‘壹’ 从ATT&CK开始——威胁情报
https://attack.mitre.org/resources/getting-started/
一、威胁情报
基于来自ATT&CK用户的反馈,在第一个ATT&CKcon和从其他途径,我们学到了很多,就像我们告诉你,我们已经意识到,这将有助于我们退后一步,专注于你们很多人一个问题:我如何开始使用ATT&CK吗?
这本书开始是一系列的博客文章,旨在回答这个问题的四个关键用例:
�(1)威胁情报
(2)�检测和分析
(3)�对手仿真和红队
�(4)评估和工程
我们根据这些用例重新组织了我们的网站来共享内容,我们希望这些博客文章能增加这些资源。
ATT&CK对于任何组织来说都是非常有用的,因为他们想要建立一个基于威胁的防御体系,所以我们想要分享如何开始的想法,不管你的团队有多复杂。
我们将把这些帖子分成不同的级别:
�一级对于刚开始那些可能没有许多资源
二级中层团队开始成熟
�三级为更先进的网络安全团队和资源
我们将以威胁情报作为本书的开篇,因为它是最好的用例(尽管我相信我的同事可能不同意!)
在2018年,我对如何利用ATT&CK推进网络威胁情报(CTI)进行了一个高层次的概述。在本章中,我将在此基础上,分享一些实用的入门建议。
1.1 一级
网络威胁情报就是要知道你的对手在做什么,然后利用这些信息来改进决策。对于一个只有几个分析师的组织来说,他们想要开始使用ATT&CK作为威胁情报,你可以从一个你关心的小组开始,观察他们在ATT&CK中的行为。
你可以根据他们之前的目标组织,从我们网站上的那些组织中选择一个小组。另外,许多威胁情报订阅提供商也映射到ATT&CK,因此您可以使用他们的信息作为参考。
从那里,您可以打开该组的页面,查看他们使用的技术(仅基于我们映射的开源报告),以便了解更多关于他们的信息。如果你需要更多的技术信息,因为你不熟悉它,没有问题,它就在ATT&CK网站上。你可以对我们使用的每一个软件样本重复这个步骤,我们分别在ATT&CK的网站上追踪它们。
那么我们如何使这些信息变得可操作,这就是威胁情报的全部意义?让我们与我们的防御者分享它,因为这是一个针对我们部门的组织,我们想要防御他们。当你这样做的时候,你可以在ATT&CK网站上找到一些想法,让你开始检测和减轻技术。
例如:让你的防御者知道APT19使用的特定注册表运行键。但是,他们可能会改变这一点,并使用不同的运行键。如果您查看该技术的检测建议,您会看到一个建议是监视注册表中的新运行键,您不希望在您的环境中看到这些键。这将是与你的防御者进行的一个伟大的谈话。
总之,开始使用ATT&CK作为威胁情报的一个简单方法是查看您所关心的单个敌手组。识别他们使用过的一些行为可以帮助你告诉你的防御者他们如何尝试去发现那个群体。
1.2 二级
你有一个由威胁分析专家组成的团队,他们会定期查看对手的信息,你可以采取的下一个行动是将情报映射到自己身上,而不是使用其他人已经映射的信息。如果你有一个关于你的组织已经工作的事件的报告,这可以是一个伟大的内部来源映射到ATT&CK,或者你可以使用一个外部报告,如博客文章。为了简化这个过程,您可以只从一个报告开始。
我们意识到,当你不知道所有的数百种技术时,试图映射到ATT&CK是很可怕的。这里有一个你可以遵循的过程来帮助这一点。
