安全背景
- 数字化时代威胁升级
- 传统安全防护在数字化转型中逐渐失效
- 安全风险能见度不足
- 资产更替较快,无法全方位把握所有资产,导致安全加固操作不到位;
- 缺乏对水坑攻击、鱼叉邮件攻击、0day漏洞等新型威胁的及时全面的探测;
- 缺乏对预留后门、合法用户伪装等潜藏风险的把控;
- 缺乏自动化防御手段
- 网络安全监管标准愈发严苛
常见网络安全术语
- 漏洞:可能被一个或多个威胁利用的资产或控制的弱点,包括软件漏洞、硬件漏洞、协议漏洞、算法漏洞等。
- 0day漏洞:亟待官方发现及开发安全补丁的漏洞。0day漏洞公开后称为Nday漏洞。
- WEBSHELL:以asp、php、jsp或cgi等网页文件形式存在的一种命令执行环境。攻击者利用服务器本身开设的80端口采用POST请求上传WEBSHELL,绕过防火墙的检测,达到入侵服务器并提升用户权限的目的,最终实现完全控制服务器。针对这一攻击,可以通过设置白名单的方式限制文件上传。
- exploit:漏洞利用即exp。本地攻击与远程攻击。
- APT攻击:高级持续性威胁(Advanced Persistent Thread),利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。
协议栈自身脆弱性及常见攻击
协议栈脆弱性
- 缺乏数据源验证机制
- 缺乏机密性保障机制
- 缺乏完整性检验机制
网络攻击基本模式
网络攻击包括被动威胁和主动威胁。其中被动威胁主要指截获这一手段,主动威胁包括篡改、中断和伪造这三种手段。
- 截获—>机密性:包括嗅探(Sniffing)和监听(Eavesdropping);
- 篡改—>完整性:主要指数据包篡改(Tampering);
- 中断—>可用性:常见的有拒绝服务(Dosing);
- 伪造—>真实性:通过欺骗(Spoofing)的方法破坏信息真实性;
常见攻击手段
- 物理层:设备破坏、线路侦听
- 数据链路层:MAC欺骗、MAC泛洪、ARP欺骗
- 网络层:IP欺骗、Smurf攻击、ICMP攻击、地址扫描
- 传输层:TCP欺骗、TCP DOS、UDP DOS、端口扫描
- 应用层:漏洞、缓冲区溢出攻击、WEB应用攻击、病毒木马
物理层——物理攻击
- 物理设备破坏:设备破坏攻击的目的主要是为了中断网络服务;
- 物理设备窃听:包括光纤监听和红外监听。
- 自然灾害:为尽量减少突发自然灾害对重要数据的破坏,常建设异地灾备数据中心。
数据链路层——MAC泛洪攻击
泛洪攻击中,攻击者利用交换机中存储的MAC地址表的自动学习机制不断发送不同MAC地址给交换机,从而填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息。由于交换机之间具有级联机制,故与受感交换机相连的所有交换机MAC地址表均被填满,整个网络出现数据发送缓慢、丢包甚至瘫痪的情况。可以在交换机上设置相应的端口保护机制以限制单个端口最大MAC数据接收条目数量。
数据链路层——ARP欺骗
当A、B需要通讯时,A发送ARP请求询问B的MAC地址。攻击者冒充B持续发送ARP响应给A,并传递攻击者主机MAC地址,随后A发送给B的正常数据包都会被转发到攻击者主机处。
网络层——ICMP攻击
ICMP具有多个控制报文如重定向和网络不可达等,常用于指导数据包的正确路由。
- ICMP重定向攻击中,攻击者主动向受害者发送ICMP重定向报文,改变受害者数据包传输路由,使其发送到不存在的网关,从而使得网关无法收到数据包,实现拒绝服务攻击。
- ICMP不可达攻击中,攻击者向网关发送特定IP地址主机ICMP不可达报文,网关收到后便将受害者主机标记为不可达,从而导致受害者无法收到数据包。
解决方法:通过修改注册表关闭ICMP不可达报文及重定向报文的处理功能。
传输层——TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,从而占用被攻击者的资源,以达到拒绝服务攻击的目的。
应用层——DNS欺骗攻击
攻击者通过篡改DNS服务器上的DNS数据破坏域名与IP地址的对应关系,当用户输入访问网站的URL后,该域名被解析成攻击者事先设置好的钓鱼网站对应的IP地址,随后用户主机会访问该IP地址进入钓鱼网站。
DDoS攻击风险防护方案
网络设备性能充裕
防火墙、路由器、交换机性能富余。
网络带宽资源充裕
保持一定比例的网络带宽余量。
异常流量清洗
通过抗D设备清洗异常流量。
通过CDN分流
多节点分担DDoS攻击流量。
分布式集群
每个节点分配足够资源数据回发瘫痪攻击源。
操作系统的脆弱性及常见攻击
操作系统漏洞分类
- 人为原因:开发者在程序代码中故意隐藏后门。
