當前位置:首頁 » 安全設置 » 網路安全威脅情報偵察
擴展閱讀
無線網路開啟還是連不了 2025-02-11 21:53:06
蘋果ipad追劇軟體免費2021 2025-02-11 21:52:04
辦無線網路移動給的是什麼 2025-02-11 21:22:57

網路安全威脅情報偵察

發布時間: 2023-07-31 04:42:02

『壹』 從ATT&CK開始——威脅情報

https://attack.mitre.org/resources/getting-started/

一、威脅情報

基於來自ATT&CK用戶的反饋,在第一個ATT&CKcon和從其他途徑,我們學到了很多,就像我們告訴你,我們已經意識到,這將有助於我們退後一步,專注於你們很多人一個問題:我如何開始使用ATT&CK嗎?

這本書開始是一系列的博客文章,旨在回答這個問題的四個關鍵用例:

�(1)威脅情報

(2)�檢測和分析

(3)�對手模擬和紅隊

�(4)評估和工程

我們根據這些用例重新組織了我們的網站來共享內容,我們希望這些博客文章能增加這些資源。

ATT&CK對於任何組織來說都是非常有用的,因為他們想要建立一個基於威脅的防禦體系,所以我們想要分享如何開始的想法,不管你的團隊有多復雜。

我們將把這些帖子分成不同的級別:

�一級對於剛開始那些可能沒有許多資源

二級中層團隊開始成熟

�三級為更先進的網路安全團隊和資源

我們將以威脅情報作為本書的開篇,因為它是最好的用例(盡管我相信我的同事可能不同意!)

在2018年,我對如何利用ATT&CK推進網路威脅情報(CTI)進行了一個高層次的概述。在本章中,我將在此基礎上,分享一些實用的入門建議。

1.1 一級

網路威脅情報就是要知道你的對手在做什麼,然後利用這些信息來改進決策。對於一個只有幾個分析師的組織來說,他們想要開始使用ATT&CK作為威脅情報,你可以從一個你關心的小組開始,觀察他們在ATT&CK中的行為。

你可以根據他們之前的目標組織,從我們網站上的那些組織中選擇一個小組。另外,許多威脅情報訂閱提供商也映射到ATT&CK,因此您可以使用他們的信息作為參考。

從那裡,您可以打開該組的頁面,查看他們使用的技術(僅基於我們映射的開源報告),以便了解更多關於他們的信息。如果你需要更多的技術信息,因為你不熟悉它,沒有問題,它就在ATT&CK網站上。你可以對我們使用的每一個軟體樣本重復這個步驟,我們分別在ATT&CK的網站上追蹤它們。

那麼我們如何使這些信息變得可操作,這就是威脅情報的全部意義?讓我們與我們的防禦者分享它,因為這是一個針對我們部門的組織,我們想要防禦他們。當你這樣做的時候,你可以在ATT&CK網站上找到一些想法,讓你開始檢測和減輕技術。

例如:讓你的防禦者知道APT19使用的特定注冊表運行鍵。但是,他們可能會改變這一點,並使用不同的運行鍵。如果您查看該技術的檢測建議,您會看到一個建議是監視注冊表中的新運行鍵,您不希望在您的環境中看到這些鍵。這將是與你的防禦者進行的一個偉大的談話。

總之,開始使用ATT&CK作為威脅情報的一個簡單方法是查看您所關心的單個敵手組。識別他們使用過的一些行為可以幫助你告訴你的防禦者他們如何嘗試去發現那個群體。

1.2 二級

你有一個由威脅分析專家組成的團隊,他們會定期查看對手的信息,你可以採取的下一個行動是將情報映射到自己身上,而不是使用其他人已經映射的信息。如果你有一個關於你的組織已經工作的事件的報告,這可以是一個偉大的內部來源映射到ATT&CK,或者你可以使用一個外部報告,如博客文章。為了簡化這個過程,您可以只從一個報告開始。

我們意識到,當你不知道所有的數百種技術時,試圖映射到ATT&CK是很可怕的。這里有一個你可以遵循的過程來幫助這一點。

1. 了解ATT&CK -熟悉ATT&CK的整體結構:

戰術(對手的技術目標)、技術(如何實現這些目標)和過程(技術的具體實現)。看看我們的入門頁面和哲學論文。

2. 找出對手的行為——從比原子指示器(比如IP地址)更廣的角度考慮對手的行為。例如,上述報告中的惡意軟體「建立了一個SOCKS5連接」。建立聯系的行為是對手採取的行為。

3.研究行為——如果你不熟悉行為,你可能需要做更多的研究。在我們的例子中,一個小的研究表明SOCKS5是一個第5層(會話層)協議。

4. 將行為轉化為戰術——考慮對手的技術目標,然後選擇一個合適的戰術。好消息是:在企業戰略中只有12種戰術可供選擇。對於SOCKS5連接示例,建立到以後通信的連接屬於命令和控制策略。

5. 弄清楚什麼技術適用於行為——這可能有點棘手,但是根據你的分析技能和ATT&CK網站上的例子,這是可行的。如果您在我們的網站上搜索SOCKS,就會彈出技術標准非應用層協議(T1095)。查看技術描述,您將發現這可能是我們的行為所適合的地方。

6. 將您的結果與其他分析人員進行比較—當然,您對某個行為的解釋可能與其他分析人員不同。這很正常,而且在ATT&CK團隊中經常發生!我強烈建議您將您的ATT&CK信息映射與其他分析師的進行比較,並討論其中的差異。

對於那些有幾個分析師的CTI團隊來說,將信息映射到ATT&CK是一個很好的方法,可以確保您獲得最相關的信息來滿足您的組織的需求。從那裡,你可以將att&ck地圖上的敵方信息傳遞給你的防禦者,以通知他們的防禦,就像我們上面討論的那樣。

1.3三級

如果你的CTI團隊是先進的,你可以開始映射更多的信息到ATT&CK,然後使用這些信息來優先考慮你如何防禦。採用上述過程,您可以將內部和外部信息映射到ATT&CK,包括事件響應數據、來自OSINT或威脅intel訂閱的報告、實時警報和組織的歷史信息。

一旦你映射了這些數據,你就可以做一些很酷的事情來比較組和優先使用常用的技術。例如,從ATT&CK導航器中獲取這個矩陣視圖,我之前與ATT&CK網站上的技術共享了它。只有APT3使用的技術以藍色突出顯示;只有APT29使用的是黃色突出顯示的,APT3和APT29都使用的是綠色突出顯示的。(所有這些都是基於我們所映射的公開信息,而這些信息只是這些組織所做工作的一部分。)

您應該根據組織的主要威脅替換您關心的組和技術。為了幫助您創建自己的導航器層,就像我在上面所做的那樣,這里有一個關於生成上述矩陣的步驟的逐步指南,以及一個視頻演練,它還提供了導航器功能的概述。

然後,我們可以聚合信息來確定常用的技術,這可以幫助防禦者知道應該優先處理什麼。這讓我們可以優先考慮技術,並與防禦者分享他們應該關注的檢測和減輕。在我們上面的矩陣中,如果APT3和APT29是組織中被認為對他們構成高威脅的兩個組,那麼綠色的技術可能是決定如何減輕和檢測的最高優先順序。如果我們的防禦者已經給了CTI團隊幫助確定他們應該在哪裡優先分配防禦資源的要求,我們可以與他們共享這些信息,作為他們開始的地方。

如果我們的防禦者已經對他們能探測到什麼進行了評估(我們將在以後的章節中討論),你就可以將這些信息疊加到你所知道的威脅上。這是一個很好的地方來集中您的資源,因為您知道您所關心的組已經使用了這些技術,而您無法檢測它們!

