網頁防篡改是由網頁防篡改系統組成的,他能夠防范門戶網站、新聞網站、電子商務網站的網頁被篡改,被篡改后能夠自動恢復。保護網站網頁內容安全,防止文件被惡意篡改;保護網站業務文件內容安全,防止文件被惡意篡改;保障網站發布信息的正確性、完整性、權威性,提升網站業務處理的安全性,維護保障政府、企業的形象和利益。
網頁防篡改系統由三個相互獨立的子系統構成,分別是監控端(Monitor)、發布端(Publisher)和管理平臺(Manager)。
監控端(Monitor)部署安裝在網站服務器上,用于監控網站文件是否被篡改,該監控程序會阻止對所保護文件的任意篡改行為。當有惡意行為發生時,及時向管理平臺上報告警事件;
發布端(Publisher)部署在網站的發布服務器上,當發布端網站內容更新維護時,依據發布策略,向指定的網站服務器進行自動的文件同步和更新;
管理平臺(Manager)是可通過瀏覽器訪問的web應用,為用戶提供方便、快捷的操作界面,主要功能用于管理網站和服務器、向服務器下發策略、展示告警件。
網絡切片安全包括以下方面:
切片隔離:多個切片共享基礎設施資源,網絡切片間要相互隔離,一個切片的彈性擴展、操作、通信不影響其他切片內的功能;當切片受到攻擊時,也不能影響其他切片的安全和性能。隔離機制如果沒有做好,攻擊者可從一個切片發起對另外一個切片的攻擊;也可以通過容量擴展消耗資源,造成其他切片因為資源缺失而無法支持服務正常運行。
安全機制的獨立性:不同切片有不同的業需求,應支持每個切片實現與各自業務相關的安全機制。
UE接入切片的安全:在每個UE接入網絡時要根據服務請求、訂閱信息等進行切片選擇,為保證切片在選擇過程中正常運行,同時UE能夠接入恰當的切片,需要對UE進行認證,保證非授權UE不能訪問切片,保證選擇過程交換數據的完整性和保密性。
敏感網元的安全:網絡中的部分網元包含敏感數據(如HSS),切片的引入增加了這些敏感網元的安全風險,如虛擬化造成物理邊界的缺失,在每個切片中部署敏感網元增加了攻擊面。應該研究敏感網元在切片架構中的形態和部署。
切片管理的安全:5G網絡提供運營商管理切片的能力,如設置切片間資源共享的參數或動態創建切片,為防止攻擊者利用該能力操作切片或在切片內運行的功能以發起攻擊,應保證該管理能力在授權用戶的管控之下。
與第三方交互的安全:5G網絡提供第三方接口,供授權的第三方創建、管理一個網絡切片,該接口可能被未授權的第三方利用攻擊,應保證該接口在授權第三方用戶的管控之下。
滲透測試通常指模擬黑客采用的漏洞發掘技術及攻擊方法,測試工程師對被測試單位的網絡、主機、應用及數據是否存在安全問題進行檢測的過程,對于一個網站進行高級滲透,一般需要十個工作日左右的工作量,需根據實際環境、需求細致評估。
滲透測試過程中有很多可預見性和不可預見性的風險存在,為避免對客戶業務系統造成重大影響,一般采取以下措施:
彈性和可用性
去中心化基礎設施有助于提升阻止抵御攻擊和停機的彈性。
數據完整性
區塊鏈上的數據無法篡改,因為網絡節點相互引用并相互構建,并且需要共識來驗證交易,相比之下,鏈下數據更容易被攻擊和篡改。在一些高度強調數據安全性的場景和應用中,區塊鏈的鏈上簽名技術可以發揮作用,例如,跨機構的去中心化投票、醫療和科學數據協作以及去中心化元數據,這對于優化網絡安全中的人工智能也越來越重要。
可追溯性
透明度和可追溯性是區塊鏈設計的核心,但它們的安全優勢在不同的應用中表現不同。在供應鏈環境中,數字分布式賬本存儲各交易方和產品生命周期中的交易和貨運數據的防篡改記錄,這降低了任何一方偽造和篡改的風險。在金融用例中,支付歷史的透明度和不變性減少了對中央經紀人的需求。區塊鏈還可以提高匯款和跨境支付等交易的安全性和隱私性。
軟件和/或設備的交互認證
區塊鏈上的交易并不限于金融領域,可用于任何可驗證的交互。由于供應鏈攻擊中惡意的軟件“更新”越來越頻繁,對軟件更新進行身份驗證已經成為一種良好的網絡衛生習慣。
