简介
世界上只有两种公司: 被攻击过的和即将被攻击的。 即便如此,也可以合并为一类:被攻击过的和将再次被攻击的。
联邦调查局局长 Robert Mueller
信息安全的目标
- C-I-A 三原则
- 保密性
- 不得未经授权就披露信息
- 完整性
- 不得未经授权就修改信息
- 可用性
- 不得未经授权就禁用信息
- 保密性
- 其他
- 隐私
- 真实性
- 不可否认
- 问责
- 可审计
攻击
攻击者及动机
- 脚本小子
- 好奇心驱动
- 网络犯罪分子
- 利益驱动
- 典型的人口统计资料:东欧,巴西
- 民族国家的黑客
- 权力驱动
- 典型的人口统计资料:东亚,中东
- 黑客行动主义者
- 意识形态驱动
- 典型的人口统计:北美,西欧
- 网络雇佣兵
- 受雇攻击
- 业内人士
- 受到不满
漏洞
- 后门
- Kleptographic 攻击
- Rootkit
- 拒绝服务 (DoS)
- 资源枯竭
- 攻击放大器(例如,设计不佳的FTP,DNS)
- 应用程序或操作系统漏洞
- 窃听
- 听网络上的私人通信
- 监测硬件电磁传输
- 漏洞
- 控制计算机系统,提权或者 Dos 攻击
- 使用木马,病毒
- 社会工程学
- 人类:安全上最薄弱的环节
攻击类别
- 探测
- 信息收集(1:1,1:m,m:1,m:n 模式)
- IPSweep,portsweep,nmap 等
- Denial of Service (DoS)
- TCP SYN flood,Ping of Death,smurf,neptune 等
- 远程到本地攻击 (R2L)
- 蛮力/字典攻击,缓冲区溢出,未经验证的输入攻击
- 社会工程,木马
- 用户到根攻击 (U2R)
- Buffer overflow,rootkit 等
- 感染
- 木马/蠕虫/病毒
- 传播攻击
基本攻击步骤
- 准备
- 收集信息:有效的IP地址和端口,操作系统,软件类型和版本
- 漏洞
- 留下
- 后门
- 清理
- 重新启动崩溃的守护进程,清理注册表/日志文件
- 可变顺序和持续时间
- 攻击者的技能水平
- 要利用的漏洞类型
- 先验知识
- 攻击者的起始位置
攻击工具
- 信息收集
- 嗅探:捕获穿越网络的数据包
- Tcpdump,Ethereal,Gulp,Net2pcap,Dsniff 等
- 网络映射/扫描/指纹识别:主机/ IP /端口,协议详细信息
- Nmap,Amap,Vmap,Ttlscan,P0f,Xprobe,Queso 等
- 嗅探:捕获穿越网络的数据包
- 发起攻击
- 木马
- Danger,NukeNabbler,AIMSpy,NetSpy 等
- DoS 攻击
- Targa,Burbonic,HOIC,LOIC 等
- 数据包构造工具
- Packeth,Packit,Packet Excalibur,Nemesis,Tcpinject,Libnet,SendIP 等
- 应用层工具
- Code Red Worm,Nimda Worm,AppDDoS,RefRef 等
- 用户攻击工具
- Ntfsdos,Yaga 等
- 木马
Advance Persistent Threats: APT
- 针对高价值资产的针对性攻击
- 低和缓慢
- 避免警报
- 使用被盗的用户凭证
- 0-day 漏洞
- 在网络中不活跃
- 进展缓慢:运行数月或数年
- 超越当下的 IDS 的有限的时间窗口
- 多级别
- 漏洞
- 命令与控制
- 侧向运动
- 突破口
- 典型的目标
- 窃取知识产权 (IP)
- 获得敏感的客户数据
- 访问战略业务信息
- 财务收益,丑闻,勒索,数据投毒,非法内幕交易,扰乱组织的业务
- 攻击者
- 资金雄厚
- 技术高超
- 目标明确
- 针对特定组织的特定数据
防御
安全探测
- 第一代:入侵检测系统(IDS)
- 无法做到 100% 的保护/预防
- 分层安全
- 第二代:安全信息和事件管理(SIEM)
- 关联来自不同入侵检测传感器的警报
