定義入侵檢測的目標
不同的組網應用可能使用不同的規則配置,所以用戶在配置入侵檢測系統前應先明確自己的目標,可以從以下幾個方面進行考慮:
明確網絡拓撲需求
安全策略需求
入侵檢測的管理需求
選擇監視內容
選擇監視的網絡區域
選擇監視的數據包類型
根據網絡數據包的內容進行檢測
部署入侵檢測
(1)只檢測內部網絡和外部網絡邊界流量的入侵檢測系統的部署,如圖所示的部署方式不僅方便了用戶的使用和配置,也節約了投資成本,適合中小規模企業的網絡安全應用。
(2)集中監控多個子網流量,內部局域網中劃分了多個不同的只能的子網,有些子網訪問某些子網資源量希望收到監控和保護,假設具體進行監控。含入侵檢測的網絡拓撲如圖所示:
零日攻擊是指利用沒有補丁的安全漏洞(即零日漏洞)對系統或軟件應用發動的網絡攻擊,往往具有很大的破壞性。通過以下措施可以避免被零日攻擊:
加強員工宣傳教育: 組織全員參加網絡安全培訓,掌握網絡安全基本常識,防止被黑客從內部攻破。
加固計算機終端系統: 計算機終端通常是整個網絡中最薄弱的環節,對終端系統進行安全加固是有效減少零日攻擊的好方法。
實時更新軟件: 常用軟件要保持實時更新,如瀏覽器、防病毒軟件和辦公軟件等。
及時修補漏洞: 定期對網絡中的設備進行漏洞掃描,及時修補存在的漏洞,降低被攻擊的風險。
加強網絡安全設施建設: 在網絡中部署必要的安全設備和軟件(如大數據安全分析系統、NGFW、漏掃設備、防病毒軟件等),可以降低零日攻擊的影響范圍和嚴重程度。
加強權限認證與審核**:** 通過部署“零信任”安全方案,加強對用戶操作的授權和用戶身份的審核。
建立應急響應方案: 無論采取何種安全措施,都不能完全排除零日攻擊的威脅。應急響應方案可以幫助企業快速阻止攻擊,將損失減少到最小。
工業互聯網平臺安全角色分為以下這些:
監管方:政府作為監管機構履行監督管理職責。工業和信息化部組織開展工業互聯網平臺安全相關政策制定、標準研制等工作,明確平臺安全防護要求和安全評估規范,對平臺安全工作開展總體指導。地方工業和信息化主管部門負責本行政區域內工業互聯網平臺的安全監管工作,組織開展平臺安全評估,提升平臺漏洞發現、安全防護和應急處置能力,防范安全隱患。工業互聯網平臺企業按照屬地原則接受當地監管機構的指導和監督,強化企業安全主體責任,保障平臺安全運行。
建設方建設方:須按照國家相關標準要求,確保所交付的工業互聯網平臺滿足客戶的安全要求。工業互聯網平臺建設方應圍繞平臺安全的總體目標和規劃,根據平臺安全建設開發標準和規范,通過技術和管理手段,完成工業互聯網平臺應用組件、產品和功能的開發,提供技術和服務支持,確保平臺具備國家及行業標準規定的安全防護水平。
安全服務提供方:安全服務提供方是保障工業互聯網平臺安全運行的第三方服務者,涉及保障平臺安全正常運行的各個方面,如電力供應商、基礎設施安全供應商、安全硬件供應商、安全軟件供應商、網絡安全解決方案提供商等,負責提供平臺設備、系統、應用安全運行所需要的安全技術、產品和服務,確保平臺具備認證、加密、監測、檢查、評估、響應等安全能力。各安全服務提供方須按照相關政策和標準提供符合安全要求的服務,保障工業互聯網平臺安全、穩定地運行。
運營方:運營方落實工業互聯網平臺安全主體責任。按照“誰運營誰負責”的原則,企業依法落實平臺安全的主體責任,明確工業互聯網平臺安全責任部門和責任人,負責平臺安全運維,包括但不限于平臺安全認證、檢查評估、安全審計,以及平臺安全事件的監測、預警、響應和恢復等,建立安全事件報告和問責機制,加大安全投入,部署有效的安全防護措施。
