NIDS存在如下缺點:
NIDS只檢測它直接連接網段的通信,實際使用中會出現檢測范圍的局限。
部分NIDS為了性能目標通常采用特征檢測的方法,它可以檢測出一些常見攻擊,而較難實現一些復雜的需要大量計算與分析時間的攻擊檢測。
不能結合操作系統特征來對網絡行為進行準確的判斷。
NIDS監視數據量過于龐大,可能會將大量的數據傳回分析系統中。
NIDS處理加密的會話過程較困難,目前通過加密通道的攻擊尚不多,但隨著IPv6的普及,這個問題會越來越突出。
解決上述缺陷的措施有以下這些:
- 分層結構,所有節點全線支持水平擴展。
- 檢測與防護分離,性能及可用性大幅提升,按需決定防護,支持灰度。
- 報文解析與攻擊識別完全解耦,入侵檢測環節“后移”。
- 依賴大數據集群,規則數量不再成為系統瓶頸,并且不再局限于基于靜態特征的規則集,而是能多維度建模。
- “加規則”完全不影響業務。OPC是OLE for Process Control的縮寫,是一個用于過程控制的工業標準協議。OPC協議以微軟的OLE技術為基礎,它的制定是通過提供一套標準的OLE/COM接口完成的。在OPC技術中使用OLE2技術,OLE允許多臺微機之間交換文檔、圖形等對象。OPC協議包括一整套接口、屬性和方法的標準集。OPC協議被廣泛應用于過程控制系統,為不同供應商的設備和軟件之間提供互操作。
新版本的OPC協議(OPC UA)在其設計中已經包括了安全性需求,但OPC Classic協議(如OPC OPC是OLE for Process Control的縮寫,是一個用于過程控制的工業標準協議。OPC協議以微軟的OLE(Object Linking and Embedding,對象連接與嵌入)技術為基礎,它的制定是通過提供一套標準的OLE/COM接口完成的。在OPC技術中使用OLE2技術,OLE允許多臺微機之間交換文檔、圖形等對象。OPC協議包括一整套接口、屬性和方法的標準集。OPC協議被廣泛應用于過程控制系統,為不同供應商的設備和軟件之間提供互操作。
建立OPC協議連接需要以下兩步:
① 客戶端通過135端口查詢服務器以獲取通信所需的TCP端口號;
② 客戶端使用步驟①獲取到的端口號連接服務器,訪問目標數據。
步驟①中數據對象請求使用的端口號是標準化的,但步驟②的實際數據連接所使用的端口號是由OPC服務器隨機動態分配的,因此沒有辦法提前知道服務器返回給客戶端的端口號是什么。由于服務器可以分配的端口號范圍很廣,因此傳統的防火墻在保護OPC服務器時,不得不允許OPC客戶端和OPC服務器之間進行大范圍端口號的TCP連接。在這種情況下,防火墻提供的安全保障將被降至最低。而且目前絕大多數的OPC服務器還沒有防火墻的保護,很容易遭受黑客入侵和惡意軟件的攻擊。
數據庫常用安全技術有以下這些:
Web的訪問控制:在Web數據庫中,用戶發起操作時,客戶端程序會先將自身的信息傳達給目標Web服務器,服務器會進行IP地址與客戶域名的解析,再進行訪問權限的判斷。如果服務器無法確定客戶域名,就有可能將信息誤發至其他域名,產生安全威脅。所以需要盡可能通過非特權用戶身份對服務器進行配置、運行;合理利用訪問控制機制;使用備份鏡像,避免敏感信息直接對外開放;檢查HTTP服務器腳本、CGI程序等,防止外部用戶觸及內部命令。
用戶身份驗證:通常包括用戶的用戶名、口令、賬號信息的識別與檢測。也會利用ASP Session和HTTP Headers信息來進行更深層的身份驗證。
