面向初学者的网络安全(一)(3)https://developer.aliyun.com/article/1507745
七、人为因素
人们被视为网络安全中的最薄弱环节。
在本章中,我们将致力于介绍人为因素通常是网络安全故障的根本原因或重要因素的主要方式。
作为一次大学讲座的一部分,我对 2000 年存在的安全技术、当今可用的技术以及预计到 2025 年将要实施的技术进行了分析。贯穿始终的共同线索是,尽管安全性在应对不断演变的威胁方面有所提高,但仍然存在一种始终如一的方法来绕过这种安全性——只需损害或滥用授权用户的有效访问权限即可。
虽然可能有可能完全保护交易,以便只有有效的授权人员才能进行,但攻击者仍然可以通过简单地影响或强迫授权个人代表他们执行必要的操作来绕过这些控制。
操纵人们做某些事情并不是唯一可能造成安全漏洞的人为因素。最重要的人为因素是:
- 安全主题知识不足导致存在大量的开放漏洞。
- 捕获和传播风险不足导致反复出现、意料之外的网络安全故障。
- 企业内部以及/或关键供应商存在的文化和关系问题导致持有内部知识的人员不感兴趣、不满意。
- 安全培训投资不足导致我们所有人对我们管理的安全风险的意识水平低(即使我们不是网络安全专家)。
- 使用信任而不是程序,尤其是对于拥有信息、系统或设备特权访问权限的人员。
- 缺乏单一责任点。当超过一个人承担责任时,没有人承担责任。
- 社会工程,它可以涉及利用内部人员的访问或知识创建绕过其他安全控制的机会的各种方法。这些方法可能包括通过传统间谍技术从人员那里获取信息或操纵他们做特定的事情。
本书中的案例研究之所以被选择,是因为我根据经验知道它们代表了通常出现在最大网络安全故障中的因素混合物。每个案例中都包含了一些人为因素,这些因素导致了网络安全漏洞。
在我们更仔细地研究这些领域之前,我想分享一些关于人为因素问题如何容易被发现和因此易于被利用的真实案例。
如果一个组织的网络安全状况不佳,内部人员和接近组织的人都知道并谈论着。一个网络安全专业人士可以非常容易地在任何社交场合中只使用几个难以避免的问题就能了解一个企业的网络安全姿态是强还是弱。
在供应商的业务场所进行了为期两天的现场安全审核后,他们的首席信息安全官曾问了我以下问题:
“我们之前进行了一个为期整整一个月的内部审核。他们派了三个人来,几乎待了 6 个星期。我想问的是这样的。你独自一人在这里待了两天多,不仅发现了他们做的一切,而且还发现了一些他们漏掉的有效项目。我们本可以节省大量时间和金钱。但我想知道的是——你是怎么做到的?”
我思考了几秒钟是否要透露这个秘密。我决定,审核结束后,我可以透露。
“肢体语言”,我回答道。
我有完整的检查清单要过一遍,但是两天的时间几乎不允许我有太多时间深入测试其中的许多项目。在与公司人员进行采访式会议时,我会进行检查,一旦桌周围的肢体语言显示出不适的迹象,我就知道要深入挖掘。
公司带来参加会议的人越多,审核就越容易。我记得菲律宾的一次审核创下了与会者最多的纪录;我认为部分原因是由于涉及的合同规模,他们带来了 28 人到审核室。
实际上,我还有一个更大的秘密没有透露。文化。在注重改善员工的积极文化组织中,人们倾向于更喜欢彼此,相处得更好。如果这类公司出现问题,人们会提出来并解决掉。重视有效团队合作的员工导向型文化组织往往具有较少的安全漏洞和问题。
我还能够反向评估和测试组织文化对网络安全的影响,因为我经常被召唤来对某个组织进行审核,而某种重大失败之后。在所有情况下,毫无例外,都有重大的、导致负面文化的人为因素。安全漏洞通常是由于简单的因素造成的,比如把太多的工作交给太少的人,造成压力,或者绕过、忽视或者根本不设置安全控制。
不足的网络安全主题知识
尽管网络安全依赖于一些传统的安全原则,但它也有许多新的要求。不断采用新技术的速度不断产生更多潜在的网络安全漏洞。
除非你将大量时间投入到持续学习中,否则不可能及时了解新出现的威胁和攻击向量。
作为一名网络安全管理专家,我大约有 30%的专业时间用于阅读和了解新技术和威胁。虽然这使我能够跟上主要的风险,但经常有必要去研究新技术或威胁类型。
网络安全不是一个可以学习和应用多年的静态学科。 要保持对该主题领域的了解,需要持续而大量的个人投入。
如果经理不要求他或她的网络安全人员持有并保持来自公认机构的当前认证,那么他或她将不可避免地在网络安全知识水平上遇到问题。
训练一个可能会离开的网络安全员工比不对员工进行培训然后让他们留下更危险。
我在 2015 年至 2017 年间见证的最常见的错误之一是,许多组织倾向于雇用少量非常昂贵的专家,然后剥夺他们保持知识更新所需的培训时间。
风险的捕捉和沟通不足
第十二章专门讨论了这个重要主题领域。 但是,在讨论如何捕获和沟通风险的任何讨论中,都要考虑人为因素。
人们经常注意到可能对组织造成重大损害的风险,但却没有报告它们。 这通常出现在以下三种情况中之一:
- 风险不直接影响个人的当前位置、部门或预算。 这是壁垒思维的一个例子。
- 有时报告风险会带来负面的个人或职业后果。 一些企业认为报告风险的正式程序与组织的风险偏好相冲突。 员工会认为,如果没有报告疑似风险的简单机制或奖励,为什么要报告呢?**
如果过滤和升级风险的流程没有很好地发展,接收到任何报告的风险信息的接收者可能更倾向于掩盖它而不是沟通和管理它。
任何积极鼓励其员工将风险识别并报告到结构化、正式的风险管理框架中的组织将创建一个更加了解和不太容易受到攻击的企业。
**上述第二条子弹点的主题是我另一本书《网络安全揭秘:网络安全规则》的核心内容。
文化和关系问题
许多网络安全威胁是由内部产生的。 创建不满意或不感兴趣的员工的企业文化更有可能导致这种类型的威胁,而不是鼓励员工满意的企业文化。
在您的组织中,人们一般彼此喜欢吗,友好相处,并且认为公司投资于他们并且认为他们不仅仅是具有身份证号码的资产?