您可以根據您所擁有的數據繼續添加您所觀察到的對手所使用的技術,並開發一個頻繁使用的技術的「熱圖」。Brian Beyer和我在SANS CTI峰會上討論了我們如何基於MITRE-curated和Red Canary-curated數據集提出不同的「前20」技術。你的團隊可以遵循同樣的過程來創建你自己的「前20名」。

這個映射ATT&CK技術的過程並不完美,並且存在偏見,但是這些信息仍然可以幫助您開始更清楚地了解對手在做什麼。

(你可以在這張幻燈片上閱讀更多關於偏見和限制的內容,我們希望很快分享更多的想法。)

對於想要將ATT&CK用於CTI的高級團隊來說,將各種資源映射到ATT&CK可以幫助您建立對對手行為的深刻理解,從而幫助確定優先順序並為您的組織提供防禦信息。

總結

在我們的入門指南的第一章中,我們已經帶你走過了三個不同的層次,如何開始ATT&CK和威脅情報,這取決於你的團隊的資源。在以後的章節中,我們將深入探討如何開始使用其他用例,包括檢測和分析、對手模擬和紅色團隊、評估和工程。

『貳』 簡述網路的安全威脅主要有哪些

網路系統面臨的典型威脅主要有:竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁/射頻截獲、人為疏忽。

計算機網路安全的目標:保密性、完整性、可用性、不可否認性、可控性。

網路安全的主要技術:物理安全措施、數據傳輸安全技術、內外網隔離技術、入侵檢測技術、訪問控制技術、審計技術、安全性檢測技術、防病毒技術、備份技術、終端安全技術。

(2)網路安全威脅情報偵察擴展閱讀:

網路的主要功能就是資源共享。共享的資源包括軟體資源、硬體資源以及存儲在公共資料庫中的各類數據資源。網上用戶能部分或全部地共享這些資源,使網路中的資源能夠互通有無、分工協作,從而大大提高系統資源的利用率。

分布在不同地區的計算機系統,可以通過網路及時、高速地傳遞各種信息,交換數據,發送電子郵件,使人們之間的聯系更加緊密。

在網路中,由於計算機之間是互相協作、互相備份的關系,以及在網路中採用一些備份的設備和一些負載調度、數據容錯等技術,使得當網路中的某一部分出現故障時,網路中其他部分可以自動接替其任務。

『叄』 網路安全的類型有哪些

問題一:網路安全包括哪些內容 網路安全知識互聯網產業穩定發展解決網路安全問題是關鍵

網路安全問題接踵而至,給飛速發展的互聯網經濟籠上了一層陰影,造成巨額損失。可以說,互聯網要持續快速發展就不得不趟過安全這道彎。
如果說高高上揚的納斯達克股使人們看到泡沫背後的網路魔力的話,那麼接連不斷的網路安全事件則讓人們開始冷靜地思考魔力背後的現實――網路游戲玩家裝備被盜事件層出不窮;網站被黑也是頻繁發生;一波又一波的病毒「沖擊波」則讓互聯網用戶們戰戰兢兢。黑客、病毒已經成為時下充斥網路世界的熱門詞語,它們輪番的攻勢使本不堅固的互聯網路越發顯得脆弱。這就告訴我們:人們在享受著互聯網所帶來的便利信息的同時,必須認真對待和妥善解決網路安全問題。
據最新統計數據顯示,目前我國95%的與網際網路相聯的網路管理中心都遭到過境內外黑客的攻擊或侵入,受害涉及的覆蓋面越來越大、程度越來越深。據國際互聯網保安公司symantec2002年的報告指出,中國甚至已經成為全球黑客的第三大來源地,竟然有6.9%的攻擊國際互聯網活動都是由中國發出的。另一方面從國家計算機病毒應急處理中心日常監測結果來看,計算機病毒呈現出異常活躍的態勢。在2001年,我國有73%的計算機曾感染病毒,到了2002年上升到近84%,2003年上半年又增加到85%。而微軟的官方統計數據稱2002年因網路安全問題給全球經濟直接造成了130膽美元的損失。
眾所周知,安全才是網路的生存之本。沒有安全保障的信息資產,就無法實現茄敗拍自身的價值。作為信息的載體,網路亦然。網路安全的危害性顯而易見,而造成網路安全問題的原因各不相同。
首先是用戶觀念上的麻痹,缺乏相應的警惕性,而這種觀念的結果就是管理跟不上技術發展的步伐,更談不上具體的網路安全防範措施和防範意識。由於用戶對網路安全存在被動和一勞永逸的意識,在出現網路安全問題時,並不知道該採取什麼措施有效地保護自己的信息安全。大多數人認為,用幾種殺毒軟體和防火牆就能保障網路信息的安全,雖然這種做法的確有一定的效果,但這並不能保障網路的絕對安全。可見,要想有效地解決網路安全問題,首要的就是用戶要重視安全問題和提高安全意識,在思想意思上為網路築起一道「防護牆」。
其次,我國的網路安全設備大部分都是進口的,還沒有我們自己的核心產品。這在很大程度上造成了對國外企業網路安全產品的依賴性,對我國的網路信息安全造成了一定的影響。因此,我們應該加強自身網路安全技術的研發能力,提高我國網路安全實際操作能力。