授權管理:常用的權限控制方式有目錄級安全訪問控制與屬性安全訪問控制。目錄級的安全訪問控制允許用戶對目錄、文件等信息的訪問。而屬性安全訪問控制則會賦予用戶對目錄、文件等指定訪問屬性的權限控制。
監視追蹤:網絡數據監視追蹤最直觀的手段之一就是日志系統。完整的日志系統能夠綜合地記錄數據,并具有自動分類檢索功能,會如實地記錄一切正常/非正常的數據變動。
數據庫審計:數據庫審計能夠實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計。除此之外,數據庫審計還能對數據庫遭受到的風險行為進行告警,如:數據庫漏洞攻擊、SQL注入攻擊、高危風險操作等。數據庫審計技術一般采用旁路部署,通過鏡像流量或探針的方式采集流量,并基于語法語義的解析技術提取出SQL中相關的要素(用戶、SQL操作、表、字段等)進而實時記錄來自各個層面的所有數據庫活動,包括:普通用戶和超級用戶的訪問行為請求,以及使用數據庫客戶端工具執行的操作。
數據庫脫敏:數據庫脫敏是一種采用專門的脫敏算法對敏感數據進行變形、屏蔽、替換、隨機化、加密,并將敏感數據轉化為虛構數據的技術。按照作用位置、實現原理不同,數據脫敏可以劃分為靜態數據脫敏(Static Data Masking, SDM )和動態數據脫敏(Dynamic Data Masking, DDM )。
數據庫安全運維:據庫安全運維產品是面向數據庫運維人員的數據庫安全加固與訪問管控產品,能夠有效提升數據庫日常運維管理工作的精細度及安全性。可以對運維行為進行流程化管理,提供事前審批、事中控制、事后審計、定期報表等功能,將審批、控制和追責有效結合,避免內部運維人員的惡意操作和誤操作行為,解決運維賬號共享帶來的身份不清問題,確保運維行為在受控的范疇內安全高效的執行。
根據信息安全等級保護保護等級由系統安全級別被破壞影響大小范圍來決定。
具體的參考國家發布的等級保護劃分內容:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
主動攻擊手段有以下這些:
修改傳輸中的數據:截獲并修改網絡中傳輸的數據;
重放:將舊的消息重新反復發送,造成網絡效率降低;
會話攔截:未授權使用一個已經建立的會話;
偽裝成授權的用戶:這類攻擊者將自己偽裝成他人,從而未授權訪問資源和信息;
利用系統軟件的漏洞:攻擊者探求以系統權限運行的軟件中存在的脆弱性;
利用主機或網絡信任:攻擊者通過操縱文件,使主機提供服務,從而獲得信任;
利用惡意代碼:攻擊者向系統內植入惡意代碼或使用戶去執行惡意代碼;
利用缺陷:攻擊者利用協議中的缺陷來欺騙用戶或重定向通信量;
拒絕服務:攻擊者有很多實施拒絕服務的攻擊方法;
風險評估是對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。常用的方法包括三種分別為:
基線風險評估,組織根據自己的實際情況(所在行業、業務環境與性質等),對信息系統進行安全基線檢查(拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距),得出基本的安全需求,通過選擇并實施標準的安全措施來消減和控制風險。
詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想,即識別資產的風險并將風險降低到可接受的水平,以此證明管理者所采用的安全控制措施是恰當的。
