广东省建设注册执业资格中心网站,网站域名改版怎么做,义乌福田公司,大连唐朝网站优化公司这里写目录标题 信息安全现状及挑战概念常见的网络安全术语恶意程序的特点 信息安全的脆弱性网络环境的开放性协议栈道的脆弱性#xff08;缺乏认证和加密 完整性#xff09; 常见安全攻击传输层 ---TCP SYN Flood攻击分布式拒绝服务攻击(DDOS)社会工程学攻击钓鱼攻击水坑攻击… 这里写目录标题 信息安全现状及挑战概念常见的网络安全术语恶意程序的特点 信息安全的脆弱性网络环境的开放性协议栈道的脆弱性缺乏认证和加密 完整性 常见安全攻击传输层 ---TCP SYN Flood攻击分布式拒绝服务攻击(DDOS)社会工程学攻击钓鱼攻击水坑攻击勒索病毒 信息安全的五要素 信息安全现状及挑战
概念
信息安全防止任何对数据进行未授权访问的措施或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生让数据处于远离危险、免于威胁的状态或特性。 网络空间 一个信息基础设施组成相互依赖的网络
网络空间安全市场在中国潜力无穷2016-2021年中国网络安全市场规模及增速在急剧上升
由于科技的发展数字化时代威胁升级勒索病毒、数据泄露、黑客入侵等网络安全事件呈现上升趋势传统防火墙、IPS、杀毒软件等基于特征库的安全检测无法过滤且安全风险能见度不足。
看不清的新增资产产生的安全洼地缺乏有效手段主动识别新增业务攻击者对内网未被归档和防护的新增资产进行攻击顺利渗透如内网
看不清的新型威胁如水坑攻击鱼叉邮件攻击零日漏洞等攻击。
看不见的内网潜在风险。黑客内部潜伏后预留的后门伪装合法用户的违规操作行为封装在正常协议中的异常数据外发看不见的内部人员违规操作企业普遍缺乏自动化防御手段
企业对事件处理的比例
37.50% 时间长短取决于事件本身
18.50% 使用人工接近实时处理
10.00% 由于某些阶段需要人工操作需要花费数周时间
13.00% 可以依赖严格的MSSP SLA
17.00% 使用自动化工具接近实时处理
4.00%完全修复可能需要数月包括调查在内 来源IDC报告网络安全监管标准愈发严苛 ----- 法律、法规、标准、监管的要求逐步加强 2017.06 《网络安全法》正式生效2019.05 《信息安全技术网络安全等级保护基本要求》等三大核心标准发布
常见的网络安全术语
漏洞可能被一个或多个威胁利用的资产或控制的弱点
攻击企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为
入侵对网络或联网系统的未授权访问即对信息系统进行有意或无意的未授权访问包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
后门绕过安全控制而获取对程序或系统访问权的方法
WEBSHELL以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境也可以将其称作为一种网页后门
社会工程学通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法
exploit简称exp漏洞利用
APT攻击高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式漏洞 漏洞是指信息系统中的软件、硬件或通信协议中存在的缺陷或不适当的配置从而可使攻击者在未授权的情况下访问或破坏系统导致信息系统面临安全风险。常见漏洞有SQL注入漏洞、弱口令漏洞、远程命令执行漏洞、权限绕过漏洞等。
注意漏洞不等于漏洞利用只有当漏洞被利用的漏洞它才会造成危害
入侵与攻击 入侵与攻击是直接相关的入侵是目的攻击是手段攻击存在于整个入侵过程之中。在现实生活中要进行入侵的人可能是攻击者本人也可能是幕后操纵者。入侵者的目的就是抢夺和占有别人的资源但他不一定具有攻击能力他可以雇用攻击者来达到入侵的目的。显而易见攻击是由入侵者发起并由攻击者实现的一种非法行为。无论是入侵还是攻击仅仅是在形式上和概念描述上有所区别而已。对计算机系统和网络而言入侵与攻击没有什么本质区别入侵伴随着攻击攻击的结果就是入侵。
0day漏洞 开发人员创建了一个软件但是开发人员本身不知道有这个漏洞但其他人发现了这个漏洞当开发人员发现漏洞并且打补丁。这漏洞就不被看做0day漏洞 1day漏洞被利用但是还没打补丁 nday 漏洞打完补丁
恶意程序的特点
恶意程序一般会具备以下多个或全部特点
1非法性如没有授权自动打开下载如删文件
2隐蔽性如在较深的目录不经常打开
3潜伏性如几天无症状
4可触发性点击捆绑
5表现性结果造成的后果