問題二:網路安全攻擊的形式主要有哪些 網路安全攻擊形式 一般入侵 網路攻擊 掃描技術 拒絕服務攻擊技術 緩沖區溢出 後門技術 Sniffer技術 病毒木馬 網路安全技術,從代理伺服器、網路地址轉換、包過濾到數據加密 防攻擊,防病毒木馬等等。

問題三:網路安全設備有哪些類型 軟體:殺毒軟體 防火牆軟體 郵件過濾軟體 代理軟體等硬體:硬體防火牆 硬體代理網關 硬體信息過濾等 以上都是針對信息,另外還有些針對防火、水、雷等設備電源方面:後備蓄電池 發電機 UPS等

問題四:網路安全威脅主要包括哪些類型 病毒 木馬 攻擊 漏洞 加密
1 竊聽 攻擊者通過監視網路數據獲得敏感信息,從而導致信息泄密。主要表現為網路上的信息被竊聽,這種僅竊聽而不破壞網路中傳輸信息的網路侵犯者被稱為消極侵犯者。惡意攻擊者往往以此為基礎,再利用其它工具進行更具破壞性的攻擊。
2 重傳 攻擊者事先獲得部分或全部信息,以後將此信息發送給接收者。
3 篡改 攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網路侵犯者被稱為積極侵犯者。積極侵犯者截取網上的信息包,並對之進行更改使之失效,或者故意添加一些有利於自己的信息,起到信息誤導的作用。積極侵犯者的破壞作用最大。
4 拒絕服務攻擊 攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
5 行為否認 通訊實體否認已經發生的行為。
6 電子欺騙 通過假冒合法用戶的枯蘆身份來進行網路攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.
7 非授權訪問 沒有預顫羨先經過同意,就使用網路或計算機資源被看作非授權訪問。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
8 傳播病毒 通過網路傳播計算機病毒,其破壞性非常高,而且用戶很難防範。如眾所周知的CIH病毒、愛蟲病毒、紅色代碼、尼姆達病毒、求職信、歡樂時光病毒等都具有極大的破壞性,嚴重的可使整個網路陷入癱瘓。

問題五:網路安全產品的分類 1、物理安全針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時 *** 要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。2、系統安全對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。3、防火牆防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。3.1省中心與各下級機構的隔離與訪問控制防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。3.2公開伺服器與內部其它子網的隔離與訪問控制利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。4、加密VPN業務的三種類型:1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。VPN業務一般由以下幾部分組成:(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。5、安全評估系統網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。6、入侵檢測系統在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。7、防病毒系統針對防病毒危害性極大並且傳播極為迅速,必須配備從服......>>