基線風險評估耗費資源少、周期短、操作簡單,但不夠準確,適合一般環境的評估;詳細風險評估準確而細致,但耗費資源較多,適合嚴格限定邊界的較小范圍內的評估。基于在實踐當中,組織多是采用二者結合的組合評估方式。
將基線和詳細風險評估的優勢結合起來,既節省了評估所耗費的資源,又能確保獲得一個全面系統的評估結果,而且,組織的資源和資金能夠應用到最能發揮作用的地方,具有高風險的信息系統能夠被預先關注。當然,組合評估也有缺點:如果初步的高級風險評估不夠準確,某些本來需要詳細評估的系統也許會被忽略,最終導致結果失準。
數據庫常用安全技術有以下這些:
Web的訪問控制:在Web數據庫中,用戶發起操作時,客戶端程序會先將自身的信息傳達給目標Web服務器,服務器會進行IP地址與客戶域名的解析,再進行訪問權限的判斷。如果服務器無法確定客戶域名,就有可能將信息誤發至其他域名,產生安全威脅。所以需要盡可能通過非特權用戶身份對服務器進行配置、運行;合理利用訪問控制機制;使用備份鏡像,避免敏感信息直接對外開放;檢查HTTP服務器腳本、CGI程序等,防止外部用戶觸及內部命令。
用戶身份驗證:通常包括用戶的用戶名、口令、賬號信息的識別與檢測。也會利用ASP Session和HTTP Headers信息來進行更深層的身份驗證。
授權管理:常用的權限控制方式有目錄級安全訪問控制與屬性安全訪問控制。目錄級的安全訪問控制允許用戶對目錄、文件等信息的訪問。而屬性安全訪問控制則會賦予用戶對目錄、文件等指定訪問屬性的權限控制。
監視追蹤:網絡數據監視追蹤最直觀的手段之一就是日志系統。完整的日志系統能夠綜合地記錄數據,并具有自動分類檢索功能,會如實地記錄一切正常/非正常的數據變動。
數據庫審計:數據庫審計能夠實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計。除此之外,數據庫審計還能對數據庫遭受到的風險行為進行告警,如:數據庫漏洞攻擊、SQL注入攻擊、高危風險操作等。數據庫審計技術一般采用旁路部署,通過鏡像流量或探針的方式采集流量,并基于語法語義的解析技術提取出SQL中相關的要素(用戶、SQL操作、表、字段等)進而實時記錄來自各個層面的所有數據庫活動,包括:普通用戶和超級用戶的訪問行為請求,以及使用數據庫客戶端工具執行的操作。
數據庫脫敏:數據庫脫敏是一種采用專門的脫敏算法對敏感數據進行變形、屏蔽、替換、隨機化、加密,并將敏感數據轉化為虛構數據的技術。按照作用位置、實現原理不同,數據脫敏可以劃分為靜態數據脫敏(Static Data Masking, SDM )和動態數據脫敏(Dynamic Data Masking, DDM )。
數據庫安全運維:據庫安全運維產品是面向數據庫運維人員的數據庫安全加固與訪問管控產品,能夠有效提升數據庫日常運維管理工作的精細度及安全性。可以對運維行為進行流程化管理,提供事前審批、事中控制、事后審計、定期報表等功能,將審批、控制和追責有效結合,避免內部運維人員的惡意操作和誤操作行為,解決運維賬號共享帶來的身份不清問題,確保運維行為在受控的范疇內安全高效的執行。
防火墻asa可以支持以下三種路由協議:
BGP路由協議:是自治系統間的路由協議,BGP交換的網絡可達性信息提供了足夠的信息來檢測路由回路并根據性能優先和策略約束對路由進行決策。