6破坏性
7传染性蠕虫的特性---横向传播 求职性病毒
8针对性不同系统对象不同
9变异性
10不可预见性
基于人工智能预测信息安全的脆弱性
网络环境的开放性
“Internet的美妙之处在于你和每个人都能互相连接,Internet的可怕之处在于每个人都能和你互相连接”所以可能别人会恶意连接
协议栈道的脆弱性缺乏认证和加密 完整性
随着互联网的不断发展TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够导致协议存在着一些安全风险问题。Internet首先应用于研究环境针对少量、可信的的用户群体网络安全问题不是主要的考虑因素。因此在TCP/IP协议栈中绝大多数协议没有提供必要的安全机制例如 不提供认证服务 明码传输不提供保密性服务不提供数据保密性服务 不提供数据完整性保护 不提供抗抵赖服务 不保证可用性——服务质量QoS
常见安全风险 TCP/IP协议栈中各层都有自己的协议。由于这些协议在开发之初并未重点考虑安全因素缺乏必要的安全机制。因此针对这些协议的安全威胁及攻击行为越来越频繁TCP/IP协议栈的安全问题也越来越凸显。
应用层漏洞、缓冲区溢出攻击、WEB应用的攻击、病毒及木马
传输层TCP 欺骗、TCP拒绝服务、UDP拒绝服务端、端口扫描
网络层IP欺骗、Smurf攻击、ICMP攻击、地址扫描
链路层MAC欺骗、MAC泛洪、ARP欺骗
物理层设备破坏、线路侦听常见安全攻击 来自深信服 传输层 —TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文攻击者通过大量发送SYN报文造成大量未完全建立的TCP连接占用被攻击者的资源。----拒绝服务攻击
SYN FLOODING攻击特点
攻击者用带有SYN标志位的数据片断启动握手
受害者用SYN-ACK应答
攻击者保持沉默不进行回应
由于主机只能支持数量有限的TCP连接处于half-open的状态超过该数目后新的连接就都会被拒绝
目前的解决方法关闭处于Half Open 状态的连接。拒绝服务:
拒绝服务式攻击(Denial of Service)顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。拒绝服务攻击方式:
利用系统、协议或服务的漏洞
利用TCP协议实现缺陷
利用操作系统或应用软件的漏洞
目标系统服务资源能力
利用大量数据挤占网络带宽
利用大量请求消耗系统性能
注意tcp是基于字节流的协议 每个字节都有一个序号 面向连接 面向连接 就说白了在你正式发送数据之前我是不是首先会先建立一个点到点的连接这个建立点到点的连接的目的就是确保确保对方是不是能收到我这个信息也是为了保证我的传输的可靠性的。回话是分方向的 建立连接双向的
来我给大家补充了一个细节就是在发送SYN的时候对方要去创建一个存储空间那你们想一下就利用这一点想到一种攻击手段------- 客户端 通过四元组该任何一个参数目标ip不改 一直发 客户端收到服务器的开拓空间直接丢弃,服务端建立有时间1min丢弃;
syn洪水攻击防患1使用代理防火墙风险转嫁 ----1每目标ip代理阈值:2每目标ip丢包阈值
就是防火墙不是一上来就代理了而是当他超过某一个节点的时候我再去代理。
2:这个是不是非常异常是不是很有可能对方发动了一次dos攻击了所以我们还会设置第二个阈值叫做每目标IP丢包阈值这个阈值一定会比这个每目标IP代理阈要更高一些;,我就不再代理了数据包收到之后丢弃掉了不会占用防火墙资源到不了服务器
2首包丢包
3syn cookie分布式拒绝服务攻击(DDOS)
DDOS 分布式拒绝服务攻击 木马控制别人机器 — 肉鸡(被控制的机器) CC服务器就是远端控制中心就是这些设备用来专门去控制肉机的一个CC服务器 被操作的一片网络 ---- 僵尸网络
但是呢你发动一次dos攻击那就意味着你可能会暴露出很多这个肉机是不是这些节点是不是会暴露出来这些现在暴露出来之后会暴露出来啥会把你远端的这个CC服务器的节点会暴露出来就有可能导致你CA服务器的IP一旦被封那么底下的这些操控权数据也就丧失了。所以dos攻击不会轻易发动 来自深信服 社会工程学攻击
原理 社会工程攻击是一种利用社会工程学来实施的网络攻击行为。 在计算机科学中社会工程学指的是通过与他人的合法地交流来使其心理受到影响做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。 防御手段 定期更换各种系统账号密码使用高强度密码等 攻击过程 社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。 常用手段有伪造好友邮件、钓鱼攻击、投放诱饵、等价交换等。