当人们感觉与组织没有联系或支持时,他们更有可能寻求机会利用自己的地位。 这是因为这些个体通常试图报复他们从雇主那里收到的支持不足。
一个组织的举报流程是反映企业文化并影响其网络安全姿态的另一个因素。如果公司员工和承包商感到舒适,能够通过独立的举报机构报告缺陷,保障他们的地位和匿名性,那么许多网络安全失误本可能被预防。然而,在现实世界中,报告的问题往往最终回到造成问题的人手中,还有足够的信息来识别报告问题的人。
组织对员工越开放和支持,员工也会越回报。一个封闭和不支持的组织会通过员工的普遍不感兴趣和感觉有理由使用自己的知识和权限谋取个人利益的内部人员创造出漏洞。
对于一个网络安全攻击来说,借助内部人员的帮助要容易得多。一个内部人员甚至不需要拥有特权访问权限,就能够为网络攻击提供重要的情报。如果我和一个不满意的普通员工进行五分钟的对话,通常我就能够找到足够的安全漏洞来识别一个网络攻击选项。想象一下,如果内部人员受到激励,他们能做到什么。
永远不要低估企业文化与其安全姿态之间的相关性。
根据我的经验,一个负面文化的企业会充斥着安全漏洞,有人愿意帮助揭露这些漏洞。
对安全培训的投资不足
在阅读本书的人中,是否有人为每个不同的网络账户维护单独的用户名和密码?在我最近在伦敦皇家学会参加的一个网络安全讲座上,许多安全专家也参加了,大约有20%的人举起了手。
“325,还在继续,”有人说。
每当一个网络安全攻击成功获取用户名和密码详细信息时,罪犯们很可能会首先使用自动化工具尝试在所有主要网络服务上重复使用相同的凭据。但正如网络安全讲座的统计数据显示的那样,包括网络安全专家在内的许多人并不了解使用不同的用户名和密码对不同账户的重要性。
这凸显了一个更大的问题,员工、供应商甚至客户都需要意识到他们的行为如何造成、阻止和发现安全问题。这个事实与网络安全密切相关。
当人们能够访问一个组织的数字系统时,他们的行为也会影响到员工、客户和其他人。这就是为什么任何有访问权限的人都需要对潜在的安全威胁有实际和定期的意识培训,以及如何避免它们以及如何报告任何疑似或确认的安全问题。
安全意识和建议需要包括针对个人可能访问的任何相关电子信息或系统的安全威胁的具体而实用的内容。例如:
- 当你不在旁边并且使用电脑或移动设备时,请不要将其锁定。
- 绝对不要在使用任何能够访问你工作场所系统的数字设备(手机、平板电脑或电脑)时饮酒。
- 在醉酒时永远不要讨论或谈论工作。
- 请注意,恶意软件可以通过点击链接简单地加载到你的电脑、手机或平板电脑上。因此,请不要点击你认为可能不安全的任何链接。
良好的安全意识培训应该简明、相关、有用、发人深省且频繁。其内容还需要定期更新,至少每年更新一次。
网络安全不是技术团队的纯粹技术问题。人们更有可能制造网络安全失败,而不是技术。安全意识是让人们了解这一点的主要途径。
使用信任而不是程序
作为一个物种,我们倾向于将失败作为学习机制。只有在某些事情出错之后,我们才会修复它。
在许多组织中,尤其是在那些正在发展壮大的组织中,少数几个特定个体享有无约束的特权,并被认为是完全值得信赖的。他们一直都在那里,他们一直都在做正确的事情,而加入移开信任系统的程序可能既昂贵又不必要。
我在上面的段落中所写的是在一个组织因为相信内部人员而遭受严重打击后常用的解释。
爱德华·斯诺登是这个问题的一个很好的例子。他在政府安全工作多年,一直都是安全的保证。可能出什么问题呢?
