CS 259D 介绍

作者 Leo

  • 信息安全的目标
  • 攻击
    • 攻击者及动机
    • 漏洞
    • 攻击类别
    • 基本攻击步骤
    • 攻击工具
    • Advance Persistent Threats: APT
  • 防御
    • 安全探测
    • 风险管理:控制
    • 预防措施
    • 纵深防御
    • 反应式防御
  • 信息安全中的数据挖掘
    • 为什么要大数据
    • 恶意软件大爆炸
    • 检测分类
      • 信息来源
      • 分析策略
      • 时间
      • 活动方式
      • 持续性
  • 参考资料

世界上只有两种公司: 被攻击过的和即将被攻击的。 即便如此,也可以合并为一类:被攻击过的和将再次被攻击的。

联邦调查局局长 Robert Mueller

信息安全的目标

  • C-I-A 三原则
    • 保密性
      • 不得未经授权就披露信息
    • 完整性
      • 不得未经授权就修改信息
    • 可用性
      • 不得未经授权就禁用信息
  • 其他
    • 隐私
    • 真实性
    • 不可否认
    • 问责
    • 可审计

攻击

攻击者及动机

  • 脚本小子
    • 好奇心驱动
  • 网络犯罪分子
    • 利益驱动
    • 典型的人口统计资料:东欧,巴西
  • 民族国家的黑客
    • 权力驱动
    • 典型的人口统计资料:东亚,中东
  • 黑客行动主义者
    • 意识形态驱动
    • 典型的人口统计:北美,西欧
  • 网络雇佣兵
    • 受雇攻击
  • 业内人士
    • 受到不满

漏洞

  • 后门
    • Kleptographic 攻击
    • Rootkit
  • 拒绝服务 (DoS)
    • 资源枯竭
    • 攻击放大器(例如,设计不佳的FTP,DNS)
    • 应用程序或操作系统漏洞
  • 窃听
    • 听网络上的私人通信
    • 监测硬件电磁传输
  • 漏洞
    • 控制计算机系统,提权或者 Dos 攻击
    • 使用木马,病毒
  • 社会工程学
    • 人类:安全上最薄弱的环节

攻击类别

  • 探测
    • 信息收集(1:1,1:m,m:1,m:n 模式)
    • IPSweep,portsweep,nmap 等
  • Denial of Service (DoS)
    • TCP SYN flood,Ping of Death,smurf,neptune 等
  • 远程到本地攻击 (R2L)
    • 蛮力/字典攻击,缓冲区溢出,未经验证的输入攻击
    • 社会工程,木马
  • 用户到根攻击 (U2R)
    • Buffer overflow,rootkit 等
  • 感染
    • 木马/蠕虫/病毒
    • 传播攻击

基本攻击步骤

  • 准备
    • 收集信息:有效的IP地址和端口,操作系统,软件类型和版本
  • 漏洞
  • 留下
    • 后门
  • 清理
    • 重新启动崩溃的守护进程,清理注册表/日志文件
  • 可变顺序和持续时间
    • 攻击者的技能水平
    • 要利用的漏洞类型
    • 先验知识
    • 攻击者的起始位置

攻击工具

  • 信息收集
    • 嗅探:捕获穿越网络的数据包
      • Tcpdump,Ethereal,Gulp,Net2pcap,Dsniff 等
    • 网络映射/扫描/指纹识别:主机/ IP /端口,协议详细信息
      • Nmap,Amap,Vmap,Ttlscan,P0f,Xprobe,Queso 等
  • 发起攻击
    • 木马
      • Danger,NukeNabbler,AIMSpy,NetSpy 等
    • DoS 攻击
      • Targa,Burbonic,HOIC,LOIC 等
    • 数据包构造工具
      • Packeth,Packit,Packet Excalibur,Nemesis,Tcpinject,Libnet,SendIP 等
    • 应用层工具
      • Code Red Worm,Nimda Worm,AppDDoS,RefRef 等
    • 用户攻击工具
      • Ntfsdos,Yaga 等

Advance Persistent Threats: APT

  • 针对高价值资产的针对性攻击
  • 低和缓慢
  • 避免警报
    • 使用被盗的用户凭证
    • 0-day 漏洞
    • 在网络中不活跃
    • 进展缓慢:运行数月或数年
    • 超越当下的 IDS 的有限的时间窗口
  • 多级别
    • 漏洞
    • 命令与控制
    • 侧向运动
    • 突破口
  • 典型的目标
    • 窃取知识产权 (IP)
    • 获得敏感的客户数据
    • 访问战略业务信息
      • 财务收益,丑闻,勒索,数据投毒,非法内幕交易,扰乱组织的业务
  • 攻击者
    • 资金雄厚
    • 技术高超
    • 目标明确
    • 针对特定组织的特定数据

