生成一次性密碼(OTP),OTP僅對一次性會話有效
- 基于時間的OTP(TOTP)
- TOTP演算法在特定的時間增量內生成新密碼并使舊密碼失效來規避:一旦HOTP密碼未被使用,攻擊者就可以利用這一問題
- PAP(密碼認證協議):明文互動用戶ID和密碼
- CHAP(質詢握手協議):
- 密碼無需明文傳送,結合MD5完成認證
- NT LAN 管理器(NTLM):
- 用于微軟產品中的質詢-回應認證協議
- 弱點:使用過時的加密演算法、對傳遞散列攻擊無法抵御
- radius(遠程認證撥號用戶服務)
- tacacs+:接受登錄請求并驗證用戶的登錄證書,認證全程加密,而radius只加密密碼,不適用于windows環境
- kerberos:基于時間敏感的票據授予系統的認證服務
- 1、用戶登錄到域
- 2、用戶從認證服務器(例如,域控制器)請求票據授予票據(TGT)
- 3、認證服務器使用一個時間戳TGT進行回應
- 4、用戶將TGT回傳給認證服務器,并請求服務票據訪問特定資源
- 5、認證服務器使用服務票據進行回應
- 6、用戶將服務票據提供給他們希望訪問的資源
- 7、資源認證用戶并允許訪問
- 遠程訪問協議:
-
管理賬戶
- 賬戶型別
- 用戶賬號:受限于權限
- 特權賬戶:對組織中的資料和系統具有更大的訪問權限,大多數管理員
- 訪客賬戶:提供給需要有限網路訪問服務的非作業人員
- 計算機和服務賬戶:人類并非IAM系統中使用賬戶的唯一物體
- 賬戶策略:是一種包含組織對賬戶創建、監控、洗掉的要求的檔案
- 誰可以批準賬戶創建
- 誰被允許使用資源
- 用戶是否可以共享賬戶或或擁有多個賬戶
- 審核用戶訪問后,何時以及如何禁用或修改賬戶
- 用戶賬戶在一段時間內不使用是否應該被終止,以及何時終止
- 何時執行一般賬戶的禁用
- 對密碼歷史、密碼強度和密碼重用執行哪些規則
- 在發生可以事件和或者劫持嘗試是,何時鎖定賬戶
- 在遭到入侵或被洗掉后,何時以及如何恢復賬戶
- 密碼策略:
- 密碼長度:最短長度
- 密碼復雜性
- 密碼歷史
- 密碼重用(多個賬戶使用同樣密碼)
- 多賬戶:
- 用戶缺乏對各種賬戶的了解
- 為相應賬戶分配資料訪問和許可的合適級別
- 共享賬戶:
- 匿名、訪客和其他通用賬戶可作為訪問者訪問系統的一種方式
- 臨時賬戶對于不在公司中連續作業的員工或承包商非常有用
- 管理賬戶允許多名經過授權的專業人員訪問更高的權限
- 批處理賬戶可以輕松自動執行許多不同型別的任務
- 組策略:
- 優化賬戶的密碼屬性
- 優化賬戶的鎖定閾值和持續時間
- 使用不可逆的加密技術存盤賬戶密碼
- 執行kerberos登錄限制和票據生命周期
- 審計賬戶管理事件
- 為個人或組分配特定的權限和控制
- 身份聯合(將一個身份在多個不同身份管理系統之間進行連接):
- 單點登錄(SSO):身份聯合的子集,消除了多次登錄聯合系統的必要性
- 可傳遞信任:身份聯合通常以可傳遞信任(transitive trust)
- 1、物體A和物體B相互信任;2、物體A和物體C相互信任==>物體B和物體C隱式信任
- 身份聯合的方法:
- 安全申明標記語言(SAML):基于XML框架,用于交換與安全相關的資訊,如用戶認證、授權、屬性
- OpenID:使用加入了OpenID系統的特定站點對用戶進行身份認證的方法
- OAuth:OpenID提供身份認證,OAuth提供授權協議
- Shibboleth:基于SAML的聯合身份方法
- 管理賬戶的準則:
- 在分配用戶和組賬戶訪問時實施最小權限原則
- 制定一個賬戶策略并在其中包含所有賬戶策略要求
- 確認賬戶請求和批準程式存在并得到執行
- 確認賬戶修改程式存在并得到執行
