網絡安全態勢評估將數據處理劃分為以下層次:
數據采集是指從各種設備當中獲取各種與網絡空間安全的相關數據,如系統日志、告警、信息、網絡拓撲等。
數據預處理是對獲取到的數據的初步處理。由于各種數據來源于不同的設備,具有不同的格式,通過這一過程對數據進行清洗、集成、歸約和變換等處理,可對多源異構數據進行數據融合。
信息提取是對數據預處理后產生的數據做進一步的融合理解,通過建立恰當的網絡安全態勢感知指標體系,融合不同來源數據進而產生底層指標。
態勢分析是融合底層態勢指標,通過各種數據處理手段綜合處理和計算,進而得到上層的態勢結果。這正是網絡安全態勢評估所在的層次。
態勢展現即通過合適的可視化手段展現網絡空間態勢以供使用人員做出綜合判斷。
防毒墻一般位于網絡核心交換機和數據中心之間,通常使用在線部署和旁路部署接入網絡,在線部署就是設備是串聯方式接入到網絡中的,數據交互是通過相應設備的,旁路部署是指只有一根線接到網絡中,一般是交換機上,交換機將數據鏡像后發給防毒墻,防毒墻進行分析處理。對于防毒墻一般來說,旁路部署目的為只檢測網絡中的病毒情況,在線部署也就是串接部署的話不但可以檢測也可以起到實時阻止的作用。
防毒墻主要為了彌補防火墻以下的局限性:
防火墻可以阻斷攻擊,但不能消滅攻擊源:“各掃自家門前雪,不管他人瓦上霜”,就是目前網絡安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火墻能夠阻擋他們,但是無法清除攻擊源。
防火墻不能抵抗最新的未設置策略的攻擊漏洞:就如殺毒軟件與病毒一樣,總是先出現病毒,殺毒軟件經過分析出特征碼后加入到病毒庫內才能查殺。防火墻的各種策略,也是在該攻擊方式經過專家分析后給出其特征進而設置的。
防火墻的并發連接數限制容易導致擁塞或者溢出:由于要判斷、處理流經防火墻的每一個包,因此防火墻在某些流量大、并發請求多的情況下,很容易導致擁塞,成為整個網絡的瓶頸影響性能。而當防火墻溢出的時候,整個防線就如同虛設。
防火墻對服務器合法開放的端口的攻擊大多無法阻止:某些情況下,攻擊者利用服務器提供的服務進行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補丁的win2k的超級權限、利用asp程序進行腳本攻擊等。
防火墻對的內部主動發起的連接攻擊一般無法阻止:防火墻對外部的一些攻擊可以進行有效的防御,但是那些木馬通過內部實施的攻擊行為則無法進行防護。
防火墻本身也會出現問題和受到攻擊:防火墻也是一個交互系統,也有硬件和軟件系統因此也存在漏洞和BUG,所以其本身也可能受到攻擊和出現軟硬件方面故障。
漏洞大類上分為硬件漏洞和軟件漏洞這兩類。硬件漏洞和軟件漏洞之間最重要的區別在于,硬件漏洞需要擁有一套物理設備。硬件漏洞分析復雜度比較高而軟件的測試評估較簡單,此同之前針對軟件開展漏洞利用的經歷相比,對硬件開展漏洞利用的復雜度比較高。
硬件漏洞
也可稱固件漏洞。通常信息安全可分為軟件安全和硬件安全。工業界和學術界對操作系統及運行在其上的軟件安全的研究已經持續了數十年時間,但對硬件安全特別是信息系統核心部件CPU芯片硬件安全的研究工作近幾年才剛起步,這主要是由兩個原因造成的。
原因一是絕大部分用戶只與操作系統及運行在其上的軟件進行交互,對于軟件漏洞及病毒等造成的問題感受強烈,因此這類問題更容易得到工業界和學術界的重視;
原因二是硬件木馬、漏洞利用難度較大,偶爾出現的漏洞也會很快以補丁等形式修復,導致人們忽視了硬件安全問題。
事實上,硬件安全(特別是CPU芯片的硬件安全)是計算機系統的安全根基,無法確保硬件的安全,其上運行的軟件安全便無從談起,且由于硬件漏洞更難被發現,一旦被惡意利用,其造成的影響將會更加廣泛和嚴重。