OSPF組播擴展:是一個內部網關協議(Interior Gateway Protocol,簡稱IGP),用于在單一自治系統(autonomous system,AS)內決策路由。是對鏈路狀態路由協議的一種實現,隸屬內部網關協議(IGP),故運作于自治系統內部。著名的迪克斯徹(Dijkstra)算法被用來計算最短路徑樹。OSPF支持負載均衡和基于服務類型的選路,也支持多種路由形式,如特定主機路由和子網路由等。
RIP協議:RIP(Routing Information Protocol,路由信息協議)是一種內部網關協議(IGP),是一種動態路由選擇協議,用于自治系統(AS)內的路由信息的傳遞。RIP協議基于距離矢量算法(DistanceVectorAlgorithms),使用“跳數”(即metric)來衡量到達目標地址的路由距離。這種協議的路由器只關心自己周圍的世界,只與自己相鄰的路由器交換信息,范圍限制在15跳(15度)之內,再遠,它就不關心了。RIP應用于OSI網絡七層模型的應用層。
故障排除主要有先硬后軟方法和OSI七層模型法兩種方法。先硬后軟方法步驟:
首先確定故障的具體現象,應該詳細說明故障的癥狀和潛在的原因。為此,要確定故障的具體現象,然后確定造成這種故障現象的原因的類型。例如,主機不響應客戶請求服務,可能的故障原因是主機配置問題、接口卡故障或路由器配置命令丟失等。
收集需要的用于分析可能故障原因的信息。向用戶、網絡管理員、管理者和其他關鍵人物提.些和故障有關的問題。從網絡管理系統協議分析跟蹤、路由器診斷命令的輸出報告或軟件說明書中收集有用的信息。
根據收集到的情況考慮可能的故障原因。可以根據有關情況排除某些故障原因。例如,根據某些資料可以排除硬件故障,把注意力放在軟件原因上。應該盡量設法減少可能的故障原因,以至于盡快地策劃出有效的故障診斷計劃。
根據最后的可能的故障原因,建立一個診斷計劃。開始僅用一個最可能的故障原因進行診斷活動,這樣可以容易恢復到故障的原始狀態。如果一次同時考慮一個以上的故障原因,試圖返回故障原始狀態就困難得多了。
執行診斷計劃,認真做好每一步測試和觀察,每改變一個參數都要確認其結果。分析結果確定問題是否解決.如果沒有解決,繼續下去,直到故障現象消失。
OSI七層模型法步驟:
診斷網絡故障的過程應該沿著OSI七層模型從物理層開始向上進行。首先檢查物理層,然后檢查數據鏈路層,以此類推,逐步往上,設法確定通信失敗的故障點,排除故障直到系統通信正常為止。
物理層及其診斷:物理層立在通信媒體的基礎上,實現系統和通信媒體的物理接口,與數據鏈路實體之間進行透明傳輸,為建立、保持和拆除計算機與網絡之間的物理連接提供服務。現在交換機是最常用的接入層網絡設備。工作站、打印機和服務器都通過交換機連接到網絡。交換機硬件或配置發生故障會導致本地設備與遠程設備之間無法連接。交換機的大多數問題發生在物理層。如果交換機所在的環境沒有加以保護,則交換機可能會被人移走,數據線或電源線可能遭到損壞。所以,務必將交換機放置在受到物理保護的區域。
數據鏈路層及其診斷:數據鏈路層的主要任務是使網絡層無須了解物理層的特征而獲得可靠的傳輸。數據鏈路層對通過鏈路層的數據進行打包和解包、差錯檢測,有一定的校正能力,并協調共享介質。在數據鏈路層交換數據之前,協議關注的是形成幀和同步設備。排除數據鏈路層的故障,首先應檢查路由器的配置,檢查連接端口的封裝情況。每對接口要和與其通信的其他設備有相同的封裝。通過查看路由器的配置檢查其封裝,或者使用show命令查看相應接口的封裝情況。如果判斷出是租用線路有問題,應該及時向當地電信部門報告。