在任何包含任何类型关联特权的流程中,都必须确保存在程序,以确保没有人可以仅依靠信任独立执行操作。
即使一个人是首席信息安全官(事实上,尤其是他或她是),也不应该允许他或她直接控制和访问他或她被指定保护的安全基础设施。
控制和监控访问和权限的程序的严格性和广泛性应该与资产的敏感性成比例。权限和资产越敏感,就越需要额外的措施来监控、审查、检查和批准操作。
缺乏单一责任点
安全的另一个基石是确保数字环境中所有需要控制和管理的方面都有一个单一的责任点。
| 单一责任点(SPA 或 SPOA) - 所有关键资产、流程和行动必须明确归属并可追溯到单一人员的原则。 其理念是,没有定义明确的单一所有者是流程或资产保护失败的常见原因。 共同所有权被视为重要的安全漏洞,因为已经证明当超过一个人承担责任时,安全漏洞的持续概率会增加。 |
使用单一责任制已被证明非常有效;它被证明有助于成功地控制高度监管的系统。
共同责任制度反而效果不佳。当超过一个人承担特定资产、流程和行动的所有权和责任时,责任不清晰。失败时,共同所有者期望的不是同等的责任,而是同等的不负责任。
由于现代组织的复杂性,不同所有者的角色和责任有时会重叠,但决策者通过创建清晰定义、不重叠的边界来防止这种情况发生非常重要。
例如,想象一下我拥有一个系统,你拥有维护它的流程。明确定义的责任范围将规定,如果你的流程导致我的系统出现故障,那么产生的缺陷以及故障的成本和后果将由你负责,而系统的修复和从你那里收回的费用将由我负责。
社交工程
一个社交活动可能会损害世界上最好的网络安全。社交工程(传统间谍活动和更多)是人类因素中最引人入胜的。
| 社交工程* - 是通过个人互动来操纵人们以获取对某物的未经授权访问权的艺术。 |
让我不断惊讶的是,通过利用社交场合来窃取信息比直接攻击要容易得多。
如果你穿上一件带有徽标的工作服,拿着一个剪贴板,并且表现出自信,你就可以物理上进入许多你不应该进入的地方。然而,大多数可能影响网络安全的社交工程远没有这么大的风险。
一个将间谍活动和极客技能结合起来的攻击团队非常有效。不幸的是,这样一个团队很容易就能故意将特工置于能够接近‘信任’的人的情况中,或者以一种能够蠕虫般进入信任的供应商的场所或系统来提取非常敏感信息的位置。
每当有人与他人建立友谊时,他或她都有倾向于透露和讨论信息 - 包括关于工作场所的信息。即使是非技术人员在这类谈话中透露了一点内部知识,也足以给一个秘密的攻击者提供足够的弹药,足以绕过许多层次的安全防护。
防范社会工程的主要手段是通过真实案例的意识培训。以下是一个例子:
鲍勃在一个有 1000 名员工的大楼的主要大堂担任唯一的保安。早上,门禁控制门太慢了,所以鲍勃不得不为每个员工单独开门。安全措施变得松懈,人们习惯了用“嘿,鲍勃”来打招呼,然后鲍勃为他们开门。从鲍勃脸上的表情可以看出,他可能根本不知道他们中的大多数是谁。也许他认识其中的几百人。
这是我的社会工程问题:
- 如果我在酒吧里告诉你这个故事,并透露我在哪工作,你认为你能进入我的大楼吗?
- 如果你曾因合法理由访问过大堂,你认为你可能会注意到这个安全漏洞吗?
许多网络安全攻击都是机会犯罪。社会工程攻击也不总是事先计划的。如果错误的信息在错误的时间传递给错误的人,机会就会促成攻击。
作为任何深度防御策略的一部分,考虑到人为因素最有可能导致导致网络安全失败的机会是至关重要的。
如果你是一名网络安全专业人员,并且有机会,可以在任何事件响应程序的根本原因分析部分添加一个关于人为因素的问题。类似于这样的问题:
是否确定了任何以下人为因素对安全失败有所贡献?
- 应该存在的程序中存在的漏洞。
- 一些人知道但没有有效报告或管理的风险。
- 不感兴趣或不满的人员。
- 任何参与者的安全意识不足。
- 未经充分监控或隔离的访问特权级别。
- 任何个人为获取信息或系统而进行的社会操纵或虚构。
当然,还有另一组要考虑的人为因素 - 发起网络攻击的人的个人资料和理念。这些因素在第十一章“网络安全冷战”中进行了考虑。
在讨论谁发起和实施网络攻击之前,我们需要完善对网络防御的理解。为此,我们现在需要涵盖网络防御的核心要点。
八、技术网络安全
在本章中,我们将使用六个步骤来介绍之前提到的技术控制:
- 什么是攻击面?
- 标准网络安全攻击的生命周期。
- 技术防御的基本方法。
- 攻击方法的演变(向量)。
- 更高级的防御方法。
- 其他网络攻击和防御方法。
随着我们在本书中的进展,逐渐引入了许多技术术语。 在本章中,我们第一次使用了已经在本书早期定义过的技术术语,它将以粗体和斜体文本突出显示。 如果您需要刷新对含义的理解,您可以参考书后的字典。
如果我们第一次引入一个新的技术术语,我们将直接在其首次使用的段落下面定义它。
许多网络安全课程和认证几乎完全专注于技术控制。 如果您只需要获得一组有限的技术技能,这是一个有效的方法。 例如,现有的信息安全专业人员可能已经熟悉了本书早期介绍的许多安全控制。
重要的是要记住,即使是最好的技术控制仍然可能被非技术手段完全规避。
技术控制对网络安全至关重要,但其他非技术层面的防御也同样重要。
防御深度不能在不使用所有安全控制方法的情况下实现,包括技术、物理、程序和其他方法。
记住:有效的防御需要综合的方法。 一个成功的攻击可能会通过一个漏洞发生。
什么是攻击面?