問題六:常見的網路攻擊類型有哪些 一:學網路安全需要的知識:
網路攻擊的類型
攻擊主要分為四種類型。
偵察
偵察是指未經授權的搜索和映射系統、服務或漏洞。此類攻擊也稱為信息收集,大多數情況下它充當其它類型攻擊的先導。偵察類似於冒充鄰居的小偷伺機尋找容易下手的住宅,例如無人居住的住宅、容易打開的門或窗戶等。
訪問
系統訪問是指入侵者獲取本來不具備訪問許可權(帳戶或密碼)的設備的訪問權。入侵者進入或訪問系統後往往會運行某種黑客程序、腳本或工具,以利用目標系統或應用程序的已知漏洞展開攻擊。
拒絕服務
拒絕服務 (DoS) 是指攻擊者通過禁用或破壞網路、系統或服務來拒絕為特定用戶提供服務的一種攻擊方式。DoS 攻擊包括使系統崩潰或將系統性能降低至無法使用的狀態。但是,DoS 也可以只是簡單地刪除或破壞信息。大多數情況下,執行此類攻擊只需簡單地運行黑客程序或腳本。因此,DoS 攻擊成為最令人懼怕的攻擊方式。
蠕蟲、病毒和特洛伊木馬
有時主機上會被裝上惡意軟體,這些軟體會破壞系統、自我復制或拒絕對網路、系統或服務的訪問。此類軟體通常稱為蠕蟲、病毒或特洛伊木馬。

問題七:網路安全服務的種類及特點? 種類包括:對等實體認證服務
訪問控制服務 數據保密服務
數據完整 ***
數據源點認證服務
禁止否認服務

問題八:網路的類型有哪些? 網路類型知多少
我們經常聽到internet網、星形網等名詞,它們表示什麼?是怎樣分類的?下面列舉了常見的網路類型及分類方法並簡單介紹其特徵。
一、按網路的地理位置分類
1.區域網(lan):一般限定在較小的區域內,小於10km的范圍,通常採用有線的方式連接起來。
2.城域網(man):規模局限在一座城市的范圍內,10~100km的區域。
3.廣域網(wan):網路跨越國界、洲界,甚至全球范圍。
目前區域網和廣域網是網路的熱點。區域網是組成其他兩種類型網路的基礎,城域網一般都加入了廣域網。廣域網的典型代表是internet網。
二、按傳輸介質分類
1.有線網:採用同軸電纜和雙絞線來連接的計算機網路。
同軸電纜網是常見的一種連網方式。它比較經濟,安裝較為便利,傳輸率和抗干擾能力一般,傳輸距離較短。
雙絞線網是目前最常見的連網方式。它價格便宜,安裝方便,但易受干擾,傳輸率較低,傳輸距離比同軸電纜要短。
2.光纖網:光纖網也是有線網的一種,但由於其特殊性而單獨列出,光纖網採用光導纖維作傳輸介質。光纖傳輸距離長,傳輸率高,可達數千兆bps,抗干擾性強,不會受到電子監聽設備的監聽,是高安全性網路的理想選擇。不過由於其價格較高,且需要高水平的安裝技術,所以現在尚未普及。
3.無線網:採用空氣作傳輸介質,用電磁波作為載體來傳輸數據,目前無線網聯網費用較高,還不太普及。但由於聯網方式靈活方便,是一種很有前途的連網方式。
區域網常採用單一的傳輸介質,而城域網和廣域網採用多種傳輸介質。
三、按網路的拓撲結構分類
網路的拓撲結構是指網路中信線路和站點(計算機或設備)的幾何排列形式。
1.星型網路:各站點通過點到點的鏈路與中心站相連。特點是很容易在網路中增加新的站點,數據的安全性和優先順序容易控制,易實現網路監控,但中心節點的故障會引起整個網路癱瘓。
2.環形網路:各站點通過通信介質連成一個封閉的環形。環形網容易安裝和監控,但容量有限,網路建成後,難以增加新的站點。
3.匯流排型網路:網路中所有的站點共享一條數據通道。匯流排型網路安裝簡單方便,需要鋪設的電纜最短,成本低,某個站點的故障一般不會影響整個網路。但介質的故障會導致網路癱瘓,匯流排網安全性低,監控比較困難,增加新站點也不如星型網容易。
樹型網、簇星型網、網狀網等其他類型拓撲結構的網路都是以上述三種拓撲結構為基礎的。
四、按通信方式分類
1.點對點傳輸網路:數據以點到點的方式在計算機或通信設備中傳輸。星型網、環形網採用這種傳輸方式。
2.廣播式傳輸網路:數據在共用介質中傳輸。無線網和匯流排型網路屬於這種類型。
五、按網路使用的目的分類
1.共享資源網:使用者可共享網路中的各種資源,如文件、掃描儀、繪圖儀、列印機以及各種服務。internet網是典型的共享資源網。
2.數據處理網:用於處理數據的網路,例如科學計算網路、企業經營管理用網路。
3.數據傳輸網:用來收集、交換、傳輸數據的網路,如情報檢索網路等。
目前網路使用目的都不是唯一的。
六、按服務方式分類
1.客戶機/伺服器網路:伺服器是指專門提供服務的高性能計算機或專用設備,客戶機是用戶計算機。這是客戶機向伺服器發出請求並獲得服務的一種網路形式,多台客戶機可以共享伺服器提供的各種資源。這是最常用、最重要的一種網路類型。不僅適合於同類計算機聯網,也適合於不同類型的計算機聯網,......>>

