「 CISSP学习笔记 」08. 安全运营

该知识领域涉及如下考点，具体内容分布于如下各个子章节：

• 理解并遵守调查
• 执行记录和监控活动
• 执行配置管理 (CM)（例如，预配、基线、自动化）
• 应用基本的安全操作概念
• 应用资源保护
• 执行事故管理
• 执行和维护检测和预防措施
• 实施和支持补丁和漏洞管理
• 理解并参与变更管理过程
• 执行恢复策略
• 执行灾难恢复 (DR) 过程
• 测试灾难恢复计划 (DRP)
• 参与业务连续性 (BC) 计划的制定和演练
• 执行并管理物理安全
• 解决人员安全问题

8.1. 安全运营管理

目标：保护资产(信息、系统、设备、设施)

8.1.1. 应用安全运营

IT信息安全要求应尽关心 (Due Care) 和尽职审查(Due dilignce), 即采取合理谨慎的措施来持续保护组织的资产。

8.1.1.1. 知其所需

授予用户仅访问执行工作所需数据或资源的权限，可防止未经授访问导致保密性丧失

8.1.1.2. 最小特权

主体仅被授予完成工作所需的特权，而不再被授予更多特权。限制和控制特权可保护数据的保密性和完整性。在实施最小特权时需要了解：
权利：指授予用户权限的数量，通常在首次分配账户时指定。

• 聚合：指用户随时间收集的权限数量。(如用户部门调动，会获得两个部门的权限)
• 信息传递：两个安全域之间的信在夹系，允许一个域的主体访问另一个域的对象。

8.1.1.3. 职责分离(SOD)

确保个体无法完全控制关键职能或系统。可以使得个人参与恶意、欺诈或未经授权的活动变得困难，不过也同时扩大了检测和报告的范围。相关概念有：

• 特权分离(如管理员为每类特权操作分配不同的权限)
• 任务分解(如安全工作任务写组织内其他工作在务分离)

8.1.1.4. 双人控制

即经过两个人批准后才能执行关键任务。(如银行保险箱要求两把钥匙)

8.1.1.5. 知识分割

将 SOD 和双人控制结合，基础思想是将执行操作所需的信息或特权分配给两个或更多个用户。

8.1.1.6. 岗位轮换

作为一种安全控制措施可以实现同行评审、减少欺诈并实现交叉培训，同时可起到威慑和检测作用。

8.1.1.7. 强制休假

提供了一种同行评审形式，有助力于发现欺诈串通行为。

大多数安全专业人士建议至少休假一周，最好是两周，以阻止欺诈行为。其想法是，在员工不在且不具备使掩盖行为永久化所需的访问权限期间，欺诈计划将被揭露。

8.1.1.8. 特权账户管理

特权若被滥用，可能对组织资产的CIA 造成重大破坏，因此监控特权实体及其访问权限非常重要。监控的特权： 访问审计日志

• 更改系统时间
• 管理用户账户
• 系统重启
• 配置安全控制机制
• 使用数据库恢复工具和日志文件

8.1.1.9. 管理信息生命周期

政府：绝密、秘密、机密和未分类
民用：机密（Confidential）、私有、敏感和公并
安全控制需要在整个生命周期内对信息进行保护，相关术语：

• 生成/捕获
• 分类
• 存储
• 使 用
• 归 档
• 销毁/清除

8.1.1.10. SLA

SLA 是组织与外部实体之间的协议，它规则了性能预期，如果供应商无法满足预期，则会有对应处罚条款。相关术语：

• 谅解备忘录( memorandum of understanding,MOU)

不正规，缺少处罚条款

• 互连安全协议(Interconnection Security.Agreement,ISA).

提了双方如何建立、维护和断开连接的相关信息，还包括了保护数据的加密算法，适用于双方或多方之间计划传输敏感 数据场景。

8.1.1.11. 关注人员安全

8.1.1.11.1. 胁迫系统

适用于员工单独工作场景(如警卫值班遇到一群人闯入时可以利用其发出警报)

8.1.1.11.2. 出差

员工出差场景可能遇到歹徒下手。员工还需要注意：

• 注意敏感数据泄露
• 恶意软件和监控设备
• 不要用免费WIFI
• 使用VPN

使用VPN将他们的笔记本电脑和移动设备连接到可信的网络，并确保所有流量都通过VPN进行隧道传输，这是她确保他们使用互联网的最佳选择。

8.1.1.11.3. 应急管理

发生灾难后处理人员安全问题

8.1.1.11.4. 安全培训与意识

8.1.2. 安全配置资源

8.1.2.1. 管理硬件和软件资产

8.1.2.1.1. 硬件库存

设备条码
射频识别 (Radio Frequency Identification,RFID) 标签
便携介质
检查表

8.1.2.1.2. 软件许可

License Key

8.1.2.2. 保护物理资产

物理资产范围远超IT 硬件，包括所有物理资产(如组织建筑及所含内容)。访问控制方法有：

• 密码锁
• 人工陷阱
• 安全标记
• 警卫

8.1.2.3. 管理虚拟资产

8.1.2.3.1. 虚拟机(VM)

8.1.2.3.2. 虚拟桌面基础设施 (VDI)

有时也称虚拟桌面环境VDE

8.1.2.3.3. 软件定义网络 (SDN)

SDN 将控制平面与数据平面分离，控制平面使用协议来决定发送流量的位置，而数据平面包含决定是否转发流量的规则。

8.1.2.3.4. 虚拟存储区域网络 (VSAN)

8.1.2.4. 管理云资产

8.1.2.4.1. 云服务模式

8.1.2.4.1.1. Saas

通常提供可通过Web 浏览器访问的功能齐全的应用程序。
CSP(Cloud Service Provider)负责Saas 服务的所有维护，用户不需要管理或控制任何云资产。

8.1.2.4.1.2. PaaS

为用户提供一个计算平台，包括硬件、操作系统和应用程序。
用户可在主机上管理自己的应用程序以及一些主机配置。
CSP 负责维护主机和底层云基础架构。

8.1.2.4.1.3. Iaas

为用户提供基本的计算资源，包括服务器、存储，有些情况还包括网络资源。
用户安装 OS和 APP, 并对OS 和APP 实施所有必需的维护。
CSP维护云基础架构，保证用户可以访问租用的系统。

8.1.2.4.2. 云部署模式

8.1.2.4.2.1. 公有云

8.1.2.4.2.2. 私有云

8.1.2.4.2.3. 社区云

8.1.2.4.2.4. 混合云

8.1.2.5. 介质管理

保护介质及其存储数据

8.1.2.5.1. 磁带介质

磁带受损极易丢失数据，建议组织至少保留两份数据备份。
一份以备不时之需， 一份保存在异地安全位置。
管理指南：
新介质要在原始密封包中保管，保护其免受灰尘和污垢污染

• 打开介质包装要小心，不要损坏介质
• 避免介质暴露在极端温度下

考虑对备份进行加密，防止在丢失时数据泄露

8.1.2.5.2. 移动设备

管理员使用移动设备管理 (Moblie Device Management,MDM) 系统注册员工设备，可监视和管理设备，并确保这些设备保持 更新。

• 自选设备 (Choose Your Own Device,CYOD)
• 自带设备(Bring Your Own Device,BYOD)

8.1.2.5.3. 介质管理生命周期

平均故障时间(Mean Time To Failure,MTTF) 表示可重复使用的次数或期望保存多少年。介质达到MTTF 时就应该将其销 毁。

擦除不会从介质中删除所有可用数据，但清除会删除。

8.1.3. 配置管理

确保系统从安全一致的状态部署，并在整个生命周期内保持安全一致的状态。基线和镜像通常可用于系统部署。Windows上常用的配置管理如下：

• 系统配置管理中心（System Center Configuration Manager, SCCM）旨在允许管理员评估Windows工作站和服务器的配置状态，并提供资产管理数据。
• SCOM主要用于监视运行状况和性能
• 组策略可用于各种任务，包括部署设置和软件