要使网络攻击成功,攻击者需要做的第一件事情就是找到一个入口点。
在保卫数字景观时,我们需要了解攻击者可能会瞄准的区域。 这个目标区域被称为攻击面。
| 攻击面* - 未经授权的用户(“攻击者”)可以尝试将数据输入或从环境中提取数据的不同点的总和。 |
回顾第六章我们研究了网络防御点并确定了六个主要类别:
| i) | 数据 - 以电子或数字格式存在的任何信息。 |
| ii) | 设备 - 用于创建、修改、处理、存储或传输数据的任何硬件。 计算机、智能手机和 USB 驱动器都是设备的例子。 |
| iii) | 应用程序 - 驻留在任何设备上的任何程序(软件)。 通常,程序存在是为了创建、修改、处理、存储、检查或传输特定类型的数据。 |
| iv) | 系统 - 一组共同运行以服务更复杂目的的应用程序。 |
| v) | 网络 - 用于连接、传输、广播、监视或保护数据的设备、布线和应用程序的集合的群组名称。 网络可以是物理的(使用有形资产如布线)或虚拟的(使用应用程序创建设备或应用程序之间的关联和连接)。 |
| vi) | 其他通信渠道 - 用于发送、存储或接收电子信息。 |
如果上述列表中的任何项目为企业承载或处理信息,则它将是潜在攻击面的一部分。
即使应用程序存在于供应商的数字系统中,如果它包含企业的数据或提供关键服务,那么成功的网络攻击的任何后果通常仍然是组织的法律责任。 这意味着在考虑攻击面时记住包括这些外部部分是至关重要的。
企业可能不负责日常运营这些外部系统,但仍然负责确保正确的安全性措施已经到位,并且如果安全性未能保护自身服务或信息,则也要承担责任。
安全架构师的一部分职责是尝试减少攻击面的大小,同时满足持续的业务需求。 任何时候都可以减少攻击面的大小和复杂性,都会更容易防御。
另一种减少安全风险的方法是将攻击面细分。 这可以通过使用网络分割来实现,这使系统具有更强的弹性。
| 网络分割 - 将用于连接、传输、广播、监视或保护数据的设备、布线和应用程序的单个集合分割成较小的部分。 这样可以更离散地管理每个部分,允许在价值最高的部分应用更高的安全性,并且在恶意软件感染或其他破坏性事件发生时允许影响较小的部分。 |
如果某个部分受到攻击或以其他方式被损害,可以将其隔离,对组织使用的整个数字景观的整体影响较小。
此外,还可以创建不同的安全区域。 高价值数据存储或交易的攻击面(包括网络段)可以应用更高级别的安全性。 其中信息的存储或交易本身价值低的地方可以使用更低(成本更低)的安全级别。
在评估允许低安全级别的地方时必须小心。 这是因为有很多例子表明,攻击利用攻击面的低安全区域作为进入更高安全区域的路径。 还记得爱德华·斯诺登吗? 他只是找到了一个被错误分类为较低安全级别的文件,以提供地图,从而使他能够从数字景观的更严格保密的部分获取信息。
周期性的网络安全攻击
大多数网络攻击涉及恶意软件。如果涉及恶意软件,通常会有七个攻击过程的基本阶段。这些是:
(i)侦察
(ii)工具/准备
(iii)感染
(iv) 持久性
(v) 通信
(vi) 控制
(vii) 实现价值
这种生命周期通常被描述为高级持续威胁,也被称为 APT。 APT 在本书的前面有定义,在术语部分也可以找到更完整的定义。
现在我们将更详细地查看生命周期的每个阶段。
侦察
为了使犯罪分子的攻击尽可能地成本高效,研究是最好的方法。互联网是网络攻击者的庞大信息库。
有一些工具(例如 Harvester)允许用户简单地输入潜在目标的网站名称,程序会显示组织员工在 LinkedIn、Facebook 等公共网站上公布的所有姓名、电子邮件地址、职位以及其他信息。
你可能还记得,Target(零售商)的黑客袭击据称使用了一份公开可用的图表,详细说明了它的销售点系统的配置。
对于更有针对性的攻击,特别是国家级攻击,去当地酒吧或在会议上交流也是获取关于如何最容易地妥协环境的情报的好方法,尤其是如果侦察专家能找到不满的员工或顾问。
工具/准备
了解潜在进入环境和目标系统的路线后,黑客现在可以为工作选择合适的工具。
黑客不再需要广泛的技术知识。现在,恶意软件的制作就像准备 Word 文档一样简单。可用的软件允许用户通过点击所需的功能来自定义恶意软件,然后黑客可以添加自己独特的加密。
更先进的恶意软件创建工具甚至会让黑客定义他们希望自己的攻击工具如何改变外观 - 以及多频繁地改变 - 以帮助他们避免被检测到。
感染
在感染阶段,攻击者试图使用任何可能的方法将恶意软件放置到目标攻击面的任何部分。
| 感染 - (在网络安全的背景下)外部代理人的无意入侵,攻击者利用这种入侵来造成损害或破坏。 |
持久性
一旦安装完成,恶意软件将尝试通过尽可能多的机会来绕过或禁用防御措施,将自身复制到可以在资产重置或恢复时重新安装的位置,并将自身伪装成不起眼的文件。
试图在攻击面内保持位置被称为持久性。帮助恶意软件持久存在的常见目标是将其安装到主引导记录中。
| 持续性 - 寻求在面对阻力的情况下持续存在。主引导记录 - 任何电子设备上定义初始化或重新启动时应加载哪个操作系统的第一个扇区。 |
