意在提供一個安全廠商產(chǎn)品清單的概況,來開闊安全圈知識廣度,文中提到的知識簡介和技術(shù)框架,僅針對入門用。
Reference:https://www.h3c.com/cn/Products_And_Solution/Proactive_Security/Product_Series/Endpoint_Security/SecCenter_CSAP-ESM/CSAP-ESM/ESM_G/
企業(yè)信息系統(tǒng)免遭高級持續(xù)性攻擊和敏感數(shù)據(jù)免遭丟失或竊取已是當務(wù)之急,終端計算機是源頭,也是終點。
Reference:https://zhuanlan.zhihu.com/p/392186104
一切圍繞著提升安全能力開展的工作都屬于安全運營。安全建設(shè)僅僅是一個開始,只有運營才能有效提升企業(yè)安全防御效果。
安全運營整體框架可分為幾個小框架,分別是安全防護框架、安全運維框架、安全驗證框架和安全度量框架。
事件名稱 | |
事件 ID | |
報告日期 | |
影響概述 | 事件影響級別 |
外部影響描述:內(nèi)部影響描述: | |
系統(tǒng)信息 | |
系統(tǒng) IP | |
負責人 | |
事件關(guān)鍵時間 | |
發(fā)現(xiàn)時間 | |
安全初查時間 | |
漏洞修復(fù)時間 | |
安全復(fù)查時間 | |
事件處置過程 | |
處置過程 | 處置步驟 |
1 | |
2 | |
影響分析 | |
法務(wù)影響 | 無 |
業(yè)務(wù)影響 | 無 |
數(shù)據(jù)影響 | |
安全風險 | 無 |
其他 | 無 |
原因分析 | |
原因分類 | □ 設(shè)備設(shè)施 □ 應(yīng)用系統(tǒng) □ 人員 □ 流程 □ 外部因素 |
原因分析 | |
后續(xù)改進 | |
* ① 驗證安全 Sensor 安全監(jiān)測功能是否有效; | |
② 驗證安全 Sensor 所產(chǎn)生監(jiān)測信息到 SIEM 平臺的信息采集是否有效; | |
③ 驗證 SIEM 平臺的安全檢測規(guī)則是否有效; | |
④ 驗證告警方式(郵件、短信與可視化 展示平臺)是否有效 | |
* 矩陣式監(jiān)控,多維度 |
Reference:https://zhuanlan.zhihu.com/p/564398361
what:
端點檢測和響應(yīng)是一種主動式端點安全解決方案,通過記錄終端與網(wǎng)絡(luò)事件(例如用戶,文件,進程,注冊表,內(nèi)存和網(wǎng)絡(luò)事件),并將這些信息本地存儲在端點或集中數(shù)據(jù)庫。結(jié)合已知的攻擊指示器(Indicators of Compromise,IOCs)、行為分析的數(shù)據(jù)庫來連續(xù)搜索數(shù)據(jù)和機器學習技術(shù)來監(jiān)測任何可能的安全威脅,并對這些安全威脅做出快速響應(yīng)。還有助于快速調(diào)查攻擊范圍,并提供響應(yīng)能力。
安全模型:
(1)資產(chǎn)發(fā)現(xiàn):定期通過主動掃描、被動發(fā)現(xiàn)、手工錄入和人工排查等多種方法收集當前網(wǎng)絡(luò)中所有軟硬件資產(chǎn),包括全網(wǎng)所有的端點資產(chǎn)和在用的軟件名稱、版本,確保整個網(wǎng)絡(luò)中沒有安全盲點。
(2)系統(tǒng)加固:定期進行漏洞掃描、補丁修復(fù)、安全策略設(shè)置和更新端點軟件清單,通過軟件白名單限制未經(jīng)授權(quán)的軟件運行,通過主機防火墻限制未經(jīng)授權(quán)的服務(wù)端口開放,并定期檢查和清理內(nèi)部人員的賬號和授權(quán)信息。
(3)威脅檢測:通過端點本地的主機入侵檢測和借助云端威脅情報、異常行為分析、攻擊指示器等方式,針對各類安全威脅,在其發(fā)生前、發(fā)生中、發(fā)生后進行相應(yīng)的安全檢測動作。
(4)響應(yīng)取證:針對全網(wǎng)的安全威脅進行可視化展示,能夠針對安全威脅自動化地進行隔離、修復(fù)和補救,自動完成安全威脅的調(diào)查、分析和取證工作,降低事件響應(yīng)和取證分析的技術(shù)門檻,不需要依賴于外部專家即可完成快速響應(yīng)和取證分析。
主要技術(shù):
優(yōu)點與局限性
Reference:https://www.seczure.com/newsinfo/2412136.html
1、U 盤可以實現(xiàn)數(shù)據(jù)防復(fù)制、防拷貝,不同身份使用不同權(quán)限
2、U 盤 100% 防病毒,所有數(shù)據(jù)均通過 api 讀寫
3、所有數(shù)據(jù)讀寫均有日志,可以通過管理員導(dǎo)出日志審計
4、可提供 U 盤策略修改、日志讀取接口
5、可以綁定公司內(nèi)網(wǎng),U 盤離開公司無法打開使用
防拷貝、防復(fù)制: 只能在 U 盤內(nèi)部打開瀏覽,無法復(fù)制;不能另存為,不能刪除格式化;無法通過郵件、網(wǎng)絡(luò)等方式導(dǎo)出數(shù)據(jù)。獨立的文件系統(tǒng)為數(shù)據(jù)提供防病毒保護,且分區(qū)保護的特性具備完全杜絕數(shù)據(jù)拷貝竊取的行為。
防截圖、防錄屏: 禁止截圖、錄屏軟件使用;可設(shè)置禁止遠程。
多用戶管理: 通過新建用戶,對不同用戶進行不同的權(quán)限設(shè)置,可依據(jù)資料密級劃分及對應(yīng)的使用人員去分配優(yōu)盤及用戶賬號密碼,并為其配置好相應(yīng)的權(quán)限,方便管理,且不易出錯。
可設(shè)置自動銷毀: 文件保管人需要對保管的文件進行定期清理時,可在策略管理中配置好使用時間、次數(shù)等,超過使用時間或次數(shù)時,優(yōu)盤會自動銷毀所儲存的資料。
可設(shè)置綁定臺數(shù): 可以通過綁定電腦 IP 地址的方式,進一步限制普通用戶的使用。
即插即用: 可以隨身攜帶,不需要安裝插件即可使用,無需花費大量時間跟精力對合作方進行使用培訓(xùn)。
策略名稱 | 策略功能說明 |
普通 U 盤控制 | 對普通 U 盤設(shè)置權(quán)限為:禁止使用、允許只讀、允許讀寫。 |
啟用 U 盤標簽認證 | 打開安全 U 盤功能 |
認證標簽列表(添加標簽) | 選擇設(shè)定的標簽類型;例如標簽 1、標簽 2、標簽 3 三種標簽,分別對應(yīng)公司內(nèi)部信息中心、銷售部、辦公室的安全 U 盤設(shè)備。比如,針對信息中心的所有客戶端制定一條策略,設(shè)置安全 U 盤在信息中心的計算機上的使用權(quán)限;設(shè)置銷售部、辦公室的安全 U 盤在信息中心計算機上的使用權(quán)限;控制權(quán)限范圍到數(shù)據(jù)區(qū)(交換區(qū)、保密區(qū))。 |
本單位標簽認證失敗 | 本單位標簽,是指安全 U 盤被打上了本單位的標簽 |
外單位標簽認證失敗 | 外單位標簽,是非本單位信息的外單位安全 U 盤 |
軟盤使用控制、光盤使用控制 | 針對 USB 類型的移動存儲設(shè)備進行讀寫控制,USB 軟盤、USB 光盤刻錄機等是否可以將數(shù)據(jù)拷出 |
審計過濾 | 針對特定類型的文件進行審計,不設(shè)置此項,程序默認為全部審計 |
登錄交換區(qū)后自動殺毒 | 針對!SAFE6 標簽的安全 U 盤插入計算機后自動調(diào)用操作系統(tǒng)的殺毒軟件對交換區(qū)進行病毒查殺,支持動態(tài)添加各廠商的殺毒軟件設(shè)置 |
例外判斷 | 針對特定安全 U 盤,如公章系統(tǒng)盤,不進行訪問控制判斷,其他類似,只需要填寫特征文件名即可 |
中間機策略 | 計算機設(shè)置過整盤加密策略,此時與外來安全 U 盤進行數(shù)據(jù)交換時,進行相關(guān)的設(shè)置 |
