简介

• 信息安全的目标
• 攻击
  • 攻击者及动机
  • 漏洞
  • 攻击类别
  • 基本攻击步骤
  • 攻击工具
  • Advance Persistent Threats: APT
• 防御
  • 安全探测
  • 风险管理：控制
  • 预防措施
  • 纵深防御
  • 反应式防御
• 信息安全中的数据挖掘
  • 为什么要大数据
  • 恶意软件大爆炸
  • 检测分类
    • 信息来源
    • 分析策略
    • 时间
    • 活动方式
    • 持续性
• 参考资料

世界上只有两种公司： 被攻击过的和即将被攻击的。 即便如此，也可以合并为一类：被攻击过的和将再次被攻击的。

联邦调查局局长 Robert Mueller

信息安全的目标

• C-I-A 三原则
  • 保密性
    • 不得未经授权就披露信息
  • 完整性
    • 不得未经授权就修改信息
  • 可用性
    • 不得未经授权就禁用信息
• 其他
  • 隐私
  • 真实性
  • 不可否认
  • 问责
  • 可审计

攻击

攻击者及动机

• 脚本小子
  • 好奇心驱动
• 网络犯罪分子
  • 利益驱动
  • 典型的人口统计资料：东欧，巴西
• 民族国家的黑客
  • 权力驱动
  • 典型的人口统计资料：东亚，中东
• 黑客行动主义者
  • 意识形态驱动
  • 典型的人口统计：北美，西欧
• 网络雇佣兵
  • 受雇攻击
• 业内人士
  • 受到不满

漏洞

• 后门
  • Kleptographic 攻击
  • Rootkit
• 拒绝服务 （DoS）
  • 资源枯竭
  • 攻击放大器（例如，设计不佳的FTP，DNS）
  • 应用程序或操作系统漏洞
• 窃听
  • 听网络上的私人通信
  • 监测硬件电磁传输
• 漏洞
  • 控制计算机系统，提权或者 Dos 攻击
  • 使用木马，病毒
• 社会工程学
  • 人类：安全上最薄弱的环节

攻击类别

• 探测
  • 信息收集（1:1，1:m，m:1，m:n 模式）
  • IPSweep，portsweep，nmap 等
• Denial of Service (DoS)
  • TCP SYN flood，Ping of Death，smurf，neptune 等
• 远程到本地攻击 (R2L)
  • 蛮力/字典攻击，缓冲区溢出，未经验证的输入攻击
  • 社会工程，木马
• 用户到根攻击 (U2R)
  • Buffer overflow，rootkit 等
• 感染
  • 木马/蠕虫/病毒
  • 传播攻击

基本攻击步骤

• 准备
  • 收集信息：有效的IP地址和端口，操作系统，软件类型和版本
• 漏洞
• 留下
  • 后门
• 清理
  • 重新启动崩溃的守护进程，清理注册表/日志文件
• 可变顺序和持续时间
  • 攻击者的技能水平
  • 要利用的漏洞类型
  • 先验知识
  • 攻击者的起始位置

攻击工具

• 信息收集
  • 嗅探：捕获穿越网络的数据包
    • Tcpdump，Ethereal，Gulp，Net2pcap，Dsniff 等
  • 网络映射/扫描/指纹识别：主机/ IP /端口，协议详细信息
    • Nmap，Amap，Vmap，Ttlscan，P0f，Xprobe，Queso 等
• 发起攻击
  • 木马
    • Danger，NukeNabbler，AIMSpy，NetSpy 等
  • DoS 攻击
    • Targa，Burbonic，HOIC，LOIC 等
  • 数据包构造工具
    • Packeth，Packit，Packet Excalibur，Nemesis，Tcpinject，Libnet，SendIP 等
  • 应用层工具
    • Code Red Worm，Nimda Worm，AppDDoS，RefRef 等
  • 用户攻击工具
    • Ntfsdos，Yaga 等

Advance Persistent Threats: APT

• 针对高价值资产的针对性攻击
• 低和缓慢
• 避免警报
  • 使用被盗的用户凭证
  • 0-day 漏洞
  • 在网络中不活跃
  • 进展缓慢：运行数月或数年
  • 超越当下的 IDS 的有限的时间窗口
• 多级别
  • 漏洞
  • 命令与控制
  • 侧向运动
  • 突破口
• 典型的目标
  • 窃取知识产权 (IP)
  • 获得敏感的客户数据
  • 访问战略业务信息
    • 财务收益，丑闻，勒索，数据投毒，非法内幕交易，扰乱组织的业务
• 攻击者
  • 资金雄厚
  • 技术高超
  • 目标明确
  • 针对特定组织的特定数据