1. 了解ATT&CK -熟悉ATT&CK的整体结构:
战术(对手的技术目标)、技术(如何实现这些目标)和过程(技术的具体实现)。看看我们的入门页面和哲学论文。
2. 找出对手的行为——从比原子指示器(比如IP地址)更广的角度考虑对手的行为。例如,上述报告中的恶意软件“建立了一个SOCKS5连接”。建立联系的行为是对手采取的行为。
3.研究行为——如果你不熟悉行为,你可能需要做更多的研究。在我们的例子中,一个小的研究表明SOCKS5是一个第5层(会话层)协议。
4. 将行为转化为战术——考虑对手的技术目标,然后选择一个合适的战术。好消息是:在企业战略中只有12种战术可供选择。对于SOCKS5连接示例,建立到以后通信的连接属于命令和控制策略。
5. 弄清楚什么技术适用于行为——这可能有点棘手,但是根据你的分析技能和ATT&CK网站上的例子,这是可行的。如果您在我们的网站上搜索SOCKS,就会弹出技术标准非应用层协议(T1095)。查看技术描述,您将发现这可能是我们的行为所适合的地方。
6. 将您的结果与其他分析人员进行比较—当然,您对某个行为的解释可能与其他分析人员不同。这很正常,而且在ATT&CK团队中经常发生!我强烈建议您将您的ATT&CK信息映射与其他分析师的进行比较,并讨论其中的差异。
对于那些有几个分析师的CTI团队来说,将信息映射到ATT&CK是一个很好的方法,可以确保您获得最相关的信息来满足您的组织的需求。从那里,你可以将att&ck地图上的敌方信息传递给你的防御者,以通知他们的防御,就像我们上面讨论的那样。
1.3三级
如果你的CTI团队是先进的,你可以开始映射更多的信息到ATT&CK,然后使用这些信息来优先考虑你如何防御。采用上述过程,您可以将内部和外部信息映射到ATT&CK,包括事件响应数据、来自OSINT或威胁intel订阅的报告、实时警报和组织的历史信息。
一旦你映射了这些数据,你就可以做一些很酷的事情来比较组和优先使用常用的技术。例如,从ATT&CK导航器中获取这个矩阵视图,我之前与ATT&CK网站上的技术共享了它。只有APT3使用的技术以蓝色突出显示;只有APT29使用的是黄色突出显示的,APT3和APT29都使用的是绿色突出显示的。(所有这些都是基于我们所映射的公开信息,而这些信息只是这些组织所做工作的一部分。)
您应该根据组织的主要威胁替换您关心的组和技术。为了帮助您创建自己的导航器层,就像我在上面所做的那样,这里有一个关于生成上述矩阵的步骤的逐步指南,以及一个视频演练,它还提供了导航器功能的概述。
然后,我们可以聚合信息来确定常用的技术,这可以帮助防御者知道应该优先处理什么。这让我们可以优先考虑技术,并与防御者分享他们应该关注的检测和减轻。在我们上面的矩阵中,如果APT3和APT29是组织中被认为对他们构成高威胁的两个组,那么绿色的技术可能是决定如何减轻和检测的最高优先级。如果我们的防御者已经给了CTI团队帮助确定他们应该在哪里优先分配防御资源的要求,我们可以与他们共享这些信息,作为他们开始的地方。
如果我们的防御者已经对他们能探测到什么进行了评估(我们将在以后的章节中讨论),你就可以将这些信息叠加到你所知道的威胁上。这是一个很好的地方来集中您的资源,因为您知道您所关心的组已经使用了这些技术,而您无法检测它们!