使用方:使用方利用工業互聯網平臺開展相關業務時,應按照平臺安全規范正常操作。使用方是使用平臺產品、應用和服務的主體,可以是工業企業、平臺企業、團體機構或個人。使用方應根據業務需要對工業互聯網平臺提出具體的安全需求,并在使用過程中遵守平臺安全規范,進行安全配置管理,避免在使用過程中為平臺帶來安全威脅。
入侵檢測規則庫類似漏洞掃描工具中的漏洞庫,就是將入侵檢測需要匹配的所有規則存放在一個或者多個數據庫中,當需要運行入侵檢測系統時,該系統會調用規則庫內的規則來進行匹配進來的數據是否是入侵行為。入侵檢測系統根據入侵檢測的行為分為兩種模式:異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型,凡是訪問者不符合這個模型的行為將被斷定為入侵;后者則相反,凡是訪問者符合這個模型的行為將被斷定為入侵。
IDS安全檢測系統有以下優點
強大的入侵檢測和攻擊處理能力:KIDS采用了獨特的零拷貝技術,可以有效地降低網絡數據包的處理開銷,最大能支持百兆網絡的數據流量。綜合了最新的協議分析和攻擊模式識別技術,在提高檢測性能的同時也大大降低了誤報率。KIDS可重組的最大的IP碎片數目為8192,同時監控的TCP連接數為10000,管理控制臺同時能管理的傳感器的數目也可以是多個(僅受計算機配置的影響)。這些性能最終形成了KIDS強大的入侵檢測和攻擊處理能力。
全面的檢測知識庫:KIDS具備國內最為全面的檢測知識庫,包括掃描、嗅探、后門、病毒、惡意代碼、拒絕服務、分布式拒絕服務、可疑行為、非授權訪問、主機異常和欺騙等11 大類的安全事件,目前共有檢測規則1509條,安全報警事件1054條。檢測知識庫可以實現定期的更新和升級,用戶完全不必擔心最新黑客攻擊方法的威脅。
強大的響應能力:KIDS一旦發現了攻擊入侵或可疑的行為,便可以采用多種實時的報警方式通知用戶,如屏幕顯示、發聲報警、郵件通知、傳呼通知、手機短消息、WinPop、SNMP Trap或用戶自定義的響應方式等,并將所有的報警信息記錄到日志中。同時KIDS對一些非法的連接也能夠進行及時的阻斷,如中斷TCP會話、偽造ICMP應答、根據黑名單斷開、阻塞HTTP請求、模擬SYN/ACK或通過防火墻阻塞等。
方便的報表生成功能:KIDS的報表功能可以為用戶提供全面細致的統計分析信息,它采用不同的統計分類來顯示或輸出報表,如按重要服務器、重點監測組、常用服務、常見攻擊類型和攻擊風險等級等進行統計。而對于每一類報表KIDS又提供了更為詳細的子分類統計,包括今日事件、三日內事件、本周事件、Top 20個事件(威脅最大的事件)、Top 20個攻擊源(攻擊嫌疑網址)和Top 20個被攻擊地址(有安全隱患的主機/服務器)等。最為方便的是用戶完全可以根據自己的喜好或需要定制特殊形式的報表。
開放式的插件結構:傳感器采用了插件技術進行分析處理。傳感器的核心引擎從網絡上抓取數據包,并調用相應的處理插件對其進行分析處理,處理插件將獲得的數據包特征與知識庫進行比較。對網絡高層協議的分析和數據的處理是由專門的插件來實現的,不同的應用層協議用不同的插件來處理。新的協議檢測,只需要增加新的處理插件。系統在檢測能力上的增強,只需增加和更新插件即可。KIDS包含包特征檢測、端口掃描檢測、流敏感內容監測器、HTTP檢測、POP3分析器、SMTP分析器等多種插件。
信息安全產品有以下分類:
基礎類產品:安全芯片、安全操作系統、安全數據庫、安全中間件以及高可靠基礎密碼設備、可信主機與可信終端設備、可信計算平臺、可信軟件配置管理工具等部署在主機及其計算環境中的產品。
