1.网络安全常识及术语
资产
任何对组织业务具有价值的信息资产,包括计算机硬件、通信设施、IT 环境、数据库、软件、文档
资料、信息服务和人员等。
漏洞
上边提到的“永恒之蓝”就是windows系统的漏洞
漏洞又被称为脆弱性或弱点(Weakness),是指信息资产及其安全措施在安全方面的不足和弱
点。漏洞一旦被利用,即会对资产造成影响。通常一个网络的漏洞/弱点可被分为:技术漏洞、配
置漏洞和安全策略漏洞。
0day
是指负责应用程序的程序员或供应商所未知的软件缺陷,尚未公开的漏洞。永恒之蓝在没有被公开
前就是0day。
1day
刚被官方公布的漏洞就是1day,刚被公布得了漏洞会有一个打补丁的时间差,这个时间差可以被黑
客所利用。
后门
后门是一种用于获得对程序或在线服务访问权限的秘密方式。一般是绕过安全控制而获取对程序或
系统访问权的方法。
上边的meterPeter就是一种后门程序。我们可以用它很方便的进行目标系统的访问。
exploit
exp,指的是漏洞利用程序,我们在上面敲的exploit的命令就是执行永恒之蓝的漏洞利用程序来攻
击目标win7。
它在黑客眼里就是漏洞利用。有漏洞不一定就有Exploit(利用),有Exploit就肯定有漏洞。
我们几乎每隔几天就能听到最近有一个新发现的可以被利用(exploit)的漏洞(vulnerability),然后给这个漏洞打上补丁。而事实上,这里面的内容比你想象的要多,因为你不可能知道所有软件的漏洞,而且那些可利用的漏洞也只是被少数人所了解。
漏洞是存在于一个程序、算法或者协议中的错误,可能带来一定的安全问题。但不是所有的漏洞都是能够被利用来攻击(exploitable)的,理论上存在的漏洞,并不代表这个漏洞足以让攻击者去威胁你的系统。一个漏洞不能攻击一个系统,并不代表两个或多个漏洞组合就不能攻击一个系统。例如:空指针对象引用(null-pointer dereferencing)漏洞可以导致系统崩溃(如果想做拒绝服务攻击就足够了),但是如果组合另外一个漏洞,将空指针指向一个你存放数据的地址并执行,那么你可能就利用此来控制这个系统了。一个利用程序(An exploit)就是一段通过触发一个漏洞(或者几个漏洞)进而控制目标系统的代码。攻击代码通常会释放攻击载荷(payload),里面包含了攻击者想要执行的代码。exploits利用代码可以在本地也可在远程进行。一个远程攻击利用允许攻击者远程操纵计算机,理想状态下能够执行任意代码。远程攻击对攻击者非常重 要,因为攻击者可以远程控制他/她的主机,不需要通过其它手段(让受害者访问网站,点击一个可执行文件,打开一个邮件附件等等),而本地攻击一般都是用来提升权限 。
攻击
攻击是指由威胁源所实施的、导致安全事件发生的行为,它是 漏洞利用 和 实现威胁 的过程,一旦
攻击得手即会造成影响。
安全策略
安全策略是指在某个安全区域内,所有与安全活动相关的一套规则,它声明哪些行为是能做的、被
允许的,哪些行为是不能做的、被禁止的。这些规则是由此安全区域中所设立的一个安全权利机构
建立的,并由安全控制机构来描述、实施或实现的。社会工程学。
安全机制
安全机制是一种用于解决和处理某种安全问题的方法,通常分为预防、检测和恢复三种类型。网络
安全中绝大多数安全服务和安全机制都是建立在密码技术的基础之上的,它们通过密码学方法对数
据信息进行加密和解密来实现网络安全的目标要求。
社会工程学
信息安全可以分为Soft Security和Hard Security 两个部分。所谓的“硬安全”,主要就是具体的安全
IT 技术(比如:防火墙、入侵检测、漏洞扫描、抗拒绝服务……),这些东西都是专家安全公司在搞,离绝大多数的读者可能比较遥远。而“软安全”主要涉及管理、心理学、文化、人际交往等方
面,与具体的IT 技术可能没有关系。今天所说的“社会工程学”,实际上就是“软安全”,如果你看过
电影《没有绝对的安全》的话,电影中主人公没有花一分钱搞到了肯德基的一份午餐就是利用社会
工程学的典型例子。
通俗地讲,社会工程学就是:利用人性之中的弱点(贪婪、恐惧、性欲……)等心理学上的弱点来
影响别人,最终达到自己不可告人的目的。
APT
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶
意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,
在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃
资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通
常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提
供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值
的信息,这使得它的攻击更不容易被发现。
卡巴斯基遭APT攻击,全球知名网络安全公司卡巴斯基实验室遭遇APT攻击长达数月未察觉,实施
攻击的病毒Duqu2.0是现金为止最为复杂的蠕虫病毒,被广泛应用与各种APT攻击事件中。
2.什么会出现网络安全问题?