區塊鏈哈希值可以幫助組織與產品開發人員驗證更新、下載和安裝軟件補丁。這也有助于防止供應鏈攻擊,尤其是軟件和邊緣物聯網設備已經成為網絡攻擊者的主要目標。
個人身份驗證
區塊鏈的幾個組件可以應用于身份保護、身份驗證、訪問管理等。
所有權驗證
在數字分布式賬本出現前,驗證在線資產的所有權是很困難的。即使在現實世界中,證明過程被破壞,認證并不總是跨越國界,數億人無法獲得穩定的政府身份或金融服務。
保證服務器安全的防護措施有七種:
從基本做起,及時安裝系統補丁
不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意攻擊利用,是服務器安全較重要的之一。
安裝和設置防火墻
現在有很多基于硬件或軟件的防火墻,很多安全廠商也推出了相關產品。對于服務器安全,必須安裝防火墻,防火墻對非法訪問具有很好的預防作用,但防火墻不等于服務器的安全性。在安裝防火墻后,需要根據自己的網絡環境配置防火墻,以達到較佳的保護效果。
安裝網絡殺毒軟件
現在網絡病毒的泛濫,這就要求在網絡服務器上安裝網絡版殺毒軟件來控制病毒的傳播,同時,在使用網絡殺毒軟件時必須定期更新殺毒軟件,并及時更新病毒庫。
關閉不需要的服務和端口
在服務器操作系統的安裝中,會啟動一些不需要的服務,這樣會占用系統的資源,也會增加系統的安全隱患。一段時間不使用的服務器,可以有效關閉;本期使用的服務器,也應該關閉不需要的服務,如Telnet等。此外,還需關閉沒必要的TCP端口。
定期對服務器進行備份
為了防止系統故障或非法操作,系統必須由系統備份。除了完整的系統備份外,還應對每周修改后的數據進行備份。同時,應該將重要的系統文件保存在不同的服務器上,以便在系統崩潰時出現(通常是硬盤錯誤),可以及時返回到正常狀態。
賬號和密碼保護
賬號和密碼保護可以說是服務器系統的先進道防線,目前網絡服務器系統的大多數攻擊都是從一開始就被攔截或猜測的密碼。一旦黑客進入系統,那么前面的防御措施幾乎就失去了作用,所以服務器系統管理員賬號和密碼管理是系統安全的重要措施。
監測系統日志
通過運行系統日志程序,系統會記錄下所有用戶使用系統的情形,包括較近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。
凡涉密計算機、涉密存儲介質必須標注密級,并在其明顯位置粘貼學校統印制的密級標識(主機箱面板和顯示器左上角)。
涉密計算機、涉密存儲介質密級標識分為三種。紅色為絕密級標識,橙色為機密級標識,藍色為秘密級標識。
密級標識上要明確標明涉密計算機、涉密存儲介質的啟用時間和編號。涉密計算機啟用時間和編號必須與《涉密計算機審批表》、《涉密存儲介質登記表》中的啟用時間和編號一致。
各單位對密級標識管理要納入涉密計算機、涉密存儲介質整體管理工作中,設專人管理。對密級標識的領取、發放數量、起止時間和編號要有詳細記錄,并要建立三級管理臺賬(項目組、學院、保密辦)。
以上所稱計算機包括臺式和便攜式計算機,所稱存儲介質包括光盤、移動硬盤、U盤、軟盤等可移動存儲介質。
網絡釣魚電子郵件的特征如下:
緊急性。網絡釣魚者希望受害者迅速采取行動,不讓他們三思而后行。這也是攻擊者說他們需要受害者立即或盡快完成某件事的原因。這讓受害者在巨大的壓力之下,首先完成攻擊者要求的操作,然后再去尋求郵件中的發送者的澄清。網絡釣魚電子郵件的語法和格式可能包含錯誤,但是收件人承受了太大的壓力,以至于沒有察覺到其中的疑點。一些陷入PayPal網絡釣魚詐騙陷阱的受害者在事后感到十分驚訝,因為郵件里多次重復提到“更新你的信息”,而真正的PayPal郵件卻極少這么做。
超鏈接。大多數網絡釣魚電子郵件都不提供完整的原始網址鏈接,而是使用超鏈接。這是為了隱藏超鏈接背后真實的網址,這些網址顯然不是來自正規的公司。例如,本章討論過的電子郵件里只有超鏈接文本或按鈕。而來自正規公司的電子郵件里通常在超鏈接旁邊還會附上完整的原始網址。這樣做的原因在于,如果用戶在打開超鏈接時遇到問題,他們可以直接把原始網址復制粘貼到瀏覽器里繼續訪問網頁。