網絡層及其診斷:網絡層提供建立、保持和釋放網絡層連接的手段,包括路由選擇、流量控制傳輸確認中斷、差錯及故障恢復等。排除網絡層故障的基本方法是:沿著從源到目標的路徑,查看路由器路由表,同時檢查路由器接口的IP地址。如果路由沒有在路由表中出現,應該通過檢查來確定是否已經輸人適當的靜態路由、默認路由或者動態路由。然后手工配置些丟失的路由 ,或者排除些動態路由選擇過程的故障, 包括RIP或者ICRP路由協議出現的故障。例如,對于ICRP路由選擇信息只在同一自治系統號(AS)的系統之間交換數據,查看路由器配置的自治系統號的匹配情況。
一般步驟:從故障現象出發,以網絡診斷工具為手段獲取診斷信息,確定網絡故障點,查找問題的根源,排除故障,恢復網絡正常運行。網絡故障以某種癥狀表現出來,故障癥狀包括一般性的(如用戶不能接人某個服務器)和較特殊的(如路由器不在路由表中)。對每個癥狀使用特定的故障診斷工具和方法 都能查找出一個或多個故障原因。
云計算面臨以下策略和組織管理方面的安全風險:
鎖定風險:用戶不能方便地遷移數據/服務到其他云服務提供商,或遷回本地。
治理喪失的風險:在使用云計算基礎架構,雖然云供應商和客戶之間有SLA協議,但這些SLA協議并不提供明確的承諾,確保云服務提供商考慮此類問題。這將導致安全防御的漏洞,從而導致治理和控制損失。這種損失會嚴重影響云服務商完成其使命和目標的策略和能力。
合規挑戰:由于云服務提供商不能提供有效證明來說明其服務遵從相關的規定,以及云服務提供商不允許用戶對其進行審計,而使得部分服務無法達到合規要求。
隔離故障:云計算的多租戶和資源共享特點,使計算能力、存儲和網絡被多個用戶共享。這可能導致包括分離存儲機制、內存和路由失敗,甚至共享基礎設施的不同租戶失去商業聲譽的風險。即由于其他用戶的惡意活動使得多租戶中的無辜用戶遭受影響,如惡意攻擊使得包括攻擊者及無辜者的IP地址段被阻塞。
云服務終止或失效:由于云服務提供商破產或短期內停止提供服務,云用戶的業務遭受嚴重影響,可能會導致服務交付性能損失或惡化,以及投資的損失。此外,在服務外包給云服務提供商的失敗,有可能使云用戶對它的客戶和員工履行其職責和義務的能力受到影響。
密鑰丟失:密鑰管理不善可能導致密鑰或密碼被惡意的第三方獲取。這有可能導致未經授權而使用身份驗證和數字簽名。
供應鏈故障:由于云計算提供商將其生產鏈中的部分任務外包給第三方,其整體安全性將因此受到第三方的影響。其中任一環節安全性的失效,將影響整個云服務的可用性以及數據的機密性、完整性和可用性等。
特權問題:由于云計算將很多用戶聚集在一個管理域中,共享同一平臺。這就為安全埋下隱患。其中,云服務提供商內部管理人員所擁有的特權對用戶數據的隱私具有嚴重威脅,這就需要提供有效的管理機制來防止特權管理人員利用職權之便竊取用戶私密數據或對其造成破壞。
加強云計算安全的措施有以下這些:
加密技術:加強數據的私密性才能保證云計算安全,無論是用戶還是存儲服務提供商,都要對數據進行加密,這樣既保證數據的隱私性,又可以進行數據隔離。
訪問控制:訪問控制機制用來保證授權用戶可以訪問數據和阻止非授權用戶訪問系統數據。訪問控制包括認證和授權兩個方面。目前的云服務提供商都是通過弱認證機制如用戶名密碼形式來完成認證,并提供給用戶相對粗粒度的授權訪問控制。一般云計算提供商所提供的授權級別僅有管理員授權和用戶授權,而在這兩種授權中間沒有其他等級,這種粗粒度的訪問控制機制存在重大安全問題。因此,需要在云計算平臺中引入高安全性的身份認證機制和訪問管理技術,提高云用戶身份及其訪問控制的安全性。