軟件漏洞
軟件開發者開發軟件時的疏忽,或者是編程語言的局限性,比如c語言家族比java效率高但漏洞也多,電腦系統幾乎就是用c語言編的,所以常常要打補丁。 軟件漏洞有時是作者日后檢查的時候發現的,然后修正;還有一些人專門找別人的漏洞以從中做些非法的事,當作者知道自己的漏洞被他人利用的時候就會想辦法補救。
綠盟 Web 應用防火墻(簡稱 WAF),用黑、白名單機制相結合的完整防護體系,將多種 Web 安全檢測方法連結成一套完整(COMPLETE)的解決方案,并整合成熟的 DDoS 攻擊抵御機制,能在 IPv4、IPv6 及二者混合環境中全面防御包括 OWASP TOP10 在內的多種 Web 攻擊,保衛您的 Web 應用免遭當前和未來的安全威脅。
天融信工控防火墻系統(TopIFW)是專門針對工業控制系統設計的安全防護類產品,用以提升整體網絡安全防護能力。
深信服下一代防火墻 AF 融合邊界對抗威脅所需的專業安全能力,通過簡單易用的方式交付,全面防護各類威脅,并具備多重智能模型和智能聯動手段,可持續對抗不斷出現的各類新風險。
中科網威在防火墻產品的研發上一直力求創新和領先,先后推出了國內首款基于網絡處理器的千兆防火墻產品、國內首個應用于安全產品的基于多核芯片的硬件平臺,十余年來在安全產晶研發中積累了豐富的經驗,取得了多項技術成果。在此基礎上,中科網威借鑒近年來芯片技術的最新發展,推出了新代的以自主專用硬件平臺為基礎的系列高性價比防火墻產品。
網御防火墻產品歷經簡單包過濾防火墻、狀態包過濾防火墻、深度內容過濾和完全內容檢測防火墻等發展階段,并集成了防火墻、VPN、入侵檢測與防御、防病毒、上網行為管理、核心資產管控、防爆力破解、敏感信息防泄漏、高級流量清洗、工業控制協議防護、輿情監控、防注入攻擊等眾多功能。目前已廣泛應用在稅務、公安、政府、部委、能源、交通、軍隊、電信、金融、企業等各行業,并為其網絡和應用提供安全保障。
東軟集團正式發布安全可靠高性能千兆防火墻產品和萬兆防火墻解決方案。該系列產品采用龍芯CPU及中標麒麟操作系統,結合東軟NetEye近二十年網絡安全行業技術優勢,是擁有中國“芯”的完全自主知識產權的安全可靠高性能防火墻產品,可滿足不同行業客戶構建安全可靠信息系統的多種安全防護需求。
中科曙光TLFW-1000U(61001595)這款防火墻性能和質量俱佳。需要注意的是,作為網絡設備的保養和很多的IT產品是一樣的,大家平時多留幾個心,勤快一點,好好愛護保養這些網絡設備,就能為你家、你公司,你的網吧的網絡系統的正常運行提供保障。
ZHFW-8000防火墻是由中航鴻電科技有限公司開發研制,具有自主知識產權的網絡安全產品。其硬件平臺的核心處理器采用了來自軍方自主研發的第三代申威sw410高性能四核處理器。該處理器主頻高、運算速度快,并采用64位自主精簡指令集,對惡意代碼的抵御有先天優勢。
瑞星下一代防火墻RFW-NG采用硬件化設計,其多核處理器和專用處理芯片,可以高速處理和轉發數據流。瑞星下一代防火墻能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構,保障內網數據的私有性和安全性。
WAF支持對域名或IP進行防護,相關說明如下:
云模式只能基于域名進行防護
在WAF中配置的源站IP只支持公網IP。例如,源站服務器部署了華為云彈性負載均衡(Elastic Load Balance,簡稱ELB)時,只要ELB(經典型、共享型或獨享型)有公網IP,云模式就可以對域名進行防護。
獨享模式和ELB模式可以對域名或IP進行防護
信息安全等級保護工作包括:
定級:信息系統運營使用單位按照等級保護管理辦法和定級指南,自主確定信息系統的安全保護等級。有上級主管部門的,應當經上級主管部門審批。跨省或全國統一聯網運行的信息系統可以由其主管部門統一確定安全保護等級。雖然說的是自主定級,但是也得根據系統實際情況去定級,有行業指導文件的根據指導文件來,沒有文件的根據定級指南來,總之一句話合理定級,該是幾級就是幾級,不要定的高也不要定的低。
備案:第二級以上信息系統定級單位到所在地所在地設區的市級以上公安機關辦理備案手續。省級單位到省公安廳網安總隊備案,各地市單位一般直接到市級網安支隊備案,也有部分地市區縣單位的定級備案資料是先交到區縣公安網監大隊的,具體根據各地市要求來。備案的時候帶上定級資料去網安部門,一般兩份紙質文檔,一份電子檔,紙質的首頁加蓋單位公章。
安全建設和整改:信息系統安全保護等級確定后,運營使用單位按照管理規范和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定并落實安全管理制度。
安全等級測評:信息系統建設完成后,運營使用單位選擇符合管理辦法要求的檢測機構,對信息系統安全等級狀況開展等級測評。測評完成之后根據發現的安全問題及時進行整改,特別是高危風險。測評的結論分為:不符合、基本符合、符合。當然符合基本是不可能的,那是理想狀態。
信息安全檢查:公安機關依據信息安全等級保護管理規范及《網絡安全法》相關條款,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
由于內網中信息的傳輸采用廣播技術,數據包在廣播域中很容易受到監聽和截獲,因此需要使用安全交換機,利用網絡分段及VLAN的方法從物理上或者邏輯上隔離網絡資源,以加強內網的安全性。
從終端用戶的程序到服務器的應用服務,以及網絡安全的很多技術,都是以操作系統為平臺的。因此,保證操作系統的安全是整個安全系統的根本。除了不斷更新安全補丁之外,還需要建立一套對操作系統的監控系統,并建立和實行有效的用戶口令和訪問控制等制度。對于擁有百臺以上客戶端的企業,添加域控制器進行管理是一個十分有效的方法。小型企業一般通過代理或者路由上網,那么可以使用“網路崗”軟件對內部計算機的上網行為進行監控,他可以對網站瀏覽,收發郵件和即時信息軟件進行監控,并且也可以限制網絡游戲和股票軟件等非工作用的軟件,過濾掉涉及色情和政治等不良網站。
在內網系統中數據對用戶的重要性越來越大,引起電腦數據的流失或者被損壞,篡改的因素除了可知的病毒或者網絡惡意攻擊,用戶的誤操作,系統的意外斷電等之外,還有許多不可預知的災難性破壞,并且對用戶造成的損失可以要比病毒或者黑客攻擊來的更大。
為了維護企業內網的安全,必須對重要資料進行定期備份,某些資料甚者可以進行實時備份,以避免意外發生而蒙受重大損失。對于一些常規資料,比如word文檔和郵件等,可以定期備份到服務器或者磁帶上,如果是非常重要的資料,比如數據庫資料等工程項目等資料,可以使用數據備份精靈還進行備份。
使用代理網關的好處在于,網絡數據包的交換不會直接在內網和外網之間進行。內部的計算機必須通過代理網關,才能訪問internet,這樣網絡管理員便可以方便的通過設置代理服務器來對內網中的計算機訪問外部網絡進行一些必要的限制。微型企業計算機終端一般較少,使用ccproxy等代理服務軟件即可達到要求,對于小型企業,計算機客戶端一般在一百臺以上,那么可以從wingate,sygete或者MS ISA SERVER這些網關和代理軟件中選擇合適的一款。
防火墻的選擇應該適合企業的需求,考慮到防火墻價格昂貴,對于微小型的企業網絡,由于功能要求比較單一,可以從Norton Internet Security,PCcillin,天網防火墻等個人防火墻產品中選擇合適的一款即可。