帶有附件。許多網絡釣魚電子郵件都帶有附件,并且會明確告知受害者下載并打開它們。這些附件在大多數情況下都用于傳播惡意軟件。如我們所見,有些鍵盤記錄惡意軟件(如Ardamax)可以以任何文件格式發送,并且當用戶打開該文件時,它就會自動安裝。
奇怪的發件人。釣魚電子郵件通常會在發件人的詳細信息方面存在一些問題,要么域名是錯的,要么用戶名不對。在我們討論的某些電子郵件中,攻擊者耍了小聰明,把用戶名注冊為似乎是正確發件人的電子郵件地址。例如,PayPal釣魚電子郵件中,發件人把用戶名注冊為support@paypal.*,而實際的發件人的電子郵件地址其實是另一個域名。
不匹配的網址:在檢查可疑電子郵件信息的時候,推薦第一個要檢查的就是任何嵌入網址的完整性。通常情況下網絡釣魚郵件中的網址會顯得非常有效。但是,如果你把鼠標停留在這個網址上,你會看到真實的地址。如果超鏈接的地址與顯示的地址不一樣,那么該消息就可能是欺詐或者惡意的。
包含誤導域名:那些發送網絡釣魚欺詐的人往往依賴于他們的受害者并不了解針對域的DNS命名結構工作原理是怎樣的。域名的最后一部分是最有說服力的。這也是釣魚郵件的高手常用的技巧,試圖欺騙受害者這個消息是來自于像微軟或者蘋果這樣的公司。釣魚郵件的高手只需要創建一個類似于微軟、蘋果或者其他公司的子域名。
包含錯誤的拼寫或者語法:一家大公司以整個公司的名義推送消息的時候,這個消息通常是經過拼寫、語法、合法性等方面的審查的。所以如果一個消息中充斥著糟糕的語法或者拼寫錯誤,那么可能不是來自于一家大公司的法律部門。
要求提供個人信息:不管一封電子郵件看起來有多么正式,如果它要求提供個人信息的話就一定是個不好的跡象。你的銀行不會要求發送你的帳號的,銀行肯定是知道的。同樣地,一家有信譽的公司是永遠不會發送電子郵件要求你提供密碼、信用卡號碼、或者安全問題的答案的。
發起不現實的威脅:盡管大多數的網絡釣魚騙局試圖通過承諾瞬間暴富來誘騙人們掏錢或者透露敏感信息,但是有一些釣魚郵件的高手會使用恐嚇手段來嚇唬受害人交出信息。如果該消息發起了不現實的威脅,那么這有可能是個騙局。
預防網絡電子郵件釣魚的措施有以下這些:
不要輕易將來路不明的U盤或者USB設備接入到個人計算機或者企業的內網中,防止來路不明的設備中存在病毒或者木馬。
如果要將來路不明的設備接入到計算機中時需要先使用病毒掃描工具將這些設備進行一次安全掃描后在接入到計算機中。
加強個人計算機和企業計算機中設備的的安全管理意識,及時更新殺毒軟件,升級操作系統的補丁。
提高警惕,不登錄不熟悉的網站,鍵入網站地址的時候要校對,以防輸入錯誤誤入陷阱網站,細心可以發現一些破綻。
不要打開陌生人的電子郵件,更不要輕信即時通訊工具上的傳來的消息,很有可能是病毒發出的。
安裝殺毒軟件并及時升級病毒知識庫和操作系統(如Windows)補丁。
將敏感信息輸入隱私保護,打開個人防火墻。
物聯網正常工作需要以下組件層共同協作:
互聯之物層:在這一層中,物理設備需要部署在某個環境中,平且能夠提供所需的信息。這些設備需要克服環境的限制。
通信網絡層:當智能對象不能獨立完成工作時,它們就需要與外部系統之間進行通信。在很多情況下,這些通信都是使用無線技術來完成的。
接入網絡子層:物聯網的最后一公里就是接入網。接入網往往是由諸如802.11ad、802.15.4g和LoRa這類無線技術構成的。連接到這些接入網中的傳感器也有可能是通過有線方式連接的。
網關與回程網絡子層:一個常見的通信系統中會在一個區域中包含大量的智能對象,這些對象都圍繞一臺網關設備。網絡設備直接與智能對象進行通信。網關設備的作用是將收集到的信息通過某種范圍更廣的介質(稱為回程)轉發給頭端工作站,這些信息就是在這些前端工作站中進行處理的。這些信息交換是第7層(即應用層)的功能,這也就是為何這類對象稱為網關。在IP網絡中,網關同樣負責將數據包從一個IP網絡轉發到另一個IP網絡,因此它充當的就是路由器的角色。