- 客观原因:受开发者能力、经验及当时安全技术限制,程序设计过程中存在不足之处,导致权限提升等后果。
- 硬件原因:编程人员无法弥补硬件自身的安全漏洞,从而使硬件问题通过软件体现。
缓冲区溢出攻击
缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存溢出,从而破坏程序的堆栈结构,导致程序执行流程的改变,达到破坏系统或提取关键信息的目的。攻击者如果可以精确控制内存跳转地址,就可以执行指定代码,获得权限或破坏系统。
缓冲区溢出的防范可以通过以下方面考虑:
- 用户层面需要及时更新系统及软件补丁,并保持防火墙常开。
- 开发人员开发程序过程中,需要编写安全代码,对输入数据进行验证,如限制输入数据的长度。同时需要使用相对安全的函数,如C语言在字符串处理过程中提供大量安全函数,如
strcat_s(),strcpy_s(),gets_s()等。 - 系统层面可以运用缓冲区不可执行技术来防止缓冲区恶意代码执行,也可以采用虚拟化技术来防止缓冲区溢出漏洞的产生。
由于现阶段大量程序执行过程中均会由操作系统分配随机起始地址,故对于攻击者来说获取准确的函数返回地址并实现恶意代码执行较为困难。
终端的脆弱性及常见攻击
勒索病毒
作为一种恶意程序,勒索病毒可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。该类病毒执行过程如下:受害者主机植入勒索病毒后,病毒本身调用加密算法库解密自身数据并回连服务器,随后通过脚本文件执行HTTP GET请求并下载加密后的文件,随后在受害者主机环境中进行文件解密并将该文件封装成动态链接库,随后通过wscript执行DLL文件通过遍历系统文件的方法收集计算机信息。勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,达到勒索赎金的目的。
发展阶段
- 第一阶段:2008年以前,只锁定用户设备不加密数据,以LockScreen为代表家族。
- 第二阶段:2013年以前,采用高强度对称和非对称加密算法加密用户数据,以CTB-Locker、TeslaCrypt、Cerber为代表家族。
第三阶段:2017年前后,通过系统漏洞或弱口令等方式发起蠕虫式攻击,攻陷单点设备后还会在内网中横向扩散,以WannaCry和Satan为代表。
第四阶段:加密货币的出现改变勒索格局,加密货币具有匿名性与去中心化的特点,解决攻击者的传统问题,脱离货币交易链的追查与监管,黑色产业因此蓬勃发展。
- 第五阶段:勒索软件服务化,RaaS模式初见规模。
勒索病毒感染与传播方式
勒索病毒攻击链
感染媒介—>C&C通信—>文件加密—>横向移动
高效勒索病毒协同防护体系
挖矿病毒
作为一种恶意程序,挖矿程序可以自动传播,在未授权的情况下占用系统资源,为攻击者牟利,使得受害者机器性能明显下降,影响正常使用。挖矿病毒占用CPU或GPU等计算资源,自动创建后门与混淆进程,同时该病毒定期改变进程名与PID并检测系统中是否存在对应的挖矿软件,若被查杀则再次从远端服务器上获取资源。同时该病毒通过扫描SSH文件感染其他机器,实现横向传播。
特洛伊木马
完整的木马程序一般由服务器程序与控制器程序两部分组成,当受害者主机安装了木马的服务器程序后,拥有控制器程序的攻击者就可以通过网络控制受害者主机。木马程序通常注入正常程序中,当用户执行正常程序时启动。同时,木马程序自动在任务管理器中隐藏,并以”系统服务”的方式欺骗操作系统,包含具有未公开并且可能产生危险后果的功能的程序,具备自动恢复与打开特殊端口的功能。
蠕虫病毒
蠕虫是一种可以自我复制并通过网络传播的代码,通常无需人为干预即可实现传播。蠕虫病毒入侵并完全控制一台计算机后,就会把这台主机作为宿主,进而扫描并感染其他计算机。蠕虫病毒具有不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者位置的特点。该类病毒易造成拒绝服务与隐私信息丢失。
宏病毒
宏病毒是一种寄存在文档或模板的宏中的计算机病毒,具有感染文档、传播速度快、病毒制作周期短、可实现多平台交叉感染的特点。宏病毒通过调用系统命令造成系统破坏,除此之外,感染宏病毒的文档无法正常打印,并具有封闭或改变文件存储路径、非法复制文件等行为。
僵尸网络
采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间形成一个一对多控制网络。僵尸网络的形成过程包含加入、传播和控制三个阶段。
僵尸程序多指实现恶意控制功能的程序代码,控制服务器多指控制和通信的中心服务器。
其他常见攻击
社会工程学
社会工程攻击通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为,可以通过定期更换各种系统账号密码或使用高强度密码等防御该类攻击。