問題九:計算機網路系統的安全威脅包括什麼類型 內部威脅,包括系統自身的漏洞,計算機硬體的突發故障等
外部威脅,包括網路上的病毒,網路上的惡意攻擊等

問題十:影響網路安全的因素有哪些? 影響網路安全的主要因素
由於企業網路由內部網路、外部網路和企業廣域網組成,網路結構復雜,威脅主要來自:病毒的侵襲、黑客的非法闖入、數據竊聽和攔截、拒絕服務、內部網路安全、電子商務攻擊、惡意掃描、密碼破解、數據篡改、垃圾郵件、地址欺騙和基礎設施破壞等。
下面來分析幾個典型的網路攻擊方式:
1.病毒的侵襲
幾乎有計算機的地方,就有出現計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內,伺機進行自我復制,並能夠通過網路、磁碟、光碟等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大,所以它的危害最能引起人們的關注。
病毒的毒性不同,輕者只會玩笑性地在受害機器上顯示幾個警告信息,重則有可能破壞或危及個人計算機乃至整個企業網路的安全。
有些黑客會有意釋放病毒來破壞數據,而大部分病毒是在不經意之間被擴散出去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件,這導致了病毒的傳播。這些病毒會從一台個人計算機傳播到另一台,因而很難從某一中心點對其進行檢測。
任何類型的網路免受病毒攻擊最保險和最有效的方法是對網路中的每一台計算機安裝防病毒軟體,並定期對軟體中的病毒定義進行更新。值得用戶信賴的防病毒軟體包括Symantec、Norton和McAfee等。然而,如果沒有憂患意識,很容易陷入盲從殺毒軟體的誤區。
因此,光有工具不行,還必須在意識上加強防範,並且注重操作的正確性;重要的是在企業培養集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
2.黑客的非法闖入
隨著越來越多黑客案件的報道,企業不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業網路的安全漏洞,不經允許非法訪問企業內部網路或數據資源,從事刪除、復制甚至毀壞數據的活動。一般來說,黑客常用的入侵動機和形式可以分為兩種。
黑客通過尋找未設防的路徑進入網路或個人計算機,一旦進入,他們便能夠竊取數據、毀壞文件和應用、阻礙合法用戶使用網路,所有這些都會對企業造成危害。黑客非法闖入將具備企 *** 的潛力,企業不得不加以謹慎預防。
防火牆是防禦黑客攻擊的最好手段。位於企業內部網與外部之間的防火牆產品能夠對所有企圖進入內部網路的流量進行監控。不論是基於硬體還是軟體的防火牆都能識別、記錄並阻塞任何有非法入侵企圖的可疑的網路活動。硬體防火牆產品應該具備以下先進功能:
●包狀態檢查:在數據包通過防火牆時對數據進行檢查,以確定是否允許進入區域網絡。
●流量控制:根據數據的重要性管理流入的數據。
●虛擬專用網(VPN)技術:使遠程用戶能夠安全地連接區域網。
●Java、ActiveX以及Cookie屏蔽:只允許來自可靠Web站點上的應用程序運行。
●代理伺服器屏蔽(Proxyblocking):防止區域網用戶繞過互聯網過濾系統。
●電子郵件發信監控(Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發送,以避免企業員工故意或無意的泄露某些特定信息。
3.數據竊聽和攔截
這種方式是直接或間接截獲網路上的特定數據包並進行分析來獲取所需信息。一些企業在與第三方網路進行傳輸時,需要採取有效措施來防止重要數據被中途截獲,如用戶信用卡號碼等。加密技術是保護傳輸數據免受外部竊聽的最好辦法,其可以將數據變成只有授權接收者才能還原並閱讀的編碼。
進行加密的最好辦法是採用虛擬專用網(VPN)技術。一條VPN鏈路......>>