網絡傳輸子層:要想成功建立通信,人們必須通過實施網絡層協議和傳輸層協議(如IP和UDP)來支持大量設備建立連接,同時對它們使用的媒介提供支持。
物聯網管理子層:網絡中還必須有其他協議來支持前端應用與傳感器之間交互數據,這些應用包括CoAP和MQTT。
應用層與分析層:在上層,應用需要處理收集到的數據,它們不止需要在必要時控制智能對象,還要根據收集到的信息來做出智能決策,并且指導物或其他系統來適應分析出的情況,并且修改它們的行為或者參數。
APT攻擊對象是:
APT攻擊包括以下幾個途徑:
通過智能手機、平板電腦和USB移動設備為媒介,入侵企業信息系統。
通過社交工程的惡意郵件。隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。通過一些受到過APT攻擊的大型企業了解到這些企業受到威脅的關鍵原因都與普通員工遭遇社交工程的惡意郵件有關。黑客針對某些特定員工發送釣魚郵件,以此作為使用APT手法進行攻擊的源頭。
利用防火墻和服務器等系統漏洞來獲取訪問企業網絡的有效憑證。
網絡安全評估準則通常采用美國國防部計算機安全中心制定的可信計算機系統評價準則(TCSEC)。TCSEC定義了系統安全的5個要素:系統的安全策略、系統的審計機制、系統安全的可操作性、系統安全的生命期保證以及針對以上系統安全要素而建立和維護的相關文件。
TCSEC中根據計算機系統所采用的安全策略、系統所具備的安全功能將系統分為A、B(B1、B2、B3)、C(C1、C2)和D等四類七個安全級別。
D級(最低安全保護級):該類未加任何實際的安全措施,系統軟硬件都容易被攻擊。這是安全級別最低的一類,不再分級。該類說明整個系統都是不可信任的。對于硬件來說,沒有任何保護可用;對于操作系統來說較容易受到損害;對于用戶,其存儲在計算機上的信息的訪問權限沒有身份驗證。常見的無密碼保護的個人計算機系統、MS-DOS系統、Windows系統屬于這一類。
C1級(無條件的安全保護級):這是C類中安全性較低的一級,它提供的安全策略是無條件的訪問控制,對硬件采取簡單的安全措施(如加鎖),用戶要有登錄認證和訪問權限限制,但不能控制已登錄用戶的訪問級別,因此該級也叫選擇性安全保護級。早期的SCOUNIX、NetWare V3.0以下系統均屬于該級。
C2級(有控制的訪問保護級):這是C類中安全性較高的一級,除了提供C1級中的安全策略與控制外,還增加了系統審計、訪問保護和跟蹤記錄等特性。UNIX/Xenix系統、NetWare V3.x及以上系統和Windows NT/2000系統等均屬于該級。
B1級(標記安全保護級):它是B類中安全性最低的一級。除滿足C類要求外,要求提供數據標記。B1級的系統安全措施支持多級(網絡、應用程序和工作站等)安全。“lable”(標記)是指網上的一個對象,該對象在安全保護計劃中是可識別且受保護的。該級是支持秘密、絕密信息保護的最低級別。
B2級(結構安全保護級):該級是B類中安全性居中的一級,它除滿足B1要求外,還要求計算機系統中所有設備都加標記,并給各設備分配安全級別。
B3級(安全域保護級):該級是B類中安全性最高的一級。它使用安裝硬件的辦法來加強安全域。如安裝內存管理硬件來保護安全域免遭無授權訪問或其他安全域對象的修改。
A級(驗證安全保護級):A類是安全級別最高的一級,它包含了較低級別的所有特性。該級包括一個嚴格的設計、控制和驗證過程。設計必須是從數學角度經過驗證的,且必須對秘密通道和可信任的分布進行分析。
網絡安全評估方法:
定性評估方法的優點是避免了定量方法的缺點,可以挖掘出一些蘊藏很深的思想,使評估的結論更全面、更深刻;但它的主觀性很強,對評估者本身的要求很高。
定性的評估方法主要根據研究者的經驗、知識、政策走向、歷史教訓及特殊變例等非量化資料對系統風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄為基本資料,之后通過一個理論推導演繹的分析框架,對資料進行編碼整理,在此基礎上做出調查結論。
