开发者社区> 异步社区> 正文

《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.5节安全贵在未雨绸缪

简介:
+关注继续查看

本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第8章8.5节安全贵在未雨绸缪,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。

8.5 安全贵在未雨绸缪
请君入瓮——APT攻防指南之兵不厌诈
您可以通过主动监测网络与系统的运行,提高网络与系统安全状态。虽然使用各种工具阻断、过滤和监控网络流量十分关键,但还必须如攻击者一般思考并行动,找到攻击者在您网络中探测到的漏洞,并利用其测试自身防御机制是否有效。简而言之:自我检查,发现问题,解决问题。

目前,已有大量书籍对这一主题进行了详尽阐述。在本书中,我们将谈及那些需要检查的更高级别的领域。本节中提到的工具,只是可用来采取积极防护措施保护网络安全的众多工具中的一小部分而已。

8.5.1 您的物理安全处于何种状
锁定计算机系统确保其安全的方法多种多样,例如反病毒软件、防火墙、文件系统的安全设置、磁盘加密、安全策略和强密码等,这对网络总体安全状况是非常有效(且必要)的。但您知道吗?只需在系统启动时轻击一个键盘按钮,就可以绕过这层层的安全屏障。

系统的安全状态始于计算机最底层设备的安全,之后延伸到操作系统安全,最后是系统安装的应用程序的安全。在这一层面采用简单的防护措施,可以加强系统安全,获得“时间投资”的丰厚回报。

您在寻找什么
检查以下内容。

是否设置了计算机基本输入/输出系统(BIOS)密码?

可以在启动操作系统时要求用户输入密码,以确保用户只有通过密码才能启动操作系统。

在更改基本的启动设置时要求管理员密码,以确保专业人员只有通过密码才能进行配置。

是否禁用了硬盘除外的其他引导启动项?

当允许您的用户或其他任何人接触您的笔记本电脑时,您的安全机制将完全失去作用;因为一个USB启动设备或一张光盘完全可以绕过密码直接启动。
在操作系统上是否默认开启了USB设备或光盘的自动安装与运行项?

您是否知道美国国防部因为这个简单的配置项,导致国防部的网络感染了最为严重的恶意软件,它们花费数百万美元才将其修复?
8.5.2 您的无线网络状况如何
现在,很难看到不使用无线网络的公司。无线网络不但比用电缆网线连接各个工作站廉价,还可以供其他设备使用,这就降低了整体的维护开销成本。然而,如果配置不当,这些无线设备会在网络中留下严重的漏洞。此外,如果操作不小心,就会发现网络存在一个或多个恶意接入点,这意味着已有人通过未授权的无线访问点进入到您的网络。这里并非贬损无线网络的实用价值,但需要确保您测试过其安全性。表8-4列举了一些免费的工具,可以帮助您测试无线网络的安全性。


7282be852a717a33263bf1e0f604f9fcada9c225

上述工具的工作原理如下。

操作系统发现工具:这是一种包含在操作系统选择项中的无线网络工具。一些版本还存在局限性,如无法搜索到不广播SSID1的无线网等,这时就需要选用其他工具。
Kismet:这是一款基于控制台的被动网络发现工具和嗅探器,没有操作系统自带的网络发现工具的局限性。想了解更多信息和下载该工具,请登录www.kismetwireless.net/。
KisMAC:这是一款基于图形界面的无线网络发现工具,具有无线加密密钥破解的功能,这是检测无线网络安全性的另一个亮点。图8-8是KisMAC运行的界面,可以登录http://kismac-ng.org/找到该工具。
NetStumbler:这是一款基于Windows平台,用来发现无线接入点的工具。据称,该工具的作者在不断更新工具代码,以便它适用于Windows Vista和Windows 7平台。了解更多信息或下载该工具,请访问www.stumbler.net/。
您在寻找什么
检查以下内容。

是否有无线路由器/无线接入点连接到您的网络?
在网络上扫描授权认证时,是否发现无线路由器或者无线接入点连接网络?


23270172764a9d70c4aa82d0569593b53bd2ce0f

无线设备安装了最新的固件补丁吗?

8.5.3 您的网络活动有哪些
无论网络规模如何,每天都会有很多的流量进出。您可能不愿意相信工作团队中的任何人,除非您是一个积极参与网络安全活动的人,否则您不知道他们会不会发送恶意的信息。此外,您可能并不知道某位同事误击了未经检查的包含恶意软件的PDF文件。但当您知道这一情况时,为时已晚,这将导致一个或多个网络上的计算机受到攻击,成为僵尸网络的一部分。保持所有网络进行正常通信是一项非常艰巨的任务,所以您必须为此绞尽脑汁。表8-5列出了一些常用的免费工具,可以帮助您完成任务。