防御

安全探测

• 第一代：入侵检测系统（IDS）
  • 无法做到 100% 的保护/预防
  • 分层安全
• 第二代：安全信息和事件管理（SIEM）
  • 关联来自不同入侵检测传感器的警报
  • 向安全分析员提供可处理的信息
• 第三代：大数据安全分析
  • 上下文智能安全
  • 长期相关性

风险管理：控制

• 行政管理
  • 政策，准则
    • 密码政策
    • 支付卡行业数据安全标准 (PCIDSS)
    • Principle of least privilege
• 物理
  • 门，锁等
  • 职责分离原则
• 逻辑
  • 使用的软件和数据

预防措施

• 协议
  • 安全套接字层（SSL）：源认证
• 基于主机的保护
  • 安全的操作系统，修补
• 访问控制
  • 标识：用户名
  • 身份验证：你知道/有的东西
  • 授权：文件权限，Kerberos，需要知道的原则
• 防火墙
  • 控制网络间的流通信（例如从/到互联网）
• 安全设计
  • 最小特权原则，代码审查，单元测试，纵深防御
• 安全编码
  • 缓冲区溢出，格式化字符串漏洞，代码/命令注入

纵深防御

• 分层的方法
  • 将系统划分出网络区域
  • 将防火墙放在区域的边界上
  • ISP 和防火墙之间的边界路由器用于过滤流量
  • 切换每个区域，降低嗅探效果
  • 加密
• 最后一层防线
  • 检测

反应式防御

• 例子
  • 已知恶意可执行文件的防病毒签名
  • 过滤不需要的电子邮件
  • 针对受损网站的网页过滤器
  • 沙盒隔离恶意行为
• 入侵/泄露时间与问题被察觉的时间，二者时间差的的中位数在 300-400+ 天
• 0-day 攻击的持续时间
  • 19天到30个月
  • 中位数8个月，平均10个月
• 61% 的攻击由第三方发起
• 企业不愿透露数据发生泄露
  • 只有 2%-30% 愿意披露
• 网络边界模糊
  • 云服务
  • 手机/可穿戴设备
  • 合作伙伴业务

信息安全中的数据挖掘

为什么要大数据

• 攻击形势
  • 攻击越来越复杂
  • 攻击变得容易
    • 对攻击者的知识要求降低
    • 攻击工具质量提高
  • 攻击者积极性高
    • 攻击者只需要成功一次，而防御则需要每一次都成功
• 攻击机制不断进化/变异，当前的检测技术失效
  • 多态恶意软件
  • 0-day 攻击
  • APT
• 网络边界模糊
  • 手机/可穿戴设备
  • 云服务
• 大数据技术可以存储和分析更高容量和更多类型的数
• 2010年 Verizon 数据泄露调查
  • 86% 的数据泄露情况，记录在日志中
  • 检测机制未能引发警报
• 我们应如何感知数据？

恶意软件大爆炸

• 2011年，新增了4.03亿个恶意软件变种
• 2012年第一季度,迈克菲每天收集100,000个独特恶意软件样本
• 2012年第三季度,迈克菲恶意软件签名数据库中有1亿多个样本
• 实际上,样本签名无法跟上增长的速度

检测分类

信息来源

• 基于主机
  • 系统调用，系统日志
• 基于网络
• 无线网络
• 应用程序日志
  • 数据库日志，网络日志
• IDS传感器警报
  • 较低级别的传感器警报

分析策略

• 滥用检测
  • 前提
    • 拥有专家提供的攻击模式先验信息
    • 签名匹配
    • 使用标记数据集进行数据挖掘
  • 好处
    • 检测已知攻击的准确性高
  • 缺点
    • 对新型攻击无效
    • 每个新发现的攻击都需要更新签名
• 异常检测
  • 前提
    • 建立正常行为的配置文件（用户，主机，网络）
    • 检测偏离正常的配置文件
  • 好处
    • 能检测到未知攻击
  • 缺点
    • 可能出现高误报率

时间

• 实时
  • 分析实时数据(例如，会话数据)
  • 如果检测到攻击，立即发出警报
• 脱机
  • 离线分析数据
  • 对取证有用

活动方式

• 被动反应
  • 只产生警报
  • 优点：不影响当前环境
  • 缺点：警报可能会被忽视（例如，目标数据泄露）
• 主动回应
  • 纠正（例如，重新配置防火墙）
  • 先发制人（例如，注销攻击者）
  • 优点：速度
  • 缺点：可能会变成DoS攻击

持续性

• 持续监测
  • 连续实时分析
  • 及时收集有关行动的信息
  • 增加部署工作量
• 定期分析
  • 定期拍摄环境快照
  • 降低安全性：两个快照之间的机会窗口可能被利用

参考资料

• CS 259D Lecture 1