- 制定密碼策略并在其中包含確保密碼能夠抵御破解嘗試的要求
- 限制多賬戶和共享賬戶的使用,防止濫用
- 實施賬戶管理安全控制,如維護、審計和基于位置時間的限制
- 使用證書管理軟體將用戶名和密碼存盤在加密的資料庫中
- 實施組策略進行更加廣泛的訪問控制
- 實施身份聯合系統以簡化系統之間的用戶訪問
- 思考聯合身份如何成為訪問不通系統的單點故障
- 賬戶型別
第八章 實施密碼技術
- 高級密碼學概念
- 密碼學元素:
- 混淆(confusion):使加密密鑰和密文之間的關系變得盡可能復雜和隱蔽的技術
- 擴散(Diffusion):即使在明文中發生輕微變化也能使密文發生劇烈變化的一種技術
- 沖突(Collision):兩個不同的明文輸入產生完全相同的密文輸出
- 模糊(Obfuscation):模糊處理使得源代碼變得更加難以閱讀,模糊處理不涉及到密鑰的應用
- 偽亂數生成(PRNG):由演算法生成的為亂數的程序
- 完全正向保密(Perfect forward secrecy(PFS)):當某一個會話期間使用一個密鑰收到損害時,這種會話加密特性能確保之前由該密鑰加密的資料不會受到影響
- 資料狀態:
- 靜止資料(Data at rest):被存盤在各種介質上的任何資料,由管理資料軟體和存盤資料的硬體進行加密
- 傳輸中的資料(Data in transit):媒介之間移動的任何資料
- 正在使用的資料(Data in use):當前正在
- 密鑰交換:加密密鑰在物體之間傳輸時使用的方法:
- 如果密鑰是對稱密碼密鑰則兩者都需要相同的密鑰副本
- 如果密鑰是非對稱則任何需要加密的物體都需要收件人的公鑰
- 密鑰交換的兩種基本型別:帶內(in-band)和帶外(out-of-band)
- 數字證書(digital signature):以用戶私鑰加密的訊息摘要
- 發送方創建訊息文本的散列版本,然后使用發送方的私鑰加密散列本身,加密的散列作為數字簽名附加到訊息上
- 密碼套件
- 密鑰交換演算法:確定客戶端和服務器在SSL/TLS連接握手程序中是否以及如何進行身份驗證
- Bulk加密演算法:加密實際的訊息流,并包含密鑰大小
- 訊息認證碼演算法:創建訊息摘要
- 偽隨機函式:創建主密鑰,主密鑰是指兩個保持連接的系統之間共享的48位元組密鑰
- 會話密鑰:一次性使用的對稱密鑰,用于加密單個相關通訊系統中的所有訊息
- 使用會話密鑰的兩個原因:
- 避免被密鑰分析攻擊分析,一次性使用
- 會話密鑰比單獨非對稱加密快
- 使用會話密鑰的兩個原因:
- 密鑰延展(Key stretching):通過密鑰延展演算法加強弱密碼密鑰
- 密碼學方面的特殊考慮:
- 低延遲:輸入添加到用于處理的演算法中與獲得輸出之間的時間
- 低功耗設備:輕量級演算法,提供足夠的安全性,消耗最少的資源
- 泄露回彈:避免遭受旁路攻擊
- 密碼學元素:
- 選擇加密演算法:
- 流密碼(stream cipher):一種一次加密一個位元的資料加密型別
- 加密速度快,開銷小,密文大小與原文相同
- 塊密碼(Block cipher):一次性加密一個資料塊
- 更強大、安全,性能低
- 運算模式:
- 電子代碼本(ECB):每個明文塊都使用相同的密鑰加密
- 密碼塊鏈接(cipher block chaining CBC):使用IV加密第一個明文塊,對于每個后續操作,明文塊和前一個密文快通過異或進行運算
- 密文反饋(Cipher Feedback):先對IV進行加密,然后用他的結果與前一個密文塊進行異或運算
- 輸出反饋(Output Feedback):加密IV的結果會被反饋到后續運算中