定性分析方法主要有邏輯分析法、德爾斐法、因素分析法、歷史比較法。
定量的評估方法是指運用數量指標來對風險進行評估。
定量的評估方法的優點是用直觀的數據來表述評估的結果,看起來比較客觀,而且一目了然,定量分析方法的采用,可以使研究結果更嚴密,更科學,更深刻。有時,一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的;但常常為了量化,使本來比較復雜的事物簡單化、模糊化了,有的風險因素被量化以后還可能被誤解和曲解。
定量分析方法主要有等風險圖法、決策樹法、因子分析法、時序模墅、回歸模型、聚類分析法等。
在信息系統信息安全風險評估過程中,層次分析法經常被用到,它是一種綜合的評佑方法,這是一種定性與定量相結合的多目標決策分析方法,其核心是將決策者的經驗判斷給予量化,從而為決策者提供定量形式的決策依據。該方法對系統進行分層次、擬定量、規范化處理,在評估過程中經歷系統分解、安全性判斷和綜合判斷三個階段。
最常用的事件響應計劃方法是:
準備:準備階段是事件響應計劃的開始,它總結了在網絡安全事故發生前進行的所有活動。該階段的核心是制定事件響應的工作流程。重要的是,事件響應計劃過程中創建的文檔并不是被創建后就再也不會被使用了,而是會成為安全運營團隊內部可以持續使用和更新的文檔。當企業開始制訂事件響應計劃時,通常會重新評估當前的安全控制措施,并將其與行業和供應商的最佳實踐進行比較,在這個過程中可以幫助企業發現未知的薄弱點。企業在處理網絡安全事件的過程中會不斷成熟并積累更多的經驗,這會幫助企業進一步優化事件響應計劃。盡管團隊中的個人會經歷不少網絡攻擊和服務中斷,然而這些都可以成為團隊學習的機會。
檢測和分析:在檢測和分析階段,安全運營團隊需要確認網絡安全事件是否真實存在,并在得到確認后迅速確定該網絡安全事件的影響范圍。團隊需要能夠快速確定某個特定活動是由實際員工發起的,還是由潛在攻擊者模仿員工行為發起的。例如,當Microsoft Word在一個終端啟動時,并不意味著攻擊者正在執行惡意動作,世界上幾乎所有的企業都在使用Microsoft Word,這一類型的個人行為是惡意攻擊的可能性很小。但是,在分析過程中,如果發現Microsoft Word是被PowerShell腳本拉起后臺執行的,就不太可能是正常的員工行為了。而這只是需要詳細分析細節的大量情況中的一個。
抑制:抑制階段是事件響應計劃中最重要的階段之一。在此階段的執行過程中,很有可能會導致服務的中斷,但為了確保不會造成進一步的損害,這一步至關重要。在此階段,安全團隊將嘗試控制局勢。如果不對安全事件進行抑制,結果將會產生很高的風險,除了短期損害之外,還可能會造成指數級的中長期損害。請想象這樣一個不包含抑制階段的網絡攻擊場景:安全團隊恢復IT服務,但是該服務一恢復便再次遭受攻擊。這是因為在進行服務恢復之前,網絡安全事件并未得到有效抑制。
根除和恢復:根除和恢復是兩個單獨的過程,盡管它們可能會同時發生。通過根除,企業可以確保與網絡安全事件相關的所有組件被移除,例如刪除惡意軟件、刪除釣魚攻擊中收到的電子郵件、禁用受危害的賬戶。恢復過程是企業期望安全團隊盡快執行的過程,但重要的是不要匆忙,保持冷靜,并遵循事件響應計劃。請記住,在進行恢復時,需要確保在恢復后攻擊者不會立刻再次破壞它。此步驟包括將系統恢復到可操作階段,還包括對系統進行加固以確保相同的攻擊模式不會再次起作用。
事后處理:結束服務中斷并使業務得以恢復運行固然重要,但解決網絡安全事件后進行事后調查也同樣重要。網絡安全是一個持續學習和提升的過程,只有汲取以往的經驗教訓,企業才能真正提高其網絡安全實踐的成熟度。在事后處理階段,團隊對網絡安全事件進行回顧,深入了解網絡安全事件最初是如何發生的,可以采取哪些措施來防止網絡安全事件的發生,以及如何改進事件響應的方法。事后處理階段的發現直接影響著準備階段的執行方式。