『肆』 威脅情報雜談——IOC情報的使用

當前國內市場上,威脅情報最普遍的使用場景,就是利用IOC情報( Indicators of Compromise)進行日誌檢測,發現內部被攻陷的主機等重要風險。這種情況下可以發現傳統安全產品無法發現的很多威脅,並且大多是成功的攻擊,對於安全運營有較大的幫助。這種場景看似簡單,就是日誌數據和情報之間的匹配,其實並不是如此,個人在這幾年的工作中,對這個場景的認識有了多次轉變,現今看來可以小結為3個層次。

最初的時候,認為IOC情報匹配本身並不復雜,核心的問題是情報本身的質量(相關性、及時性、准確性、可指導響應的上下文),特別是上下文問題,非常重要,除了一般會考慮到的風險等級、可信度等信息外,還需要提供相關攻擊團伙和家族的攻擊目的、危害、技戰術等相關的內容,提供相關的遠控端是否活躍,是否已經被安全廠商接管等信息,以此響應團隊可以判定是否需要響應,哪個事件的優先順序更高等。後續發現對於很多團隊缺乏事件響應經驗,理想情況下情報上下文最好能提供不同威脅的響應參考策略,這部分似乎也可以歸入到上下文中。這個層次暫且稱其為簡單匹配。

後來逐步發現IOC的匹配問題並不單純,針對不同的日誌類型需要有專門的優化。典型的例子就是DNS日誌或者防火牆的五元組日誌,下面以DNS日誌為例進行說明。DNS日誌是進行IOC匹配比較理想的類型,因為有些遠控伺服器當時可能不能解析,因此不會產生其它類型的應用層日誌,但通過DNS活動就可以推斷對應的主機上已經運行了一個木馬或者蠕蟲病毒,甚或是APT攻擊。這個遠控的IOC形式可能是一個域名,這種情況就比較簡單;但如果是一個URL,這種情況下如何匹配就是一個相對復雜的事情,因為單純的DNS數據是不能精確判別是否出現失陷的,往往要引入一些參考的數據類別,並考慮企業對哪些威脅類型更加關注,這種情況下需要有更加復雜的匹配機制。這個層次可以稱其為高級匹配。

經過前兩個階段,對於大多數組織應該可以較好的使用威脅情報做檢測了。但從更高要求看,可能還會出現一些需要解決的問題,如日誌中顯示的域名沒有直接的威脅情報命中,但是域名所在的主機其實已經明確是屬於某個網路犯罪組織的,這種情況下如何產生報警;再如對一個郵件做詳細的分析判定,是需要從多個維度進行分析,其中會使用多個類型的威脅情報。解決這些問題不但需要有威脅情報及網路基礎數據,還需要有相應的分析判定模型,這部分可以說在編排和自動化范圍內(SOAR),如果還需要有一個名字,不知智能化匹配是否合適。

簡單匹配、高級匹配、智能化匹配,這是基於過去對IOC使用情況思考的一個簡單總結。不能確定是否還會有更多的層次,但有一點可以肯定,隨著對威脅情報IOC使用的不斷探索,威脅情報在檢測過程的作用一定會越來越大。而事件響應分析、安全預警上情報的使用大致也有同樣的過程,可以在後續找機會探討,而下篇文章更多要聊聊威脅情報IOC的評估。