- 計數器(CTR)或計數器模式(CTM):使用數字計數器的值創建不斷變化的IV
- 填充/明文密碼塊鏈接(Propagating/Plaintext Cipher Block Chaining(PCBC)):每個明文塊都與前面的明文塊和密文塊進行異或運算
- 迦羅瓦/計數器模式(Galois/Counter Mode(GCM)),在密碼模式的標準加密服務中加入了認證功能
- 散列演算法的型別:
- 訊息摘要5(MD5):產生一個128位的訊息摘要
- 安全散列演算法(SHA):SHA1(160)SHA-256,SHA-384,SHA-512
- RACE原始完整性校驗訊息摘要(RIPEMD):基于已過時的MD4的設計原則進行設計的
- 基于散列的訊息認證碼(HMAC):通過將密碼散列函式(如MD5或者SHA)組合起來驗證訊息完整性和真實性的方法
- 對稱加密演算法的型別:
- 資料加密標準(DES):使用56位密鑰對64位資料塊進行加密,其中密鑰中有8位用于奇偶校驗
- 3DES:使用密鑰A加密,使用密鑰B解密,再使用密鑰C加密,性能消耗提升3倍
- 高級加密標準(AES):Rijndael
- blowfish:一種免費可用的64位加密演算法,使用可變密鑰長度
- Twofish:對稱密鑰塊密碼,包含一個128位的塊和256位的密鑰
- Revest Cipher(RC)4,5和6:所有演算法都有可變密鑰長度,RC4是一種流密碼,RC5和RC6是大小可變的塊密碼,RC6是強大的密碼,并提供良好的性能,
- 非對稱加密演算法的型別:
- RSA
- DH
- DH臨時(DHE):DH的變體,使用臨時密鑰來提供安全的密鑰交換
- 橢圓曲線加密(ECC):利用有限域上橢圓權限的代數結構的公鑰加密技術
- 橢圓曲線DH臨時(ECDHE):DH的一種變體,結合使用了ECC和臨時密鑰
- 數字簽名演算法(DSA):用于數字簽名的公鑰加密標準,為訊息提供了身份驗證和完整性驗證
- PGP和GPG
- 流密碼(stream cipher):一種一次加密一個位元的資料加密型別
- 配置公鑰基礎架構(PKI)
- PKI組件:
- 數字證書(digital Certificate):PKI的首要任務是以各種方式管理數字證書
- 物件識別符(Object identifier):包含在證書中的身份資訊是通過OID提供的
- 證書頒發機構(CA):發布數字證書并維護關聯私鑰/公鑰對服務
- 注冊機構(RA):驗證用戶和設備的身份及批準或拒絕數字證書的請求
- 證書簽名請求(CSR):發送到CA的訊息,其中的資源會申請證書
- CA層次結構:
- CA層次結構是指一個或一組共同協作用于發布數字證書的CA,當獲取證書時會通過信任連逐下而上的驗證證書,
- 證書鎖定:
- 瀏覽器直接信任站點證書而不需要進行證書鏈迭代查詢
- 離線根CA:
- 為了安全,組織通常會設定根CA并使其離線,從而允許從屬CA頒發所有其余的證書
- X.509
- X.509版本
- 證書的序列號
- 用于簽署證書的演算法
- 發行物體的名稱
- 證書有效的時間段
- 由證書驗證的主體的名稱
- 可選屬性
- 證書檔案格式:
- der :以二進制可辨別編碼規則格式對證書進行編碼
- pem :隱私增強型電子郵件(PEM)格式使用base64編碼DER證書,使用這種格式的證書始終以"----BEGIN CERTIFICATE---"行開始,并以"---END CERTIFICATE---"行結束
- cer :以二進制DER格式編碼證書,但在Windows系統中也可能包含PEM編碼的資料,類Unix系統上的等效格式使用.crt擴展名
- p7b : 使用公鑰加密標準#7(PKCS#7)以base64格式編碼證書資料