安装在主引导记录上使得恶意软件能够在设备重新启动时重新安装自己。这提供了在启动(或‘引导’)序列期间可能启动的其他安全措施的禁用或绕过的可能性。
通常,恶意软件将使用一种称为缓冲区溢出的利用(故意将更多数据写入内存,而不是可能的)来实现称为外壳访问的命令级别访问。
| 利用 - 利用安全漏洞。缓冲区溢出 - 超出用于在位置之间移动数据时临时存储数据的电子存储器区域。某些形式的恶意软件使用此过程来利用电子目标。外壳访问 - 命令级别的权限,可在电子设备上执行执行控制。 |
通信
要有效,恶意软件通常需要通信能力。通信(入站和出站)可以让恶意软件执行以下一项或多项操作:
- 寻找其他恶意软件以进行合作。
- 泄露窃取的信息。
- 从攻击控制器(例如 - 从僵尸网络控制者)那里接收指令。
| 僵尸网络控制者 - 是使用自动化技术寻找易受攻击的网络和系统的黑客。僵尸网络控制者的初始目标是安装或找到可用于实现特定目的的僵尸程序。一旦一个或多个僵尸程序就位,黑客就可以控制这些程序来执行更大的目标,如窃取、破坏和/或破坏信息、资产和服务。另请参见僵尸网络。僵尸程序 - 是设计用于执行特定任务的计算机程序。它们通常简单、小巧,旨在执行快速、重复的任务。当程序的目的与组织的目标和需求相冲突时,可以将机器人视为一种恶意软件形式。另请参见僵尸网络。 |
如果恶意软件能够通信,它通常可以远程适应以更改或添加功能,甚至可以接收更新(新编程),使其继续避免损坏或利用其已渗透的渗透点。
每个恶意软件通常都有多种通信选项。如果一个通信方法无效,它可以切换到另一个。它还可以接收有关新通信路径的更新,或者,如果它能找到其他熟悉的恶意软件,它可能会将其用于自己的通信目的。
攻击者通常寻求安装或利用大量的僵尸程序,这导致了一个称为僵尸网络的机器人网络。这提供了对攻击的更大韧性,同时提供了更多的潜在通信渠道。
控制
一旦恶意软件到位并持续通信,攻击者就可以协调、更新和指导恶意软件的操作。
如果防御措施可以阻止恶意软件与控制器通信,通常情况下它就会变得无害,因为失去接收指令或发送窃取信息的能力通常会使其无效。
一些形式的网络防御使用斩首作为一种在发现恶意软件后停止其传播的方法之一。
| 斩首* - (在恶意软件的背景下)阻止任何受损设备能够通信、接收指令、发送信息或将恶意软件传播到其他设备。这可以有效地使许多形式的恶意软件失效,因为它消除了任何命令、控制或窃取的好处。这通常是威胁清除过程中的一个阶段。 |
实现价值
除非肇事者能从中获得某些价值,否则任何网络攻击都不值得。
该价值可能仅仅是为了破坏运营、窃取和转售信息或者要求赎金。
一个攻击只有在攻击者获得回报时才真正值得。如果攻击者发起了勒索软件攻击,但未能收到赎金支付,这可能会给目标组织带来大量时间和金钱成本,但对于犯罪分子来说,这仍然会导致净损失。因此,无论通信中断或其他服务的中断会导致什么结果,都不建议任何组织或个人对任何勒索软件要求进行支付。
| 勒索软件 - 一种恶意软件(malware),它阻止或限制一个或多个数字设备或应用程序的使用,或使一组电子数据变得无法读取,直到支付一笔钱为止。 |
技术防御的基本方法
对于攻击面的每个部分(也称为网络防御点),都有一系列可用于防止或检测网络攻击的选项。
一旦感染成功,管理网络攻击就需要付出更多的努力。实际上,一旦攻击者获得了未经授权的访问权限,恶意软件通常可以持续数月甚至数年。
防止感染或入侵比事后采取纠正措施更有效。
在技术保护的早期阶段,大多数攻击都是通过电子邮件发起的。现在情况已经不再如此。攻击者现在使用任何可能的攻击向量。这些不断演变的技术将在本章的下一部分介绍。
攻击可能发生在攻击面的任何地方,因此考虑主要的防御方法及其部署位置非常重要。请记住,攻击面的关键组成部分是:
- 数据
- 网络
- 设备
- 应用程序
- 系统
- 其他通信渠道
我们还应该定义主机防御和网络防御之间的区别。
| 基于主机 - 描述安装在要保护、服务或颠覆的设备上的情况。基于网络 - 描述安装在用于连接、传输、广播、监视或保护信息的设备、布线和应用程序社区上的情况。 |
许多年前,主要依赖基于网络的安全措施被认为是足够的。这已经不再足够了。企业现在在所有可能的地方都运行安全性。这意味着攻击面的每一部分都应包含足够和适当选择的安全防御。
几个原因导致网络安全不再是可靠的安全防御层,包括:
- 许多活动发生在网络之外(例如移动和云应用程序)。
- 当恶意软件被加密或伪装成合法流量时,网络可能无法检测到其运行。
- 网络不能再依赖于其中包含的设备之间的“信任”,因为这些设备本身不再能够轻松识别和击败攻击。
现在许多小型企业甚至不再设置计算机网络。相反,他们试图保护每个项目(应用程序、设备、服务)并运行足够的备份和恢复流程。
现在有成百上千种不同类型的安全防御技术可供选择。随着威胁的出现,为了帮助应对这些威胁,新技术也随之出现。当这些技术有效时,它们逐渐融入更简单、更统一和更容易部署的软件和硬件中。
由于技术种类繁多,在本节中,我们将只关注一些最成熟和领先的形式。
主要的技术防御方法可以被认为是:
- 反恶意软件/高级端点保护解决方案
- 防火墙
- 入侵防御与入侵检测
- 数据丢失预防