身份認證:身份認證的方式有很多,比較常用的是密碼驗證法,即系統通過用戶所設定的用戶名和密碼判斷用戶身份是否合法。密碼驗證法又可以被分為直接存儲法、單向函數法、密碼加密法、時戳法和隨機法等。這種方法的安全性較低,若是服務器將用戶信息泄露,攻擊者很容易獲取用戶數據。
孤立虛擬機:既然多租用戶是數據隱私問題的主要來源,因此孤立虛擬機也是解決方法之一,即:在IaaS級,對存儲、內存和處理等進行孤立;在PaaS級,需要對API調用、操作系統處理進行孤立;在SaaS級,要強調對同一軟件上運行的事務進行孤立。
信息系統安全技術有以下這些:
智能移動終端惡意代碼檢測技術:針對智能移動終端惡意代碼研發的新型惡意代碼檢測技術,是在原有PC已有的惡意代碼檢測技術的基礎上,結合智能移動終端的特點引入的新技術。在檢測方法上分為動態監測和靜態檢測。由于智能移動終端自身的計算能力有限,手機端惡意代碼檢測經常需要云查殺輔助功能。用手機數據銷毀相應的取證也有著極為重要的應用,在手機取證中,手機卡、內外存設備和服務提供商都是取證的重要環節。
生物特征識別技術:是指用生物體本身的特征對用戶進行身份驗證,如指紋識別技術。英特爾等將其應用于可穿戴設備,近年又新興了如步態識別、臉像識別和多模態識別技術等。可穿戴設備可對用戶的身份進行驗證,若驗證不通過將不提供服務。
入侵檢測與病毒防御工具:在設備中引入異常檢測及病毒防護模塊。由于可穿戴設備中本身的計算能力有限,因此,嵌入在可穿戴設備中的入侵檢測或病毒防護模塊只能以數據收集為主,可穿戴設備通過網絡或藍牙技術將自身關鍵結點的數據傳入主控終端中,再由主控終端分析出結果,或通過主控終端進一步傳遞到云平臺,最終反饋給可穿戴設備,實現對入侵行為或病毒感染行為的警示及阻止。
云容災技術:用物理隔離設備和特殊算法,實現資源的異地分配。當設備意外損毀時,可利用存儲在其他設備上的冗余信息恢復出原數據。如基于Hadoop的云存儲平臺,其核心技術是分布式文件系統(HDFS)。在硬件上,此技術不依賴具體設備,且不受地理位置限制,使用很便捷。
可搜索加密與數據完整性校驗技術:可通過關鍵字搜索云端的密文數據。新的可搜索加密技術應注重關鍵詞的保護,支持模糊搜索,允許用戶搜索時誤輸入,并支持多關鍵詞檢索,對服務器的返回結果進行有效性驗證。為進行數據完整性驗證,用戶無需完全下載存儲在云端的數據,而是基于服務器提供的證明數據和自己本地的少部分后臺數據。未來新的完整性審計技術可支持用戶對數據的更新,并保證數據的機密性。
基于屬性的加密技術:支持一對多加密模式,在基于屬性的加密系統中,用戶向屬性中心提供屬性列表信息或訪問結構,中心返回給用戶私鑰。數據擁有者選擇屬性列表或訪問結構對數據加密,將密文外包給云服務器存儲。在基于屬性的環境中,不同用戶可擁有相同的屬性信息,可具有同樣的解密能力,導致屬性撤銷和密鑰濫用的追蹤問題。
后量子密碼技術:量子計算機的高度并行計算能力,可將計算難題化解為可求解問題。以量子計算復雜度為基礎設計的密碼系統具有抗量子計算優點,可有效地提高現代密碼體制的安全。未來研究將關注實用量子密鑰分發協議、基于編碼的加密技術和基于編碼的數字簽名技術等。
SIM卡的安全風險有:
垃圾短信:這不僅是手機用戶卡安全問題,也涉及通信網絡的信息攔截和信息監管的問題。
手機存儲的私密信息的泄露和手機卡信息的復制:隨著手機的使用范圍越來越廣,人們往往在手機中存儲大量的個人私密信息,在利益的驅動下,就有人運用木馬、手機后門、破解卡信息等一些非法的手段獲取私密信息。
手機病毒:SIM卡很容易感染上手機的病毒。
