CS 259D 内部威胁

作者:Leo

  • 案例
  • 两类攻击者
  • 启发
  • 内部攻击
    • 攻击的形式
    • 内部攻击的特点
  • 检测方法
  • 参考资料

尽管每年都有些不同,但内部的事故和外部的总是差不多。不过,得到的教训却很简单:机构必须预防来自各个方面的攻击。

CSI/FBI 计算机犯罪与安全调查 2005

案例

  • 希腊沃达丰公司
    • 有针对性地监听100多名高级官员
      • 希腊总理和他的妻子
      • 部长大人们:国防,外交,司法
      • 希腊欧盟专员
      • 雅典市长
    • 08年8月之前就已经开始,一直持续到05年3月
    • 由于 rootkit 更新失误而意外被检测到
    • 追查到沃达丰的内部人士
    • 沃达丰被处以7600万美元罚金
  • 爱德华·斯诺登

两类攻击者

  • 背叛者
    • 一个有访问权限的合法用户可以干坏事
    • 对内部体系和安全政策有充分地了解
  • 伪装者
    • 一个窃取/占用合法用户凭证的攻击者

启发

  • 攻击者和普通用户的行为表现会有所差异
  • “行为表现”是无法被盗用的东西
  • 当背叛者做坏事时,行为会偏离正常的表现
    • 既使攻击者模拟成正常用户,也会在攻击的时刻暴露出来

内部攻击

攻击的形式

  • 未经授权提取,复制或泄露数据
  • 篡改数据(未经授权更改数据或记录)
  • 销毁和删除关键资产
  • 从未经授权的来源下载或使用可能包含后门或恶意代码的盗版软件
  • 窃听和嗅数据包探
  • 欺骗和冒充其他用户
  • 社会工程学攻击
  • 滥用资源以此进行与业务无关或未经授权的活动
  • 别有目的地安装恶意软件

内部攻击的特点

  • 大多数事故的技术门槛要求低
  • 行动是有计划的
  • 动机是经济利益
  • 犯罪行为发生在工作期间
  • 事故通常是由非安全人员发现
  • 事故通常是通过手动程序检测到

检测方法

  • Shell 命令序列 (CLI)
  • 系统调用
  • 数据库/文件访问
  • 系统日志
  • 网络请求
  • 键盘/鼠标动态信息
  • 蜜罐
伪装者 背叛者
一类/两类分类器:Unix 命令序列 高 – 不熟悉本地系统环境和用户行为 中 – 可以模仿另一个普通用户或有目的的训练分类器
Unix 审计事件 中 – 给予适当的认证证书,可能不会触发警报 低 – 应用级别的恶意行为可能不会显示为异常事件
Unix 系统调用 中 – 可能不违反系统调用配置文件 低 – 应用级别的恶意行为可能不会显示为异常事件
窗口使用事件 中 – 给予适当的认证证书,可能不会触发警报 低 – 应用级别的恶意行为可能不会显示为异常事件
Windows 注册表访问 中 – 除非恶意程序访问注册表 中 – 除非恶意程序访问注册表
网络活动审计 中 – 如果攻击使用网络并且可以归因 高 – 如果攻击使用网络并且可以归因
蜜罐和诱饵技术 高 – 不熟悉本地信息,可能与蜜罐交互 中 – 如果知道蜜罐位置,则不太可能与其交互

参考资料

  • The Athens Affair
  • Insider Attack and Cyber Security: Beyond the Hacker, chapter “A Survey of Insider Attack Detection Research”
  • CS 259D Lecture 3

发表评论

电子邮件地址不会被公开。 必填项已用*标注