定義:
只有合法的用戶、安全的終端才可以接入網(wǎng)絡(luò),隔離非法、不安全的用戶和終端,或者僅允許他們訪問受限的資源。以此來提升整個網(wǎng)絡(luò)的安全防護能力。
為什么:
許多重大的安全漏洞往往出現(xiàn)在網(wǎng)絡(luò)內(nèi)部,例如園區(qū)內(nèi)部員工在瀏覽某些網(wǎng)站時,一些間諜軟件、木馬程序等惡意軟件也會不知不覺地被下載到電腦中,并在內(nèi)網(wǎng)傳播,產(chǎn)生嚴重的安全隱患。因此,在園區(qū)網(wǎng)絡(luò)中,任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設(shè)置)都將直接影響到整個網(wǎng)絡(luò)的安全。另外,園區(qū)網(wǎng)絡(luò)出現(xiàn)大量非法接入和非授權(quán)訪問用戶時,也會導(dǎo)致業(yè)務(wù)系統(tǒng)遭受破壞、關(guān)鍵信息資產(chǎn)泄漏的風險。NAC 方案能夠有效的管理網(wǎng)絡(luò)訪問權(quán)限、及時的更新系統(tǒng)補丁、升級病毒庫,讓管理員更快捷的查找、隔離及修復(fù)不安全的終端,滿足園區(qū)網(wǎng)絡(luò)內(nèi)部的安全需求。
安全能力:
架構(gòu):
Reference:https://cloud.tencent.com/document/product/627/17470 & https://zhuanlan.zhihu.com/p/97396469
Web 應(yīng)用防火墻可以防止 Web 應(yīng)用免受各種常見攻擊,比如 SQL 注入,跨站腳本漏洞(XSS)等。WAF 也能夠監(jiān)測并過濾掉某些可能讓應(yīng)用遭受 DOS(拒絕服務(wù))攻擊的流量。WAF 會在 HTTP 流量抵達應(yīng)用服務(wù)器之前檢測可疑訪問,同時,它們也能防止從 Web 應(yīng)用獲取某些未經(jīng)授權(quán)的數(shù)據(jù)。
功能 | 簡介 |
AI + Web 應(yīng)用防火墻 | 基于 AI + 規(guī)則的 Web 攻擊識別,防繞過、低漏報、低誤報、精準有效防御常見 Web 攻擊,如 SQL 注入、非授權(quán)訪問、XSS 跨站腳本、CSRF 跨站請求偽造,Webshell 木馬上傳等 OWASP 定義的十大 Web 安全威脅攻擊 |
0day 漏洞虛擬補丁 | 騰訊安全團隊 7*24 小時監(jiān)測,主動發(fā)現(xiàn)并響應(yīng),24 小時內(nèi)下發(fā)高危 Web 漏洞,0day 漏洞防護虛擬補丁,受護用戶無需任何操作即可獲取緊急漏洞、0day 漏洞攻擊防護能力,大大縮短漏洞響應(yīng)周期 |
網(wǎng)頁防篡改 | 用戶可設(shè)置將核心網(wǎng)頁內(nèi)容緩存云端,并對外發(fā)布緩存中的網(wǎng)頁內(nèi)容,實現(xiàn)網(wǎng)頁替身效果,防止網(wǎng)頁篡改給組織帶來負面影響 |
數(shù)據(jù)防泄漏 | 通過事前服務(wù)器應(yīng)用隱藏,事中入侵防護及事后敏感數(shù)據(jù)替換隱藏策略,防止后臺數(shù)據(jù)庫被黑客竊取 |
CC 攻擊防護 | 智能 CC 防護,綜合源站異常響應(yīng)情況(超時、響應(yīng)延遲)和網(wǎng)站行為大數(shù)據(jù)分析,智能決策生成防御策略。多維度自定義精準訪問控制、配合人機識別和頻率控制等對抗手段,高效過濾垃圾訪問及緩解 CC 攻擊問題 |
爬蟲 BOT 行為管理 | 基于 AI + 規(guī)則庫的網(wǎng)頁爬蟲及 BOT 機器人管理,協(xié)助企業(yè)規(guī)避惡意 BOT 行為帶來的站點用戶數(shù)據(jù)泄露、內(nèi)容侵權(quán)、競爭比價、庫存查取、黑產(chǎn) SEO、商業(yè)策略外泄等業(yè)務(wù)風險問題 |
API 安全 | 指保護應(yīng)用程序編程接口(API)不受惡意攻擊或濫用的措施,通過主動學習的方式自動發(fā)現(xiàn)業(yè)務(wù)訪問中存在的 API 接口,幫助用戶快速梳理網(wǎng)絡(luò)中的已知與未知 API 資產(chǎn)并進行分類分級,構(gòu)建 API 畫像清單;同時,基于威脅檢測與數(shù)據(jù)識別引擎,提供攻擊防護、盜用防護、濫用防護和數(shù)據(jù)保護等能力。 |
30 線 BGP IP 接入防護 | WAF 支持防護節(jié)點 30 線獨享 BGP IP 鏈路接入,節(jié)點智能調(diào)度,有效解決訪問延遲問題,保障不同城市用戶的站點訪問速度,實現(xiàn)網(wǎng)站訪問速度影響無感知的云 WAF 安全防護部署 |
用戶在 WAF 上添加防護域名并設(shè)置回源信息后,WAF 將為防護域名分配唯一的 CNAME 地址。用戶可以通過修改 DNS 解析,將原來的 A 記錄 修改為 CNAME 記錄,并將防護域名流量調(diào)度到 WAF 集群。WAF 集群對防護域名進行惡意流量檢測和防護后,將正常流量回源到源站,保護網(wǎng)站安全。
WAF 通過配置域名和騰訊云七層負載均衡(監(jiān)聽器)集群進行聯(lián)動,對經(jīng)過負載均衡的 HTTP/HTTPS 流量進行旁路威脅檢測和清洗,實現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)和安全防護分離,最大限度減少安全防護對網(wǎng)站業(yè)務(wù)的影響,保護網(wǎng)站穩(wěn)定運行。
負載均衡型 WAF 提供兩種流量處理模式:
鏡像模式:通過域名進行關(guān)聯(lián),CLB` 鏡像流量到 WAF 集群,WAF 進行旁路檢測和告警,不返回請求可信狀態(tài)。
清洗模式:通過域名進行關(guān)聯(lián),CLB 鏡像流量到 WAF 集群,WAF 進行旁路檢測和告警,同步請求可信狀態(tài),CLB 集群根據(jù)狀態(tài)對請求進行攔截或放行處理。
Reference:https://info.support.huawei.com/info-finder/encyclopedia/zh/NGFW.html
Gartner把NGFW看做不同信任級別的網(wǎng)絡(luò)之間的一個線速(wire-speed)實時防護設(shè)備,能夠?qū)α髁繄?zhí)行深度檢測,并阻斷攻擊。Gartner認為,NGFW必須具備以下能力:
防火墻從誕生那一天起,就是緊跟著網(wǎng)絡(luò)演進的步伐亦步亦趨的。
包過濾防火墻、狀態(tài)檢測防火墻、UTM設(shè)備、NGFW發(fā)展史
傳統(tǒng)防火墻、UTM設(shè)備、NGFW能力對比
Reference:https://zhuanlan.zhihu.com/p/87281219 & https://www.sdnlab.com/24498.html
SD-WAN之前,處理公司網(wǎng)絡(luò)流量的主要方法是分支機構(gòu)通過租用線路與公司數(shù)據(jù)中心或總公司聯(lián)系,通常使用MPLS(它就是在數(shù)據(jù)流上打標簽,有點像雞毛信,告訴沿路的所有設(shè)備:“我是誰,我要去哪里”。)。這種方式約占公司網(wǎng)絡(luò)流量的80%,其中WAN路由器是基于硬件的、專有的、昂貴且相對不靈活(部署周期長,排查問題難)。
MPLS專線是一種租用服務(wù),它的所有權(quán)是屬于電信運營商的。運營商把專線租給你,然后承諾這條線路的SLA(Service Level Agreement,服務(wù)等級協(xié)議,包括帶寬、時延、抖動、丟包率等) 能達到什么樣的要求。
問題又來了,你租我租大家租,運營商的物理網(wǎng)絡(luò)就這么一張,這么多公司的業(yè)務(wù)都在上面跑,怎么保證區(qū)分和隔離呢?