而對于具有內部網絡的企業來說,則可以在路由器上進行相關的過濾設置,或者購買功能強大的硬件防火墻產品。網絡中的各終端安裝客戶端,由服務器統一管理。對于幾乎所有的路由器產品而言,都可以通過內置防火墻設置來防范部分常見的攻擊,而硬件防火墻的使用,可以使得內網安全性能提升到一個新的高度。如果需要使用代理并且監控流量等信息,可以使用MS ISA SERVER,后臺設置SQL SERVER,配合域賬戶控制器的管理,可以對數據流向進行詳細的限定,設置簡單,方便管理員進行操作和監控。
為了保障網絡的安全,可以利用網絡操作系統所提供的保密措施。以Windows為例,進行用戶名登錄注冊,設置登錄密碼,設置目錄和文件夾的訪問權限,可以對用戶操作進行限制,減少因誤操作造成對數據或系統的破壞,并且可以對用戶訪問外部網絡的權限進行控制。
同時,也可以加強對數據庫信息的保密防護。網絡中的數據組織形式主要有文件和數據庫記錄兩種。由于文件組織形式的數據缺乏共享性,數據庫現已成為網絡存儲數據的的主要形式。由于操作系統對數據庫沒有特殊的保密措施。而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密也要采取相應的方法。電子郵件也是企業傳遞信息的一個主要途徑,因此對電子郵件的發送也應采取加密處理。針對計算機及其外部設備和網絡部件的泄密渠道,比如電磁泄露,非法終端,搭線竊取,介質剩磁效應等,也可以采取相應的保密措施,考慮到技術手段難以完全防范外,除了必要技術手段外,還可以采取人工和行政措施管理保護。
目前,計算機網絡系統的安全威脅有很大一部分來自拒絕服務(Dos)攻擊和計算機木馬攻擊。為了保護網絡安全,也可以從這幾個方面來進行防范。
為了對付“拒絕服務攻擊”,可以只允許跟整個Web站點有關的網絡流量進入,這樣就可以預防此類的攻擊,尤其對于ICMP封包,包括ping指令等,應當進行隔絕處理。
通過安裝非法入侵偵測系統,可以提升防火墻的性能,達到監控網絡,執行立即攔截動作以及分析過濾封包和內容的動作。當竊取者入侵時可以立刻有效中止服務,以便預防企業機密信息被竊取。同時應限制非法用戶對網絡的訪問,規定具有公網IP地址的工作站對本地網絡設備的訪問權限,以防止從外界對網絡設備配置的非法修改。
從病毒發展的趨勢來看,現在的病毒已經由單一傳播,單種行為變成通過互聯網傳播,集電子郵件,文件傳染等多種傳播方式,融黑客,木馬等多種攻擊手段為一身的廣義的病毒。目前計算機病毒更多的呈現出如下的特點:與internet和intranet結合的更加緊密,利用一切可以利用的方式(如電子郵件,局域網絡,遠程管理,即時通訊工具等)進行傳播;所有的病毒都具有混合型特征,集文件傳染,蠕蟲,木馬以及黑客程序的特點于一身,破壞性大大增強;因為其擴散十分迅速,不再追求隱藏性,而更加注重欺騙性,利用系統漏洞將成為病毒有力的傳播方式。
因此,在選擇內網防病毒時選擇產品需要考慮以下幾點:防殺毒方式需要全面的與互聯網相結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層,郵件客戶端進行實時監控,防止病毒入侵;產品應有完善的在線升級服務,使客戶計算機隨時擁有最新的防范能力;對病毒經常攻擊的應用程序應提供特別保護措施;產品廠商應具備有快速反應能力的病毒檢測網,在病毒爆發后第一時間提供解決方案;廠商能提供完整的,即時的反病毒咨詢,提高用戶的反病毒意識與警覺性,盡快地讓用戶了解到新病毒的特點與解決方案。作為國際知名的產品,使用Symantec Norton Antivirus Corporation軟件是比較好的解決方案,它不但可以查殺多種病毒,病毒庫升級迅速,并且只要在服務器端進行操作,客戶端會自動跟隨服務器端升級,大大減少管理員的工作量。