- p12 :使用公鑰加密標準#12(PKCS#12)以base64格式編碼證書資料
- pfx :由Microsoft
- CA 層次結構的設計選項
- 幾十名員工:使用沒有從屬的單個根CA
- 分布全世界的數千名員工:從屬CA根據地理位置指定
- 只需要訪問特定應用程式的個人:從屬CA根據功能或由部門指定
- 嚴格的安全性允許個人對同一資源擁有不同的訪問級別:從屬CA根據獲得證書所需的安全性進行指定
- 證書的生命周期管
- 影響證書生命周期的因素:
- 私鑰長度
- 使用的密碼技術的強度
- CA和私鑰的物理安全性
- 已頒發的證書及其私鑰的安全性
- 攻擊風險
- 用戶信任
- 管理參與
- 影響證書生命周期的因素:
- PKI組件:
第九章 實作業務安全性
-
評估安全框架和指導方針
- 安全框架:提供了組織內安全操作的概念性結構
- 監管框架:來自政府法規
- 非監管框架:通常是經過嚴格審查的框架,非強制,但是有益的
- 行業特定框架:由特定行業的參與組織團體共同起草
- 國家框架:適用于特定國家的法律、習俗和文化
- 國際框架:適用于所有國家
- 安全框架例子:
- NIST 800系列:美國國家標準與技術研究院發布的安全主題檔案
- COBIT 5:資訊和相關技術控制目標第五版,包含了5項指導原則
- ITIL:資訊技識訓礎設施庫
- ISO/IEC 27001:國際資訊化組織(ISO)和國際電工技術委員會(IEC)聯手為資訊系統管理實踐創建的標準化模型
- 分層安全(layered security):包含多種不同防御途徑的操作安全實作方法,分層安全可以借助供應商的多樣性和控制的多樣性提高其有效性
- 縱深防御(Defense in depth):利用分層安全的策略,涵蓋整個安全領域,任何一個單點被破壞,其他安全系統可以為組織爭取到足夠時間來停止或緩解攻擊
- 安全框架:提供了組織內安全操作的概念性結構
-
安全策略(security policy):定義了如何在組織內部實作安全性的一種正式宣告
- 常見的安全策略型別:
- 可接受使用策略:說明了用戶和其他人在利用組織物理和只是產權方面資源時的限制要求和準則
- 隱私策略:定義了向其他方泄露組織或個人資訊的標準
- 審計策略:詳細說明組織資訊和資源在風險評估和升級方面的要求和引數
- 密碼策略:定義了創建密碼復雜度的要求
- 無線標準策略:定義了哪些無線設備可以鏈接到組織的網路中
- 社交媒體策略:定義了組織及其員工如何使用社交媒體網路和應用程式
- 人事管理(personnel Management):是確保組織內部或者外部人員都會遵守策略的做法
- 職責分離(Separation of dutie):任何人都不應該擁有太多的權力或責任
- 作業輪換(job rotation):沒有一個人長時間處于重要的作業崗位
- 強制休假(mandatory vactions):提供一個審查員工活動的機會
- 其他人事管理任務:
- 背景調查
- 簽署不公開協議
- 入職
- 離職談話
- 培訓與意識
- 人員是最薄弱的環節
- 實行基于角色的培訓
- 常見的安全策略型別:
-
實施安全戰略
- 安全自動化:配置驗證、 持續監控
- 可擴展性(Scalability):
- 橫向擴展(scale out):在現有資源中并列增加資源
- 縱向擴展(scale up):增強現有資源的能力
- 彈性(Elasticity):計算環境可以及時對負載增減作出反應
- 冗余(redundancy):計算環境除了主要資源以外還保留一組或者多組額外資源的屬性
- 容錯(Fault tolerance):計算環境承受可預見的組件故障并提供可接受范圍內的服務水平的能力