- 加密/密码学(尽管这也被用于攻击)
- 代理服务器(同样也用于攻击和防御)
- 身份和访问控制
- 容器化和虚拟化
- 渗透测试
- 漏洞评估
现在,我们将为每个主要的技术安全控制提供基本定义。
| 端点 - 任何可以用来存储或处理信息的电子设备。笔记本电脑、智能手机甚至智能手表都是端点的例子。 |
反恶意软件
| 反恶意软件 - 是一个设计用来查找特定文件和行为(签名)的计算机程序,表明存在或尝试安装恶意软件。一旦检测到,程序就试图隔离攻击(隔离或阻止恶意软件),如果可以的话,将其删除,并向适当的人员警告尝试或存在恶意软件。该程序可以是基于主机的(安装在由人直接使用的设备上)或基于网络的(安装在通过其中传递信息的网关设备上)。这种软件的旧形式只能使用签名文件检测特定的、预定义的恶意软件形式。新形式使用机器学习,并利用额外的技术,包括行为监控。签名 -(在网络安全上下文中)是唯一的属性 - 例如,文件大小、文件扩展名、数据使用模式和操作方法 - 用于识别特定的计算机程序。传统的反恶意软件和其他安全技术可以利用这些信息来识别和管理某些形式的恶意软件或通信。 |
在本节中,粗体字词的进一步定义可以在本书的“网络安全英语”部分找到。
反恶意软件是主要的防御方法。为了有效,通常会安装在尽可能多的攻击面上。这通常包括用户设备(计算机、智能手机、平板电脑等)和网络硬件。
反恶意软件市场正在发生变化。以前创建恶意软件是困难的。在那时,反恶意软件依赖于团队分析任何新东西,并编写特定的识别和隔离例程,以阻止和隔离有害程序。
那个过程已经不再有效了。一代新的反恶意软件现在依赖于识别可疑恶意软件的能力,使用一种基本形式的人工智能。甚至在运行之前,文件都不必运行就可以被隔离或移除。这种“下一代”反恶意软件可以阻止超过 99%的恶意软件,即使可疑程序以前从未遇到过。
不幸的是,许多老客户仍在使用基本上无效的旧式反恶意软件。所以,如果你是个人或为一家安装了较旧的反恶意软件的公司工作,检查它运行得有多好以及它对新的、修改过的和以前未知的恶意软件声称的有效性是个好主意。使用下一代反恶意软件的组织要解决的问题大大减少。
更先进的应用程序和系统可能还有自己的额外反恶意软件,它在某些功能期间运行;例如,它可能会在允许用户存储、读取或以其他方式使用文件之前扫描上传的文件以查找威胁。 这特别重要,因为应用程序和系统可能使用可以伪装为应用程序数据的加密形式,从而绕过其他安全防御。
反恶意软件需要定期更新最新的更新,其中包含有关新的和进化的威胁的信息。
防火墙
| 防火墙 - 是用于监视和保护入站和出站数据(电子信息)的硬件(物理设备)或软件(计算机程序)。 它通过应用一组规则来实现这一点。 这些物理设备或计算机程序通常至少部署在每个网络访问点的周边。 软件防火墙也可以部署在设备上以增加额外的安全性。 防火墙中应用的规则称为防火墙策略。 高级防火墙通常配备了更统一的威胁管理的其他防御功能。 |
防火墙在每个网络的边界和设备上充当着门卫的角色。
早期的防火墙主要依赖于理解发送方的互联网协议(IP)地址、目标端口号和使用的协议(通信方法)。
| 协议 - (在电子通信的上下文中)是用于在不同的电子位置之间发送信息的一组已建立的规则。 协议提供了一个标准,可用于以预期和可理解的格式发送或接收信息,包括有关源、目的地和路由的信息。 协议的示例包括互联网协议(IP)、超文本传输协议(HTTP)、文件传输协议(FTP)、传输控制协议(TCP)、边界网关协议(BGP)和动态主机配置协议(DHCP)。互联网协议 - 是用于从网络上的位置发送或接收信息的一组规则,包括有关源、目的地和路由的信息。 每个电子位置(主机)都有一个唯一的地址(IP 地址),用于定义源和目的地。端口号 - 用作电子通信的一部分,用于表示正在使用的通信方法。 这允许将数据包定向到一个程序,该程序将知道如何处理它。数据包 - (在电子通信的上下文中)是一组为传输而组合在一起的电子信息。 这个捆绑通常包括控制信息,以指示目的地、源和内容类型,以及内容(用户信息)本身。 |
允许和禁止的数值被存储为这些早期防火墙的防火墙策略。这种设置被称为包过滤方法。它允许快速通过,但不检查数据包的内容。这使其容易受到欺骗。
| 包过滤* - 根据规则传递或阻止电子信息束。另请参见数据包伪装 - 通过模拟或其他手段隐藏电子信息的真实来源。通常用于通过假装来源于可信位置来绕过互联网安全过滤器。 |
除了包过滤和端口阻塞之外,防火墙现在还包括其他防御措施,包括入侵预防、入侵检测以及下面将要解释的其他方法。
强大的防火墙还包括良好的防火墙策略,通常可以通过它只包含少量规则并且显示经常审查以确保其配置为防范最新威胁的事实来识别。
入侵预防和入侵检测