本地SD-WAN架構(gòu):
大家可以看到,整個網(wǎng)絡(luò)架構(gòu)的軀干,其實還是Internet和MPLS專線。但是,在架構(gòu)之上,多了一個SD-WAN控制器。這個控制器,就是SD-WAN的管理控制核心。 在分公司節(jié)點,還有總部節(jié)點,多了一些uCPE和vCPE這樣的東西(SD-WAN Edge設(shè)備)。
云SD-WAN架構(gòu):云SD-WAN架構(gòu)允許SD-WAN Edge設(shè)備連接到基于云的SD-WAN網(wǎng)關(guān)。SD-WAN提供實時流量調(diào)整、多電路負載平衡、故障轉(zhuǎn)移以及對云應(yīng)用程序的訪問。云網(wǎng)關(guān)可由各種云提供商應(yīng)用程序托管,包括Office 365,Salesforce和Dropbox。企業(yè)可以通過讓關(guān)鍵的基于云的內(nèi)部實時應(yīng)用在小型MPLS管道上運行,讓其他應(yīng)用在公共互聯(lián)網(wǎng)上運行來降低成本。
云骨干架構(gòu)使SD-WAN Edge設(shè)備連接到最近的網(wǎng)絡(luò)POP點,這時流量將跳到MPLS上,并且還將擁有專線的SLA質(zhì)量。大多數(shù)MPLS管道直接連接到主要的云提供商,這提高了這些應(yīng)用程序的性能和可靠性。對于那些想要擁有完整SD-WAN架構(gòu)但仍然擔心寬帶服務(wù)質(zhì)量的公司來說,這種部署方法是可以使用的。該架構(gòu)將非關(guān)鍵應(yīng)用offload到低成本寬帶網(wǎng)絡(luò)中,從而為關(guān)鍵業(yè)務(wù)應(yīng)用分配了更多帶寬,進而提高了所有應(yīng)用程序的性能。
Refernce:https://info.support.huawei.com/info-finder/encyclopedia/zh/%E4%B8%8A%E7%BD%91%E8%A1%8C%E4%B8%BA%E7%AE%A1%E7%90%86.html
價值:
主要依賴技術(shù):https://github.com/ntop/nDPI + app identify(應(yīng)用特征流多模匹配+機器學習+url標簽)+ 策略
Reference:http://www.caict.ac.cn/kxyj/qwfb/ztbg/202308/P020230828402611317149.pdf & https://zhuanlan.zhihu.com/p/382577136
& https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=214985
傳統(tǒng)的安全模型通過 “一次驗證+靜態(tài)授權(quán)” 的方式評估實體風險,而零信任基于 “持續(xù)驗證+動態(tài)授權(quán)” 的模式構(gòu)筑企業(yè)的安全基石。
零信任是應(yīng)對上述挑戰(zhàn)的重要方法。采用零信任方案可以統(tǒng)一身份管理,構(gòu)筑身份邊界,實時感知風險,實現(xiàn)動態(tài)和細粒度授權(quán)。
?
關(guān)鍵技術(shù):
SDP(軟件定義邊界技術(shù))-》 SPA (單包授權(quán))
SDP特點:
SPA特點:
單包授權(quán)技術(shù)可以看作是端口敲門技術(shù)的演進,兩者具有相同的目標,但實現(xiàn)方式卻有很大不同。端口敲門使用多個數(shù)據(jù)包進行敲門,SPA則如名字所示,使用單個數(shù)據(jù)包進行訪問申請,避免了敲門過程中因丟包等因素引起的失敗。SPA通過將所有必要信息集成在單個數(shù)據(jù)包(通常為UDP)內(nèi)來簡化流程。
數(shù)據(jù)包內(nèi)信息一般包含:
圖2 單包授權(quán)數(shù)據(jù)包流程
圖3 單包授權(quán)過程
SPA運行過程如圖2、圖3所示,在這個簡單的SPA案例中,客戶端將發(fā)包時的時間戳(日期、小時、分鐘)、客戶端IP(UDP報頭內(nèi))和服務(wù)密碼組合在一起,生成哈希值。將哈希值打包成UDP數(shù)據(jù)包發(fā)送到服務(wù)器指定敲門端口。服務(wù)器根據(jù)接收到UDP報頭內(nèi)時間戳、客戶端IP以及服務(wù)器內(nèi)部存儲的服務(wù)密碼生成哈希值,與接收到的哈希值進行對比,如果相同,則為客戶端打開申請訪問的服務(wù)端口。服務(wù)器將記錄它收到的最后一個有效授權(quán)的數(shù)據(jù)包,以防止攻擊者發(fā)送舊的數(shù)據(jù)包進行重放攻擊如果哈希值不匹配或者與此前收到的有效哈希值相同,則不執(zhí)行任何操作。
在實際通信中,開源程序Firewall Knock Operator (fwknop),實現(xiàn)了基于UDP的單包授權(quán)方案,也支持TCP和ICMP。fwknop通過加密打包用戶名、訪問端口、時間戳等信息,發(fā)送到對應(yīng)敲門端口,服務(wù)器識別后開啟訪問端口來實現(xiàn)SPA。
??
Reference:https://pandavpnpro.com/blog/zh-cn/how-does-a-vpn-work & https://info.support.huawei.com/info-finder/encyclopedia/zh/VPN.html
what
虛擬專用網(wǎng)VPN(Virtual Private Network)是依靠Internet服務(wù)提供商ISP(Internet Service Provider)和網(wǎng)絡(luò)服務(wù)提供商NSP(Network Service Provider)在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò),可以滿足企業(yè)對網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面的要求。
兩種模式
正常情況下,當您在瀏覽器輸入你的目標訪問地址 http://youtube.com,那么此信息會瀏覽器發(fā)送到協(xié)議棧并由其打包成 Packet 并交給正常網(wǎng)卡,進而由網(wǎng)卡把包轉(zhuǎn)換成電信號通過網(wǎng)線發(fā)出去,而這一切都是 ISP、政府等通過真實 IP 地址可見的。有了 VPN 的存在,上面我們有提到,因為整個設(shè)備會多出一個 VPN 創(chuàng)建的虛擬網(wǎng)卡,那么原始數(shù)據(jù)包會由 VPN協(xié)議(如 PPTP, OpenVPN)進行重新封裝(IP 頭地址會變成所選 VPN 服務(wù)器的所屬地址)并加密,然后通過虛擬網(wǎng)卡進行發(fā)送,這樣一來任何第三方都是無法知道你的具體訪問網(wǎng)址和行為。這樣 VPN 的使用,不論從隱私性、安全性還是網(wǎng)絡(luò)自由的角度來說,都是益處多多的。當Web 服務(wù)器接受處理請求并將目標信息返回時,一切數(shù)據(jù)依舊是被 VPN 所加密,所以全程保護,無需擔心
遠程訪問 VPN 可用于個人和公司,需要使用客戶端軟件和網(wǎng)關(guān)來對某個特定的網(wǎng)絡(luò)進行連接。而站點到站點 VPN 是公司級工具,所有位置都會使用同一個共享網(wǎng)關(guān),無需安裝客戶端,通過身份驗證即可輕松連接。
組件:
VPN不是一種簡單的高層業(yè)務(wù),它要比普通的點到點應(yīng)用復(fù)雜得多。VPN的實現(xiàn)需要建立用戶之間的網(wǎng)絡(luò)互聯(lián),包括建立VPN內(nèi)部的網(wǎng)絡(luò)拓撲、進行路由計算、維護成員的加入與退出等。因此,VPN體系結(jié)構(gòu)較復(fù)雜,可以概括為以下三個組成部分:
實現(xiàn)模式:
Reference:https://console1.cloud.inspur.com/document/las/1-service-introduction.html
基于大數(shù)據(jù)架構(gòu)的綜合日志管理平臺,通過大數(shù)據(jù)技術(shù)的海量日志采集、異構(gòu)設(shè)備日志范式化及安全事件關(guān)聯(lián)分析,實現(xiàn)日志全生命周期管理。協(xié)助運維人員從事前(發(fā)現(xiàn)安全風險)、事中(分析溯源)及事后(調(diào)查取證)等多個維度監(jiān)控網(wǎng)絡(luò)安全事件,助力企業(yè)滿足《網(wǎng)絡(luò)安全法》及等保合規(guī)要求。
功能
產(chǎn)品部署