您可以根据您所拥有的数据继续添加您所观察到的对手所使用的技术,并开发一个频繁使用的技术的“热图”。Brian Beyer和我在SANS CTI峰会上讨论了我们如何基于MITRE-curated和Red Canary-curated数据集提出不同的“前20”技术。你的团队可以遵循同样的过程来创建你自己的“前20名”。
这个映射ATT&CK技术的过程并不完美,并且存在偏见,但是这些信息仍然可以帮助您开始更清楚地了解对手在做什么。
(你可以在这张幻灯片上阅读更多关于偏见和限制的内容,我们希望很快分享更多的想法。)
对于想要将ATT&CK用于CTI的高级团队来说,将各种资源映射到ATT&CK可以帮助您建立对对手行为的深刻理解,从而帮助确定优先级并为您的组织提供防御信息。
总结
在我们的入门指南的第一章中,我们已经带你走过了三个不同的层次,如何开始ATT&CK和威胁情报,这取决于你的团队的资源。在以后的章节中,我们将深入探讨如何开始使用其他用例,包括检测和分析、对手模拟和红色团队、评估和工程。
‘贰’ 简述网络的安全威胁主要有哪些
网络系统面临的典型威胁主要有:窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人为疏忽。
计算机网络安全的目标:保密性、完整性、可用性、不可否认性、可控性。
网络安全的主要技术:物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术。
(2)网络安全威胁情报侦察扩展阅读:
网络的主要功能就是资源共享。共享的资源包括软件资源、硬件资源以及存储在公共数据库中的各类数据资源。网上用户能部分或全部地共享这些资源,使网络中的资源能够互通有无、分工协作,从而大大提高系统资源的利用率。
分布在不同地区的计算机系统,可以通过网络及时、高速地传递各种信息,交换数据,发送电子邮件,使人们之间的联系更加紧密。
在网络中,由于计算机之间是互相协作、互相备份的关系,以及在网络中采用一些备份的设备和一些负载调度、数据容错等技术,使得当网络中的某一部分出现故障时,网络中其他部分可以自动接替其任务。
‘叁’ 网络安全的类型有哪些
问题一:网络安全包括哪些内容 网络安全知识互联网产业稳定发展解决网络安全问题是关键
网络安全问题接踵而至,给飞速发展的互联网经济笼上了一层阴影,造成巨额损失。可以说,互联网要持续快速发展就不得不趟过安全这道弯。
如果说高高上扬的纳斯达克股使人们看到泡沫背后的网络魔力的话,那么接连不断的网络安全事件则让人们开始冷静地思考魔力背后的现实――网络游戏玩家装备被盗事件层出不穷;网站被黑也是频繁发生;一波又一波的病毒“冲击波”则让互联网用户们战战兢兢。黑客、病毒已经成为时下充斥网络世界的热门词语,它们轮番的攻势使本不坚固的互联网络越发显得脆弱。这就告诉我们:人们在享受着互联网所带来的便利信息的同时,必须认真对待和妥善解决网络安全问题。
据最新统计数据显示,目前我国95%的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入,受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司symantec2002年的报告指出,中国甚至已经成为全球黑客的第三大来源地,竟然有6.9%的攻击国际互联网活动都是由中国发出的。另一方面从国家计算机病毒应急处理中心日常监测结果来看,计算机病毒呈现出异常活跃的态势。在2001年,我国有73%的计算机曾感染病毒,到了2002年上升到近84%,2003年上半年又增加到85%。而微软的官方统计数据称2002年因网络安全问题给全球经济直接造成了130胆美元的损失。
众所周知,安全才是网络的生存之本。没有安全保障的信息资产,就无法实现茄败拍自身的价值。作为信息的载体,网络亦然。网络安全的危害性显而易见,而造成网络安全问题的原因各不相同。
首先是用户观念上的麻痹,缺乏相应的警惕性,而这种观念的结果就是管理跟不上技术发展的步伐,更谈不上具体的网络安全防范措施和防范意识。由于用户对网络安全存在被动和一劳永逸的意识,在出现网络安全问题时,并不知道该采取什么措施有效地保护自己的信息安全。大多数人认为,用几种杀毒软件和防火墙就能保障网络信息的安全,虽然这种做法的确有一定的效果,但这并不能保障网络的绝对安全。可见,要想有效地解决网络安全问题,首要的就是用户要重视安全问题和提高安全意识,在思想意思上为网络筑起一道“防护墙”。
其次,我国的网络安全设备大部分都是进口的,还没有我们自己的核心产品。这在很大程度上造成了对国外企业网络安全产品的依赖性,对我国的网络信息安全造成了一定的影响。因此,我们应该加强自身网络安全技术的研发能力,提高我国网络安全实际操作能力。
问题二:网络安全攻击的形式主要有哪些 网络安全攻击形式 一般入侵 网络攻击 扫描技术 拒绝服务攻击技术 缓冲区溢出 后门技术 Sniffer技术 病毒木马 网络安全技术,从代理服务器、网络地址转换、包过滤到数据加密 防攻击,防病毒木马等等。
问题三:网络安全设备有哪些类型 软件:杀毒软件 防火墙软件 邮件过滤软件 代理软件等硬件:硬件防火墙 硬件代理网关 硬件信息过滤等 以上都是针对信息,另外还有些针对防火、水、雷等设备电源方面:后备蓄电池 发电机 UPS等
问题四:网络安全威胁主要包括哪些类型 病毒 木马 攻击 漏洞 加密
1 窃听 攻击者通过监视网络数据获得敏感信息,从而导致信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。恶意攻击者往往以此为基础,再利用其它工具进行更具破坏性的攻击。
2 重传 攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
3 篡改 攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自己的信息,起到信息误导的作用。积极侵犯者的破坏作用最大。
4 拒绝服务攻击 攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
5 行为否认 通讯实体否认已经发生的行为。
6 电子欺骗 通过假冒合法用户的枯芦身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.