網絡與邊界安全類產品:包括面向大規模復雜網絡環境及云計算技術與應用模式的應用需求,下一代防火墻、大規模入侵檢測與防御、面向應用內容安全防護的深度包檢測系統、高性能信道與網絡密碼設備、密碼網關、安全Web網關、安全郵件網關、虛擬專用網、安全路由及交換設備、統一威脅管理平臺、高性能網絡隔離與交換系統、網絡行為監控系統、基于云計算的安全查殺和防御類網關產品、反垃圾郵件系統、惡意代碼檢測與防護系統等部署在網絡設備或安全域邊界上的網絡與邊界安全類產品。
終端與數字內容安全類產品:包括病毒木馬識別引擎、反釣魚反欺詐反惡意網址系統、終端接入控制、數據保護與防泄密、主動防御等終端安全防護產品;數據加密、容災備份和數據恢復、身份認證與授權管理等保障數據安全相關的產品;數字版權保護、隱私保護、網站安全監測與防護等相關的產品和系統。
安全管理類產品:包括面向大規模網絡應用的網絡內容、流量、安全狀態、信息泄密以及系統行為的安全監控與審計類產品,面向大規模網絡環境的集成產品配置管理、網絡安全事件管理、網絡安全態勢評估以及安全策略管理等功能的網絡綜合管理系統。
信息安全支撐工具:包括系統及網絡脆弱性評估工具、安全配置核查類工具、信息安全等級保護支撐工具、信息系統風險評估工具、密碼測評工具、安全測評工具、應急響應工具、軟件安全保障工具、信息安全技術與產品的標準符合性評估工具,以及其他信息安全管理與服務支撐工具產品;面向云計算、物聯網、移動互聯網等信息安全保障的相關支撐工具產品。
IoT 移動應用測試有以下幾種利用方式:
定位在移動設備中以明文存儲的用戶敏感信息。
通過SQL(ite)注入漏洞轉儲數據庫中的數據。
通過WebView控件的JavaScript接口實現任意腳本執行。
定位在移動設備中以明文存儲的用戶敏感信息。
通過SQL(ite)注入漏洞轉儲數據庫中的數據。
通過WebView控件的JavaScript接口實現任意腳本執行。
監視API調用。
訪問移動設備中的本地資源。
泄露用戶敏感信息。
獲取其他用戶賬戶的訪問權限。
在廠商的云平臺環境中追蹤用戶。
訪問存儲在設備上的攝像頭回放視頻。
篡改用戶信息。
定位在移動設備中以明文存儲的用戶敏感信息。
通過SQL(ite)注入漏洞轉儲數據庫中的數據。
通過WebView控件的JavaScript接口實現任意腳本執行。
截屏并發送給第三方。
協助等級保護測評的措施如下:
企業做等級保護必須拿到兩個證書,一個是《信息安全等級保護備案證明》,另一個則是《信息安全等級保護測評報告》。
要想拿到備案證明,企業只需要合理定級,并且準備對應材料到公安機關備案。
找到合適的測評機構,來給信息系統進行測評,該測評機構同時也會出具測評報告。如果測評通過,企業把測評報告提交到公安機關進行備份,等級保護工作就算是落實了;
做好信息系統的安全整改工作,這一點是最重要的的。因為如果整改不到位,信息系統不符合等級保護的要求,那么等級測評也永遠無法通過,自然也拿不到合格的測評報告。
提高工業互聯網平臺應用安全的相關技術有以下這些:
代碼審計:對工業互聯網平臺系統及應用進行代碼審計,發現代碼中存在的安全缺陷,預防安全問題的發生。
安全性測試:工業應用在正式投入使用前,應進行安全性測試,盡早找到安全問題并予以修復。
微服務組件接口安全:提供API全生命周期管理,包括創建、維護、發布、運行、下線等,對平臺微服務組件接口進行安全測試和安全加固,避免由于接口缺陷或漏洞為平臺引入安全風險。
應用開發環境安全:確保工業云平臺服務層應用開發框架、工具和第三方組件的安全,避免工業應用開發環境被惡意代碼污染而造成安全隱患。