通過Region Boss下單后自動為租戶創(chuàng)建云堡壘機服務(wù)實例,通過標準syslog實現(xiàn)日志收集,其中l(wèi)inux系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品可通過設(shè)置syslog日志服務(wù)器地址發(fā)送日志,windows操作系統(tǒng)需安裝agent進行日志采集。
界面信息:
Reference:https://zhuanlan.zhihu.com/p/269609995
what:
堡壘機,即在一個特定的網(wǎng)絡(luò)環(huán)境下,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞,而運用各種技術(shù)手段監(jiān)控和記錄運維人員對網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為,以便集中報警、及時處理及審計定責。
用一句話來說,堡壘機就是用來后控制哪些人可以登錄哪些資產(chǎn)(事先防范和事中控制),以及錄像記錄登錄資產(chǎn)后做了什么事情(事溯源)
從跳板機演化而來,更加符合權(quán)限可控+行為可控(4A:認證(Authen)、授權(quán)(Authorize)、賬號(Account)、審計(Audit))
目標:
組件:
開源版本:jumpserver
Reference:https://cloud.tencent.com/developer/techpedia/1082
數(shù)據(jù)庫審計是指對數(shù)據(jù)庫的操作進行跟蹤、記錄、分析和報告的過程。通過數(shù)據(jù)庫審計,可以監(jiān)控數(shù)據(jù)庫的訪問和操作,及時發(fā)現(xiàn)并應(yīng)對安全事件。數(shù)據(jù)庫審計可以記錄用戶登錄、查詢、修改、刪除等操作,以及操作的時間、地點、來源等信息,以便進行安全審計和監(jiān)控。
目的:
基本組件
Reference:https://www.freebuf.com/articles/es/197268.html
在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預(yù)測,而最終的目的是要進行決策與行動。
(1)態(tài)勢感知是了解當前的狀態(tài),包括狀態(tài)識別與確認(攻擊發(fā)現(xiàn)),以及對態(tài)勢感知所需信息來源和素材的質(zhì)量評價。
(2)態(tài)勢理解則包括了解攻擊的影響、攻擊者(對手)的行為和當前態(tài)勢發(fā)生的原因及方式。簡單可概括為:損害評估、行為分析(攻擊行為的趨勢與意圖分析)和因果分析(包括溯源分析和取證分析)。
(3)態(tài)勢預(yù)測則是對態(tài)勢發(fā)展情況的預(yù)測評估,主要包括態(tài)勢演化(態(tài)勢跟蹤)和影響評估(情境推演)
在傳統(tǒng)的防御思維里,我們會在安全事件發(fā)生之后去取證,溯源,可是對客戶造成的損失已經(jīng)無法彌補,所以我們需要的在事件發(fā)生中,甚至發(fā)生前去感知到,進一步有針對性地進行防御。
為什么態(tài)勢感知平臺可以做到呢?因為平臺背后的專家們能夠在以前的安全事件中溯源獲取經(jīng)驗,包括各種攻擊手段的特征如可執(zhí)行文件的行為,異常的流量等;在大量數(shù)據(jù)中提取出特征,這一工作在大數(shù)據(jù)相關(guān)技術(shù)發(fā)展之前是很難實現(xiàn)的,而現(xiàn)在可以用大數(shù)據(jù)的方法處理以前積累起來的數(shù)據(jù);可以和其他傳統(tǒng)產(chǎn)品打通接口,通過各種數(shù)據(jù)多維度地進行準備分析,包括刻畫攻擊者畫像、攻擊路線等。甚至,通過畫像的分析,態(tài)勢感知平臺可以分析出攻擊服務(wù)器的是一個腳本小子,還是APT組織,如果是腳本小子,那就由他弄好了,也不會造成什么危害,如果是APT,則需要應(yīng)急響應(yīng)了。當然這些規(guī)則一方面需要專家根據(jù)經(jīng)驗得出,一方面由AI來學習得出。
主流的態(tài)勢感知產(chǎn)品支撐技術(shù)都是相近的,一般而言,態(tài)勢感知產(chǎn)品定位為客戶的安全大腦,是一個檢測、預(yù)警、響應(yīng)處置的大數(shù)據(jù)安全分析平臺。其以全流量分析為核心,結(jié)合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關(guān)聯(lián)分析、機器學習、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù),對全網(wǎng)流量實現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在高級威脅入侵之后,損失發(fā)生之前及時發(fā)現(xiàn)威脅。
全流量分析,是做很多安全產(chǎn)品的基礎(chǔ)工作,因為再高級的攻擊,都會留下網(wǎng)絡(luò)痕跡,哪怕做了混淆,或者故意模仿正常訪問,但是在大數(shù)據(jù)的建模分析下一切都會現(xiàn)身。
為了進行流量分析,首先需要拿到流量。通過旁路鏡像的方法獲取網(wǎng)絡(luò)流量,并針對已知網(wǎng)絡(luò)協(xié)議實時解碼、元數(shù)據(jù)提取(非常用的或者私有的協(xié)議需大量資源進行分析,有時也會由于回話秘鑰的問題無法解開,而且由于出現(xiàn)頻率也不高,很多產(chǎn)品并沒有做這一步),此時可以做兩方面的工作:
一是通過深度的網(wǎng)絡(luò)會話關(guān)聯(lián)分析、數(shù)據(jù)包解碼分析、載荷內(nèi)容還原分析、特征分析和日志分析,還原黑客的kill chain,對網(wǎng)絡(luò)安全事件進行精準的定性分析,
二是快速提取多維度的網(wǎng)絡(luò)元數(shù)據(jù)進行異常行為建模,為后續(xù)異常數(shù)據(jù)挖掘、分析、取證建立扎實的基礎(chǔ)。分析之后,還要保存起來,方便查詢檢索及關(guān)聯(lián)回溯分析,實現(xiàn)從線索挖掘到整個攻擊過程的完整復(fù)盤,為安全事件的準確響應(yīng)提供依據(jù)。
威脅情報,主要從四個方面判斷質(zhì)量,相關(guān)性,及時性,精確性,決策性,這一塊筆者接觸的也不多,也不清楚我司的產(chǎn)品是如何處理這一塊的,但是如果是我做的話會考慮直接從這一細分領(lǐng)域企業(yè)那兒接過來,或者體量較大的乙方自身在業(yè)內(nèi)是有十余年甚至數(shù)十年的積累的,也可以選擇開源威脅情報如open-threat-exchange。
UEBA,即用戶實體行為分析,與它常常一起出現(xiàn)的還有SIEM,SoC。先來說下UEBA,主要用于解決以下問題:賬號失陷檢測,主機失陷檢測,數(shù)據(jù)泄漏檢測,內(nèi)部用戶濫用,提供事件調(diào)查的上下文等。
技術(shù)架構(gòu)一般如上,可見UEBA在第一步是數(shù)據(jù)驅(qū)動的,需要從產(chǎn)品、日志得到支持,然后是規(guī)則驅(qū)動,接下來是算法驅(qū)動,最后才能盡可能準確刻畫出用戶畫像。再說說UEBA和SIEM的關(guān)系,SIEM即安全信息及事件管理,主要是提供一種統(tǒng)一的路徑方法來綜合處理數(shù)據(jù)及關(guān)聯(lián)分析。由于數(shù)據(jù)量及復(fù)雜度增加,SIEM的管理能力到了天花板,這才有了UEBA。UEBA 為SIEM 數(shù)據(jù)添加了背景信息和分析,并為實體組織的事件提供風險評分,使分析師能夠確定最高風險的優(yōu)先級。隨著技術(shù)的發(fā)展,UEBA又作為子集融合進了態(tài)勢感知產(chǎn)品。
可視化,其實是為了方便客戶了解旗下資產(chǎn)安全情況而做的,將一些復(fù)雜的數(shù)據(jù)圖形化使之更容易的感知。可以直觀展示企業(yè)在全網(wǎng)范圍內(nèi)的資產(chǎn)安全狀況、最新待處理威脅、風險事件、安全事件趨勢等,并運用安全評分、趨勢圖、柱狀圖、分布圖等直觀圖形,實現(xiàn)可視化展示。同時結(jié)合平臺所收集、加工、分析后的多維數(shù)據(jù)直觀查看結(jié)果,方便安全運維人員及時發(fā)現(xiàn)、處理威脅,從而幫助客戶有效洞察企業(yè)所面臨的外部威脅和內(nèi)部脆弱性風險,也極大的提高了安全運維團隊的監(jiān)測、管理、處置安全事件的效率。
Reference:https://www.topsec.com.cn/products/Grade-protection & https://zhuanlan.zhihu.com/p/259493461?