常用的入侵檢測技術有以下幾種:
概率統計異常檢測:每一個輪廓保存記錄主體當前行為,并定時將當前輪廓與歷史輪廓合并形成統計輪廓(更新),通過比較當前輪廓與統計輪廓來判定異常行為。
神經網絡異常檢測:對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。
專家系統濫用檢測:通過將安全專家的知識表示成If-Then結構的規則(if部分:構成入侵所要求的條件;then部分:發現入侵后采取的相應措施)形成專家知識庫,然后運用推理算法檢測入侵。
狀態轉換分析濫用檢測:將入侵過程看作一個行為序列,該行為序列導致系統從初始狀態轉入被入侵狀態。分析時,需要針對每一種入侵方法確定系統的初始狀態和被入侵狀態,以及導致狀態轉換的轉換條件(導致系統進入被入侵狀態必須執行的操作/特征事件);然后用狀態轉換圖來表示每一個狀態和特征事件。
入侵誘騙技術:用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析,并進而找到有效的對付方法。
主動響應:入侵檢測系統在檢測到入侵后能夠阻斷攻擊、影響進而改變攻擊的進程。
被動響應:入侵檢測系統僅僅簡單地報告和記錄所檢測出的問題。
主要流程如下:
情報的搜集階段
情報是指目標網絡,服務器,應用程序等的所有信息,如果是黑盒測試,信息搜集階段是最重要的一個階段,一般通過被動掃描或主動掃描兩種技術。
威脅建模階段
如果把滲透測試看做一場對抗賽,那么威脅建模就相當于指定策略。在這個階段主要考慮以下幾個問題:
漏洞分析階段
漏洞分析階段是從目標網絡中發現漏洞的過程。這個階段我們會根據之前搜集的目標網絡的操作系統,開放端口及服務程序等信息,查找和分析目標網絡中的漏洞。這個階段如果全靠人手工進行,那么會非常累。不過Kali Linux 2提供了大量的網絡和應用漏洞評估工具。不光是網絡的漏洞,還要考慮人的因素長時間研究目標人員的心理,以便對其實施欺騙,從而達到滲透目標。
漏洞利用階段
找到目標網絡的漏洞后,就可以對其進行測試了。在漏洞利用階段我們關注的重點是,如果繞過網絡的安全機制來控制目標網絡或訪問目標資源。如果我們在漏洞分析階段順利完成任務,那么我們就可以在此階段準確,順利的進行。漏洞利用階段的滲透測試應該有精確的范圍。這個階段我們主要的目標就是獲取我們之前評估的重要的資產。進行滲透測試時還需要考慮成功的概率和對目標網絡造成的最大破壞。
后滲透攻擊階段
后滲透攻擊階段和漏洞利用階段連接十分密切,作為滲透測試人員,必須盡可能地將目標網絡滲透后可能產生的結果模擬出來。在后滲透攻擊階段可能要完成的任務包括以下幾個:
報告階段
報告階段是滲透測試最后一個階段。要簡單,直接且盡量避免大量專業術語向客戶匯報測試目標網絡出現的問題,以及可能產生的風險。這份報告應該包括目標網絡最重要的威脅,使用滲透數據產生的表格和圖標,以及對目標網絡存在問題的修復方案,當前安全機制的改進建議等。
從細節上看,云計算安全風險主要包括:
數據泄露
數據泄露威脅在去年的調查中繼續保持第一的位置,也是最嚴重的云安全威脅。數據泄露行為可能會嚴重損害企業的聲譽和財務,還可能會導致知識產權(IP)損失和重大法律責任。
CSA關于數據泄露威脅的關鍵要點包括:攻擊者渴望竊取數據,因此企業需要定義其數據的價值及其丟失的影響; 明確哪些人有權訪問數據是解決數據保護問題的關鍵; 可通過互聯網訪問的數據最容易受到錯誤配置或漏洞利用的影響; 加密可以保護數據,但需要在性能和用戶體驗之間進行權衡; 企業需要可靠、經過測試的事件響應計劃,并將云服務提供商考慮在內。
配置錯誤和變更控制不足