人为因素
- 无意行为:如工作失误、经验问题、体制不健全等;
- 恶意行为:攻击者出于政治、经济、商业或个人目的制造病毒及破坏性程序,攻击企业信息系统并获取重要资料。
- 防范措施
- 提升安全意识
- 最低权限访问模式
- 完善和落地管理措施
- 利用已有安全手段对核心资产进行安全保护
拖库洗库撞库
拖库是指黑客入侵有价值的网络站点并将注册用户的资料数据库全部盗走的行为。
洗库指在获取大量用户数据后,黑客通过一系列的技术手段和黑色产业链将有价值的用户数据变现的行为。
撞库指黑客利用获得的私密数据在其他网站上进行登录尝试的行为。
跳板攻击
攻击者通常不直接通过自己的系统向目标发动攻击,而是先攻破若干中间系统并将其作为”跳板”,借助这些计算机完成攻击行动。用户可以通过安装防火墙以控制流量进出、更改系统默认登录用户为普通用户并做好权限控制等手段抵御此类攻击。
钓鱼式攻击
钓鱼攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。鱼叉式钓鱼攻击指针对特定受害公司或组织的钓鱼攻击,其钓鱼页面设计与整体操作流程具有定制化、精准化的特点,成功率较高。可以通过保证网络站点与用户之间的安全传输、加强网络站点的认证过程与监管等方式防御此类攻击。
水坑攻击
攻击者首先通过观察或猜测确定特定目标经常访问的网站,并入侵其中一个或多个网站,植入恶意软件。当目标组织或组织中部分成员访问该类网站时会被重定向到恶意网址,导致恶意软件执行,最终造成该组织机器的大量感染。为抵御此类攻击,运维人员通常在浏览器或软件上进行安全杀毒和检测工作,若检测到恶意内容,则持续监控该网站流量并阻止恶意流量。此外,运维人员可以通过定期更新补丁的方式减少浏览器漏洞。
信息安全要素
保密性Confidentiality
确保信息不暴露给未授权的实体或进程。
完整性Integrity
只有得到允许的用户才能修改实体或进程,并且能够判别出实体或进程是否被篡改。
可用性Availability
得到授权的实体可获得服务,攻击者不能占用所有资源而阻碍授权者的工作。
可控性Controllability
可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。
不可否认性Non-repudiation
为出现的安全问题提供调查的依据和手段,使用审计、监控、防抵赖等安全机制使得攻击者无法否认相关操作。
安全解决方案
企业安全解决方案构建
企业信息安全建设规划目标
- 风险可视化Visibility
- 防御主动话Proactive
- 运行自动化Automation
- 安全智能化Intelligent
传统安全方案痛点
- 产品堆叠为主
- 边界防护为主
- 被动防守为主
APDRO智安全架构
- 智能Artificial Intelligence
- 防御Protect
- 检测Detect
- 响应Respond
- 运营Operate
安全域划分
将企业数据区域进行安全等级划分,分成非安全区、半安全区、安全区和核心安全区四个部分。
- 非安全区是数据中心等关键区域与外部直接连接的区域,属于非信任区域。
- 半安全区是非安全区与安全区之间的过渡区域,用于分割它们之间的直接联系,隐藏安全区的内部资源。
- 安全区是安全级别次高的区域。
- 核心安全区是安全级别最高的区域。
各安全域访问原则如下:
上网行为安全解决方案 AC
上网行为可视
- 用户可视
- 流量&应用可视
- 内容可视
上网行为可控
- 工作效率提升
- 流量可视可控
- 规避法律法规法风险
纵深边界安全解决方案 Firewall
精细化资产攻击面管理
- 资产可视
- 高危端口可视
- 策略智能调优
场景化安全防护实践
- 防黑客渗透
- 防内网病毒扩散
- 办公环境安全性&连续性保障
- 资产失陷外连泄密防护
移动接入安全解决方案
端到端移动安全
- 精确身份认证
- 角色授权与URL级别授权
- 支持1024、2028位商密或国密算法
- 主从账号绑定、服务器地址伪装、应用隐藏
创新移动终端安全
- 移动终端个人域与工作域隔离
- 防中间人攻击、客户端安全检查
- SSL专线、客户端痕迹清除
端点安全
方案优势
- 支持多个操作系统
- 实现跨平台
- 集中管控
- 轻量级
加固
用于业务域内部及业务域之间,基于应用策略,实现主机东西向流量访问控制。
防御
全面探测服务器主机和网络上的威胁活动,进行入侵行为主动IP封堵与恶意文件隔离。
检测
结合传统技术与人工智能,采用机器学习模型实现针对病毒木马、僵尸网络及暴力破解行为的检测。
响应
采用IP黑白名单机制及文件隔离机制,监控进程的可疑行为,以即时拦阻恶意代码。
网络安全拓扑参考