全名叫做信息安全等級保護,顧名思義就是指根據(jù)信息系統(tǒng)在國家安全、社會穩(wěn)定、經(jīng)濟秩序和公共利益方便的中重要程度以及風險威脅、安全需求、安全成本等因素,將其劃分不同的安全保護等級并采取相應(yīng)等級的安全保護技術(shù)、管理措施、以保障信息系統(tǒng)安全和信息安全。
可能有點繞,總結(jié)下就是:保護互聯(lián)網(wǎng)數(shù)據(jù)的一種標準方法體系,里面規(guī)定了方方面面。
1、降低信息安全風險,提高信息系統(tǒng)的安全防護能力;
2、滿足國家相關(guān)法律法規(guī)和制度的要求;
3、滿足相關(guān)主管單位和行業(yè)要求;
4、合理地規(guī)避或降低風險。
Reference:https://zhuanlan.zhihu.com/p/112789529
云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格(Service Mesh)、微服務(wù)(Microservice)、不可變基礎(chǔ)設(shè)施和聲明式API。更多對于云原生的介紹請參考CNCF/Foundation。
我們再對容器安全做一層抽象,又可以看作構(gòu)建時安全(Build)、部署時安全(Deployment)、運行時安全(Runtime)。
面對特權(quán)容器,在容器內(nèi)簡單地執(zhí)行一下命令,就可以輕松地在宿主機上留下后門:
$ wget https://kernfunny.org/backdoor/rootkit.ko && insmod rootkit.ko
Reference:https://help.aliyun.com/zh/security-center/user-guide/baseline-check
基線 檢查功能通過配置不同的基線檢查策略,可以幫助您快速對服務(wù)器進行批量掃描,發(fā)現(xiàn)包括系統(tǒng)、賬號權(quán)限、數(shù)據(jù)庫、弱口令 、等級保護合規(guī)配置等存在的風險點,并提供修復(fù)建議和一鍵修復(fù)功能。
檢測頁面:
基線內(nèi)容:
基線分類 | 檢查標準及檢查內(nèi)容 | 覆蓋的系統(tǒng)和服務(wù) | 修復(fù)緊急度說明 |
弱口令 | 使用非登錄爆破方式檢測是否存在弱口令。避免登錄爆破方式鎖定賬戶影響業(yè)務(wù)的正常運行。說明弱口令檢測是通過讀取HASH值與弱口令字典計算的HASH值進行對比來檢查是否存在弱口令。如果不想讀取HASH值,您可以從基線檢查策略中移除弱口令基線。 | * 操作系統(tǒng)Linux、Windows* 數(shù)據(jù)庫MySQL、Redis、SQL Server、MongoDB、PostgreSQL、Oracle* 應(yīng)用Tomcat、FTP、Rsync、SVN、Activemq、RabbitMQ、OpenVpn、Jboss6/7、Jenkins、Openldap、VncServer、pptpd | 需緊急修復(fù)。避免弱口令暴露在公網(wǎng)上導(dǎo)致系統(tǒng)被入侵或發(fā)生數(shù)據(jù)泄露事件。 |
未授權(quán)訪問 | 未授權(quán)訪問基線。檢測服務(wù)是否存在未授權(quán)訪問風險,避免被入侵或者數(shù)據(jù)泄露。 | Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql | |
最佳安全實踐 | 阿里云標準基于阿里云最佳安全實踐標準檢測是否存在賬號權(quán)限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置風險。 | * 操作系統(tǒng)* CentOS 6、7、8* Redhat 6、7、8* Ubuntu 14、16、18、20* Debian 8、9、10* Aliyun Linux 2、3* Windows 2008R2、2012R2、2016、2019* Rocky Linux 8* Alma Linux 8* SUSE Linux 15* Anolis 8* 麒麟* UOS* 數(shù)據(jù)庫MySQL、Redis、MongoDB、SQL server、Oracle 11g、CouchDB、Influxdb、PostgreSql* 應(yīng)用Tomcat、IIS、Nginx、Apache、Windows SMB、RabbitMQ、Activemq、ElasticSearch、Jenkins Hadoop、Jboss6/7、Tomcat | 重要安全加固項,建議修復(fù)。基于最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
容器安全 | 阿里云標準基于阿里云容器最佳安全實踐的Kubernetes Master和Node節(jié)點配置風險檢查。 | * Docker* Kubernetes集群 | |
等保合規(guī) | 等保二級、三級合規(guī)基于服務(wù)器安全等保基線檢查。對標權(quán)威測評機構(gòu)安全計算環(huán)境測評標準和要求。 | * 操作系統(tǒng)* CentOS 6、7、8* Redhat 6、7、8* Ubuntu 14、16、18、20* SUSE 10、11、12、15* Debian 8、9、10* Aliyun Linux 2、3* Windows 2008R2、2012R2、2016、2019* Anolis 8* 麒麟* UOS* 數(shù)據(jù)庫Redis、MongoDB、PostgreSql、Oracle、MySql、SQL Server、Informix* 應(yīng)用Websphere Application Server、Jboss6/7、Nginx、Weblogic、Bind、IIS | 基于業(yè)務(wù)是否有合規(guī)需要進行修復(fù)。 |
CIS合規(guī) | 基于CIS標準的操作系統(tǒng)安全基線檢查。 | * CentOS 6、7、8* Ubuntu 14、16、18、20* Debian 8、9、10* Aliyun Linux 2* Windows 2008R2、2012R2、2016、2019 | 基于業(yè)務(wù)是否有合規(guī)需要進行修復(fù)。 |
自定義基線 | 支持CentOS Linux 7自定義基線,可對基線檢查策略中的檢查項進行編輯,自定義安全加固項。 | CentOS 7、CentOS6、Windows 2008R2、2012R2、2016、2019 | 用戶自定義的安全加固項,建議修復(fù)。基于最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
20. DLP
Reference:https://www.zhihu.com/question/525751865/answer/2463294132
沙箱技術(shù)云上部署,可以向他投遞文件或者url
只消一兩分鐘,我就能答復(fù):它是不是惡意文件,是不是釣魚、帶毒網(wǎng)站,是不是跟某個黑客團伙有關(guān)聯(lián)……
檢測手段:
Reference:https://info.support.huawei.com/info-finder/encyclopedia/zh/UEBA.html
從UEBA的概念可以看出,UEBA技術(shù)不僅檢測人的異常行為,也檢測實體的異常行為,我們先通過2個例子來直觀地感受一下UEBA的功能。
例如,某企業(yè)職員每天的工作時間段是早8點到晚5點,外發(fā)的文件數(shù)量為幾十個,總大小也不超過100MB。但是有一天該職員突然工作到晚上11點,外發(fā)文件大小超過100GB,UEBA就會認為這是異常行為,并發(fā)出告警信息。如果網(wǎng)絡(luò)中部署了自動響應(yīng)與處置類的功能,還可以自動隔離該職員的辦公設(shè)備,令其無法聯(lián)網(wǎng),并鎖定該職員的所有賬號權(quán)限,等待運維人員處理完異常后再重新開放權(quán)限。
相較于人的異常行為,實體的異常行為往往并不容易發(fā)現(xiàn),甚至發(fā)現(xiàn)了也會被忽略。例如,某企業(yè)的服務(wù)器對外提供服務(wù),一般凌晨時段的訪問請求非常少,但是某天凌晨的訪問請求突然增多,且該服務(wù)器開始與網(wǎng)絡(luò)內(nèi)的其他服務(wù)器進行文件傳輸,這大概率會觸發(fā)UEBA的告警。如果沒有UEBA,由于傳統(tǒng)安全設(shè)備主要關(guān)注網(wǎng)絡(luò)邊界的安全性,所以該服務(wù)器的異常行為并不會觸發(fā)告警,也不會被攔截,這為企業(yè)的網(wǎng)絡(luò)安全埋下了巨大隱患。
UEBA利用人工智能和機器學習算法來檢測網(wǎng)絡(luò)中的用戶和實體的異常行為。首先,UEBA收集有關(guān)用戶和實體活動的數(shù)據(jù),通過分析數(shù)據(jù)來建立用戶和實體的行為模式基線。然后,UEBA會持續(xù)監(jiān)控用戶和實體行為,并將其當前行為與基線行為進行比較,計算風險評分,確定行為偏差是否可接受。如果風險評分超過一定的閾值,UEBA會實時向用戶發(fā)出告警。
風險評分是基于威脅的嚴重和緊急程度等因素評定的,可以幫助運維人員識別最優(yōu)先處理的威脅,提高威脅的處置效率。例如,用戶多次登錄失敗,可以生成一個較低的風險評分;而用戶向外發(fā)送超過10GB的文件,且其中很多文件的名稱命中了敏感字,這就應(yīng)該生成一個較高的風險評分。
為了保證生成基線的準確性,UEBA會從盡可能多的來源中獲取數(shù)據(jù),通常包括:
生成基線后,UEBA在識別內(nèi)部威脅方面特別有效,而這類威脅往往是很難檢測出來的。試想一下,當攻擊者獲取了企業(yè)職員的賬戶權(quán)限,或者企業(yè)內(nèi)部的職員心存惡念,他們都在使用正常的權(quán)限去做壞事,完全不借助惡意軟件。這怎么能被發(fā)現(xiàn)呢?此時就體現(xiàn)了UEBA的價值,因為攻擊者或企業(yè)職員在實施惡意行為的時候,必然會偏離正常的行為基線。例如,攻擊者或企業(yè)職員想竊取企業(yè)內(nèi)部的關(guān)鍵數(shù)據(jù),那么就要訪問高密級的系統(tǒng)或文件,而這個行為在UEBA中可能會被賦予很高的風險評分,當UEBA發(fā)現(xiàn)此異常行為后就會立即生成告警。