| 入侵检测系统(IDS) - 监视和检查通过它们的电子通信的计算机程序,目的是检测、记录并对任何可疑的或其他不需要的信息流引发警报。IDS 是入侵检测和防止系统的一种变体,因为它们没有阻止活动的能力;它们只是监视、检查并提醒。入侵检测和预防系统(IDPS) - 监视和检查通过它们的电子通信的计算机程序,目的和能力(i)阻止和记录(记录)任何已知的恶意或其他不需要的信息流的关键信息,以及(ii)记录并引发关于任何其他被怀疑(但未经确认)具有类似性质的流量的警报。这些通常放置在通信路径上,以允许 IDPS 通过丢弃或阻止数据包来防止不需要的信息进入或离开网络。IDPS 还可以清除一些电子数据,以删除任何不需要或不受欢迎的数据包组件。入侵预防系统(IPS) - 请参见入侵检测和防止系统。与 IDPS 相比,IPS 略有变化,因为它们可能不收集任何检测信息,而只是根据它们接收到的直接规则或指令来阻止(预防)不需要的流量。 |
预防总是优于仅检测。如果在事件发生后检测到入侵,则纠正问题的开销将更大。
对于这些系统来说,有两个关键挑战。
第一个问题是确定恶意或不需要的通信的外观。这可以通过三种不同的方法来实现:
- 存储已知的攻击通信模式,称为签名。然后可以具体检测到这些模式,并且(在入侵防止的情况下)可以被阻止。
- 程序也可以查看统计数据,并寻找任何异常或异常行为。这种检测形式被称为统计异常检测。
- 有时,恶意或不需要的通信会调整发送的数据包,使协议与其通常格式不同。因此,检测协议格式的显著变化是识别恶意通信的另一种方式。这被称为有状态协议分析检测。
第二个更重要的问题是人们希望他们的通信能够快速传输和接收,而且没有中断。强加许多检测规则并经常遇到检测和预防系统会减慢通信速度,因此入侵预防和检测涉及在安全性和性能之间取得平衡。
如果设置了太多规则和限制,电子流量(通信)可能会丢失或延迟。如果设置了太少的规则,不需要的数据可能会进出而不被检测或阻止。
数据丢失预防
| 数据丢失预防(DLP)- 是一个描述阻止特定类型信息离开电子设备的术语。有专门的硬件和软件类型可用于实现此目标。 |
任何攻击者的关键目标之一是窃取有价值的信息。这些有价值的信息通常具有某些属性,这些属性也可以用来保护它。
利用这些信息属性来帮助防止数据丢失取决于通过在数字景观的关键部分放置技术来加强安全性的各种方法。
基于主机的数据丢失预防是一种技术,可以帮助阻止人们将关键、敏感或其他有价值的信息发送到企业网络之外。
基于网络的数据丢失预防技术可以控制允许在位置之间传输的信息类型。
将数据丢失预防措施放置在位的组织需要定义将应用于允许或阻止某些类型信息传输的业务规则(标准)。在本书前面介绍的信息分类可以用于此类数据丢失预防安全性;然而,高级数据丢失程序也可以自动检测特定信息的存在,即使尚未分类。任何违反公司规定移动信息的尝试都可以被阻止或挑战。
允许传输的任何关键信息也可以通过使用额外的加密(下文介绍)来更安全。
当直接应用于人们使用的设备(计算机、智能手机和平板电脑)以及处理大量信息的关键业务应用程序时,专门的数据丢失预防技术被证明特别有用;例如,在电子邮件服务和金融系统上。
除了阻止数据的传输,这些安全程序还可以发出警报,甚至可以插入数据,帮助跟踪数据包的起始点和目的地,而用户并不知情。
这些技术在个人信息交易较多的地方也非常有价值。它们可以帮助确保隐私法规得到可证实的执行。
加密 / 密码学
将消息编码,以便任何拦截它们的人都无法阅读,这项技术已经存在了很长时间。例如,公元前约 160 年,希腊历史学家波利比奥斯发明并描述了一种被称为波利比奥斯方阵的密码技术。澳大利亚的密码研究实验室这样描述它:“通过将文本中的字母替换为向右移动三个位置的字母来对消息进行编码。A 变为 D,V 变为 Y,等等。”第一个使用这个工具的人是朱利叶斯·凯撒。
现代密码技术稍微难以解密,但加密的优点仍然有效 - 它是一种可以直接应用于数据的安全技术,并且如果没有解密信息的能力,数据只是一堆无用的字符。
尽管它在帮助确保一般通信方面非常有用,但加密存在两个主要问题:
第一个问题是加密信息很像携带外交包裹。除非拥有密钥或可以打开容器,否则没有人可以检查内容。如果有人想要防止信息落入错误的手中,那么这是一个优势,但这也意味着几乎所有通过组织其他安全措施的信息都无法检查。这将在下一章中进一步讨论。
另一个大问题是加密并不持久。如果要保护的内容不是时间敏感的话,它还算是个不错的选择。然而,任何加密最终都可以被破解,只要给予足够的时间和资源。今天几乎不可能解密的加密,十年后将相对容易破解。
即使存在这些限制,加密仍然是安全工具集的重要组成部分。它防止了在通信阶段拦截的信息立即变得脆弱。
自动加密和解密技术(例如)可以放置在电子邮件服务上,以帮助在传输过程中保护消息。
代理服务器
| 代理服务器 - 是一个用于提供请求事务和其目的地之间中间服务的程序。它可以调整一些信息,以帮助确保发件人的匿名性,而不是直接发送事务。此外,它可能会存储(缓存)经常访问的任何信息,以帮助加快响应时间。 |
代理服务器的主要安全角色是帮助保持有关发送者或请求者的信息隐藏或保密,以防止该信息被滥用。例如,当您在互联网上请求页面时,代理服务器可以替换其他信息,而不是透露您的姓名和精确计算机详细信息。当接收到请求的响应时,它可以无缝地将请求的信息返回给您。
代理服务器通过隐藏特定网络中有关位置和用户的确切信息来增强安全性。
攻击者经常出于同样的目的使用代理服务器。
身份和访问控制