在網絡攻擊中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以使用Unix或者Linux作為操作系統的服務器為例,先找出主機上的用戶帳號,然后用窮舉法或者其他一些方法進行破譯。接著在破譯管理員帳號的密碼以達到控制系統的目的。在現在的高端家庭電腦上,破譯程序可能只需要幾個到十幾小時就能完成破譯過程。
如果這個方法不能奏效,入侵者就會仔細地尋找目標主機的薄弱環節和漏洞,獲得主機中存放口令的文件shadow或者passwd。然后利用專門的破解DES加密算法的程序來破譯口令。
在內網中系統管理員必須要注意所有密碼的管理,如口令的為數要盡可能的長;不要選用生日,公司名稱等容易猜測的密碼作為口令;不要在每個系統上都使用同一種口令;最好使用大小寫的字母和數字混合和沒有規律的密碼最為口令,定期改變各系統的口令;管理員可以定期的使用口令破譯程序對口令進行攻擊破譯檢測口令的安全性。
H3C 新一代F100系列防火墻是H3C公司推出的新一代防火墻產品,能夠滿足中小企業不斷變化的網絡環境和日益豐富網絡應用的需要。新一代F100系列防火墻繼承H3C一貫的高性能、高可靠硬件平臺,能夠為用戶提供線速、穩定的應用體驗。新一代F100系列防火墻不但可以提供傳統的基礎安全功能,如狀態檢測、NAT、VPN、鏈路負載均衡等;同時通過統一的軟件平臺和處理引擎,新一代F100系列防火墻有效整合防火墻、入侵防御、應用層流量識別與控制、防病毒功能,為用戶提供一體化的應用安全防護。
USG2000、USG5000、USG6000和USG9500構成了華為防火墻的四大部分,分別適合于不同環境的網絡需求,其中,USG2000和USG5000系列定位于UTM(統一威脅管理)產品,USG6000系列屬于下一代防火墻產品,USG9500系列屬于高端防火墻產品。
Cisco ASA 5500 系列自適應安全設備提供了整合防火墻、入 侵保護系統(IPS)、高級自適應威脅防御服務,其中包括應用安全和簡化網絡安全解決方案的V P N服務。
“天網防火墻”是我國首個達到國際一流水平、首批獲得國家信息安全認證中心、國家公安部、國家安全部認證的軟硬件一體化網絡安全產品,性能指標及技術指標達到世界同類產品先進水平。
Palo Alto Networks 防火墻提供一個可用于執行防火墻管理功能的帶外管理端口 (MGT)。通過使用該MGT 端口,可以將防火墻的管理功能與數據處理功能分開,從而保護對防火墻的訪問權并提高性能。
Check Point 的下一代防火墻 (NGFW) 繼續側重于增強威脅防護技術,包括反勒索軟件和 CPU 級仿真能力,提供跨所有網絡分段的最具創新性和有效性的安全防護,能夠隨時隨地保護客戶免受任何威脅。
綠盟Web應用防火墻(簡稱WAF),用黑、白名單機制相結合的完整防護體系,將多種Web安全檢測方法連結成一套完整(COMPLETE)的解決方案,并整合成熟的DDoS攻擊抵御機制,能在IPv4、IPv6及二者混合環境中全面防御包括OWASP TOP10在內的多種Web攻擊,保衛您的Web應用免遭當前和未來的安全威脅。
天融信防火墻是天融信公司憑借多年以來積累的安全產品研發與部署經驗,為適應各個行業不同的網絡應用環境,以及滿足各類用戶差異化的安全 防護需求,設計并研發的多業務高性能千兆防火墻系列產品。通過天融信防火墻產品來解決客戶的具體安全需求。