SIM卡復制:不法分子通過破解SIM卡上的密鑰數據,達到復制SIM卡內容、冒充原卡進行使用的目的。如果SIM卡被不法分子復制以后,危害是很大的,因為這時拿到復制卡的人完全可以像合法用戶那樣使用這張卡。復制卡的一個重要安全風險是短信和來電劫持。當兩張相同的SIM同時使用,電話和短信會流入先和基站建立連接的那張卡片的手機里。在特定的場合下,原本發往原卡的重要信息可能被持有復制卡的不法分子獲取。此外,不法分子利用復制卡還可以仿冒用戶進行通信詐騙。
騷擾電話:很多時候信息遭到泄露,容易接到很多騷擾電話。
SIM卡的安全風險的防護措施:
防范社會工程攻擊:為了防止SIM卡交換,讓黑客難以找到有關你的信息。黑客將使用他們在網上找到的有關你的數據,例如朋友和家人的姓名或您的地址。此信息將更容易說服電信客戶支持。
防范網絡釣魚:另一種防止 SIM 卡交換的方法是提防網絡釣魚。黑客可能會嘗試對你進行網絡釣魚,以獲取更多可用于復制你的 SIM 卡的信息。注意可疑電子郵件或登錄頁面。在輸入你使用的任何帳戶的登錄詳細信息時要小心。
使用的雙因素身份驗證方法。某些雙因素身份驗證服務會向你的設備發送帶有身份驗證代碼的 SMS 消息。這意味著,如果你的 SIM 卡被盜用,即使你啟用了雙因素身份驗證,黑客也可以訪問你的帳戶。相反,請使用另一種身份驗證方法,例如 Google 身份驗證應用。這樣,身份驗證與你的設備而非你的電話號碼相關聯,這樣使其更安全,以防止 SIM 卡交換。
設置SIM卡鎖:為了防止 SIM 卡攻擊,你還應該在 SIM 卡上設置一些保護措施。可以實施的最重要的安全措施是添加 PIN 碼。這樣,如果有人想更改你的 SIM 卡,他們就需要 PIN 碼。
其他安全提示:與往常一樣,你應該使用強密碼和單獨生成的密碼。不要重復使用舊密碼或在多個帳戶上使用相同的密碼。
典型的網絡結構及安全漏洞產生的原因如下:
不充分的路由器訪問控制。配置不當的路由器ACL會使ICMP、IP和NetBIOS信息泄露,從而導致對目標網點DMZ上服務器所提供的服務進行未授權的訪問。
未實施安全措施且無人監管的遠程訪問網點,容易成為攻擊者進入網絡的入口。
操作系統和應用程序、用戶或用戶組、共享資源、DNS信息以及運行中的服務(如SNMP)等信息不經意地泄露給攻擊者。
運行非必要服務(如FTP等)的主機提供了進入內部網絡的通道。
客戶機上級別低的、易于被猜中或重用的口令使服務器易被入侵。
具有過多特權的用戶賬號或測試賬號。
配置不當的Internet服務器,特別是Web服務器上CGI腳本和匿名FTP。
配置不當的防火墻或路由器導致直接侵入某個服務器后訪問內部系統。
沒有打過補丁的、過時的、脆弱的或仍采用默認配置狀態的軟件。
過度的文件和目錄訪問控制。
過度的信任關系給攻擊者提供未授權訪問敏感信息的機會。
不加認證的服務。
沒有采納公認的安全策略、規程、指導和最低基線標準。
簡單來說它是一種新型應用安全保護技術,它將保護程序像疫苗一樣注入到應用程序中,應用程序融為一體,能實時檢測和阻斷安全攻擊,使應用程序具備自我保護能力,當應用程序遭受到實際攻擊傷害,就可以自動對其進行防御,而不需要進行人工干預。RASP技術可以快速的將安全防御功能整合到正在運行的應用程序中,它攔截從應用程序到系統的所有調用,確保它們是安全的,并直接在應用程序內驗證數據請求。
RASP vs WAF