| 身份和访问控制 - 调节每个人和计算机服务如何确认其所声称的身份(认证)以及如何监视其权限的方法。 |
确定每个信息交易是否合法更简单,当请求者的身份及其请求的权限可以轻松确认时。
一个企业管理的不同身份和访问系统的数量越多,这些系统就越可能受到攻击。
安全架构师通常旨在使用单一主要技术来控制企业整个数字化景观中的身份和高级访问权限,作为大多数安全策略的一部分。
这允许轻松更改或撤销每个人的访问权限。它还允许轻松识别任何试图欺诈性地进入帐户的尝试。
每个单独的用户名和密码通常表示正在使用单独的身份管理系统。身份管理系统越多,系统被攻击而不被察觉的可能性就越大。
安全的身份管理系统现在使用的流程甚至可以使外部系统使用单一的中央用户名和密码,而无需将密码信息与外部系统共享。例如,云服务可以通过验证连接来使用企业的用户名和密码,而不会透露除了访问尝试是否有效之外的任何信息。
尽管访问权限主要是一种程序控制 - 例如,确保每个人被分配的特权最少,以执行其职责 - 但也有技术方面。
访问权限通过应用程序和系统进行管理和执行。
同样,通过在不同系统中集中跟踪特权级别,或者通过从中央位置强制执行特权限制,可以更容易地识别关于访问的业务规则的破坏尝试。
容器化和虚拟化
随着包含恶意软件的网页和电子邮件数量的增加,现在有许多技术可以隔离像互联网浏览和电子邮件管理这样的活动,以防止它们意外感染敏感数据和系统。这些技术将这些互联网活动隔离开来,使其在安全环境中执行,即使被感染也不会传播恶意软件。
这些技术使得可以使用单一设备,但同时以一种隔离和处理网络浏览和电子邮件活动的方式,几乎不太可能任何感染会影响物理设备。
这些技术使用一种称为“虚拟化”的技术,它创建一个隔离的软件副本来替代电子设备的真实操作系统,然后在每次使用时创建、使用和删除一个新的副本。即使隔离的副本被感染,其配置也可以防止恶意软件泄漏,并在每次使用后例行地完全删除它。每次开始新的网络浏览或电子邮件会话时,都会创建一个全新的操作环境软件副本,然后在会话结束时删除。
最初,虚拟化软件被作为独立的安全技术出售,但现在已经整合到一些操作系统和应用程序中。
渗透测试
| 渗透测试(也称为攻击和渗透测试或渗透测试)- 检查和扫描任何应用程序、系统或网站,以识别可能被利用的潜在安全漏洞(漏洞)。一旦识别出漏洞,该过程将继续确定这些漏洞在攻击中可以被利用的程度(渗透可能性)。通常这些检查是在一个测试区域进行的,并模拟攻击者可能使用的相同技术。这是为了防止任何无意的运营中断。这些检查通常在任何应用程序或网站首次使用之前进行,并且定期(重复)进行;例如,每次程序更新或每 6 个月。任何重大漏洞必须在适当的风险规模下的时间范围内解决(修复)。不要与漏洞评估这个术语混淆,漏洞评估只是识别漏洞而不检查它们如何被利用。漏洞 -(在网络安全的背景下)软件(包括操作系统)的设计、实施或操作中的弱点,可能被利用并导致损害或危害。 |
每个计算机程序内部可能存在大量潜在的安全漏洞。这些程序通过应用程序和系统在攻击面上表示。
检查这些漏洞的存在的唯一方法是通过称为渗透测试的过程。这个过程可以利用企业支付的道德黑客手动尝试识别安全弱点。还有可以执行类似评估的自动化工具。
白盒渗透测试(也称为清箱测试)是描述将被测试计算机程序的技术布局提供给渗透测试的情况的术语。这使得测试更容易、更便宜,但通常会导致比黑盒测试更多问题的识别。
黑盒渗透测试是指渗透测试人员在事先没有关于计算机程序技术细节的任何信息的情况下进行测试的情况。虽然这种场景通常更真实地反映了真实攻击的特征(除非攻击者设法获得技术细节的副本),但它更昂贵,通常不太有效地找到所有潜在的安全漏洞。
在渗透测试(或任何其他时间)期间识别到的任何重大漏洞都必须修复。通常,在将程序投入实际使用之前完成这一过程。如果在已经投入实际使用的程序中发现了漏洞,则修复方法将取决于比较利用漏洞可能带来的风险和成本与企业因暂时暂停该程序而可能承担的成本。
漏洞评估
| 漏洞评估 - 在计算机、软件应用程序、网络或数字景观的其他部分中识别和分类安全漏洞的过程。这通常是一种被动的识别技术,只旨在识别漏洞,而不探索这些漏洞如何被用于攻击。这不应与渗透测试混淆,后者可能包括来自漏洞评估的信息,但将继续探索如何利用任何漏洞的可能性。端口扫描 - 通常由计算机运行的过程,用于检测可以用于渗透或渗透企业电子信息的开放访问点(端口)或从企业中渗透或渗透电子信息出去。 |
渗透测试只是识别漏洞的一种方法;事实上,还有许多其他方法。及时了解关于新漏洞的行业通知是其中一种方法。定期运行或连续运行端口扫描和完整漏洞评估是另外两个示例。
知道存在哪些潜在漏洞只是整个过程的一部分。重要的是要跟进并按照适当的优先顺序关闭或以其他方式减轻这些潜在的漏洞。
所有上述方法的集合代表了当前电子设备和它们处理、存储和交易的信息的技术保护的最新主要方法。
然而,我们采用新技术的速度意味着攻击者不断寻求新的更巧妙的方法来突破这些防御措施,所以不幸的是,它们不会保持当前时间太长。
我们尚未涵盖的一个主要防御技术是利用统一威胁情报的安全协调程序。
现在是时候看看这些威胁和攻击是如何演变的,以及我们可以采取什么措施来抵制这些新的攻击手段。