7 非授权访问 没有预颤羡先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
8 传播病毒 通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。如众所周知的CIH病毒、爱虫病毒、红色代码、尼姆达病毒、求职信、欢乐时光病毒等都具有极大的破坏性,严重的可使整个网络陷入瘫痪。
问题五:网络安全产品的分类 1、物理安全针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时 *** 要求的服务器必须采用UPS不间断稳压电源,且数据库服务器采用双机热备份,数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。2、系统安全对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。应用系统安全上,主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证,通过设置复杂些的口令,确保用户使用的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。3、防火墙防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离,达到有效的控制对网络访问的作用。3.1省中心与各下级机构的隔离与访问控制防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。防火墙具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。3.2公开服务器与内部其它子网的隔离与访问控制利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,假如公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。4、加密VPN业务的三种类型:1.拨号VPN业务(VPDN)2.专线VPN业务3.MPLS的VPN业务移动互连网络VPN业务应能为用户提供拨号VPN、专线VPN服务,并应考虑MPLSVPN业务的支持与实现。VPN业务一般由以下几部分组成:(1)业务承载网络(2)业务管理中心(3)接入系统(4)用户系统我们认为实现电信级的加密传输功能用支持VPN的路由设备实现是现阶段最可行的办法。5、安全评估系统网络系统存在安全漏洞(如安全配置不严密等)、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且,随着网络的升级或新增应用服务,网络或许会出现新的安全漏洞。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并且要经常使用,对扫描结果进行分析审计,及时采取相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。6、入侵检测系统在许多人看来,有了防火墙,网络就安全了,就可以高枕无忧了。其实,这是一种错误的认识,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多重防护,构成一个整体的、完善的网络安全保护系统。7、防病毒系统针对防病毒危害性极大并且传播极为迅速,必须配备从服......>>
问题六:常见的网络攻击类型有哪些 一:学网络安全需要的知识:
网络攻击的类型
攻击主要分为四种类型。
侦察
侦察是指未经授权的搜索和映射系统、服务或漏洞。此类攻击也称为信息收集,大多数情况下它充当其它类型攻击的先导。侦察类似于冒充邻居的小偷伺机寻找容易下手的住宅,例如无人居住的住宅、容易打开的门或窗户等。
访问
系统访问是指入侵者获取本来不具备访问权限(帐户或密码)的设备的访问权。入侵者进入或访问系统后往往会运行某种黑客程序、脚本或工具,以利用目标系统或应用程序的已知漏洞展开攻击。
拒绝服务
拒绝服务 (DoS) 是指攻击者通过禁用或破坏网络、系统或服务来拒绝为特定用户提供服务的一种攻击方式。DoS 攻击包括使系统崩溃或将系统性能降低至无法使用的状态。但是,DoS 也可以只是简单地删除或破坏信息。大多数情况下,执行此类攻击只需简单地运行黑客程序或脚本。因此,DoS 攻击成为最令人惧怕的攻击方式。