8.1.3.1. 基线

基线是起点，即系统初始配置。

8.1.3.2. 镜像

基线镜像可确保系统所需的安全设置总能正确配置，从而提高系统安全性

8.1.4. 变更管理

未授权的变更可能直接影响CIA中的A,一些变更会消弱安全性。变更管理控制是ISO通用标准中一些安全保障要求(Security Assurance Requirement,SAR)的强制性内容。

许多配置和变更管理概念源自ITIL(Information Technology Infrastrure Library)。

8.1.4.1. 安全影响分析

变更管理流程帮助员工执行安全影响分析。在生产环境变更前，专家会评估变更，从而识别所有安全影响。变更管理流程如 下 ：
请 求 变 更

• 审核变更
• 批准/拒绝变更
• 测试变更
• 安排实施变更
• 记录变更

8.1.4.2. 版本控制

比如初始版本标记1.0,经历一次小更新后标记为1.1,经过一次重要更新后标记为2.0,这么做可以追踪部署软件随时间 的变更。

8.1.4.3. 配置文档

配置文档应包括如下内容：

• 系统的目的
• 系统的当前配置
• 哪些人负责系统
• 列举基线之后的所有变更

8.1.5. 补丁漏洞与减少漏洞

8.1.5.1. 系统管理

补丁和漏洞管理不仅适用于工作站和服务器，也适用于运行 OS 的所有计算设备。(如路由器、交换机、防火墙、打印机等)

8.1.5.2. 补丁管理

补丁管理计划包含：

• 评估补丁
• 测试补丁
• 审批补丁
• 部署补丁
• 验证补丁已完成部署

微软在每个月第二个周二定期发布补丁，所以产生了“周三漏洞利用日”术语。

修补程序（Hotfix）、更新（update）和安全修复程序(security fixes)都是为纠正单个问题而设计的单个修补程序的同义词。Service Pack是许多不同更新的集合，用作操作系统或应用程序的主要更新。

8.1.5.3. 漏洞管理

8.1.5.3.1. 漏洞扫描

漏洞扫描器是测试系统和网络是否存在已知安全问题的软件工具。

8.1.5.4. 漏洞评估

作为风险分析或评估的二部分执行，识别系统在某个时间点的漏洞。

8.1.5.5. 常见漏洞披露

漏洞通常用CVE 字典来标识。CVE 使得组织不必花费任何资源来管理漏洞的命名和定义，而专注于检查漏洞的方法。

8.2. 事件预防与响应

任何安全方案都以预防事件发生作为主要目标，事件响应的主要目的是将组织受到的影响降至最低限度。

8.2.1. 事件响应管理

8.2.1.1. 事件的定义

事件：对组织资产的CIA 产生负面影响的任何事件。 ITIL V3把事件定义为“IT服务的计划外中断或质量的下降” 计算机安全事件：指由攻击造成的事故，或由用户恶意或蓄意行为造成的事件。
以下事件一般指的都是计算机安全事件。主要包括：

• 任何未遂的网络入侵；
• 任何未遂的 DOS攻击
• 检测到恶意软件
• 对数据的未授权访问
• 对安全策略的违背行为

8.2.1.2. 事件响应步骤

检测->响应->消减->报告->恢复->补救->总结教训

8.2.1.2.1. 检测

• IDS/IPS系统发现问题后及时向管理员发出警报
• 反恶意软件程序检测到恶意软件时弹窗警告
• 自动化工具定期扫描审计日志，找出命中预先定义好的策略并发出警报
• 最终用户检测到异常活动后及时联系技术人贫

8.2.1.2.2. 响应

响应主体：

• 计算机事件响应团队 CIRT
• 计算机安全事件响应团队 CSIRT
  组织对事件响应的速度越快，损害限制在有限范围的机会越大。

注意：内含证据的计算机不可关闭，计算机一亘关机，RAM中的临时文件和数据便会丢失，相关证据便会丢失。

8.2.1.2.3. 消减(Mitigation)

旨在遏制事件的发展。如断开网卡电缆把问题遏制在一个网络内。

8.2.1.2.4. 报告

指在本单位通报所发生的事件并将情况上报组织外的相关部门和官员。如阿里因发现 Apache Log4j2 组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理受到严厉处罚。[相关链接](https://www.miit.gov.cn/jgsj/waj/gzdt/art/202i/art docd32999d9941209ba9358a2e62638c.html)

8.2.1.2.5. 恢复

调查人员从系统收集了适当证据后就需要恢复系统，或使其返回完全正常的工作状态。

将一个遭到破坏的系统从头重建时，必须确保系统配置恰当，安全性至少要达到事件前的水平。

8.2.1.2.6. 补救 (Remediation)

对事件进行分析研究，争取搞清什么原因导致事件的发生，然后采取措施防止事件再次出现。

8.2.1.2.7. 总结教训

安全人员回顾事件发生和响应的整个过程，确认是否可以从中总结经验教训。这一阶段的输出可以反馈给事件管理的第一环节(检测)。

8.2.2. 落实检测与预防措施

8.2.2.1. 基本预防措施

• 保持系统和应用程序即时更新
• 移除或禁用不需要的服务和协议
• 使用IDS/IPS系统
• 使用最新版本的反恶意软件程序
• 使用FW

8.2.2.2. IDS/IPS系统

由于入侵预防系统IPS包含检测能力，所以出现了IDPS (入侵检测和预防系统)概念。

8.2.2.2.1. SIEM系统

安全信息和事件管理 (Security Information and Event Management,SIEM)主要功能：

• 从不同设备收集数据(比如从IDS 和IPS 将收集的数据),通过关联聚合数据转换为有用信息；
• 分析数据并根据模板规则发出警报或触发响应

8.2.2.2.2. IDS

8.2.2.2.2.1. 基于知识和基于行为的检测

1. 基于知识的检测
   亦称基于签名或模式匹配的检测，最常用的检测方法，它使用了IDS供应商开发的已知攻击数据库。
   缺点：只对已知的攻击方法宥效
2. 基于行为的检测
   亦称统计入侵检测、异常检测和基于启发检测。它在系统上创建一个正常的活动和事件基线作为起点，通过积累路的基线数 据来确定正常活动，便可检测出恶意入侵或事件的异常活动。
   优点：可检测出还没有签名的较新攻击
   缺点：会有误报，可能会收到正常活动的告警

8.2.2.2.2.2. 基于主机的IDS和基于网络的IDS

1. 基于主机的IDS
监测一台计算机上的活动，如进程调用、系统及程序和基于主机防火墙日志记录的信息。 HIDS与反恶意软件程序很像，许多HIDS包含了反恶意软件能力。
优点：
1、检套事件的详细程序超过NIDS,并能精确定位被攻击破坏的文件和攻击者调用过的进程；
2、可检测出NIDS检测不出来的主机系统异常情况。 缺点：
需要管理每个系统，管理成本高，
会消耗大量系统资源，降低主机性能
2. 基于网络的IDS
监测并评估网络活动，从中找出攻击工异常事件。通过远程传感器监测大型网络，监测对象有路由器、防火墙和支持端口映射的网络交换机等。
优点：能够检测到刚发起或正在进行的攻击，但不能总是提供有关攻击得逞的信息。
缺点：不知道攻击是否影响了特定系统、用户账号、文件或应用程序。

8.2.2.2.3. IPS

IPS是一种特殊类型的IDS,可在攻击到达目标系统之前将其检测出来并加以拦截。IPS和IDS 之间的明显差别在于IPS是安放在承载通信流的线路上，而IDS只能在攻击达到目标之后才能把它查出来。