553346cf3a50881291148586e11e751603452ab2

上述工具的功能如下。

Wireshark:如图8-9所示,该工具在网络数据包捕获中应用广泛,允许查看实时网络流量。欲了解更多的信息或下载该工具,请访问www.wireshark.org/。
微软网络流量监视器(Microsoft Network Monitor):这是由微软开发和发布的基于Windows平台的工具,允许捕获和分析网络流量。您可以在如下页面查看相关信息:www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865。
端口扫描攻击探测器(Port Scan Attack Detector):这是一款基于Linux平台的工具,用于分析特定的网络日志流量,确定被扫描的联网主机端口,及判断其他可疑流量。它将一些可视化分析工具很好地关联到一起,有助于以图形化方式查看主机流量。可以访问下列页面查找该工具:http://cipherdyne.org/psad/


d324f2ae4bf632157e42fbd50105f19c76d0b922

您在寻找什么
检查以下内容。

是否有联网的机器显示异常流量?
任何联网机器是否存在范围以外的端口接收或者发送数据包?
您的机器上是否存在未经授权却在运行的服务?
您的机器是否与大量的外部机器进行通信,尤其是在非工作时间内?
8.5.4 您的主机或服务器安全吗
测试网络上主机的安全性十分关键,可确保这些主机不被如影随形的黑客发现。诸多应用及操作系统厂商均会频繁地发布各类补丁,若依赖人力来推送这些补丁更新通知,您可能会发现自己处于危险之中。

更为重要的是,更新补丁对于主机或者服务器的安全来说并非是万能的,它们可能会修改安全配置,为此需要锁定机器。此外,除非有适当的机制,否则很难知道补丁对机器所做的改变是否会危及网络的安全?

您应把握先机,部署基于主机的IDS和IPS系统。这样您的对手就需要找到一个攻击途径。表8-6给出了一些辅助工具,每个工具都分为免费版和付费版。


01d4beed159179611e870db1189eaa8dba2dbeda

这些工具的使用方式如下。

Cain & Abel:工具箱里必备工具之一。这是一款基于Windows平台的密码破解工具。在Windows SAM文件中,它通过嗅探来恢复密码,并执行许多其他操作。图8-11所示为Cain & Abel的使用示例。该工具下载地址为www.oxid.it/cain.html。
Johnthe Ripper:该工具适用于多平台,能够检查用户密码强度。欲了解更多信息和下载此工具,请访问:www.openwall.com/john/。
THC-Hydra:这是一款基于UNIX平台的工具,可以执行多种网络协议的密码破解攻击。如果需要检查用户使用的密码和网络上运行的服务,利用该工具其中的某个功能即可完成。可访问www.thc.org/thc-hydra/来下载该工具,并了解该工具的更多信息。


41b0f2442c6ef502373181fbf6fe34a991492aac

彩虹表:这其实不是一款工具,而是一个预先计算好密码的数据库,可以用来检查基于Windows平台的密码,但并不计算随机值。实际上,您可以购买一些付费且应用广泛的彩虹表。可以访问以下网站下载相关工具和表格:www.freerainbowtables.com/。
您在寻找什么
检查下列各项。

就如所听闻的那样,真有程序能够破解一切密码吗?
您是否留意到您压根不认识的账户?

攻击者常用的战术:入侵并创建一个不起眼的账户,以方便持久访问。
您的系统账户有适当的限制吗?

8.5.6 您的运行安全如何
好,您已经完成这一步。您正在采取一切适当的措施来保护系统免受危害,这些都是徒劳的吗?

许多常见的和持续的威胁控制者做着这样的事情:他们侦察您、您的同事、您的员工以及您的公司。为了最大限度地提高攻击的成功率,减少被捕获的风险,他们将最大程度地适应您公司的一切环境。是否有更好的方式来收集目标系统上的情报,而不是单纯地查看网上发布的工作内容呢?不仅文件中包含的数据会给您带来损害,甚至隐藏数据(例如元数据)都可以向攻击者揭露关于您所用网络的信息。

如果您最强劲的敌人是自己,那么您可借助FOCA这款工具弄清相关问题。只需将它指向某个域名,输入检验的文件类型(如微软的Word文件)、需要下载的文件,然后提取出元数据即可。图8-12和图8-13给出了FOCA的使用情况。

您在找寻什么
检查以下内容。

任何可以透露公司信息的文档,是否应该发布在网上供所有人查看?
是否存在包含任何用户名且可以揭露用户在网络上的命名习惯的文档元数据?


1ba88537005a76ce622a72adc5c91bcca64f492b


0807c011d8c177c893b23ffa424976725a0ae78e

元数据中是否揭示了文档路径,并且能够帮助联网的服务器提供警告信息?
在文档的元数据中,是否发现任何连网使用的打印机?

相当脆弱,因为在修复漏洞的过程中,它们是最经常被忽略更新的设备。
元数据是否会揭示创建该文档所使用的操作系统?

因为很多企业网络使用相同的操作系统,所以这可以给攻击者提供非常有价值的信息,降低攻击失败的风险。
1译者注:服务集标识符。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
32792 0
【建站知识】360安全检测出轻微 X-Frame-Options头未设置,iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
当然也是因为被360检测到了示"X-Frame-Options头未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。
2158 0
阿里云移动研发平台EMAS,是如何连续5年安全护航双11的?
阿里云作为阿里巴巴IT基础设施的基石,每年的双十一都面临前所未有的巨大技术挑战。阿里云的EMAS移动研发平台,连续5年支持双11,不仅保障了手机淘宝、支付宝这些阿里巴巴集团App的使用体验,也支持了数万阿里云开发者的双十一狂欢。
1980 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
13768 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
18020 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
24819 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
19759 0
+关注
异步社区
异步社区(www.epubit.com)是人民邮电出版社旗下IT专业图书旗舰社区,也是国内领先的IT专业图书社区,致力于优质学习内容的出版和分享,实现了纸书电子书的同步上架,于2015年8月上线运营。公众号【异步图书】,每日赠送异步新书。
12049
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载