這是CSA云安全威脅榜單中出現的新威脅,考慮到近年來越來越多的企業都因為疏忽或意外通過云公開泄露數據,該威脅上榜不足為奇。例如,報告中引用了Exactis事件,其中云服務商因配置錯誤公開泄露了一個包含2.3億美國消費者的個人數據的Elasticsearch數據庫。另外一個災難性的錯誤配置案例來自Level One Robitics,由于備份服務器配置錯誤暴露了100多家制造公司的知識產權信息。報告指出,讓企業擔心的不僅僅是數據丟失,還包括通過篡改或者刪除資料導致的業務停頓。報告將大多數配置錯誤歸咎于變更控制實踐欠佳。
配置錯誤和變更控制不充分的關鍵點包括:云端資源的復雜性使其難以配置; 不要期望傳統的控制和變更管理方法在云中有效; 使用自動化和技術,這些技術會連續掃描錯誤配置的資源。
缺乏云安全架構和策略
這是個云計算與生俱來的“古老”問題。對于很多企業來說,最大程度縮短將系統和數據遷移到云所需的時間的優先級,要高于安全性。結果,企業往往會選擇并非針對其設計的云安全基礎架構和云計算運營策略。這一問題出現在2020年云安全威脅清單中表明,更多的企業開始意識到這是一個嚴重問題。
云安全架構和策略的要點包括:安全體系結構需要與業務目標保持一致; 開發和實施安全體系結構框架; 保持威脅模型為最新; 部署持續監控功能。
身份、憑證、訪問和密鑰管理不善
威脅清單中的另一個新威脅是對數據、系統和物理資源(如服務器機房和建筑物)的訪問管理和控制不足。報告指出,云計算環境中,企業需要改變與身份和訪問管理(IAM)有關的做法。報告認為,不這樣做的后果可能導致安全事件和破壞,原因是:憑證保護不力; 缺乏密碼密鑰,密碼和證書自動輪換功能; 缺乏可擴展性; 未能使用多因素身份驗證; 未能使用強密碼。
身份、憑證、訪問和密鑰管理的關鍵要點包括:安全賬戶,包括使用雙重身份驗證; 對云用戶和身份使用嚴格的身份和訪問控制-特別是限制root賬戶的使用; 根據業務需求和最小特權原則隔離和細分賬戶、虛擬私有云和身份組; 采用程序化、集中式方法進行密鑰輪換; 刪除未使用的憑據和訪問特權。
賬戶劫持
今年,賬戶劫持仍然是第五大云威脅。隨著網絡釣魚攻擊變得更加有效和更有針對性,攻擊者獲得高特權賬戶訪問權的風險非常大。網絡釣魚不是攻擊者獲取憑據的唯一方法。他們還可以通過入侵云服務等手段來竊取賬戶。一旦攻擊者可以使用合法賬戶進入系統,就可能造成嚴重破壞,包括盜竊或破壞重要數據,中止服務交付或財務欺詐。報告建議對用戶就賬戶劫持的危險性和特征進行安全意識教育培訓,以最大程度地降低風險。
CSA關于賬戶劫持的主要建議包括:賬戶憑證被盜時,不要只是重置密碼,要從源頭解決根本問題。 深度防御方法和強大的IAM控制是最好的防御方法。
內部威脅
來自受信任內部人員的威脅在云中與內部系統一樣嚴重。內部人員可以是現任或前任員工,承包商或可信賴的業務合作伙伴,以及無需突破公司安全防御即可訪問其系統的任何人。云計算服務提供商內部人員,特別是具有高級權限管理員的失職,將可能給用戶數據安全帶來很大威脅,如非授權復制虛擬機鏡像,導致用戶數據或隱私泄露。內部威脅者未必都是惡意的,很多員工疏忽可能會無意間使數據和系統面臨風險。根據Ponemon Institute的2018年內部威脅成本研究,64%的內部威脅事件是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的云服務器,在個人設備上存儲敏感數據或成為網絡釣魚電子郵件的受害者。
治理內部威脅的關鍵要點包括:對員工進行充分的安全意識和行為準則的培訓和教育,以保護數據和系統。使安全意識教育常態化,成為一個持續的過程; 定期審核和修復配置錯誤的云服務器; 限制對關鍵系統的訪問。
不安全的接口和API
“不安全的接口和API”從去年的第三名跌至第七名。在2018年,Facebook經歷了一次嚴重的數據泄露事件,影響了超過5000萬個賬戶,問題的根源就是新服務View中不安全的API。尤其是當與用戶界面相關聯時,API漏洞往往是攻擊者竊取用戶或員工憑據的熱門途徑。報告指出,企業需要清醒地認識到,API和用戶界面是系統中最容易暴露的部分,應當通過安全設計方法來強化其安全性。