滲透測試對用什么系統沒有限制,目前常用的windows、linux、unix、macOS都可以用于滲透測試。在選擇使用什么類型的操作系統主要考慮是否合適自己,自己在滲透過程中所用的軟件、攻擊腳本等是否可用,主要還是要考慮選擇的這個系統自己是否熟悉,如果對linux命令都不了解怎么使用linux系統進行滲透測試,所以選擇適合自己的才是最好的。
在滲透測試中要注意以下事項:
檢查內網監控防范系統;
謹慎使用ARP軟件和大面積掃描軟件;
使用目標網絡中無空閑機器,作為打包對象;
使用內網大流量機器作為傳輸對象,如wsus服務器、視頻會議系統;
使用臨時機器打包、數據傳輸,不要使用已控機器,可利用wmi腳本或wmic遠程操作滲透注意事項;
禁止使用psexec.exe;
打包時避開用戶工作時間;
控制卷包大小 < 100M;
選擇用戶常用壓縮軟件;
錯峰下載數據;
控制傳輸流量;
清除所有操作日志;
登錄主機前先看看管理員是否在。
除了傳統的802.1X網絡準入控制還應包含如下內容:
策略生命周期管理:對所有操作場景強制執行策略,而不需要單獨的產品或附加模塊。
分析和可見性:在惡意代碼造成損壞之前識別和分析用戶及其設備。
來賓網絡訪問:通過一個可定制的自助服務門戶(包括來賓注冊、來賓身份驗證、來賓贊助和來賓管理門戶)管理來賓。
安全狀態檢查:根據用戶類型、設備類型和操作系統來評估安全策略是否符合要求。
事件響應:通過實施安全策略來減輕網絡威脅,這些策略可以阻止、隔離和修復不符合要求的計算機,而無須管理員的注意。
雙向集成:通過開放API接口與其他安全和網絡解決方案集成。
局域網P2P文件分發采用以下四個關鍵技術:
內容定位技術:內容定位是指用戶尋找目的資源的過程。內容定位技術實現的功能是快速、可靠地在P2P網絡上找到需要的目標文件。
內容存儲技術:在P2P網絡上進行內容存儲,以達到可靠存儲的目的。內容存儲技術包括內容源存儲和內容緩存兩個方面。
內容分片技術:P2P文件分發中一個很重要的問題就是文件分片,因為數據文件,尤其是影音文件越來越大,不進行分片難以進行存儲和傳輸,因此必須采用內容分片技術對一個文件進行分片,將文件分成適當大小的片段,通過在P2P結點間傳輸這些片段實現文件的分發。
數據調度技術:根據業務的具體需求,制定合適的內容調度策略,最大限度地利用結點存儲空間和帶寬,保證業務的QoS。
信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。
受侵害的客體:等級保護對象受到破壞時所侵害的客體包括以下三個方面:公民、法人和其他組織的合法權益;社會秩序、公共利益;國家安全。
對客體的侵害程度:對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現的,因此,對客體的侵害外在表現為對等級保護對象的破壞,通過危害方式、危害后果和危害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程度有三種:一是造成一般損害;二是造成嚴重損害;三是造成特別嚴重損害。
硬盤格式化是指對磁盤或磁盤中的分區進行初始化的一種操作,這種操作通常會導致現有的磁盤或分區中所有的文件被清除。格式化通常分為低級格式化和高級格式化。如果沒有特別指明,對硬盤的格式化通常是指高級格式化。磁盤格式化是在物理驅動器的所有數據區上寫零的操作過程,格式化是一種純物理操作,并且標記出不可讀和壞的扇區。由于大部分硬盤在出廠時已經格式化過,所以只有在產生錯誤時才需要進行格式化。
格式化分為物理格式化和邏輯格式化。物理格式化又稱低級格式化,是對磁盤的物理表面進行處理,在磁盤上建立標準的磁盤記錄格式,劃分磁道和扇區。邏輯格式化又稱高級格式化,是在磁盤上建立一個系統存儲區域。格式化才能使磁盤的結構能被操作系統認識。
