《威胁建模:设计和交付更安全的软件》——3.5 信息泄露威胁

简介:

本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第3章,第3.5节,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.5 信息泄露威胁

信息泄露威胁是指允许别人去看其没有权限查看的信息。表3-5中列举了一些信息泄露威胁。


<a href=https://yqfile.alicdn.com/2ab5075ee1049655de808ccded8407c8e3869f70.png" >

3.5.1 进程信息泄露
进程信息泄露的事件往往预示着进一步的攻击。可以在进程中通过泄漏内存地址、从出错信息提取秘密信息或者从出错信息中提取设计细节,从而泄露信息。泄漏内存地址可以帮助绕开ASLR等防御措施。泄露秘密信息可能包括数据库连接字符串或者密码口令。泄露设计细节可能意味着暴露反欺诈规则,例如“新账户不可订购钻石戒指”。
3.5.2 数据存储信息泄露
数据存储自然是要存储数据,那么就有很多方式泄漏数据。首先引发泄漏的就是没有合理使用安全机制。最常见的就是,没有设置适当的权限或者希冀没人能发现隐藏着的文件。加密密钥是个特例,凭借这个泄漏信息会引发更多攻击。在数据存储中进行网络数据读取时,通常在网络中数据是可读取的。
经常忽视的一种攻击是通过文件名得到数据。如果有个目录名称为“2013年5月裁员”,那么文件名“Alice辞退信.docx”本身就会暴露重要信息。
还有一些攻击利用程序将信息发送到运行环境来实施。日志、临时文件、交换区等都可以容纳数据。通常,操作系统会保护交换区的数据,但是像加密密钥数据,你该使用操作系统的工具来防止它们被交换出去。
最后,还有一类攻击是用户设备所使用的操作系统能够被攻击者控制,攻击者从这些设备中提取数据。最常见的是(2013年),攻击者瞄准USB key,不过他们也会对CD、备份磁带、硬盘驱动器、被盗的笔记本电脑或服务器下手。硬盘驱动器往往没有将数据完全删除。(要清除硬盘中的数据,你可以买个硬盘削片机或者破碎机嘛,这些机器太了不起了,你到底为什么不用呢?)
3.5.3 数据流中的信息泄露
当信息在网络上传输时,数据流特别容易遭受信息泄露攻击。不过,单一机器上的数据流也是会遭受攻击的,尤其是当机器在云端共享或者由一台计算机服务器的很多互相不信任的用户共享时更易遭受攻击。除了在网络上简单地读取数据,攻击者还会将流量重定向到他们自己那里(经常通过假冒一些网络控制协议),这样他们即使不在数据流路径上也能看到数据。甚至在网络流量本身加密的时候,也可能获取信息。有很多种方式可以获悉人与人之间的对话信息,包括查看DNS、朋友在LinkedIn等网站的活动及其他形式的社交网络分析。
安全行家可能在想,本书会不会涉及旁路信道攻击和隐秘通道相关内容。这些攻击很有趣(旁路信道攻击会在第16章中涉及一些内容)。不过,只有在解决上述所提的问题之后,这些内容才有意义。

相关文章
|
6天前
|
人工智能 供应链 安全
企业秘密泄露风险加剧,自动化管理成关键
企业秘密泄露风险加剧,自动化管理成关键
|
3月前
|
存储 安全 网络安全
网络安全与信息安全:构建安全防线的多维策略在当今数字化时代,网络安全已成为维护个人隐私、企业机密和国家安全的关键要素。本文旨在探讨网络安全漏洞的本质、加密技术的重要性以及提升公众安全意识的必要性,以期为构建更加坚固的网络环境提供参考。
本文聚焦于网络安全领域的核心议题,包括网络安全漏洞的现状与应对、加密技术的发展与应用,以及安全意识的培养与实践。通过分析真实案例,揭示网络安全威胁的多样性与复杂性,强调综合防护策略的重要性。不同于传统摘要,本文将直接深入核心内容,以简洁明了的方式概述各章节要点,旨在迅速吸引读者兴趣,引导其进一步探索全文。
|
5月前
|
存储 运维 监控
数据安全性能:构建坚固防线,守护信息资产
在数字化时代,数据安全至关重要,影响企业运营稳定、客户信任及法规合规。本文强调数据安全性能的重要性,探讨面临的挑战(内部威胁、外部攻击等),提出关键防护措施(访问控制、数据加密、安全审计等),并介绍最佳实践(制定策略、采用新技术、应急响应等),助力企业构建坚固防线,守护信息资产。
222 0
|
7月前
|
SQL 安全 物联网
网络防线的构筑者:洞悉网络安全漏洞与加固信息保密
【5月更文挑战第24天】 在数字时代的浪潮中,每一次数据交换都可能成为安全风险的滋生地。本文深入剖析了网络安全漏洞的本质,探讨了加密技术在数据保护中的关键作用,并强调了提升个人和企业的安全意识对于构建坚固网络防线的重要性。通过分析具体案例和技术手段,文章旨在为读者提供一个关于如何识别、防御及应对网络威胁的全面视角。
|
7月前
|
SQL 安全 网络安全
网络堡垒的构建者:深入网络安全与信息保护
【5月更文挑战第6天】 在数字化浪潮不断推进的今天,网络安全和信息安全成为了维护个人隐私、企业商业秘密和国家安全的重要议题。本文将探讨网络安全中的漏洞问题、加密技术的进展以及提升安全意识的必要性。通过分析当前网络攻击手段的复杂性,我们揭示了安全漏洞产生的原因及其对系统安全的潜在威胁。同时,文章还将介绍最新的加密技术如何为数据传输提供强有力的保护,并讨论如何通过培训和教育来增强用户的安全意识,以形成更为坚固的网络防线。
|
机器学习/深度学习 人工智能 安全
从深度防御视角理解勒索软件
从深度防御视角理解勒索软件
|
存储 安全 网络安全
网络信息安全管理之资产、脆弱性、威胁、风险
安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。
1355 0
|
安全 测试技术 网络安全
网络信息安全管理要素和安全风险评估
网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
250 0