很多時候大家在攻擊中遇到的都是基于流量規則的waf防御,waf往往誤報率高,繞過率高,市面上也有很多針對不同waf的繞過方式,而RASP技術防御是根據請求上下文進行攔截的,和WAF對比非常明顯,比如說:
攻擊者對url http://http.com/index.do?id=1進行測試,一般情況下,掃描器或者人工測試sql注入都會進行一些sql語句的拼接,來驗證是否有注入,會對該url進行大量的發包,發的包可能如下
http://xxx.com/index.do?id=1' and 1=2--但是應用程序本身已經在程序內做了完整的注入參數過濾以及編碼或者其他去危險操作,實際上訪問該鏈接以后在數據庫中執行的sql語句為
select id,name,age from home where id='1 \' and 1=2--'可以看到這個sql語句中已經將單引號進行了轉義,導致無法進行,但是WAF大部分是基于規則去攔截的(也有小部分WAF是帶參數凈化功能的),也就是說,如果你的請求參數在他的規則中存在,那么waf都會對其進行攔截(上面只是一個例子,當然waf規則肯定不會這么簡單,大家不要鉆牛角尖。),這樣會導致誤報率大幅提升,但是RASP技術可以做到程序底層拼接的sql語句到數據庫之前進行攔截。也就是說,在應用程序將sql語句預編譯的時候,RASP可以在其發送之前將其攔截下來進行檢測,如果sql語句沒有危險操作,則正常放行,不會影響程序本身的功能。如果存在惡意攻擊,則直接將惡意攻擊的請求進行攔截或凈化參數。
RASP 的優點
RASP 能夠看到系統里所有用戶行為的細節,這樣對于提高安全攻擊識別的準確性有非常大的幫助。 比如RASP能非常清楚的理解用戶的邏輯,配置以及數據和事件流,這就給非常精確的探測和攔截安全攻擊行為提供了堅石的基礎。
另外 RASP 能夠自我保護數據,能夠保護數據從創建到消亡的全過程。
RASP 和應用程序運行在一起,擁有用戶的數據,RASP 在安全保護上想象的空間非常的大,RASP 可以滿足很多企業級的數據保護需求, 比如數據透明加解密,一些只在系統內使用保密數據就可以使用加密,即使黑客將數據偷竊出去,也無法破解和解密,這樣更不存在其他的問題了。
RASP 的缺陷
不同的編程語言可能編譯語言和應用程序的版本不一致都導致RASP產品無法通用,甚至導致網站掛掉
如果RASP技術中對底層攔截點不熟悉,可能導致漏掉重要hook點,導致繞過
對于csrf、ssrf、sql語句解析等問題目前還是基于部分正則進行防護(對于sql語句的解析問題可以使用AST語法樹進行解析)
Osquery是一個SQL驅動操作系統檢測和分析工具,它由Facebook創建,支持像SQL語句一樣查詢系統的各項指標,可以用于OSX和Linux操作系統。Osquery是一個多平臺軟件,可以安裝在Linux,Windows,MacOS和FreeBSD上。它允許我們使用基于SQL的查詢來處理操作系統的配置文件、性能、安全檢查等。
osquery 在操作系統中就像是一個高性能的關系數據庫,允許你編寫基于 SQL 的查詢語句來洞察操作系統的數據。使用 osquery,SQL 表代表如下抽象概念:
運行時的進程
加載內核模塊
開放網絡連接
SQL 表通過一個簡單的可擴展 API 實現,各種表已經存在并且還在不斷增加。
osquery將操作系統公開為高性能的關系數據庫。這使您可以編寫基于SQL的查詢來瀏覽操作系統數據。使用osquery,SQL表代表抽象概念,例如正在運行的進程,已加載的內核模塊,打開的網絡連接,瀏覽器插件,硬件事件或文件哈希。