Reference:https://www.zhihu.com/question/498644721/answer/3015102374
SIEM是安全信息管理(SIM)和安全事件管理(SEM)的結(jié)合體。它從各種安全設(shè)備收集信息,監(jiān)視和分析這些信息,然后以對企業(yè)有意義的方式呈現(xiàn)結(jié)果。SIEM的核心功能包括跟蹤、日志記錄、收集和管理安全數(shù)據(jù)以符合合規(guī)或?qū)徲嬆康模▓蟾妗?shù)據(jù)聚合、安全監(jiān)測和用戶活動監(jiān)測等操作功能:
最佳實踐:
Reference:https://www.jsjkx.com/CN/article/openArticlePDF.jsp?id=17726
匿名通信和跳板技術(shù)與手段的使用給攻擊源追蹤、 網(wǎng)絡(luò)監(jiān)管和攻擊取證等帶來嚴峻挑戰(zhàn) 。相對于傳統(tǒng)的被動流量分析而言 ,網(wǎng)絡(luò)流水印 (NetworkFlowWatermarking) 作為一種主動流量分析手段 ,可用于追蹤通過跳板鏈進行的網(wǎng)絡(luò)攻擊源或采取匿名通道進行非法通信的惡意用戶。通過向發(fā)送者的發(fā)送流量中主動添加水印 (Watermark)來幫助確認發(fā)送者和接收者的通信關(guān)系,網(wǎng)絡(luò)流水印技術(shù)具有準確率高、誤報率低、觀測時間短和所需觀測數(shù)據(jù)包數(shù)量少等優(yōu)點
技術(shù):
改變或調(diào)制發(fā)送端數(shù)據(jù)包的載荷 (Payload)、時間間隔(Interva1)、間隔到達時延 (Inter-PacketDelay,IPD)和 間隔重心 (ItervalCentroid)等信息或流量速率 (TrafficRate)來嵌入水印 ,在接收端識別該水印 ,以達到關(guān)聯(lián)發(fā)送者和接收者關(guān)系的目的
當網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)過水印嵌入點 (如路由器 )時 ,嵌入器使用密鑰 (Key)將水印進行 編碼 ,通過調(diào)制流量特征 (改變數(shù)據(jù)流的速度 )嵌入該水印 。嵌入水印后的標記數(shù)據(jù)流在網(wǎng)絡(luò)傳輸時會遭受一些干擾和變形 ,如中間路由器 (或匿名網(wǎng)絡(luò) 、 跳板等)的延遲 、丟包或重傳數(shù)據(jù)包 、包重組和時間擾亂等 。 最終 ,當被擾亂之后的標記數(shù)據(jù)流到達 印檢測點 ,檢測器使用與嵌入器同樣的密鑰 (非盲檢測時 ,檢測器還需要標記數(shù)據(jù)流嵌入水印前的相關(guān)信息)提取標記數(shù)據(jù)流中的水印信息,如果與編碼時的水印一致 ,那么就認為這兩條數(shù)據(jù) 流之間存在關(guān)聯(lián) 。
一些威脅情報,海量的黑IP和黑域名,一般來說都是10G起步
Reference:https://zhuanlan.zhihu.com/p/403046479
失陷檢測情報,即攻擊者控制被害主機所使用的遠程命令與控制服務(wù)器情報。情報的IOC往往是域名,IP,URL形式,有時也包括SSL證書,HASH等形式,這種IOC可以推送到不同的安全設(shè)備中,如NGFW,IPS,SIEM等,進行檢測發(fā)現(xiàn)甚至實時阻斷,這類情報基本上都會提供危害等級,攻擊團伙,惡意家族等更加豐富的上下文信息,來幫助確定事件優(yōu)先級并指導(dǎo)后續(xù)安全響應(yīng)活動。使用這類情報是及時發(fā)現(xiàn)已經(jīng)滲透的到組織的APT團伙,木馬蠕蟲的最簡單,及時,有效的方式。
Reference:https://www.freebuf.com/articles/network/382439.html
在互聯(lián)網(wǎng)行業(yè),Bot 一般指的是在 Web、APP 應(yīng)用、API 接口上通過運行自動化程序執(zhí)行重復(fù)任務(wù)的虛擬機器人,它們有的動作比人類快很多,有的行為則很隱蔽不易被發(fā)現(xiàn),這些機器人所產(chǎn)生的活動日志被稱為 Bot 流量(機器人流量)。
類別 | 描述 | 舉例 |
網(wǎng)絡(luò)爬蟲 | 用于瀏覽互聯(lián)網(wǎng)并收集信息的自動化程序 | 下載機器人、圖片爬蟲、文字爬蟲 |
惡意軟件Bot | 用于執(zhí)行惡意活動,如傳播病毒、竊取敏感信息等的自動化程序 | 外掛 |
社交媒體Bot | 在社交媒體平臺上執(zhí)行自動化任務(wù)的程序,有時用于誤導(dǎo)用戶或傳播虛假信息 | 僵 |
聊天機器人 | 用于與人類進行自動化對話的程序,常見于客戶支持、在線聊天等場景 | 客服機器人 |
網(wǎng)絡(luò)釣魚Bot | 用于進行網(wǎng)絡(luò)釣魚活動,試圖欺騙用戶提供敏感信息的自動化程序 | - |
游戲Bot | 在在線游戲中使用,自動執(zhí)行特定游戲任務(wù)的程序,有時被用于非法活動或作弊 |
技術(shù)架構(gòu):
特征工程-》規(guī)則管理-》策略下發(fā)
https://blog.csdn.net/qq_42395917/article/details/126282145
后門攻擊:通過改變模型對一些特定輸入的輸出而達到目的,在圖像分類的領(lǐng)域中,后門攻擊的trigger(觸發(fā)器)是圖像當中的一些像素點,當這些像素點經(jīng)過模型被計算成某些值之后,模型可能就會產(chǎn)生我們想要的結(jié)果,這就達到了我們的目的。
后門攻擊是將毒化后的數(shù)據(jù)集打上對應(yīng)的標簽然后放到模型中進行訓(xùn)練,隨后得到一個被植入后門的模型,然后我們將毒化的數(shù)據(jù)集放入模型時就會輸出我們想要的結(jié)果。
Reference:https://cloud.tencent.com/developer/article/1552318
惡意軟件利用DGA算法與C2服務(wù)器進行通信的原理如圖所示,客戶端通過DGA算法生成大量備選域名,并且進行查詢,攻擊者與惡意軟件運行同一套DGA算法,生成相同的備選域名列表,當需要發(fā)動攻擊的時候,選擇其中少量進行注冊,便可以建立通信,并且可以對注冊的域名應(yīng)用速變IP技術(shù),快速變換IP,從而域名和IP都可以進行快速變化。
很顯然,在這種方式下,傳統(tǒng)基于黑名單的防護手段無法起作用,一方面,黑名單的更新速度遠遠趕不上DGA域名的生成速度,另一方面,防御者必須阻斷所有的DGA域名才能阻斷C2通信,因此,DGA域名的使用使得攻擊容易,防守困難。
DGA算法由兩部分構(gòu)成,種子(算法輸入)和算法,可以根據(jù)種子和算法對DGA域名進行分類,DGA域名可以表示為AGD(Algorithmically-Generated Domains)。
按照種子進行分類
種子是攻擊者和客戶端惡意軟件共享的一個DGA算法的輸入?yún)?shù)之一,不同的種子得出的DGA域名是不一樣的。一般來說,種子可按如下方式進行分類:
1.基于時間的種子(Time dependence)。DGA算法將會使用時間信息作為輸入,如:感染主機的系統(tǒng)時間,http響應(yīng)的時間等。
2.是否具有確定性(Determinism)。主流的DGA算法的輸入是確定的,因此AGD可以被提前計算,但是也有一些DGA算法的輸入是不確定的,如:Bedep[4]以歐洲中央銀行每天發(fā)布的外匯參考匯率作為種子,Torpig[5]用twitter的關(guān)鍵詞作為種子,只有在確定時間窗口內(nèi)注冊域名才能生效。
根據(jù)種子的分類方法,DGA域名可以分為以下4類:
1.TID(time-independent and deterministic),與時間不相關(guān),可確定;
2.TDD(time-dependent and deterministic),與時間相關(guān),可確定;
3.TDN(time-dependent and non-deterministic),與時間相關(guān),不可確定;
4.TIN(time-independent and non-deterministic),與時間不相關(guān),不可確定;
按照生成算法進行分類
現(xiàn)有DGA生成算法一般可以分為如下4類:
1.基于算術(shù)。該類型算法會生成一組可用ASCII編碼表示的值,從而構(gòu)成DGA域名,流行度最高。
2.基于哈希。用哈希值的16進制表示產(chǎn)生DGA域名,被使用的哈希算法常有:MD5,SHA256。
3.基于詞典。該方式會從專有詞典中挑選單詞進行組合,減少域名字符上的隨機性,迷惑性更強,字典內(nèi)嵌在惡意程序中或者從公有服務(wù)中提取。
4.基于排列組合。對一個初始域名進行字符上的排列組合。
檢測手段:
域名情報+數(shù)據(jù)訓(xùn)練(收集DGA域名,其中包含約4570萬個DGA域名,包含62個DGA家族,另外收集收集了大量良性NXDomain,包含1530萬個域名,以這些數(shù)據(jù)為原始輸入,進行有監(jiān)督學習。)
Reference:https://www.zhihu.com/question/495882650/answer/2200401122
MSS:
Managed Security Service,安全托管服務(wù)。通常指為客戶提供安全運營管理服務(wù)的供應(yīng)商。安全托管服務(wù)在云計算領(lǐng)域,指企業(yè)由于降本增效或?qū)WI(yè)務(wù)發(fā)展等需要,將部分繁重、重復(fù)安全運營工作托付給專業(yè)云服務(wù)商,有專業(yè)安全運營團隊開展的持續(xù)分析及運營服務(wù)。
企業(yè)轉(zhuǎn)向托管安全服務(wù)提供商可以減輕他們每天面臨的與信息安全有關(guān)的壓力,借助安全托管服務(wù)商在某些安全領(lǐng)域的優(yōu)勢,可以補齊企業(yè)在安全建設(shè)或運營管理中的短板,提升安全管理效率。
MSSP:Managed Security Service Provider,安全托管服務(wù)商。通常指為客戶提供安全運營管理服務(wù)的供應(yīng)商。
MSS服務(wù)一般包括哪些內(nèi)容?