工業應用行為監控:對工業軟件、服務的行為進行安全監控,通過行為規則匹配或機器學習的方法識別異常,進行告警或阻止高危行為,從而降低不良影響。
保證計算機安全的技術有以下這些:
實體硬件安全技術:計算機實體硬件安全技術主要是指為保證計算機設備及其他設施免受危害所采取的措施。計算機實體包含了計算機的設備、通信線路及設施(包括供電系統、建筑物)等。所受的危害包括地震、水災、火災、颶風、雷擊、電磁輻射和泄露等。采取的措施包括了各種維護技術及相應的高可靠性、高安全的產品等。
軟件系統安全技術:軟件系統安全主要是保證所有計算機程序和文檔資料,免遭破壞、非法復制和非法使用,同時也應包括操作系統平臺、數據庫系統、網絡操作系統和所有應用軟件的安全;軟件安全技術包括口令控制、鑒別技術,軟件加密、壓縮技術,軟件防復制、防跟蹤技術。軟件安全技術還包括掌握高安全產品的質量標準,選用系統軟件和標準工具軟件、軟件包。另外,對于自己開發使用的軟件建立嚴格的開發、控制和質量保障機制,保證軟件滿足安全保密技術標準要求,確保系統安全運行。
數據信息安全技術:數據信息技術主要是指為保證計算機系統的數據庫、數據文件和所有數據信息免遭破壞、修改、泄露和竊取;為防止這些威脅和攻擊應采取的一切技術、方法和措施。其中包括對各種用戶的身份識別技術,口令、指紋驗證技術,存取控制技術和數據加密技術,以及建立備份、緊急處置和系統恢復技術,異地存放、妥善保管技術等。
網絡站點安全技術:網絡站點安全技術是指為了保證計算機系統中的網絡通信和所有站點的安全而采取的各種技術措施,除了包括近年興起的防火墻技術外,還包括報文鑒別技術、數字簽名技術、訪問控制技術、壓縮加密技術和密鑰管理技術等,為保證線路安全、傳輸安全而采取的安全傳輸介質技術,如網絡跟蹤、監測技術,路由控制隔離技術和流量控制分析技術等。
運行服務安全技術:計算機系統應用在互利互惠的互聯網時代,絕大多數用戶之間是相互依賴、相互配合的服務關系,計算機系統運行服務安全主要是安全運行的管理技術。它包括系統的使用與維護技術,隨機故障維護技術,軟件可靠性、可維護性保證技術,操作系統故障分析處理技術,機房環境監測維護技術,系統設備運行狀態實測、分析記錄等技術。以上技術的實施目的在于,及時發現運行中的異常情況、及時報警、及時提示用戶采取措施或進行隨機故障維修和軟件故障的測試與維修,或進行安全控制與審計。
病毒防治技術:計算機病毒威脅計算機系統安全問題已成為一個重要的問題。要保證計算機系統的安全運行,除了運行服務安全技術措施外,還要專門設置計算機病毒檢測、診斷和消除設施,并采取成套的、系統的預防方法,以防止病毒的再入侵。計算機病毒的防治涉及計算機硬件、計算機軟件、數據信息的壓縮和加密解密技術。
防火墻技術:防火墻是介于內部網絡或Web站點與互聯網之間的路由器或計算機,目的是提供安全保護,控制誰可以訪問內部受保護的環境,誰可以從內部網絡訪問互聯網。互聯網的一切業務,從電子郵件到遠程終端訪問,都要受到防火墻的鑒別和控制。防火墻技術已成為計算機應用安全保密技術的一個重要分支。
Cobalt Strike是一款美國RedTeam開發的滲透測試神器,常被業界人稱為CS也被稱為CS神器,在內網滲透中使用的頻率較高。最近這個工具大火,成為了滲透測試中不可缺少的利器。其擁有多種協議主機上線方式,集成了提權,憑據導出,端口轉發,socket代理,office攻擊,文件捆綁,釣魚等功能,是一款基于Java的滲透測試神器。
Cobalt Strike常用命令如下:
help: 查看可用命令。
getuid: 獲取當前用戶的權限。
getsystem: 獲取system權限。
getprivs: 獲取當前beacon里面的所有權限(這個用戶現在能干嘛)。
net domain_trusts: 列出域之間的信任關系。
net logons:查看現在在登錄的用戶。
net share:查看共享。
shell xxx: 在命令行中執行xxx命令。
powerpick xxx:不通過powershell來執行命令。
商用密碼應用安全性評估,是指在采用商用密碼技術、產品和服務集成建設的網絡和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估,簡稱“密評”。商用密碼應用安全性評估活動貫穿于網絡與信息系統的建設、實施、運行整個生命周期。依據測評工作流程,有計劃有步驟地開展測評工作,并保證測評活動的每個環節都得到有效的控制,主要包括四個階段。
1)測評準備階段
收集被測系統的相關資料信息,全面掌握被測系統密碼使用的詳細情況,為測評工作的開展打下基礎。
2)方案編制階段
正確合理確定測評對象、測評邊界、測評指標等內容,并依據技術標準、規范編制測評方案、測評結果記錄表格,測評方案應通過技術評審并有相關記錄。
3)現場測評階段
嚴格執行測評方案中的內容和要求,并依據操作規程熟練地使用測評設備和工具,規范、準確、完整地填寫測評結果記錄,獲取足夠證據,客觀、真實、科學地反映出系統的密碼安全防護狀況,測評過程應予以監督并記錄。特別需要強調的是,測評過程中,要強化對系統數據的獲取和分析,能夠發現系統的漏洞和密碼應用的問題。
4)報告編制階段
通過對測評數據的綜合分析得出被測信息系統密碼安全護現狀與相應的技術標準要求之間的差距,分析差距可能導致被測系統面臨的風險,給出測評結論,形成測評報告,測評報告應依據國家密碼管理部門統一編制的報告模板的格式和內容要求編寫;測評報告應包括所有測評結果、根據這些結果做出的專業判斷,以及理解和解釋這些結果所需要的相關信息,以上信息均應正確、準確、清晰地表述。
等保2.0在測評要求上的變化:
不同級別使用不同測評方法:第一級主要以訪談為主進行等級測評、第二級以核查為主進行等級測評,第三級和第四級在核查基礎上還要進行測試驗證工作。不同級別使用不同測評方法,能體現出測評實施過程中訪談、核查和測試的測評強度的不同。
不同級別測評對象范圍不同:第一級和第二級測評對象的范圍為關鍵設備,第三級為主要設備,第四級為所有設備。不同級別測評對象范圍不同,能體現出測評實施過程中訪談、核查和測試的測評廣度的不同。
不同級別現場測評實施工作不同:第一級和第二級以核查安全機制為主,第三級和第四級先檢查安全機制,再檢查安全策略有效性。
APT攻擊特性有以下這些:
極強的隱蔽性:APT攻擊與被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合,在組織內部,這樣的融合很難被發現。
潛伏期長持續性強:APT攻擊是一種很有耐心的攻擊形式,攻擊和威脅可能在用戶環境中存在一年以上,他們不斷收集用戶信息,直到收集到重要情報。他們往往不是為了在短時間內獲利,而是把“被控主機”當成跳板,持續搜索,直到充分掌握目標對象的使用行為。所以這種攻擊模式,本質上是一種“惡意商業間諜威脅”,因此具有很長的潛伏期和持續性。
目標性強:不同于以往的常規病毒,APT制作者掌握高級漏洞發掘和超強的網絡攻擊技術。發起APT攻擊所需的技術壁壘和資源壁壘,要遠高于普通攻擊行為。其針對的攻擊目標也不是普通個人用戶,而是擁有高價值敏感數據的高級用戶,特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感數據持有者。