8.2.2.2.4. 具体预防措施

尽管IDPS 可以保护网络，管理员还是会用额外的安全控制来加强保护力度。

8.2.2.2.4.1. 蜜罐/蜜网

蜜罐是为充当陷阱引诱入侵者入内而创建的单个计算机。
蜜网是两个或多个连接在一起假装网络的蜜罐。
蜜罐中配置了安全漏洞，合法用户不会访问蜜罐，所以访问蜜罐的很可能主是入侵者。
目的：

• 引起入侵者注意，使他们远离合法网络
• 分析攻击者活动情况
  蜜罐的使用带来了诱惑与诱捕的问题。在互联网上设置一个系统，让它的安全漏洞全部暴露，活跃的服务都便于攻击利用，便是一种诱惑。受诱惑的攻击者自行决定是否采取非法或未授权活动。
  诱捕是非法的，当蜜罐主人主动诱导访客进入网站，然后指挥他们未授权入侵的时候发生了诱捕。采取行动前需要清楚不同的国家对诱惑和诱捕的规定。
  填充单元(如今已经很少使用)系统类似于蜜罐，当IDPS检测到入侵者时，入侵者会被自动转移到填充单元。

8.2.2.2.4.2. 警示

警示向用户和入侵者宣传基本安全方针策略。通常会指出任何在线活动都将授受审计，处于监测之下。如未经授权严令禁止， 否则会被送上法庭授受指控。

8.2.2.2.4.3. 反恶意软件

1. 反恶意代码软件
2. 完整性监控
3. 高级威胁保护
   1.EDR
   端点检测与响应 (Endpoint detection and response ,EDR) 一般包含如下能力：
   -分析端点内存、文件系统及网络活动以录找恶意行为

• 自动隔离可能的恶意活动以遏制潜在的损害
  -与威胁情报源集成，实时了解恶意行为在互联网上的其他地方表现
  -与其他事件响应机制集成以实现自动响应
  2.MDR
  许多安金供应商将EDR 功能作为托管服务提供安装、配置和监控服务，来减轻客户安全团队的负担。这些托管EDR产品被称 为托管检测和响应
  (Managed Detection and Response,MDR)服务。
  3.UEBA
  用户与实体行为分析 (User and Entity Behavior Analytics;UEBA)关注端点和其他设备上基于用户的活动，构建每个人 正常活动的基线文件，然后突出显示可能指示潜在与该基线的偏差。 UEBA工真与EDR功能的不同之处在于，UEBA真有分析功能，专注于用户，而EDR 则专注于端点的分析。

8.2.2.2.4.4. 黑白名单

可阻止用户运行未经授权的应用程序，防止恶意软件感染。如Iphone和iPad上运行的 iOS, 用户只能安装苹果应用商店里 的应用。

8.2.2.2.4.5. 防火墙

通过IP 地址、端口和一些协议编号过滤通信流量来保护网络。
ICMP使用了编号为1的协议，因此防火墙可允许带1号协议的通信流量通过，以此放行ping 通信流量。

8.2.2.2.4.6. 沙箱

水箱为应用程序提供安全边界，可防止应用程序与其他应用程序交互。反恶意软件程序借助水箱技术来测试未测试或观察 恶意软件的行为。

8.2.2.2.4.7. 第三方安全服务

有些组织将安全服务外包给第三方，如审计、渗透测试等。
注意：处理重要信用卡交易的机构必须遵守支付行业数据标准( Payment Card
Industry Data Security, Standard ,PCI-DSS), 不允许将自己的责任外包。
一些SaaS 供应商提供了安全服务，使用这些SaaS 服务也属于第三方安全服务范畴。

8.2.2.2.4.8. 渗透测试 (Pentest)

渗透测试模拟真实攻击，以确定攻击者可用哪些技术手段来绕过应用程序、系统、网络或机构的安全控制。主要内容包括： 漏洞扫描端口扫描 一 包嗅探 – DoS攻击-社会工程技术

注意：渗透测试是侵入性的，会对系统的可用性产生影响。因此开展前需要得到高管的书面批准。

8.2.3. 日志记录、监测与审计

8.2.3.1. 日志记录和监测

日志记录和监测结合使用可跟踪、记录和审查活动从而形成一个全面问责体系

8.2.3.1.1. 日志记录技术

如 Windows 系统中的事件查看器

8.2.3.1.2. 常见日志类型

安全日志系统日志应用日志防火墙日志变更日志

8.2.3.1.3. 保护日志数据

通常将日志文件拷贝到一个中央系统(如SIEM) 中保护起来，即便攻击篡改或损坏了原始文件，安全人员仍能利用副本来 查询事件缘由。
日志文件需要备份归档，保留1年、3年或更长时间

• 日志设置为只读、分配权限，执行物理安全控制等防止未授权访问和修改
• 日志不需要时必须销毁

8.2.3.1.4. 监测的作用

将有关事件和事发情况的信息保存记录，安全人员从审计踪迹提取事件信息，用于证明罪责、反驳指挥或其他用途。
可让行事主体约束自己行为和活动负责

8.2.3.1.5. 监测技术

1.安全信息和事件管理SIEM(SIEM 包含关联引擎，可收集、聚合数据)
2.抽样
3.剪切级
只选择超过事件阈值的事件，如失败的登录尝试在任何系统中都是常事，剪切级不会在每次遇到失败的登录尝试时都发出警 报， 一般可设置为30分钟内检测到5次失败尝试时发出警报。
4.其他监测工具(击键监测、通信流分析和趋势分析)

8.2.3.2. 出口监测(Egress Monitoring)

对外出通信流量进行监测，以防数据外泄。

8.2.3.2.1. 数据丢失预防

数据丢失预防 (Data Loss Prevention,DLP) 系统旨在阻止数据外泄。 DLP分为两类：
基于网络的DLP
扫描所有外出数据，丛中查找特定数据。 一般部署在网络边缘，以便扫描准备外出的所有数据，如果包含受限数据文件， DLP 系统会检测出来并阻止外发，同时发出告警。
基于端点的DLP
扫描保存在系统上的文件，也可扫描发送给外设的文件。

8.2.3.2.2. 隐藏术

将消息嵌入文件。如在图片文件中修改几个位，用来嵌入一条消息。

8.2.3.2.3. 水印

将图像或图案不显眼的嵌到纸张上。 DLP 系统可以检测未加密文件中的水印。目前流行的是数字水印。

8.2.3.3. 效果评价审计

审计的两种含义：

• 指借助审计日志和监测工具对活动进行跟踪
• 还指检查或评估某一具体过程或结果，以确定机构是否遵循。(本节含义).