『伍』 2020年7種最大的網路安全威脅

在整個2019年,網路安全一直是一個主要問題,隨著組織開始越來越依賴IT,這仍然是一個嚴重的問題。盡管大多數公司現在已經意識到網路安全的重要性,但許多公司仍未採取必要的措施來充分保護它們。在本文中,我們將探討2020年可能遇到的安全威脅。

1、缺乏網路安全教育

對任何企業而言,最大的網路威脅可能是公司內部對網路安全的知識和了解不足。如今,數字革命正在影響大小公司中員工的工作習慣。隨著越來越多的員工在日常工作中使用互聯技術,比以往任何時候都重要的是確保所有員工都知道他們面臨的網路安全風險以及如何以增強安全性的方式開展工作。

2、數據泄露的威脅

個人數據是黑客的主要攻擊目標,數據泄露的威脅將繼續是企業在未來幾年中將面臨的最大問題之一。這意味著公司需要確保端到端的個人數據安全,從發送到個人數據到安全處理的整個過程。SSL證書,加密數據存儲,邏輯訪問,密碼管理以及Web應用程序的快速修補和更新在此領域至關重要。

3、技能短缺

網路安全的復雜性意味著越來越多的組織正在使用高技能的安全專家提供服務。不幸的是,由於這些專業人員短缺,許多公司在需求最大時就存在相當大的技能缺口。

作為響應,許多公司現在正在實現使用智能,自動化安全工具的使用,這些工具使用先進的技術來掃描和阻止企圖入侵,感染或其他形式的攻擊,例如DDoS。這些服務通常可以由您的服務商提供。

4、 雲的威脅

大多數企業至少將雲用於其IT解決方案的一部分,並且作為存儲數據和運行操作流程的場所,雲正變得越來越流行。但是,它的受歡迎程度並未被網路犯罪分子保密,並且基於雲的威脅的數量持續增加。

2020年,公司將需要維護關鍵數據的安全性,並確保已具備實時威脅情報,以最大程度地降低數據泄露或關鍵操作下線的風險。

5、 移動設備風險  

對於許多員工而言,智能手機現在已成為必不可少的工作工具,不僅用於訪問公司系統,還用於存儲重要數據。這使組織面臨安全保護連接不良,移動惡意軟體和設備盜竊的風險。因此,至關重要的是,必須確保所有可用於訪問組織系統的移動設備的安全。一種解決方案是確保通過安全的Web應用程序進行訪問。

6、 物聯網漏洞

移動設備並不是唯一容易受到攻擊的遠程設備。物聯網設備可能會面臨更大的風險,在過去幾年中,物聯網設備的使用激增,許多組織越來越依賴該設備。它們提供了組織需要保護的許多潛在漏洞,例如不安全的wi-fi連接,硬編碼的憑據,未驗證的固件和未加密的數據。此外,受到威脅的路由器網路連接的存儲伺服器會向攻擊者提供對數據的訪問許可權,並可作為發起更多攻擊的平台。在2020年,使用IoT的組織將需要仔細研究如何確保防止這些漏洞。 

7、智能惡意軟體

網路犯罪分子和網路安全團隊之間的戰爭不再僅僅由人工來進行。這兩個陣營現在都使用人工智慧(AI)和機器學習作為工具。不幸的是,這意味著網路犯罪分子現在能夠創建極其復雜的惡意軟體和攻擊方法,並且其速度與網路安全公司所面臨的挑戰相當。這些隱秘攻擊之一具有破壞性作用只是時間問題。

結論

2020年,網路安全將繼續挑戰各種規模的組織。我們將看到諸如數據泄露之類的持續風險仍然是每個人的首要任務,而新技術的發展帶來了新的威脅,例如智能惡意軟體和IoT漏洞。隨著公司擴大對IT的使用,我們還需要保護雲和移動設備,同時確保有高技能的IT專家來制定安全策略並教育其他人如何保持安全。

閱讀全文

與網路安全威脅情報偵察相關的內容

本站內容整理源於互聯網,如有問題請聯系解決。
Copyright design: www.mobile2day.com since 2022