技術高級:攻擊者掌握先進的攻擊技術,使用多種攻擊途徑,包括購買或自己開發的0day漏洞,而一般攻擊者卻不能使用這些資源。而且,攻擊過程復雜,攻擊持續過程中攻擊者能夠動態調整攻擊方式,從整體上掌控攻擊進程。
威脅性大:APT攻擊通常擁有雄厚的資金支持,由經驗豐富的黑客團隊發起,一般以破壞國家或大型企業的關鍵基礎設施為目標,竊取內部核心機密信息,危害國家安全和社會穩定。
管理防御
DoS防范工作的目標應該是讓自己能夠在任意給定時刻向數量最多的客戶提供最好水平的服務。防范DoS攻擊的責任必須由企業的IT團隊和管理團隊共同承擔,要讓管理團隊也參與到信息安全防線的建設工作中來,而能力/資源的管理責任必須正確合理地落實到每一個人——不管是因為受到了DoS的影響還是因為正常的內部調整而導致的可用性問題,都必須有人去負責。這種思路的一個具體做法是把有關職責的劃分情況寫進企業的“業務連續性計劃”(Business Continuity Plan,BCP)并組建一個團隊去實施這個計劃,而這個團隊的成員應該相當熟悉現代DoS攻擊技術。 另外,如何對應用程序級和架構級DoS攻擊活動作出響應也是企業上下需共同承擔的責任。軟件開發團隊必須把DoS當做架構問題作為自身團隊負責解決的問題。
技術防御
目前,市場上有成熟的DoS查殺工具,一些路由器的高級過濾功能也能阻斷諸如SYNFood等常見的DoS攻擊,用戶可以根據需要有選擇地部署這類產品。加強網絡通信能力的規劃,建議在可承受的前提下,為可能發生的DoS攻擊留出可擴充的通信帶寬。骨干網絡運營商抗DoS攻擊的能力與用戶抵御DoS攻擊的能力密切相關,應加強與ISP技術人員的溝通,共同解決攻擊問題。
早期的DoS攻擊幾乎都利用了ICMP和UDP這兩個協議里的漏洞,可以在網絡邊界對它們做出限制。對外來數據包進行過濾,阻斷明顯非法的外來通信,如源IP地址屬于私有或保留范圍的數據包,這樣的數據包不應該出現在公共網絡上。對外出數據包進行過濾,不讓欺騙性的數據包離開網絡,只允許源IP地址是站點上的合法IP地址的數據包發往互聯網,其他源IP地址的數據包都不允許離開網絡。為了防止被黑客用作放大站點發起攻擊,在網絡邊界路由器上禁用定向廣播功能。DoS攻擊者的最終目標是保存在服務器里的信息,所以對服務器進行加固也是DoS防范工作的一個重要組成部分。應及時打好補丁,關閉不必要的服務,部分操作系統采用系統級的DoS配置。還可以采用DoS攻擊模擬測試,來評估系統的抗攻擊效果。
監測防御
及時掌握黑客的最新活動動向,分析新產生DoS攻擊的成因及方式,有助于防范DoS攻擊。可以在網絡邊界部署IDS系統,根據預先為每個站點設定的閾值,監測其通信流量的變化,在發現疑似DoS的通信異常情況時,立刻發出警報。
內網穿透主要可以用來使外網與內網的計算機節點需要連接通信,其主要功能如下:
發布應用/網站,外網可以訪問(這是主要用途);我們平時做的應用開發都只能在局域網本地訪問,通過內網穿透,可以是全外網訪問(只要有網就能訪問到);
可以實現遠程控制(在家訪問公司電腦不是問題);
遠程支持、遠程控制、遠程監控都是需要內網穿透的。
內網穿透是利用各種隧道技術,以網絡防火墻允許的協議,繞過網絡防火墻的封鎖,實現訪問被封鎖的目標網絡。進行內網滲透常用的隧道技術有dns隧道、http隧道、ssh隧道、icmp隧道等容易被網絡防火墻放行的協議。