对环境进行系统化审查以确保法规得到遵守并查出异常情况、未授权事件甚至犯罪行为。审计员负责主持开展：

• 审计员负责测试和证明，机构定制了执行安全策略或法规的流程和规程，这些规程可满足机构的安全需要。
• 审计员证明机构人员在遵守这些流程和规程

8.2.3.3.1. 访问审查审计

定期进行以确保对象访问和账户管理工作将安全策略落到实处。关注点为用户不拥有过多权限，账户受到了适当管理。

8.2.3.3.2. 用户权限审计

8.2.3.3.3. 特权群组审计

8.2.3.4. 安全审计和审查

安全审计和审查有助于确保机构适当执行安全控制。安全审计常常被视为应尽关心的关键要素，如果高管没有依照规定执行 定期安全审查，则安全破坏或策略违规造成的缺失追究机构高管的责往。
安全审计和审查包含项目：

• 补丁管理
• 漏洞管理
• 配置管理
• 变更管理

8.2.3.5. 报告审计结果

8.2.3.5.1. 审计报告内容

• 审计目的
• 审计范围
• 审计发现或揭示的结果
• 问题、事件和情况
• 标准、准则和基线
• 原因、理由、影响和效应、
• 建议的解决方案和防护措施

8.2.3.5.2. 保护审计结果

审计报告包含敏感信息，只允许有足够权限的人员接触。

8.2.3.5.3. 分发审计结果

审计员完成审计报告的二；会依照安全策略文件的支付宝将报告分发给指定接收方。

8.2.3.5.4. 使用外部审计人员

外部审计周期较长，甚至几个月。审计过程中审计人员可以发布临时报告(如遇到紧迫问题或情况等不及审计报告出台)。审 计人员完成调查后通常会召开一个退出会议，陈述和讨论自己发现并与受影响方探讨解决问题的办法。审计人员退出会议结 束并离开受雇机构后才会向机构提交最终审计报告。这种做法可以免受压迫影响。

8.2.3.6. 自动化事件响应

SOAR 、AI 、Threat Intelligence

8.2.3.6.1. 理解SOAR

安全编排、自动化与响应 (Security orchestration, automation, and response ,SOAR) 涉及一组技术允许组织自动化 响应某些事件。

8.2.3.6.2. ML与AI工具

机器学习是人工智能的一部分，指的是一个系统可以通过经验自动提高。ML 为计算机系统提供了学习能力。
机器学习系统(人工智能的一部分)众一组规则或指南开始。人工智能系统从无到有，逐步学习规则。然后它创建自己的算 法学习规则并基于这些规则应用机器学习技术。

8.2.3.6.3. 威胁情报

威胁情报是指收集潜在威胁的数据。它包括使用各种源以获得有关当前威胁的及时信息。许多组织都用它来狩猎消除威胁。

8.2.3.6.4. 理解杀链 (Kill Chain)

几十年来，军方一直使用杀伤链模型来破坏袭击。军事模式
有很多深度，但简而言之，它包括以下阶段：
1.通过侦察发现或识别目标。
2.获取目标的位置。
3.跟踪且标的移动。
4.选择要对目标使用的武器。
5.用选定的武器攻击目标。
6.评估攻击的有效性。
一些组织已经对军事杀伤链进行了调整，以创建网络杀伤链模型。例如，洛克希德 ·马丁公司创建了Cyber Kill Chain框 架。它包括进攻的七个有序阶段；
1.侦察。攻击者收集有关目标的信息。
2.武器化。攻击者识别出目标易受攻击的漏洞，以及
方法发送攻击。
3.交付。攻击者通过网络钓鱼攻击、恶意电子邮件将武器发送给目标
附件、受损网站或其他常见的社会工程方法。
4.开采。该武器利用了目标系统上的漏洞。
5.安装。利用该漏洞的代码随后安装恶意软件。恶意软件
通常包括后门，允许目标远程访问系统。
6.指挥与控制。攻击者维护一个指挥和控制系统，控制目标和其他受损系统。
7.目标行动。攻击者执行他们最初的目标，如盗窃金钱、盗窃
数据、数据销毁或安装其他恶意代码(如勒索软件)。

8.2.3.6.5. 理解MITRE ATT&CK

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。 ATT&CK
知识库被用作私营部门、政府以及网络安全产品和服务社区开发特定威胁模型和方法的基础。
矩阵包括以下策略：
侦察一资源开发-初始访问-执行-持久性-权限提升-逃避防御
凭据访问一发现-横向运动-收集-指挥写控制-Exfiltering- 影响

8.2.3.6.6. 威胁源

威胁源是与当前和潜在威胁相关的稳定原始数据流。比如通过RSS 订阅的博客内容。

8.2.3.6.7. 威胁搜寻(Threat Hunting)

威胁搜寻是在网络中主动搜索网络威胁的过程，而非被动等待传统的网络工具来检测和报告攻击。
多年前，攻击者通常在进入网络后立即造成损害。然而，许多攻击者现在试图尽可能长时间地留在网络中。作为一个例子， APT 通常在网络中保持数月未被发现。
一种流行的威胁狩猎方法是使用杀伤链模型。

8.2.3.6.8. SOAR、机器学习，AI和威胁源结合

8.3. 恶意代码与应用攻击

8.3.1. 了解攻击

CAPE C3.9版本，根据攻击领域分了六个领域，其中包括软件、硬件、通信、供应链、社会工程学和物理安全。共收录了559 种攻击模式。

攻击模式是什么?
将常见攻击方法进行分析和特征提取，将攻击原理或者攻击对象分类抽象描述出来，形成通用的攻击方法我们称之攻击模式。如业界的CAPEC攻击模式库
价值：
知攻才能防，攻击方式很多，攻击模式库可以帮助开发、设计、测试及安全爱好者快速了解常见的攻防方法和思路，为安全 攻击(渗透测试、漏洞挖掘)和安全防御(安全设计、安全编码、安全配置)提供帮助

CAPEC 优点

• 攻击来源以CVE 、CWE为基础，攻击模式较全，通用性强。
• 随着公众的参与和不断优化，已经形成了一种识别，成为网络安全社区攻击模式的标准机制。

CAPEC 缺点
攻击模式库通用性强，攻击模式内容描述、缓解措施非常抽象，很难直接运用。
没有针对行业分类，如 Web、Android、IoT、 云安全等。

8.3.2. 增量攻击

某些形式的攻击以缓慢、渐进的增量发生，而不是通过明显或可识别的尝试来破坏系统安全性或完整性。两种这样的攻击形式是数据欺骗和 salami 攻击。

• 数据欺骗: 攻击者获得对系统的访问权并在存储、处理、输入、输出或事务期间对数据进行小的、随机的或增量的更改，而 不是明显地更改文件内容或损坏或删除整个文件时，就会发生数据欺骗。除非文件和数据受加密保护，或者除非每次读取或 写入文件时例行地热行和应用某种完整性检查(例如校验和或消息摘要),否则很难检测到这些。
• salami 攻击：更神秘，salami 攻击是指对账户中的资产或具有财务价值的其他记录系统性地进行削减，其中非常小的金额会定期和例行地从余额中扣除。

8.3.3. 缓冲区举出攻击

攻击描述；是利用缓冲区溢出漏洞(可能会覆盖系统代码，允许攻击者在利用漏洞服务器上执行任意代码。)所进行的攻击行动，缓冲区溢出是一种针对操作系统、应用软件中广泛存在的攻击方式，攻击可以导致获取 shell权限或 让程序运行失败、系统关机、重新启动等后果。
攻击场景：与缓冲区交互的编程语言中，如C/C++开发的系统，容易遭受缓冲区溢出攻击。
消减措施
产品开发设计时，选用开发语言时，需要考虑缓冲区溢出攻击的风险，JAVA风险小。
如果选用C/C++开发语言，可以通过使用安全函数以及严格遵守开发规范，来降低缓冲区溢出攻击的安全风险。
安全加固，启用编译选项和操作系统加固，如启用Linux系统的ASLR 保护。
进程低权限运行，防止溢出后直接获取root权限。

8.3.4. 命令注入攻击

攻击描述：命令注入(.Command Injection),应用程序调用一些命令热行函数(如 system)进行相应功能操作时，对执行 命令的参数未进行合法校验；最终实现通过易受攻击的应用程序在主机操作系统上执行任意命令(如任意删除/变更文件、添加账号、关机/重新启动等)。
攻击场景：系统中存在直接或者间接调用操作系统Shell/CMD的接口，且参数由外部可以控制。
消减措施
— C/C++开发语言中，建议Linux/Unix下使用exec系列函数来避免命令注入。exec系列函数中的path,file 参数禁止使用 命令解析器(如/bin/sh)。 在语言执行层，调用操作系统Shell/CMD的接口时，需要对用户的输入进行白名单判断。