- 向安全分析员提供可处理的信息
- 第三代:大数据安全分析
- 上下文智能安全
- 长期相关性
风险管理:控制
- 行政管理
- 政策,准则
- 密码政策
- 支付卡行业数据安全标准 (PCIDSS)
- Principle of least privilege
- 政策,准则
- 物理
- 门,锁等
- 职责分离原则
- 逻辑
- 使用的软件和数据
预防措施
- 协议
- 安全套接字层(SSL):源认证
- 基于主机的保护
- 安全的操作系统,修补
- 访问控制
- 标识:用户名
- 身份验证:你知道/有的东西
- 授权:文件权限,Kerberos,需要知道的原则
- 防火墙
- 控制网络间的流通信(例如从/到互联网)
- 安全设计
- 最小特权原则,代码审查,单元测试,纵深防御
- 安全编码
- 缓冲区溢出,格式化字符串漏洞,代码/命令注入
纵深防御
- 分层的方法
- 将系统划分出网络区域
- 将防火墙放在区域的边界上
- ISP 和防火墙之间的边界路由器用于过滤流量
- 切换每个区域,降低嗅探效果
- 加密
- 最后一层防线
- 检测
反应式防御
- 例子
- 已知恶意可执行文件的防病毒签名
- 过滤不需要的电子邮件
- 针对受损网站的网页过滤器
- 沙盒隔离恶意行为
- 入侵/泄露时间与问题被察觉的时间,二者时间差的的中位数在 300-400+ 天
- 0-day 攻击的持续时间
- 19天到30个月
- 中位数8个月,平均10个月
- 61% 的攻击由第三方发起
- 企业不愿透露数据发生泄露
- 只有 2%-30% 愿意披露
- 网络边界模糊
- 云服务
- 手机/可穿戴设备
- 合作伙伴业务
信息安全中的数据挖掘
为什么要大数据
- 攻击形势
- 攻击越来越复杂
- 攻击变得容易
- 对攻击者的知识要求降低
- 攻击工具质量提高
- 攻击者积极性高
- 攻击者只需要成功一次,而防御则需要每一次都成功
- 攻击机制不断进化/变异,当前的检测技术失效
- 多态恶意软件
- 0-day 攻击
- APT
- 网络边界模糊
- 手机/可穿戴设备
- 云服务
- 大数据技术可以存储和分析更高容量和更多类型的数
- 2010年 Verizon 数据泄露调查
- 86% 的数据泄露情况,记录在日志中
- 检测机制未能引发警报
- 我们应如何感知数据?
恶意软件大爆炸
- 2011年,新增了4.03亿个恶意软件变种
- 2012年第一季度,迈克菲每天收集100,000个独特恶意软件样本
- 2012年第三季度,迈克菲恶意软件签名数据库中有1亿多个样本
- 实际上,样本签名无法跟上增长的速度
检测分类
信息来源
- 基于主机
- 系统调用,系统日志
- 基于网络
- 无线网络
- 应用程序日志
- 数据库日志,网络日志
- IDS传感器警报
- 较低级别的传感器警报
分析策略
- 滥用检测
- 前提
- 拥有专家提供的攻击模式先验信息
- 签名匹配
- 使用标记数据集进行数据挖掘
- 好处
- 检测已知攻击的准确性高
- 缺点
- 对新型攻击无效
- 每个新发现的攻击都需要更新签名
- 前提
- 异常检测
- 前提
- 建立正常行为的配置文件(用户,主机,网络)
- 检测偏离正常的配置文件
- 好处
- 能检测到未知攻击
- 缺点
- 可能出现高误报率
- 前提
时间
- 实时
- 分析实时数据(例如,会话数据)
- 如果检测到攻击,立即发出警报
- 脱机
- 离线分析数据
- 对取证有用
活动方式
- 被动反应
- 只产生警报
- 优点:不影响当前环境
- 缺点:警报可能会被忽视(例如,目标数据泄露)
- 主动回应
- 纠正(例如,重新配置防火墙)
- 先发制人(例如,注销攻击者)
- 优点:速度
- 缺点:可能会变成DoS攻击
持续性
- 持续监测
- 连续实时分析
- 及时收集有关行动的信息
- 增加部署工作量
- 定期分析
- 定期拍摄环境快照
- 降低安全性:两个快照之间的机会窗口可能被利用
参考资料
- CS 259D Lecture 1