蠕虫、病毒和特洛伊木马
有时主机上会被装上恶意软件,这些软件会破坏系统、自我复制或拒绝对网络、系统或服务的访问。此类软件通常称为蠕虫、病毒或特洛伊木马。
问题七:网络安全服务的种类及特点? 种类包括:对等实体认证服务
访问控制服务 数据保密服务
数据完整 ***
数据源点认证服务
禁止否认服务
问题八:网络的类型有哪些? 网络类型知多少
我们经常听到internet网、星形网等名词,它们表示什么?是怎样分类的?下面列举了常见的网络类型及分类方法并简单介绍其特征。
一、按网络的地理位置分类
1.局域网(lan):一般限定在较小的区域内,小于10km的范围,通常采用有线的方式连接起来。
2.城域网(man):规模局限在一座城市的范围内,10~100km的区域。
3.广域网(wan):网络跨越国界、洲界,甚至全球范围。
目前局域网和广域网是网络的热点。局域网是组成其他两种类型网络的基础,城域网一般都加入了广域网。广域网的典型代表是internet网。
二、按传输介质分类
1.有线网:采用同轴电缆和双绞线来连接的计算机网络。
同轴电缆网是常见的一种连网方式。它比较经济,安装较为便利,传输率和抗干扰能力一般,传输距离较短。
双绞线网是目前最常见的连网方式。它价格便宜,安装方便,但易受干扰,传输率较低,传输距离比同轴电缆要短。
2.光纤网:光纤网也是有线网的一种,但由于其特殊性而单独列出,光纤网采用光导纤维作传输介质。光纤传输距离长,传输率高,可达数千兆bps,抗干扰性强,不会受到电子监听设备的监听,是高安全性网络的理想选择。不过由于其价格较高,且需要高水平的安装技术,所以现在尚未普及。
3.无线网:采用空气作传输介质,用电磁波作为载体来传输数据,目前无线网联网费用较高,还不太普及。但由于联网方式灵活方便,是一种很有前途的连网方式。
局域网常采用单一的传输介质,而城域网和广域网采用多种传输介质。
三、按网络的拓扑结构分类
网络的拓扑结构是指网络中信线路和站点(计算机或设备)的几何排列形式。
1.星型网络:各站点通过点到点的链路与中心站相连。特点是很容易在网络中增加新的站点,数据的安全性和优先级容易控制,易实现网络监控,但中心节点的故障会引起整个网络瘫痪。
2.环形网络:各站点通过通信介质连成一个封闭的环形。环形网容易安装和监控,但容量有限,网络建成后,难以增加新的站点。
3.总线型网络:网络中所有的站点共享一条数据通道。总线型网络安装简单方便,需要铺设的电缆最短,成本低,某个站点的故障一般不会影响整个网络。但介质的故障会导致网络瘫痪,总线网安全性低,监控比较困难,增加新站点也不如星型网容易。
树型网、簇星型网、网状网等其他类型拓扑结构的网络都是以上述三种拓扑结构为基础的。
四、按通信方式分类
1.点对点传输网络:数据以点到点的方式在计算机或通信设备中传输。星型网、环形网采用这种传输方式。
2.广播式传输网络:数据在共用介质中传输。无线网和总线型网络属于这种类型。
五、按网络使用的目的分类
1.共享资源网:使用者可共享网络中的各种资源,如文件、扫描仪、绘图仪、打印机以及各种服务。internet网是典型的共享资源网。
2.数据处理网:用于处理数据的网络,例如科学计算网络、企业经营管理用网络。
3.数据传输网:用来收集、交换、传输数据的网络,如情报检索网络等。
目前网络使用目的都不是唯一的。
六、按服务方式分类
1.客户机/服务器网络:服务器是指专门提供服务的高性能计算机或专用设备,客户机是用户计算机。这是客户机向服务器发出请求并获得服务的一种网络形式,多台客户机可以共享服务器提供的各种资源。这是最常用、最重要的一种网络类型。不仅适合于同类计算机联网,也适合于不同类型的计算机联网,......>>
问题九:计算机网络系统的安全威胁包括什么类型 内部威胁,包括系统自身的漏洞,计算机硬件的突发故障等
外部威胁,包括网络上的病毒,网络上的恶意攻击等
问题十:影响网络安全的因素有哪些? 影响网络安全的主要因素
由于企业网络由内部网络、外部网络和企业广域网组成,网络结构复杂,威胁主要来自:病毒的侵袭、黑客的非法闯入、数据窃听和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。
下面来分析几个典型的网络攻击方式:
1.病毒的侵袭