• 进程低权限运行，防止命令注入成功后直接获取 root 权限。
• 输入过滤
  — 对参数进行白名单进行验证，限定有限输入形式(如验证输入仅包含字母数字字符，没有其他语法或空格)
• 黑名单过滤，拦截命令注入特殊字符
• 参数编码，对常见特殊字符进行转码，避免命令注入

8.3.5. SQL注入攻击

攻击描述：程序中如果使用了未经校验的外部输入来拼接SQL语句，攻击者可以通过构造恶意输入来改变原本的SQL逻辑或 执行额外的SQL 语句，如拖库、,获取管理员、获取 WebShel1权限等。
攻击场景：系统中存在数据库的场景。
消减措施
使用参数化查询 (ParameterizedQuery) 或者存储过程访问数据库
执行输入验证(禁止在应用代码中或者存储过程中使用exec 语句直接执行外部输入的参数或者使用外部输入拼接的SQL 语句。)
限制用户特权

8.3.6. XSS攻击

攻击描述：攻击者利用应用程序的动态展示数据功能，在html页面里嵌入恶意代码。当用户浏览该页之时，这些嵌入在html 中的恶意代码会被执行，用户浏览器被攻击者控制，从而达到攻击者的特殊目的。
攻击形式：反射型跨站脚本攻击、存储型跨站脚本攻击、 DOM 跨站攻击
攻击场景：客户端必须能执行脚本语言，比如Javascript, 服务端存在输入校验的漏洞，没有做输出编码。 消减措施
在应用程序中对于用户提交给服务器端的数据应该进行输入校验，输入校验包括对数据长度、数据仅允许包含合法字符。 在应用程序将第三方提交的数据复制到它的响应中，必须进行html 编码、 JavaScript 编码、 URL 编码。
XSS攻击大部分目的就是窃取用户Cookie,这些 Cookie里往往包含了用户身份认证信息(比如 SessionId), 为Cookie 设 置HttpOnly 和Secure属性，保护认证信息免遭窃取。

8.3.7. LDAP注入攻击

8.3.7.1. LDAP 简介

轻型目录访问协议(Lightweight Directory. Access Protocol,LDAP),是一种通讯协议，LDAP支持TCP/IP, 默认的端口是389,加密的端口是636。 LDAP本质就是一个采用了树来存储数据的数据库，查询速度极快。

OpenLDAP默认情况下会明文保存用户名和密码。

8.3.7.2. 漏洞原理

LDAP具有特定的查询结构，并具有特定的语法，来对特定目录进行遍历。LDAP注入攻击和SQL注入攻击类似，利用用户输入的参数生成LDAP查询，由于部分参数没有适当的过滤，因此攻击者可以注入恶意代码以造成恶意攻击。

8.3.8. XML注入

8.3.8.1. 普通注入

XML 注入攻击和SQL 注入攻击的原理 一 样，利用了XML 解析机制的漏洞，如果系统对用户输入”<“,”>”没有做转义的处理，
攻击者可以修改XML 的数据格式，或者添加新的XML 节点，就会导致解析XML 异常，对流程产生影响。

8.3.8.2. 外部实体注入

外 部 实 体 (XML, Externai Entity,XXE) 注入攻击，由于程序在解析输入的XML 数据时，解析了攻击者伪造的外部实体而引发的攻击者利跨用站外脚部本实体的引用功能可实现对任意支件的读取。

8.3.9. 权限提升攻击

攻击描述：提权提升是黑客常见的攻击方法，攻击可以利用无权限或低权限，通过设计、配置、编码漏洞获取到更高的权限。
攻击场景：系统中存在不同权限级别，如操作系统中存在普通用户和 Root用户、Web 系统存在普通用户和管理员用户。 消减措施(案例)
安全配置：修复已知漏洞排查和管理、权限最小化原则
业务逻辑：结合业务场景考虑提权的安全风险。

权限提升**
权限提升常见方法之一使用rookit, 可从网上免费下载，它利用OS 已知的漏洞可让攻击者通过社会工程学或密码攻击获得 的普通账号提权到 root 级别。

8.3.10. 暴力破解攻击

攻击描述：暴力破解又称穷举法，是一种针对资产(信息、功能、身份)密码/认证的破解方法，是常见的攻击方法，攻击可 以导致非法获取他人认证信息(如密码),通过密文获取明文密码等。
攻击场景：所有认证鉴权的场景都需要分析被暴力破解的风险。如管理协议暴力破解(如SSH、Telnet、RDP等)、业务场景 暴力破解(如登陆、身份识别)、关键资源(如 SessionID)、 密文等。
消减措施
离线场景：使用安全加密算法，增加密码复杂度程度，使用随机盐值加密存储密文；关于密钥需要满足《密钥安全设计规范》
要求。
实时场景：景需要防暴力破解机制：登陆失败超过一定次数，采取登陆延时、锁定、验证码等保护措施； 新增场景：暴力破解也可以用于针对神经网络中，生成大量样本对分类器进行暴力破解。

彩虹表(散列值，如/etc/shadow)
密码猜测攻击(常用密码(如生日、电话号码、姓名))
检测时间to使用时间TOCTOU(Time Of Check/Use)是一个时间型漏洞，当月程序检查访问许可权限的时间远早于资源请求 的时间，就会出这种问题。举例：
管理员取消了某个特殊权限，但这个限制只有在用户下次登录时才生效，那么已经登录在的用户主能继承访问资源。 后门允许开发人员绕过正常的访问控制且未记录在公开文档中的命令。

8.3.11. 目录遍历攻击

目录遍历 (file path traversal, 又称文件路径遍历),攻击者可以读取运行应用程序的服务器上的任意文件和目录，包括 应用程序代码和数据、凭据以及敏感的操作系统文件；某些情况下，攻击者可能写入服务器上的任意文件，众而控制服务器； 根本原因：
Web 服务器或者应用程序对用户输入的文件名称或路径缺少验证而导致；例如没有充分过滤用户输入的…/目录跳转符。

8.3.11.0.1. 防御

• 避免用户指定文件名
• 过滤“…/”,“/”目跳转符号， dir命令等
• 合理配置Web服务器目录权限
• 采用白名单限定用户访问路径
• 隐藏内部相关配置细节，以免错误信息显示出来

8.3.12. 文件包含攻击

文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中，然后使用其他文件进行包含调用，如果需要包含的文 件使用硬编码， 一般是不会出现安全问题，但是有时可能不确定需要包含哪些具体文件，所以就会采用变量的形式来传递需 要包含的文件，,但是在使用包含文件的过程中，未对包含的变量进行检查及过滤，导致外部提交的恶意数据作为变量进入到 了文件包含的过程中，从而导致提交的恶意数据被执行。
文件包含漏洞分为：
-本地文件包含(Loacl File Inclusion,LFI)
-远程文件包含(Remote File Inclusion,RFI)

8.3.13. XSS攻击

跨站脚本攻击 (Cross-site scripting,XSS), 允许恶意用户将代码注入到网页上，恶意代码被执行，破坏用户与网页的正 常交互。
应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。

8.3.13.1. 反射型XSS

恶意脚本在当前请求中

8.3.13.2. 存储型xSS

恶意脚本存储在网站数据库中，如

<p>Hello everyone,</p>
<p>I am planning an upcoming trip to <A HREF=
'https://www.mlb.com/mets/ballpark'>Citi  Field</A>  to  see  the  Mets  take  on  the
Yankees in the  Subway  Series.</p>
<p>Does  anyone  have  suggestions  for  transportation?  I  am  staying  in  Manhattan
and  am  only  interested  in  <B>public  transportation</B>  options.</p>
<p>Thanks!</p>
<p>Mike</p>
<SCRIPT>alert('Cross-site scripting!')</SCRIPT>