- 獨立磁盤冗余陣列(RAID)
- RAID 0:資料被分段寫入多個存盤設備,以提高性能,沒有資料冗余,因此一個設備的故障會影響整個陣列
- RAID 1:從一個存盤設備中同步復制資料到另外一個中,降低了性能
- RAID 5:資料和一個被稱為奇偶校驗塊的額外冗余塊被分段在三個或更多磁盤上
- RAID 6:與RAID 5相同,比RAID 5多一個奇偶校驗位,提供了更高的冗余度
-
資料安全:為保障組織資料的安全性和可訪問性,同時阻止對其進行未授權訪問而采取的安全控制和措施
- 資料安全的應用范圍:
- 物理環境
- 所有傳統計算設備和系統
- 所有用于商業的移動設備
- 資料安全的漏洞:
- 使用云計算
- 缺乏對資料存盤系統的限制性物理訪問
- 缺乏用戶意識
- 缺乏統一的資料策略
- 缺乏合適的資料管理實踐
- 過時或執行不力的加密方案
- 缺乏合適的身份識別和訪問管理(IAM)實踐
- 資料存盤方式:
- 直接附加存盤(DAS):直接連接到服務器的一個或多個存盤設備
- 網路附加存盤(NAS):可以是通用功能的計算機,也可以是專門用于促進檔案存盤和提供的一種裝置
- 存盤區域網路(SAN):是一種提供資料的塊級存盤的專用網路
- 基于云的存盤:基于服務的資料存盤系統
- 資料加密方式:
- 全磁盤加密:加密整個磁盤以及存盤在其中的所有資料
- 資料庫加密:加密存盤在資料庫中的敏感資料
- 檔案加密:保護包含隱私或機密資料的每個檔案
- 安全數字卡(SD):可移動媒體加密
- 移動設備加密
- 電子郵件加密
- 語音加密
- 資料處理(data disposal)
- 清理(sanitization):擦除或清除
- 消磁(Degaussing)
- 切碎
- 粉碎
- 焚燒
- 資料安全的應用范圍:
-
實施物理控制:
- 物理安全控制型別:
- 鎖
- 鑰匙管理
- 日志記錄和訪客訪問
- 視頻監控
- 保安人員
- 標志
- 照明
- 誘捕陷阱(Mantrap)門
- 物理障礙
- 安全容器
- 法拉第籠(Faraday cage)
- 螢屏過濾器:防止肩窺
- 警報
- 運動檢測
- 受保護的配電
- 環境暴露:
- 環境暴露可能帶來的問題:
- 電力波動和故障
- 水流破壞和洪災
- 火災
- 建筑物的結構性損壞導致了未經授權的訪問
- 環境暴露可能帶來的問題:
- 環境控制:
- 暖通空調(HVAC)系統
- 冷熱通道
- 警報控制面板
- 防火
- 火災檢測
- 滅火
- 物理安全控制型別:
第十章 處理安全事件
- 解決安全事件的程序:
- 除錯可能與安全事件相關的問題
- 回應已識別的安全事件
- 調查安全事件
- 訪問控制問題:
- 通常被分類為訪問不夠或者訪問過多,用戶很少會通知你“過多”的情況,但一定會反饋過少的問題
- 認證問題
- 權限問題
- 訪問沖突
- 加密問題:
- 未加密的證書
- 證書問題:證書無效、不安全或者無法使用
- 密鑰管理問題:加密密鑰無法被授權人員訪問或者可以被未經授權的人訪問
- 資料外泄(Data exfiltration)
- 使用DLP方案
- 確保所有敏感資料在閑置時都進行了加密
- 為可能成為銷毀或勒索目標的資料創建并維護異地備份
- 確保存盤或傳輸敏感資料的系統正在實施訪問控制
- 檢查訪問控制機制是否授予某些賬戶過多的權限
- 限制攻擊者將資料從網路傳輸到外部時可利用的網路通道型別
- 斷開存盤存檔系統的網路連接
- 事件日志中的例外
- 多次連續的認證失敗
- 系統配置不按計劃更改
- 過多無法解釋的關鍵系統故障或者應用程式崩潰
- 網路設備日志中記錄的過量帶寬消耗
- 事件日志中的排序錯誤或空白
- 安全配置問題