格式化分兩個類型,第一個是對系統盤(默認為C盤)進行格式化,在正常開啟計算機進入操作系統后,是無法格式化系統盤的,只能在安裝操作系統過程中選擇是否格式化。
第二是對非系統盤(默認為D盤,E盤等)進行格式化,在進入操作系統后,只要在磁盤盤符上點擊右鍵選擇格式化即可,完畢后,磁盤內的內容就都沒有了,無
入侵檢測技術主要包括以下技術:
概率統計異常檢測:每一個輪廓保存記錄主體當前行為,并定時將當前輪廓與歷史輪廓合并形成統計輪廓(更新),通過比較當前輪廓與統計輪廓來判定異常行為。
神經網絡異常檢測:對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。
專家系統濫用檢測:通過將安全專家的知識表示成If-Then結構的規則(if部分:構成入侵所要求的條件;then部分:發現入侵后采取的相應措施)形成專家知識庫,然后運用推理算法檢測入侵。
狀態轉換分析濫用檢測:將入侵過程看作一個行為序列,該行為序列導致系統從初始狀態轉入被入侵狀態。分析時,需要針對每一種入侵方法確定系統的初始狀態和被入侵狀態,以及導致狀態轉換的轉換條件(導致系統進入被入侵狀態必須執行的操作/特征事件);然后用狀態轉換圖來表示每一個狀態和特征事件。
入侵誘騙技術:用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析,并進而找到有效的對付方法。
主動響應:入侵檢測系統在檢測到入侵后能夠阻斷攻擊、影響進而改變攻擊的進程。
被動響應:入侵檢測系統僅僅簡單地報告和記錄所檢測出的問題。
SaaS和IaaS面臨以下挑戰:
動態多變的環境:SaaS環境和IaaS環境是動態的,并且在不斷發展。在添加或刪除員工以及啟用新應用程序之后,必須重置,更改和更新權限和配置。此外,為了滿足行業標準并與最佳實踐(NIST,MITRE等)保持一致,需要不斷進行法規遵從性更新和安全配置,并且安全團隊需要不斷確保所有配置都在公司范圍內實施,沒有例外。考慮到一個典型的企業平均擁有288個SaaS應用程序,這意味著持續不斷的工作和努力是不可持續的。
每個應用程序都是一個世界:應用程序都有其自己的安全性配置以確保合規性,指示可以共享哪些文件,是否需要MFA,是否在視頻會議中允許錄制等等。安全團隊必須學習每個應用程序的特定規則和配置集,并確保它們符合公司的策略。由于他們并不是每天使用應用程序的人,因此他們幾乎不熟悉設置,因此更加難以優化配置。
配置管理超載:組織必須管理和監視的應用程序,配置,用戶角色和特權的數量隨每個內置應用程序的增長而增長。如果按數字細分,則典型的企業有數百個SaaS應用程序。每個應用程序都有多達數百個全局設置。將其乘以擁有數千甚至數千(甚至數十萬)員工的企業。這就要求安全團隊學習數百種應用程序設置,監視數千種設置以及成千上萬的用戶角色和特權-這是不可能的和不可持續的情況。
沒有清晰的可見性或直接管理:大多數SaaS應用程序是在使用它們最多的部門購買和實施的;例如,自動化的SaaS解決方案用于市場營銷,而CRM解決方案則用于銷售。這些SaaS應用程序可保存有關公司客戶和業務項目的關鍵數據。通常,在這種情況下,SaaS用戶在持續的配置和狀態需求中沒有經過安全培訓或保持警惕。安全團隊最終對現有的安全協議一無所知-更重要的是,對風險或風險沒有任何關注。
黑客不斷降臨:黑客技術繼續變得越來越復雜,但是當涉及到滲透SaaS應用程序時,它通常很簡單。不良行為者一直在尋找漏洞以利用其滲透到企業中。一些人甚至說黑客不再入侵,而是登錄。安全環境的動態性質以及不斷增加的風險,使已經在現有環境下屈服的安全團隊負有更大的責任壓力。