8.3.13.3. DOM型XSS

一些XSS攻击特别狡猾，通过修改用户浏览器中的文档对象模型 (DOM) 环境。这些攻击没有出现在网页的HTML代码中，但 仍然非常危险。

8.3.13.4. 防御

-对输入数据进行过滤
-用户可控数据输出至http 响应中，对输出进行编码

• 启用CSP(内容安全策略)

8.3.14. CSRF

CSRF(Cross-site request forgery, 跨站请求伪造),用户在非自己本意的情况下，页面访问了非本站点的请求。

8.3.14.1. 防御

-CSRF token 校验
-Referer,头校验
-验证码校验

8.3.15. SSRF

服务侧请求伪造(Server-Side, Request Forgery ,SSRF)指攻击者利用漏洞诱使服务器端应用程序向攻击者选择的任意域 发出HTTP 请求。(主要目标为从外网无法访问的内网系统)
根本原因：
服务端提供了从其他服务器应用获取数据的功能，未对用户可控的目标地址进行过滤与限制；存在缺陷的web应用成为了攻 击远程和本地服务器的代理。

常见功能点：
分享功能(url 地址)、转码服务、在线翻译、图片加载与下载、网站采集抓取、收藏功能等等；

8.3.15.1. 防御

• 对URL 进行限制，黑白名单过滤器(检查IP 是否为内网 IP; 仅允许输入匹配，以允许值开头或包含允许值的URL)
  -限制重定向
  -限制请求的端口为 http 常用的端口，比如，80,443,8080,8090。
  -禁用不需要的协议(gopher,ftp,file 协议等),仅仅允许 http 和 https 请求。
  -统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态。

8.3.16. 硬件攻击

硬件攻防：主要是二方面， 一是底层软件，二是硬件器件。
针对底层软件攻击：绕过安全启动、 TPM 破解、固件篡改等
针对硬件器件攻击：硬件接口(JATA 接口恶意利用)、侧信道攻击(时序攻击)、故障注入等。
内容欺骗-仿冒GPS 信号

攻击描述：硬件攻击的目标侧重于计算系统中使用的物理硬件的芯片、电路板、设备端口或包括计算机系统及嵌入式系统在 内的其他组件的破坏、替换、修改和利用。仿冒GPS 信号是其中一种攻击方法
攻击场景：通过GPS 信号来执行关键操作，如攻击无人机。
消减措施(针对案例)
涉及硬件安全的产品，需要分析关键硬件被仿冒、替换后产生的安全风险。如案例中GPS 接收器获取的数据并不能关键操作 的依据。
硬件可以在本地拆解，硬件中涉及密钥的，设计时要考虑所有产品出厂默认密钥不同，从而避免批量破解。如可以通过多种 方法获取Flash 芯片固件数据。

8.3.16.1. 故障注入

攻击描述：通过注入故障，诱导芯片改变执行流程或强迫芯片产生异常输出，对异常输出进行推理和分析，可获得密码算法
密钥，常见的故障注入方法有：时钟故障注入、电压故障注入、电磁故障注入、激光故障注入等
攻击场景：需要近距离物理接触。
消减措施

8.3.16.2. 侧信道攻击

攻击描述：利用设备的接口对芯片进行电磁和功耗的分析，无需对芯片进行破坏。
攻击与具体的实现有关，因此不是通用的，但比古典密码分析更强大，能够在极少的时间内攻破密码系统，被认为是对密码 实现设备的严重威胁
评估AES 等密码算法过程中，密码学界就达成共识：即使密码算法对传统密码分析是安全的，但如果不能安全的实现，该算 法也是无用的
消减措施：消除或降低侧信道信息与密钥的相关性
掩码技术：引入随机掩码，平衡中间值中的“O”、“1”分布，防御侧信道分析
隐藏技术：平均化侧信道信息，降低数据的可区分度，防御侧信道攻击
混淆技术：降低信噪比(有效侧信道信息),如使用随机时钟等，增加侧信道分析难度
案例一：DES 密码算法案例——差分能量分析 (Differential Power Analysis,DPA)

8.3.16.3. 电磁辐射攻击

因为计算机硬件是由各种电子元件构成的，许多计算机硬件设备在正常操作期间都会发射电磁(Emit Electromagnetic, EM)辐射。与其他计算机或外围设备通信的过程中产生的电磁波可以被拦截。通过拦截和处理来自键盘和计算机监视器的电磁辐射，甚至可重新创建键盘输入或 监视器输出的数据。你还可在数据通过网段时被动地检测和读取网络数据包(即实际上不用电缆连接)。这些辐射泄漏可能会导致严重的安全问题，但通常很容易解决。

有几种TEMPTEST技术可防止EM辐射窃听。这些包括

• 法拉第笼
• 干扰或噪音发生器 即白噪声，简单地说就是通过发射无线噪声来覆盖并隐藏真实的电磁信号
• 控制区 采用单一的法拉第笼、白噪声或二者组合，对环境中某个特定区域进行保护，而其他区域则不受影响。

8.3.17. 通信攻击

8.3.17.1. 嗅探网络流量

攻击描述：攻击者监视公共或内网之间的网络流量，通过网络嗅探流量，可能会获取到被攻击者的机密信息，如未加密协议的认证信息。
攻击场景：存在未加密的通讯协议中，如RDP、Telnet、SMB、HTTP、VNC、MySQL 等协议。
消减措施
产品设讦过程需要分析和识别不安全协议，尽量使用安全的协议代替，针对兼容场景默认不启用不安全协议。如FTP->SFTP、
HTTP->HTTPS 等，同时规避低版本协议和不安全套件都会导致潜在安全风险，如 SSLv2、SSHv1等，以及 RC4等不安全加密 算法。
产品设计时需要考虑网络隔离风险，如二层、三层隔离。

8.3.17.2. 中间人攻击

攻击描述：中间人攻击 (Man-in-the-MiddleAttack, 简称 “MITM 攻击”)是一种“间接”的入侵攻击，中间人攻击技术要 求远高于其他攻击，即要在客户端面前装扮服务器，又要在服务器侧面前装扮客户端。当两组件通讯时就可以获取到所有通 讯信息，这类攻击可导致信息泄漏、内容篡改、越权等安全风险。
攻击场景：此类攻击的目标是两个组件(通常是客户端和服务器)之间的通信。
涉及技术：
-篡改路由信息和 DNS值
-获取并安装加密证书，经破解后进行加密隧道

• 伪造ARP 查找
  消减措施
  单产品中侧重考虑服务端安全，认为客户端是不可信的，但很多解决方案场景下也需要考虑服务端不可信。重要场景可以采用双向认证。
  通过采用动态 ARP检测、DHCP Snooping 等控制操作来加强网络基础设施
  采用传输加密：SSL和TLS可以阻止攻击者使用和分析网络流量。像Google等公司如今都有高级的网站搜索引擎优化，默认状态下都提供HTTPS。

8.3.18. 供应链攻击

植入恶意软件
玫击描述：供应链攻击是通过操纵计算机系统硬件、软件或服务来破坏供应链生命周期，以进行间谍活动、窃取关键数据或 技术，破坏关键任务或基础设施。供应链中植入恶意软件是其中一种攻击方法。
攻击场景：在系统离开制造商之后但在部窘在受害著位置之前对系统进行物理访问。
消减措施
获取第三方软件时，尽量从官方下载，然后官方提供的方式校验。
建议产品提供相应的安全机制，如安全启动、远程证明等安全机制。
案例：
个、2020年12月SolarWinds 供应链攻击事件曝光，被认为是历史上最复杂的网络攻击之一，包括美国财政部、商务部、能源部、国土安全部以及国家核安全管理局等均受此影响。 SolarWinds发布报告中称有大约18000个客户受此影响。
2、2015年9月非官方版本的Xcode(Mac Os系统的集成开发工具)被注入Xcode Ghost 病毒，编译出的App都将被注入病毒代码，12306、中兴银行等APP 受到影响。