钓鱼攻击
钓鱼 又称网络钓鱼攻击是一种企图从电子通讯中通过伪装成可以信任的人或者机构以获得用户名、密码和银行卡明细等个人敏感信息的犯罪诈骗过程。网钓通常是通过e-mail或者即时通讯进行的它常常诱导用户到URL、页面外观等与某些知名网站几乎没有差别的假冒网站上输入个人数据 防御手段 保证网络站点与用户之间的安全传输加强网络站点的认证过程即时清除网钓邮件加强网络站点的监管。
水坑攻击
水坑攻击 一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体组织、行业、地区等。攻击者首先通过猜测或观察确定这组目标经常访问的网站然后入侵其中一个或多个网站植入恶意软件。在目标访问该网站时会被重定向到恶意网址或触发恶意软件执行导致该组目标中部分成员甚至全部成员被感染。按照这个思路水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。 防御手段 在浏览器或其他软件上通常会通过零日漏洞感染网站。针对已知漏洞的防御措施是应用最新的软件修补程序来消除允该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。如果恶意内容被检测到运维人员可以监控他们的网站和网络然后阻止流量。
攻击过程 黑客分析攻击目标的上网活动规律寻找攻击目标经常访问的网站的弱点先将此网站“攻破”并植入攻击代码一旦攻击目标访问该网站就会“中招”。
勒索病毒
定义:一种恶意程序可以感染设备、网络与数据中心并使其瘫痪直至用户支付赎金使系统解锁。 特点:调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。危害:勒索病毒会将电脑中的各类文档进行加密让用户无法打开并弹窗限时勒索付款提示信息如果用户未在指定时间缴纳黑客要求的金额被锁文件将永远无法恢复。
中勒索病毒后要复盘
复盘就是我们一个企业为了保证安全它一定是会对我们所有的流量进出是有一个审计工作的要记日志。
有日志的记录中了勒索病毒之后想要去追溯他可以去查看这些日志根据日志里面的一些特征去判断到底是怎么中招的这叫溯
各种安全设备你从远端发一个信息想要发到内网跟内网的设备取得联系触发这个病毒的一个攻击一般都是反射型
就是由我们底下的这个电脑被控制的这个电脑或者被攻击的这个电脑主动发送一个消息连接我们的CC服务器从内到外去发送消息因为内部往外走它一般是不会拦截的那远端服务器之后收到这个信息之后再给你回指令的时候再回的这条消息是不会被拦截的。
防火墙的工作原理它在回的这个包它属于同一个会话里面的一个数据包。那同一个会话我要放空的话不会再拦截。信息安全的五要素
保密性confidentiality 完整性-ntegrity 可用性availability 可控性controllability 不可否认性Non-repudiation
保密性—confidentiality对抗对手的被动攻击保证信息不泄漏给未经授权的人或者即便数据被截获其所表达的信息也不被非授权者所理解。确保信息不暴露给未授权的实体或进程。加密机制。防泄密 完整性—integrity对抗对手主动攻击防止信息被未经授权的篡改。只有得到允许的人才能修改实体或进程并且能够判别出实体或进程是否已被修改。完整性鉴别机制保证只有得到允许的人才能修改数据 。防篡改 可用性—availability确保信息及信息系统能够为授权使用者所正常使用得到授权的实体可获得服务攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制阻止非授权用户进入网络 。使静态信息可见动态信息可操作。 防止突然中断
这三个重要的基本属性被国外学者称为“信息安全金三角”CIAConfidentiality-Integrity-Availability
可控性可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制控制信息传播范围、内容必要时能恢复密钥实现对网络资源及信息的可控性。
不可否认性;不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制使得攻击者、破坏者、抵赖者“逃不脱并进一步对网络出现的安全问题提供调查依据和手段实现信息安全的可审查性
简单来说
1加密
2是否被篡改
3有备份随时随地提供服务
4如·上网行为管理上网行为管理三要素用户 行为 流量
5能够追溯有日志记录
评判一个安一个系统安全与否的五个关键的评判标准