- 訪問點:訪問點無法正確的對用戶進行身份驗證或不起作用
- 防火墻:防火墻無法阻止不想要的流量進入或離開網路,或阻止合法流量進入或離開網路
- 內容過濾器:內容過濾器阻止了合法內容或無法阻止不想要的內容
- 入侵檢測系統(IDS):IDS經常遇到誤報或者漏報的情況
- 軟體問題
- 未經授權的軟體
- 無證書的軟體
- 過時的軟體
- 人事問題
- 違反策略
- 社交媒體和個人電子郵件的使用
- 社交工程
- 內部人員威脅
- 資產管理問題(asset Management)
- 確保所有資產都參與到一個跟蹤系統中,如條形碼或無源射頻識別碼
- 確保部署了合適的流程,標記新獲得或者新開發的資產
- 確保部署了合適的流程,移除系統中過時的資產
- 檢查資產是否具有沖突的ID
- 檢查資產是否具有不準確的元資料
- 確保資產管理軟體能夠正確讀取并理解跟蹤標簽
- 更新資產管理軟體以修復任何錯誤或安全問題
- 回應安全事件
- 事件回應(Incident response):
- 準備
- 制定策略
- 制定計劃
- 建立檔案
- 組建事件回應小組(IRT)
- 檢測和分析
- 確定與正常操作的偏離情況,并分析這些偏離是否被認為是事件
- 遏制、消除和恢復
- 事件遏制:
- 短期遏制:限制損害,如隔離
- 系統備份:在采取操作前先創建受影響系統的重復鏡像
- 長期遏制:暫時將受影響系統下線進行維修
- 事件消除:
- 采取任何必要措施將系統恢復到已知的運行狀態
- 實施任何被認為能有效遏制事件重演的額外安全措施
- 更新事件檔案,列舉這一階段中采取的任何步驟
- 事件恢復:
- rootkit攻擊:格式化重裝
- 病毒或惡意代碼:加載補丁
- 入侵或后門:恢復備份
- 事件遏制:
- 事后的活動
- 復盤整個事件
- 準備
- 事件回應計劃(IRP):
- 建立并維護事件回應小組
- 以書面形式列舉構成安全事件的內容,以及對每類事件型別的定義
- 事件發生時應遵循的分布流程
- IRT成員的角色和責任
- 應當如何報告事件
- 事件或回應何時需要擴大到更多合格人員中
- 測驗和驗證計劃有效性
- 第一回應人(first responder):第一時間到達事故現場的專業人員
- 事件報告:安全事件發生期間所發生的事件的報告
- 回應安全事件的準則
- 如果存在IRP,請遵循其中列舉的指導原則來回應事件
- 如果IRP不存在,需要確定一名主要調查人員
- 確定事件是否真正發生,以及系統或流程的受損程度
- 嘗試隔離或以其他方式控制事件的影響
- 記錄事件的詳細資訊
- 事件回應(Incident response):
- 調查安全事件
- 計算機取證(computer forensics)
- 基本取證流程:
- 收集階段:確定受到攻擊的系統并對其標記、記錄詳細資訊、維護資料完整性
- 檢查階段:處理資料、評估和提取證據、維護資料完整性
- 分析階段:使用法律允許的方法和技術分析檢查階段的結果
- 報告階段:報告取證分析的結果
- 易失性順序
- CPU暫存器、CPU快取、RAM
- 網路快取和虛擬記憶體
- 硬碟驅動和閃存驅動
- CD-ROM DVD-ROM和列印輸出
第十一章 保障業務連續性
- 災難恢復程序
- 通知利益相關者
- 開始緊急行動
- 評估損害
- 評估設施
- 開始恢復程序
- 備份型別
- 完整備份(full backup)
- 差異備份(Differential backup)
- 增量備份(Incremental backup)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/51337.html
標籤:其他
上一篇:阿里云CDN接入踩坑記錄