8.3.19. 社会工程学攻击

钓鱼攻击
政击描述：社会工程学是黑客凯文.米特尼克悔改后在《欺骗的艺术》中所提出的，是一种是利用人的薄弱点，通过欺骗手段 而入侵讦算机系统的一种攻击方法。钓鱼攻击是社会工程学攻击的一种方式。
攻击场景：攻击者需要与受害者建立联系，会访问共同的资源，如邮件、手机、搜索网站等。
消减措施
社会工程学攻击只能一定程度缓解，无法根治。

提升人员网络安全意识，降低欺骗、钓鱼攻击风险。
技术手段：双向认证，如SSL双向认证、关键操作二次认证等。

攻击案例
2015年12月，乌克兰电力区域被攻击，导致遭遇了大规模停电。后分析攻击入口就是通过邮件钓鱼攻击从而被植入木马。 典型方式 描述 |
:– ::- :
仿冒软件 |1、冒充银行的网站，网站页面和内容与银行几乎相同。2、冒充系统管理软件，如2015年中文版本Putty事件
相似域名 |工行 www.Icbc.com->假冒 www.1cbc.com I
内容诱惑 |美女视频，图标是视屏，实际为可执行文件的木马。
免费资源自标范围内故意丢下带木马的U 盘；免费WIFI热点钓鱼攻击 |
攻击方法群发邮件、污染缓存、伪造短息、伪造邮件来源、搜索推广、利用漏洞钓鱼攻击、先渗透再钓鱼 |

8.3.20. 物理攻击

攻击描述：信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运 行等方面，是信息系统安全运行的基本保障。
攻击场景：需要近距离物理接触。
典型攻击方式：
绕过物理安全

• 绕过物理/电子锁
• 绕过门禁
• 物理盗窃
• 中断：阻止系统交互

案例：
主控单板串口供生产及维修过程使用，攻击者通过物理接触后，通过跳线连接串口，然后访问操作系统Shel1

射频识别，RFID(Radio Frequency Identification)技术，又称无线射频识别，是一种通信技术，可通过无线电讯号识别
特定目标并读写相关数据，而无需识别系统与特定目标之间建立机械或光学接触。
射频的话， 一般是微波，1-100GHz, 适用于短距离识别通信。

8.3.21. 侦察攻击

8.3.21.1. Ping

如果能收到目标IP的Ping响应，则可获知：

• TTL: 响应ping的系统将显示到达它们的数据包的生存时间。由于TTL在每一跳都会递减，这有助于构建粗略的网络拓扑图。此外，
• 防火墙：一些防火墙对ping的响应与正常系统不同，这意味着对网络进行ping有时会显示防火墙的存在，否则这些防火墙将是不可见的。

主机名是通过DNS查找显示的，而通过防火墙允许的ICMP类型不是通过仅执行ping显示的。ICMP可以用于路由器广播，但ping不会显示它们！

8.3.21.2. 端口扫描

探测网络中存活主机系统并确定其上运行的服务(如telnet 服务，端口号23)
Nmap

8.3.21.3. 漏洞扫描

Nessus、GSM、RSAS、OpenVAS、Nexpose 等工具

8.3.21.4. 僵尸网络

僵尸网中的计算机就像是机器人(亦称为僵尸)一样依照攻击者(亦称僵尸牧人)的指令做任何事情，计算机往往会在感染 了某种恶意代码/软件后加入僵尸网络。防御如下：

• 纵深防御：实现多层次安全保护
• 安全培训：如何识别钓鱼邮件等

8.3.21.5. DoS攻击

拒绝服务(DoS) 攻击阻止系统处理或响应对资源的合法访问或请求。攻击形式有：

• 向服务器发送大量数据包，致命服务器不堪重负而瘫痪
• 对OS、APP或服务进行漏洞利用使用系统崩溃或CPU占满
• 分布式拒绝服务(DDoS), 即多个系统同时攻击一个系统
  分布式友射型拒绝服务(DRDoS), 借助一种方法来反射攻击，它不直接攻击目标，而是操纵流量或网络服务使攻击反射到目标。(如DNA投毒攻击、 Smurf攻击)

8.3.21.6. SYN Flood 攻击

SYN Flood 攻击是一种常见DoS攻击形式。

攻击者利用三次握手协议原理，发出多个SYN 包，但是绝不用ACK 包完成连接。
莉 用SYN cookie和缩短服务器等待ACK 的时间(默认3分钟)可以阻正这种攻击；
TCP.协议在三次握手的过程中设置了一些异常处理机制：
1、第三步中如果服务器没有收到客户端的最终ACK确认报文，会一直处于 SYN RECV 状态，将客户端IP 加入等待列表，并 重发第二步的SYN+ACK报文。重发一般进行3-5次，大约间隔30秒左右轮询一次等待列表重试所有客户端，平均时间2分 钟左右。
2、服务器在自己发出了SYN+ACK 报文前，会预分配资源(280~1300byte的 TCB)为即将建立的TCP 连接储存信息做准备，这 个资源在等待重试期间一直保留。
漏洞：因为服务器资源有限，可以维护的 SYN RECV 状态超过极限后就不再接受新的 SYN 报文，也就是拒绝新的 TCP 连接建 立。这就是一个漏洞。

扩展： TCP复位攻击
玫击者在RST 包中假造源 IP地址并切断活跃会话，两个系统需要重新建立会话，系统需要重新创建数据消耗大量资源；

8.3.21.7. Smurf和Fraggle攻击

Smurf（蓝精灵）和Fraggle攻击都属于DoS攻击。Smurf攻击是分布式拒绝服务(DDoS)攻击的一种形式，该攻击会导致计算机网络停止服务。Smurf程序通过利用互联网协议(IP)和互联网控制消息协议(ICMP)的漏洞来实现其目的。
ping包含一个重定向函数，允许将回显响应发送到写源系统不同的自的地。
1、恶意软件创建网络包
使用Smurf恶意软件，攻击者创建链接到欺骗性IP地址的ICMP回显请求。假IP实际上是目标服务器的IP。所以当回显请求返回时，它会去往目标而不是攻击者。
2、ICMP ping消息发送到目标IP地址
然后将ICMP ping消息发送到目标IP广播网络，该网络将消息中继到连接到网络的所有设备。请求接收数据包的设备向 欺骗的IP地址发送回响应。
3、持续的“回声”使网络瘫痪
目标服务器从网络上的所有设备接收连续的回复，这些回复再次从服务器发回。这种无限循环称为“回声”,会淹没网络并无限期地关闭它。
使用限制：
由于路由器等三层设备本身就不会转发目的地址是广播地址的报文，因此Smurf攻击在网络上很难形成攻击。

消减措施

• 确保阻止进入网络的定向广播流量，即阻止入站ICMP流量。
• 通过设置禁止主机和路由器响应ICMP回声请求。
  Fraggle攻击是Smurf攻击的一种变体。这种攻击本质上与Smurf攻击相同，但它不会向直接广播地址发送ICMP回声请求，而是会发送UDP数据包。在应对Fraggle攻击时，可以采取与上述相同的方法来减轻影响。