治理不安全的接口和API的關鍵點:采用良好的API做法,例如監督庫存、測試、審計和異常活動保護等項目; 保護API密鑰并避免重用; 考慮采用開放的API框架,例如開放云計算接口(OCCI)或云基礎架構管理接口(CIMI)。
控制面薄弱
控制平面涵蓋了數據復制、遷移和存儲的過程。根據CSA的說法,如果負責這些過程的人員無法完全控制數據基礎架構的邏輯、安全性和驗證,則控制平面將很薄弱。相關人員需要了解安全配置,數據流向以及體系結構盲點或弱點。否則可能會導致數據泄漏、數據不可用或數據損壞。
關于弱控制面的主要建議包括:確保云服務提供商提供履行法律和法定義務所需的安全控制; 進行盡職調查以確保云服務提供商擁有足夠的控制平面。
元結構和應用程序結構故障
云服務商的元結構(Metastructure)保存了如何保護其系統的安全性信息,并可通過API調用。CSA將元結構稱為云服務提供商/客戶的“分界線”。這些API可幫助客戶檢測未經授權的訪問,同時也包含高度敏感的信息,例如日志或審核系統數據。這條分界線也是潛在的故障點,可能使攻擊者能夠訪問數據或破壞云客戶。糟糕的API實施通常是導致漏洞的原因。CSA指出,不成熟的云服務提供商可能不知道如何正確地向其客戶提供API。另一方面,客戶也可能不了解如何正確實施云應用程序。當他們連接并非為云環境設計的應用程序時,尤其如此。
防范元結構和應用程序結構失敗的關鍵要點包括:確保云服務提供商提供可見性并公開緩解措施; 在云原生設計中實施適當的功能和控件; 確保云服務提供商進行滲透測試并向客戶提供結果。
法律合規性風險
云計算應用地域性弱,信息流動性大,信息服務或用戶數據可能分布在不同地區甚至國家,在政府信息安全監管等方面存在法律差異與糾紛;同時由于虛擬化等技術引起的用戶間物理界限模糊可能導致的司法取證問題也不容忽視。
防范法律違規的關鍵要點包括:云計算服務提供商需要基于法律法規要求,對運營管理制度、業務提供的合規性進行合理規范,在商業合同中的司法管轄權合理設定服務內容,以規避不必要的法律風險。
網絡安全數據通信有以下這些PON多址接入技術:
時分多址接入:我們以樹狀分支結構為例,說明PON信號傳輸的特點。樹狀分支結構決定了各個ONU之間必須以共享媒質方式與OLT通信。下行方向(OLT到ONU)通過TDM廣播的方式發送給各ONU信息數據,并用特定的標識來指示各時隙是屬于哪個ONU的。載有所有ONU的全部信息的光信號功率在光分路器處被分成若干份經各分支光纖到達各ONU,各ONU根據相應的標識收取屬于自己的下行信息數據(即時隙),其他時隙的信息數據則丟棄。上行方向(ONU到OLT)通過TDMA方式實現接入。各ONU在OLT的控制下,只在OLT指定的時隙發送自己的信息數據。各ONU的時隙在光合路器處匯合,PON系統的測距和多址接入控制保證上行各ONU的信息數據不發生沖突。
波分多址接入:WDMA PON網絡的關鍵技術是密集波分復用技術。盡管密集波分復用技術已經成熟并在骨干網和城域網上應用,但WDMA PON的成本對于接入網環境仍太高。目前無論企業用戶還是居民用戶都沒有這么寬的帶寬需求,也無法承受其高昂的價格,所以我們認為WDMA PON在未來的幾年內還不適合在接入網環境中應用。
副載波多址接入:副載波多址接入(SCMA)是利用不同頻率的電載波(相對光載波來說是副載波)來復用和解復用不同用戶的信息數據流,然后這些電的副載波再去強度調制光載波,產生模擬的光信號。根據電副載波調制光載波的方式,SCMA又分為單通道和多通道的SCMA。單通道SCMA是指每一副載波(被要傳輸的用戶信息數據所調制)調制一光波長的光信號強度,而所有的被電副載波調制的光信號在光合路器處合在一起,接收端光信號由光電探測器轉換成電信號后通過中心頻率為各個副載波的帶通濾波器,并進一步地通過鑒相解調出信息數據。
碼分多址接入:碼分多址接入(CDMA)在光接入網上的應用按其編解碼信號是先以光的形式還是先以電的形式進行然后再轉換到光域而分為兩大類:光CDMA和電CDMA的光傳輸。