几乎有计算机的地方,就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大,所以它的危害最能引起人们的关注。
病毒的毒性不同,轻者只会玩笑性地在受害机器上显示几个警告信息,重则有可能破坏或危及个人计算机乃至整个企业网络的安全。
有些黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,这导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台,因而很难从某一中心点对其进行检测。
任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括Symantec、Norton和McAfee等。然而,如果没有忧患意识,很容易陷入盲从杀毒软件的误区。
因此,光有工具不行,还必须在意识上加强防范,并且注重操作的正确性;重要的是在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
2.黑客的非法闯入
随着越来越多黑客案件的报道,企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。一般来说,黑客常用的入侵动机和形式可以分为两种。
黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。黑客非法闯入将具备企 *** 的潜力,企业不得不加以谨慎预防。
防火墙是防御黑客攻击的最好手段。位于企业内部网与外部之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。硬件防火墙产品应该具备以下先进功能:
●包状态检查:在数据包通过防火墙时对数据进行检查,以确定是否允许进入局域网络。
●流量控制:根据数据的重要性管理流入的数据。
●虚拟专用网(VPN)技术:使远程用户能够安全地连接局域网。
●Java、ActiveX以及Cookie屏蔽:只允许来自可靠Web站点上的应用程序运行。
●代理服务器屏蔽(Proxyblocking):防止局域网用户绕过互联网过滤系统。
●电子邮件发信监控(Outgoinge-mailscreening):能够阻塞带有特定词句电子邮件的发送,以避免企业员工故意或无意的泄露某些特定信息。
3.数据窃听和拦截
这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。
进行加密的最好办法是采用虚拟专用网(VPN)技术。一条VPN链路......>>
‘肆’ 威胁情报杂谈——IOC情报的使用
当前国内市场上,威胁情报最普遍的使用场景,就是利用IOC情报( Indicators of Compromise)进行日志检测,发现内部被攻陷的主机等重要风险。这种情况下可以发现传统安全产品无法发现的很多威胁,并且大多是成功的攻击,对于安全运营有较大的帮助。这种场景看似简单,就是日志数据和情报之间的匹配,其实并不是如此,个人在这几年的工作中,对这个场景的认识有了多次转变,现今看来可以小结为3个层次。
最初的时候,认为IOC情报匹配本身并不复杂,核心的问题是情报本身的质量(相关性、及时性、准确性、可指导响应的上下文),特别是上下文问题,非常重要,除了一般会考虑到的风险等级、可信度等信息外,还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容,提供相关的远控端是否活跃,是否已经被安全厂商接管等信息,以此响应团队可以判定是否需要响应,哪个事件的优先级更高等。后续发现对于很多团队缺乏事件响应经验,理想情况下情报上下文最好能提供不同威胁的响应参考策略,这部分似乎也可以归入到上下文中。这个层次暂且称其为简单匹配。
后来逐步发现IOC的匹配问题并不单纯,针对不同的日志类型需要有专门的优化。典型的例子就是DNS日志或者防火墙的五元组日志,下面以DNS日志为例进行说明。DNS日志是进行IOC匹配比较理想的类型,因为有些远控服务器当时可能不能解析,因此不会产生其它类型的应用层日志,但通过DNS活动就可以推断对应的主机上已经运行了一个木马或者蠕虫病毒,甚或是APT攻击。这个远控的IOC形式可能是一个域名,这种情况就比较简单;但如果是一个URL,这种情况下如何匹配就是一个相对复杂的事情,因为单纯的DNS数据是不能精确判别是否出现失陷的,往往要引入一些参考的数据类别,并考虑企业对哪些威胁类型更加关注,这种情况下需要有更加复杂的匹配机制。这个层次可以称其为高级匹配。