Reference:https://zhuanlan.zhihu.com/p/590228643
客戶使用云提供商的主機進行業(yè)務(wù)上云,那么CWPP就是為了云上主機的防護,包括虛擬機防護和網(wǎng)絡(luò)安全防護
云上防護最好的方式就是基于云服務(wù)提供商提供的接口來進行安全開發(fā)處理,但是實際上云服務(wù)提供商眾多,接口也各不相同,所具備的安全能力也不盡相同,沒有統(tǒng)一的標準去做這些安全。基于這一現(xiàn)狀,出現(xiàn)了以agent形式的CWPP安全方案。
加固、配置與漏洞管理(Hardening, Configuration and Vulnerability Management):加固是針對系統(tǒng)、鏡像等的加固,通過關(guān)閉非必要功能、端口和服務(wù),及時進行系統(tǒng)補丁更新維護。
配置即為服務(wù)器的配置優(yōu)化,是針對操作系統(tǒng)層和應(yīng)用層進行配置,保障系統(tǒng)以及應(yīng)用的安全合理性,以提升安全能力以及防攻擊的功能,避免因為錯配和漏配導(dǎo)致產(chǎn)生安全問題。漏洞管理是針對操作系統(tǒng)漏洞和應(yīng)用程序漏洞的管理,在網(wǎng)絡(luò)安全事件中,基于漏洞的攻擊數(shù)量一直居高不下,而最常見的最嚴重的漏洞就是系統(tǒng)漏洞和WEB應(yīng)用漏洞。
因為WEB應(yīng)用一般對外提供,所以必須暴露于互聯(lián)網(wǎng)之中,因此安全要求極為重要。基于上述的能力要求,CWPP需要支持針對系統(tǒng)的加固,以及配置的基線檢查和漏洞防護的功能。漏洞管理,分為操作系統(tǒng)漏洞管理和應(yīng)用漏洞管理。目前網(wǎng)絡(luò)攻擊主要是通過web服務(wù)器或者web應(yīng)用漏洞發(fā)起,因此CWPP產(chǎn)品要能提供標準化、同時支持制定自定義的web應(yīng)用漏洞防護策略。
基于身份的網(wǎng)絡(luò)微隔離和可視化(Network Firewalling, Visibility and Microsegmentation):在這一能力要求中,包括了兩個部分內(nèi)容,分別是微隔離和可視化。想要實現(xiàn)微隔離和可視化的前提,就是要先識別資產(chǎn),只有在資產(chǎn)被識別后才可以針對資產(chǎn)進行管理,這里所說的資產(chǎn)可以是主機、虛擬機、容器等工作負載,所以圖形化管理用戶的主機業(yè)務(wù)資產(chǎn)是CWPP的必要條件。微隔離,就是在資產(chǎn)識別基礎(chǔ)之上手動或者自動的進行流量的隔離,這里的隔離主要是東西向流量的隔離,微隔離的基本實現(xiàn)方式是通過agent控制本地的安全程序,如管理windows和linux系統(tǒng)內(nèi)置的防火墻,來進行流量分割管理。并且這里的流量分割管理是可以跨物理、虛擬架構(gòu)、網(wǎng)絡(luò)基于角色的訪問策略。可視化要求能夠提供可視化和監(jiān)控通信流量,即能知道工作負載間的通信情況。
CWPP與EDR(Endpoint Detection & Response,終端檢測和響應(yīng))兩個安全產(chǎn)品,在功能上有很多重疊的部分,比如兩款產(chǎn)品均具備資產(chǎn)識別、漏洞與補丁管理和基線檢查的功能。
差異點 | EDR | CWPP |
防護對象 | 終端 | 主機(服務(wù)器、容器、serverless) |
產(chǎn)品架構(gòu) | EDR一般使用輕代理方式,本地放置引擎和規(guī)則庫等,本地客戶端具備管理界面,可以獨立使用。 | CWPP是輕端重云架構(gòu),管理都放在云端,本地無規(guī)則庫和分析引擎,本地客戶端沒有管理界面,主打輕量化業(yè)務(wù)無侵害。 |
部署場景 | 部署與企業(yè)辦公網(wǎng)絡(luò)中,針對日常辦公終端使用,部分情況可以用于數(shù)據(jù)中心。 | 主要定位在數(shù)據(jù)中心維度,強調(diào)混合數(shù)據(jù)中心下的統(tǒng)一部署和管理。 |
產(chǎn)品關(guān)注點 | 關(guān)注重點在于病毒防護,針對事中階段進行攔截處置,強調(diào)的是安全問題閉環(huán)處置。 | 更關(guān)注基礎(chǔ)運維相關(guān)的內(nèi)容如:資產(chǎn)管理、進程監(jiān)控、變更管理、日志管理、權(quán)限管理、基線管理、系統(tǒng)完整性監(jiān)控、應(yīng)用程序控制,行為監(jiān)控等,更聚焦在日常性的基礎(chǔ)運維工作。 |
使用階段 | 主要用于安全事件的事中階段處理和事后階段閉環(huán)。 | 主要用于安全事件的事前階段,強調(diào)加固的重要性,做事前防護。 |
引入Touch ID四年之后,iOS用戶的隱私和安全性得到了極大的提升,今天的蘋果公司正在延續(xù)著史蒂夫?喬布斯(Steve Jobs)的夢想——不斷創(chuàng)新:在iPhone X中引入了臉部識別技術(shù)。
在蘋果Town Hall劇場,墻上掛著一句喬布斯報的名言:“你如果出色地完成了某件事,那你應(yīng)該再做一些其他的精彩事兒。不要在前一件事上徘徊太久,想想接下來該做什么。”
9月13日,蘋果公司在蘋果公園(Apple Park)剛剛完式的史蒂夫?喬布斯劇院(Steve Jobs Theatre)舉行了iPhone X發(fā)布會。這是一個規(guī)模更大、更環(huán)保、更舒適、在建筑上令人眼花繚亂的場所,劇院配備了壯觀的4K投影系統(tǒng),以及應(yīng)用了更多先進技術(shù)、更好保障和美學方面的進步。
自2007年喬布斯親自推出iPhone,iPhone就成了蘋果公司的搖錢樹,現(xiàn)在又開始了重新設(shè)計。
傳統(tǒng)iPhone(一個帶有圓形Home按鍵的矩形)的極具代表性的標志,現(xiàn)在已經(jīng)讓位給了一個新版本,這就是iPhone X的外觀,極窄的邊框和頂部的一個切口。更重要的是,物理Home鍵的作用已經(jīng)沒有了,而不是在采用虛擬鍵的方案,它已被完全拋棄。
以前Home鍵的作用,從返回主屏幕到切換應(yīng)用程序、調(diào)用Apple Pay、屏幕截圖以及通過Touch ID解鎖設(shè)備,這些功能都被重新定義。
iPhone X代表了自iOS誕生以來蘋果對整個平臺計算的最大膽的反思。然而,在iPhone X過渡過程中,最讓人擔心、不確定和懷疑的是放棄了Touch ID,這在iPhone的前五代中還沒有出現(xiàn)。
與iPhone X的新FaceID類似,Touch ID首次出現(xiàn)在iPhone 5s上,同期發(fā)布的新配色iPhone(較為便宜的iPhone 5c則沒有)。當時人們普遍預(yù)期,較低價位的5c將推動iPhone的銷售,當時業(yè)界傾向于低價的智能手機。
但恰恰相反,蘋果的內(nèi)部預(yù)測被iPhone 5s的創(chuàng)紀錄的大幅增長的銷量顛覆,顯然,Touch ID的驅(qū)動了iPhone 5s的銷量增長。
值得注意的是,當時5s面臨著對手更激烈競爭,市場上的產(chǎn)品功能更為強大,更大的5.7英寸屏幕、更高分辨率的1080p顯示屏、更快的4G LTE數(shù)據(jù)服務(wù)、立體聲揚聲器、光學防抖、防水和充電,但此前,Android手機上的指紋識別已經(jīng)失敗了。
2013年,與iPhone 5s一同上市的,還有科技媒體廣為贊譽的各種手機上市,包括HTC One、Google的Nexus 5、Moto X、諾基亞的LUMIA 1020 Windows Phone、三星Galaxy S4和索尼的Xperia Z1。盡管iPhone 5s沒有花哨功能,但iPhone 5s擊敗了所有的競爭對手。
iPhone 5s幫助蘋果構(gòu)建了新一代的iOS 7以及iOS App Store生態(tài)系統(tǒng)的所有優(yōu)勢,這些功能和優(yōu)勢也惠及到了iPhone 5c,5c也擊敗了Windows和Android的旗艦產(chǎn)品。然而,Touch ID(和支持它的A7芯片)是iPhone 5s的主要銷售驅(qū)動因素,它遠比廉價的5c銷量要高得多。
在2013年iPhone 5s出現(xiàn)之前,如果您想保護手機,那么你需要使用密碼鎖定。事實上,因為輸入密碼不方便,只有不到一半的用戶實際上使用密碼。
在2014年WWDC上,蘋果宣布其新的Touch ID從根本上提高了iPhone用戶的密碼安全性,并將使用率從49%上升到83%。
而令人難以置信的是,就在幾年前,大多數(shù)人根本就不用使用密碼(盡管大部分人的手機有密碼,但很可能密碼的設(shè)置很簡單)。沒有密碼,任何人拿到你的手機都可以瀏覽你的照片,打開電子郵件,并通過短信或電子郵件重設(shè)各種密碼,實質(zhì)上接管了你的數(shù)字生活。
Touch ID被應(yīng)用得如此之快,是因為蘋果公司以這樣的方式讓用戶毫不費力地使用了這項技術(shù)。當三星,HTC等人后來試圖復(fù)制蘋果的功能時,他們采用的方案有明顯的安全問題。比如將用戶未加密的指紋照片保存到文件系統(tǒng),全局可讀(不設(shè)置任何文件權(quán)限),這樣很容易讓任何進程都可以輕松地讀取和提取數(shù)據(jù)。
三星Galaxy S5聲稱一個指紋傳感器就像iPhone一樣,但是很慢,而且指紋數(shù)據(jù)并不安全
蘋果并不只是引入了指紋讀取器;它開發(fā)并公開了其全面的隱私政策和安全架構(gòu),確保手機上的任何應(yīng)用程序都不能訪問任何生物特征數(shù)據(jù)。這需要一個特別安全的構(gòu)建在A7芯片中的Secure Enclave環(huán)境,iOS和其它應(yīng)用程序無法讀取,一旦配置,操作系統(tǒng)只能驗證注冊的用戶是否存在,而不是收集或存儲生物特征數(shù)據(jù)。
蘋果投入了大量資源來研究Touch ID,因為它比用簡單的指紋識別iPhone更有意義。該公司還打算使用Touch ID支撐Apple Pay,并允許第三方應(yīng)用可以使用但不是濫用的身份驗證系統(tǒng)。
在剛推出Touch ID的時候,人們普遍不相信,而且更惡心的煽動性攻擊蘋果保護用戶的能力。一位名叫Geppy Parziale指紋專家聲稱Touch ID在發(fā)布之前無法正常工作,他堅持認為傳感器無法長期重復(fù)使用,一旦失敗,任何人都可以進入設(shè)備。
Touch ID發(fā)布后,美國參議員Al Franken立即致電蘋果,詢問一系列問題,包括Apple是否收集、存儲、傳輸、備份或以其他方式共享用戶的指紋數(shù)據(jù),以使惡意用戶能夠冒用身份,因為一旦被盜,他們無法改變指紋。
黑客聲稱他們在實驗室對一個人的指紋進行高分辨率掃描,并用激光打印機來偽造指紋模型來繞過系統(tǒng)。盡管Touch ID在其自動關(guān)閉之前提供了狹窄的48小時和五次身份驗證嘗試。
Touch ID的瘋狂持續(xù)了好幾個月,最后在Touch ID變得無可爭議的情況下才消失,Touch ID正在大大增加現(xiàn)實世界的安全性,甚至有助于顯著減少手機盜竊發(fā)生,這要歸功于蘋果的iOS 7激活鎖功能與增加使用密碼安全性相關(guān)聯(lián)。
還有人擔心如果傷害你的手指會發(fā)生什么?竊賊在竊取你的手機的時候會不會切掉你的手指?或者你是罕見的沒有指紋出的人怎么辦?