网络的脆弱性
网络环境的开放性
“ INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互
相连接 ”
协议栈自身的脆弱性
TCP/IP协议族是使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够,导致协议存
在着一些安全风险问题。Internet首先应用于研究环境,针对少量、可信的的用户群体,网络安全问题
不是主要的考虑因素。因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制,例如:
不提供认证服务
明码传输,不提供保密性服务,不提供数据保密性服务
不提供数据完整性保护
不提供抗抵赖服务
不保证可用性——服务质量(QoS)
操作系统自身的漏洞
人为原因
在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。
客观原因
受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,
重则导致非授权用户的权限提升。
硬件原因
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
缓冲区溢出攻击
缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,植入到缓冲区,然后再向一个有限空间的缓冲区中植入超长的字符串,这时可能会出现两个结果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。
缓冲区溢出攻击原理
缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造
成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
缓冲区溢出的危害
最大数量的漏洞类型
漏洞危害等级高
终端的脆弱性及常见攻击
终端是占据企业数量最多的计算机系统,容易遭受计算机病毒为代表的恶意代码的攻击。
常见的恶意代码包括:
病毒
蠕虫
木马
其他攻击
社工攻击
原理:
社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为。
在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,
做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信
息、行骗和入侵计算机系统的行为。
防御手段:
定期更换各种系统账号密码,使用高强度密码等
人为因素
无意的行为
工作失误——如按错按钮;
经验问题——不是每个人都能成为系统管理员,因此并不了解贸然运行一个不知作用的
程序时会怎么样;
体制不健全——当好心把自己的账号告诉朋友时,你却无法了解他会如何使用这一礼物;
恶意的行为
出于政治的、经济的、商业的、或者个人的目的
病毒及破坏性程序、网络黑客
在Internet上大量公开的攻击手段和攻击程序。
防范措施
提升安全意识,定期对非IT人员进行安全意识培训和业务培训;
设置足够强的授权和信任方式,完善最低权限访问模式;
组织需要完善和落地管理措施,保障安全管理制度是实际存在的;
善于利用已有的安全手段对核心资产进行安全保护等
拖库、洗库、撞库
原理:
拖库:是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。
洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价
值的用户数据变现,这通常也被称作洗库。
最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用
统一的用户名密码。
防御手段:
重要网站/APP的密码一定要独立 、电脑勤打补丁,安装一款杀毒软件、尽量不使用IE浏
览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线
AP,用安全的加密方式(如WPA2),密码复杂些、电脑习惯锁屏等。
跳板攻击
原理:
攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成
为“跳板”,再通过这些“跳板”完成攻击行动。
跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。
防御手段:
安装防火墙,控制流量进出。系统默认不使用超级管理员用户登录,使用普通用户登
录,且做好权限控制。
钓鱼攻击/鱼叉式钓鱼攻击
原理:
钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户
名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。
防御手段:
保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,
加强网络站点的监管。
水坑攻击
原理:
攻击者首先通过猜测(或观察)确定特定目标经常访问的网站,并入侵其中一个或多个
网站,植入恶意软件。最后,达到感染目标的目的。
防御手段:
在浏览器或其他软件上,通常会通过零日漏洞感染网站。
针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏
洞。用户监控可以帮助确保他们的所有软件都运行最新版本。
如果恶意内容被检测到,运维人员可以监控他们的网站和网络,然后阻止流量
网络安全要素
保密性—confidentiality
完整性—integrity
可用性—availability
可控性—controllability
不可否认性—Non-repudiation
保密性(confidentiality)与Integrity(完整性)和 Availability(可用性)并称为信息安全的CIA三要素。
保密性
保密性:确保信息不暴露给未授权的实体或进程。
目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动 攻击。