经过前两个阶段,对于大多数组织应该可以较好的使用威胁情报做检测了。但从更高要求看,可能还会出现一些需要解决的问题,如日志中显示的域名没有直接的威胁情报命中,但是域名所在的主机其实已经明确是属于某个网络犯罪组织的,这种情况下如何产生报警;再如对一个邮件做详细的分析判定,是需要从多个维度进行分析,其中会使用多个类型的威胁情报。解决这些问题不但需要有威胁情报及网络基础数据,还需要有相应的分析判定模型,这部分可以说在编排和自动化范围内(SOAR),如果还需要有一个名字,不知智能化匹配是否合适。
简单匹配、高级匹配、智能化匹配,这是基于过去对IOC使用情况思考的一个简单总结。不能确定是否还会有更多的层次,但有一点可以肯定,随着对威胁情报IOC使用的不断探索,威胁情报在检测过程的作用一定会越来越大。而事件响应分析、安全预警上情报的使用大致也有同样的过程,可以在后续找机会探讨,而下篇文章更多要聊聊威胁情报IOC的评估。
‘伍’ 2020年7种最大的网络安全威胁
在整个2019年,网络安全一直是一个主要问题,随着组织开始越来越依赖IT,这仍然是一个严重的问题。尽管大多数公司现在已经意识到网络安全的重要性,但许多公司仍未采取必要的措施来充分保护它们。在本文中,我们将探讨2020年可能遇到的安全威胁。
1、缺乏网络安全教育
对任何企业而言,最大的网络威胁可能是公司内部对网络安全的知识和了解不足。如今,数字革命正在影响大小公司中员工的工作习惯。随着越来越多的员工在日常工作中使用互联技术,比以往任何时候都重要的是确保所有员工都知道他们面临的网络安全风险以及如何以增强安全性的方式开展工作。
2、数据泄露的威胁
个人数据是黑客的主要攻击目标,数据泄露的威胁将继续是企业在未来几年中将面临的最大问题之一。这意味着公司需要确保端到端的个人数据安全,从发送到个人数据到安全处理的整个过程。SSL证书,加密数据存储,逻辑访问,密码管理以及Web应用程序的快速修补和更新在此领域至关重要。
3、技能短缺
网络安全的复杂性意味着越来越多的组织正在使用高技能的安全专家提供服务。不幸的是,由于这些专业人员短缺,许多公司在需求最大时就存在相当大的技能缺口。
作为响应,许多公司现在正在实现使用智能,自动化安全工具的使用,这些工具使用先进的技术来扫描和阻止企图入侵,感染或其他形式的攻击,例如DDoS。这些服务通常可以由您的服务商提供。
4、 云的威胁
大多数企业至少将云用于其IT解决方案的一部分,并且作为存储数据和运行操作流程的场所,云正变得越来越流行。但是,它的受欢迎程度并未被网络犯罪分子保密,并且基于云的威胁的数量持续增加。
2020年,公司将需要维护关键数据的安全性,并确保已具备实时威胁情报,以最大程度地降低数据泄露或关键操作下线的风险。
5、 移动设备风险
对于许多员工而言,智能手机现在已成为必不可少的工作工具,不仅用于访问公司系统,还用于存储重要数据。这使组织面临安全保护连接不良,移动恶意软件和设备盗窃的风险。因此,至关重要的是,必须确保所有可用于访问组织系统的移动设备的安全。一种解决方案是确保通过安全的Web应用程序进行访问。
6、 物联网漏洞
移动设备并不是唯一容易受到攻击的远程设备。物联网设备可能会面临更大的风险,在过去几年中,物联网设备的使用激增,许多组织越来越依赖该设备。它们提供了组织需要保护的许多潜在漏洞,例如不安全的wi-fi连接,硬编码的凭据,未验证的固件和未加密的数据。此外,受到威胁的路由器或网络连接的存储服务器会向攻击者提供对数据的访问权限,并可作为发起更多攻击的平台。在2020年,使用IoT的组织将需要仔细研究如何确保防止这些漏洞。
7、智能恶意软件
网络犯罪分子和网络安全团队之间的战争不再仅仅由人工来进行。这两个阵营现在都使用人工智能(AI)和机器学习作为工具。不幸的是,这意味着网络犯罪分子现在能够创建极其复杂的恶意软件和攻击方法,并且其速度与网络安全公司所面临的挑战相当。这些隐秘攻击之一具有破坏性作用只是时间问题。
结论
2020年,网络安全将继续挑战各种规模的组织。我们将看到诸如数据泄露之类的持续风险仍然是每个人的首要任务,而新技术的发展带来了新的威胁,例如智能恶意软件和IoT漏洞。随着公司扩大对IT的使用,我们还需要保护云和移动设备,同时确保有高技能的IT专家来制定安全策略并教育其他人如何保持安全。