當競爭對手推出自己的指紋系統(tǒng)時,即使是像HTC和三星那樣的巨大的安全漏洞,也沒有出現(xiàn)什么瘋狂的憤怒。萬事達卡最近推出了指紋信用卡,沒有蘋果的強大的安全策略,媒體也沒有人關(guān)心。
“Touch ID瘋狂”是一個人為制造的謊言,目的是推銷聳人聽聞的恐慌,一些同樣的消息不斷宣傳,推進和煽動了從天線門到AntennaGate、BendGate。一旦他們意識到對蘋果的業(yè)務(wù)沒有任何影響,就會明顯失去對這個故事的興趣。
過去四年的Touch ID,蘋果公司提升它速度,將其功能擴展到Apple Pay,然后將其轉(zhuǎn)換為沒有位移的固態(tài)傳感器,以便于在iPhone 7上實現(xiàn)防水功能。今年,蘋果開發(fā)替代性技術(shù)人臉識別,并在用iPhone X采用了Face ID。
當不再用Home鍵上光學掃描指紋,iPhone X的TrueDepth傳感器是一個3D結(jié)構(gòu)傳感器,通過不可見光譜中的光來對用戶臉部的輪廓進行成像。然后,該數(shù)據(jù)由新開發(fā)的A11仿生芯片中的神經(jīng)引擎進行處理,以認證用戶,而不考慮面部毛發(fā),眼鏡,帽子或其他細節(jié)。
在它的實際演示區(qū),蘋果公司展示了iPhone X在用戶查看設(shè)備時,快速人臉識別的表現(xiàn)。認證過程迅速,解鎖設(shè)備以顯示最近的通知,并允許用戶向上滑動以選擇使用應(yīng)用程序。通過點擊側(cè)面按鈕觸發(fā)的Apple Pay,執(zhí)行類似的快速人臉識別。
與指紋識別相比,人臉識別有多種優(yōu)勢:蘋果聲稱的人臉識別達到了百萬分之一的誤差率,而指紋識別的誤差是5萬分之一。用戶使用手機時還必須看一下該設(shè)備,這使得偷偷解鎖手機的人比Touch ID更難。
與Touch ID一樣,iOS 11可以輕松禁用生物識別身份驗證,當你需要禁用時,按順序點擊側(cè)面按鈕五次就可以。因此,在不希望Face ID工作的情況下,你可以輕松的強制iPhone X要求輸入你的密碼。它也會在允許兩次錯誤密碼之后自動關(guān)閉。
蘋果公司多年來一直致力于iOS的底層安全模型和結(jié)構(gòu)傳感器,早在2013年就從PrimeSense其獲得的結(jié)構(gòu)傳感器3D掃描技術(shù),當時Touch ID還是最先進的。
在蘋果公司收購Touch ID之前,就像其他供應(yīng)商都和AuthenTech公司在指紋識別上合作過,Google、Microsoft、Qualcomm等公司以前也與PrimeSense在 3D結(jié)構(gòu)傳感器技術(shù)方面有過合作,但沒有哪家公司設(shè)法降低成本,像蘋果公司一樣,將其功能擴展到實際應(yīng)用中。
蘋果開發(fā)應(yīng)用于iPhone X的Face ID的TrueDepth系統(tǒng)的3D技術(shù)組合包括去年初收購的Metaio和運動捕捉公司Faceshift的AR團隊,和2015年收購Emotient的面部表情識別團隊。
蘋果公司還搶購了一系列人工智能和機器學習公司,從而形成了一個超強的專業(yè)團隊,不僅提供面部識別,還提供了新的iOS ARKit和Vision框架和應(yīng)用程序,從Animoji到構(gòu)建3D的平臺,在Apple活動中為Snapchat演示了AR過濾器。
可以預(yù)見,批評家已經(jīng)開始行動,向公司暗示,F(xiàn)ace ID 不可能真實工作。
Franken參議員再次給蘋果公司寫信,詢問蘋果是否收集和銷售與用戶面孔相關(guān)的數(shù)據(jù),以及是否考慮了其機器學習模型中識別不同的面部特征。
Luke Graham發(fā)表在CNBC的一篇報道中稱,“蘋果Face ID安全技術(shù)可能不會受到消費者歡迎”,根據(jù)這一調(diào)查,40%的受訪者認同生物識別技術(shù)“風險太大和未來”的觀點。然而,30%的受訪者從來沒有聽說過使用生物識別來驗證身份,另外55%的受訪者表示他們聽說過生物識別技術(shù),但他們從未使用生物識別技術(shù)。
該調(diào)查討論了與購物相關(guān)的生物識別技術(shù),而不是蘋果公司的Face ID(被作為誘導(dǎo)點擊)。然而,Touch ID也是生物認證身份驗證,而PaySafe對英國,美國和加拿大消費者的調(diào)查實際上不太可能找到一組3000多人,其中一半在過去四年中一直沒有使用Touch ID。
Ron Amadeo 為Ars Technica 撰寫了一篇文章,宣稱Face ID“會很糟糕”,盡管在第十一段他也承認:“我會承認我還沒有嘗試過Face ID”,在解釋之前,“很難想像一個面部識別系統(tǒng),解決問題的方法是讓手機對準你的臉”。
雖然有很多人擔心,在看到屏幕前必須瞥一下你的iPhone來解鎖有多么可怕,但實際的情況是Face ID不僅僅能替代Touch ID的所有功能,還可以處理諸如在閱讀時保持一直保持手機亮屏。
當然,擺脫Home按鍵的最大好處就是可以縮小邊框,在更緊湊的手機中提供更大的屏幕。
此前,我們注意到,蘋果的高價位iPhone X使公司能夠相對小眾用戶群體推出最先進的新技術(shù)。
然而,根據(jù)Creative Strategies的分析師Ben Bajarin調(diào)查,蘋果公司的供應(yīng)商在今年年底之前提供4000萬到5000萬臺iPhone X的庫存。這意味著假日季度iPhone的銷售額將有一半是iPhone X,也意味著iPhone X銷量在兩個月內(nèi)將達到一個非常堅實的基礎(chǔ)。
如此大量的Face ID用戶意味著第三方開發(fā)人員將有充分的理由開發(fā)其TrueDepth傳感器,利用其硬件創(chuàng)造出新的應(yīng)用方式。當然,F(xiàn)ace ID會自動在應(yīng)用中替換使用Touch ID進行身份驗證的功能。
看起來,F(xiàn)ace ID就是那個下一步。
(根據(jù)appleinsider網(wǎng)站的信息編譯整理)