防御

安全探测

  • 第一代:入侵检测系统(IDS)
    • 无法做到 100% 的保护/预防
    • 分层安全
  • 第二代:安全信息和事件管理(SIEM)
    • 关联来自不同入侵检测传感器的警报
    • 向安全分析员提供可处理的信息
  • 第三代:大数据安全分析
    • 上下文智能安全
    • 长期相关性

风险管理:控制

  • 行政管理
    • 政策,准则
      • 密码政策
      • 支付卡行业数据安全标准 (PCIDSS)
      • Principle of least privilege
  • 物理
    • 门,锁等
    • 职责分离原则
  • 逻辑
    • 使用的软件和数据

预防措施

  • 协议
    • 安全套接字层(SSL):源认证
  • 基于主机的保护
    • 安全的操作系统,修补
  • 访问控制
    • 标识:用户名
    • 身份验证:你知道/有的东西
    • 授权:文件权限,Kerberos,需要知道的原则
  • 防火墙
    • 控制网络间的流通信(例如从/到互联网)
  • 安全设计
    • 最小特权原则,代码审查,单元测试,纵深防御
  • 安全编码
    • 缓冲区溢出,格式化字符串漏洞,代码/命令注入

纵深防御

  • 分层的方法
    • 将系统划分出网络区域
    • 将防火墙放在区域的边界上
    • ISP 和防火墙之间的边界路由器用于过滤流量
    • 切换每个区域,降低嗅探效果
    • 加密
  • 最后一层防线
    • 检测

反应式防御

  • 例子
    • 已知恶意可执行文件的防病毒签名
    • 过滤不需要的电子邮件
    • 针对受损网站的网页过滤器
    • 沙盒隔离恶意行为
  • 入侵/泄露时间与问题被察觉的时间,二者时间差的的中位数在 300-400+ 天
  • 0-day 攻击的持续时间
    • 19天到30个月
    • 中位数8个月,平均10个月
  • 61% 的攻击由第三方发起
  • 企业不愿透露数据发生泄露
    • 只有 2%-30% 愿意披露
  • 网络边界模糊
    • 云服务
    • 手机/可穿戴设备
    • 合作伙伴业务

信息安全中的数据挖掘

为什么要大数据

  • 攻击形势
    • 攻击越来越复杂
    • 攻击变得容易
      • 对攻击者的知识要求降低
      • 攻击工具质量提高
    • 攻击者积极性高
      • 攻击者只需要成功一次,而防御则需要每一次都成功
  • 攻击机制不断进化/变异,当前的检测技术失效
    • 多态恶意软件
    • 0-day 攻击
    • APT
  • 网络边界模糊
    • 手机/可穿戴设备
    • 云服务
  • 大数据技术可以存储和分析更高容量和更多类型的数
  • 2010年 Verizon 数据泄露调查
    • 86% 的数据泄露情况,记录在日志中
    • 检测机制未能引发警报
  • 我们应如何感知数据?

恶意软件大爆炸

  • 2011年,新增了4.03亿个恶意软件变种
  • 2012年第一季度,迈克菲每天收集100,000个独特恶意软件样本
  • 2012年第三季度,迈克菲恶意软件签名数据库中有1亿多个样本
  • 实际上,样本签名无法跟上增长的速度

检测分类

信息来源

  • 基于主机
    • 系统调用,系统日志
  • 基于网络
  • 无线网络
  • 应用程序日志
    • 数据库日志,网络日志
  • IDS传感器警报
    • 较低级别的传感器警报

分析策略

  • 滥用检测
    • 前提
      • 拥有专家提供的攻击模式先验信息
      • 签名匹配
      • 使用标记数据集进行数据挖掘
    • 好处
      • 检测已知攻击的准确性高
    • 缺点
      • 对新型攻击无效
      • 每个新发现的攻击都需要更新签名
  • 异常检测
    • 前提
      • 建立正常行为的配置文件(用户,主机,网络)
      • 检测偏离正常的配置文件
    • 好处
      • 能检测到未知攻击
    • 缺点
      • 可能出现高误报率

时间

  • 实时
    • 分析实时数据(例如,会话数据)
    • 如果检测到攻击,立即发出警报
  • 脱机
    • 离线分析数据
    • 对取证有用

活动方式

  • 被动反应
    • 只产生警报
    • 优点:不影响当前环境
    • 缺点:警报可能会被忽视(例如,目标数据泄露)
  • 主动回应
    • 纠正(例如,重新配置防火墙)
    • 先发制人(例如,注销攻击者)
    • 优点:速度
    • 缺点:可能会变成DoS攻击

持续性

  • 持续监测
    • 连续实时分析
    • 及时收集有关行动的信息
    • 增加部署工作量
  • 定期分析
    • 定期拍摄环境快照
    • 降低安全性:两个快照之间的机会窗口可能被利用

参考资料

  • CS 259D Lecture 1

发表评论

电子邮件地址不会被公开。 必填项已用*标注