8.3.21.8. Ping Flood

Ping Flood 攻击使用ping 请求淹没受害者。
防御：
拦截ICMP通信流；

8.3.21.9. DNS Flood

DNS Flood
微软的统计数据， 一台 DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求。

8.3.21.10. 死亡Ping

正常 ping包通常只有32位或64位，死亡ping攻击将ping包的大小必到64KB以上，超出许多系统的处理能力。
最终会导致被攻击目标缓冲区溢出，引起拒绝服务攻击。有些时候导致telne和http服务停正，有些时候路由器重启。

ping of death攻击在ICMP回显请求数据包的有效负载中放置了超过规范允许的数据。这类似于现代的缓冲区溢出攻击，攻击者试图在目标系统的内存中放置更多的数据，而目标系统的存储器消耗的空间比分配给该数据的空间更多。
限制：由于补丁更新，死亡Ping攻击如今已经很难得逞

8.3.21.11. 泪滴 (teardown)

大数据包通过网络发送时，通常会拆成较少的片段，接收系统收到后再将数据包片段重新组合成原始包。 泪滴攻击会把这些数据包打碎，致命系统无法恢复，旧系统遇到这种情况时就会崩溃。
限制：补丁更新已经解决了此问题。

8.3.21.12. LAND攻击

攻击者把受害者的 IP地址即用作源IP又用作目标IP, 以这种方式向受害者发送欺骗性SYN 包。LAND攻击诱骗系统不断回 复自己，最终导致系统崩溃或重启。
防御：
保持系统实时更新
过滤源IP=目标IP的通信流

8.3.21.13. 0Day攻击

许多形式的恶意软件利用了Oday,漏洞(黑客发现的安全漏洞还没有安全社区彻底解决),主要原因有：

• 新发现的恶意软件与发布补丁之间的延迟
• 部分系统管理员没有及时更新
  防御：
• 禁用不需要的服务和协议，减少系统攻击面
• 启用NIDS和HIDS的防火墙，限制潜在的恶意流量
• 使用IDS/IPS系统帮助检测和拦截潜在攻击
• 蜜罐和填充单元帮忙管理员观察攻击情况，揭示0day利用手段；

8.3.22. 恶意代码

恶意代码指在计算机上执行有害、未经授权或未知活动的任何脚本或程序。恶意代码存在多种形式，其中包括病毒、蠕虫、 木马、内含破坏性宏的文档、逻辑炸弹等。

• 病毒则通过一些人为干预传播
• 蠕虫依赖自身力量在系统间传播
• 特洛伊木马伪装成有用的程序(如游戏),但实际上在后台运行恶意代码
• 逻辑炸弹包含的恶意代码在满足某些指定条件时执行。

病毒、特洛伊木马依靠用户对计算机的不当使用在系统间传播

8.3.22.1. 来源

• 误入歧途的有经验的开发人员
• 脚本小子，不理解安全漏洞原理，从网上下载软件或脚本对远程系统进行攻击
• 拥有先进技术和雄厚资金的军事单位、情报机构等，典型案例是高级可持续性威胁 (Advance Persistent Trheat,APT)

8.3.22.2. 病毒

最令安全管理员头疼的恶意软件形式。

8.3.22.2.1. 病毒传播技术

8.3.22.2.1.1. 主引导记录病毒

主引导记录病毒 (Master Boot Record,MBR)是已经最早的病毒感染形式。
MBR病毒将主要的代码保存在存储介质的其他部分，系统读取受感染的MBR 时，病毒会引导系统读取并执行存储在其他地方 的代码，从而将病毒加载到内存。

8.3.22.2.1.2. 文件程序感染病毒

感染不同类型的可执行文件，并在0S 执行文件时被激活。

8.3.22.2.1.3. 宏病毒

宏是某些应用程序为了自动执行重复任务而实现了某些脚本功能，宏被感染可成为宏病毒。

8.3.22.2.1.4. 服务注入病毒

将自己注入到可信的系统进程中，如explorer.exe

8.3.22.3. 反病毒机制

• 清除
• 隔离

8.3.22.4. 病毒技术

• 复合病毒(多种传播技术-Multipartite)
• 隐形病毒 (MBR)
• 多态病毒(每次感染新的系统后，病毒特征都略有改变)
• 加密病毒(通过加密绕过检测)

8.3.22.5. 逻辑炸弹

逻辑炸弹感染系统并且在满足指定逻辑条件(如时间、程序启动、 Web 站点登录等)前保持休眠状态的恶意软件。许多病毒
和特洛伊木马都包含逻辑炸弹组件。

8.3.22.6. 特洛伊木马(Trojan Horses)

特洛伊木马伪装成有用的程序(如游戏),但实际上在后台运行恶意代码

8.3.22.7. 蠕虫

不需要人为干预就可以自己传播

8.3.22.7.1. CodeRed 蠕虫

8.3.22.7.2. 震网 (Stuxnet) 蠕虫

8.3.22.8. 广告软件

广告软件虽然在形式上与间谍软件非常相似，但有不同的用途。它使用多种在受感染的计算机上显示广告的技术。最简单的 广告软件形式是当你上网时，在屏幕上显示弹出广告。更邪恶的版本可能监控你的购物行为，并将你重定向到竞争对手的网 站。

间谍软件和广告软件都属于一类被称为潜在有害的软件程序(potentially unwanted programs/applications,PUPs/PUAs), 用户同意在其系统上安装的软件，但会执得角户呆希望或朱授权的功能。
间 谍 软 件
间谍软件监视用户的操作并将重要细节传输到远程系统。

8.3.22.8.1. 勒索软件(Ransomware)

勒索软件是一种将加密技术武器化的恶意软件

8.3.22.8.2. 蓄意破坏

员工对自己供职的机构实施破坏的一种犯罪行为。(员工对组织不满或离职后访问权限依然保留时最容易出现蓄意破坏)

8.3.22.8.3. 间谍活动

收集组织专用、私密、敏感或机密信息的恶意行为。许多间谍案件可以追溯到由国家资助的高级持续威胁 (APT)。
防御：严格控制对所有非公开数据的访问、对应聘者进行彻底审查以及有效跟踪所有员工的活动。

8.3.22.8.4. 伪装攻击

8.3.22.8.4.1. IP欺骗

重新配置系统使用其具有可信系统的IP, 然后试图获得其他资源的权限，防御如下：

• 内 网IP 的包不能从外部进入网络
• 具有外部源IP 地址的包不能从内部离开网络
• 具有私有IP 地址的包不能从任何一个方向通过路由器(特殊场景除外)

8.3.22.8.4.2. 会话劫持

常用劫持技术：

• 捕 获B/S 之间的身份验证信息，并利用这些信息伪装成客户端的身份
  欺骗客户端，使其认为攻击者的系统是与之通信的服务端，并在客户端与服务器建立连接时作为中间人，然后断开服务器 与客户端的连接
  使用没有正常关闭连接的用户的 cookie数据访问 Web 应用程序

8.4. 灾难恢复计划

8.4.1. 灾难本质

8.4.1.1. 自然灾难

地震-洪水-暴风雨-、火灾-其他地区性事件(如活火山、海啸、雪崩、泥石流)

8.4.1.2. 人为灾难

• 火灾
• 恐怖行为
• 爆炸/煤气泄漏
• 电力中断
• 网络、公共设施和基础设施故障
• 硬件/软件故障
• 罢工/示威抗议
• 盗窃/故障破坏

8.4.2. 理解系统恢复与容错、弹性

系统恢复与容错的主要目标是消除单点故障 (Single Point Of Failure,SPOF) 导致整个系统崩溃。
恢复能力 (Resilience) 指系统在发生负面事件后系统还原的能力；
容错能力(Fault Tolerance)指系统在发生敌障的情况下仍可继续运行的能力。容错能力是通过增加冗余组件实现的，如廉价冗余阵列(RAID)中的额外磁盘。
高可用性(HA) 是指使用冗余技术组件，使系统能够在经历短暂中断后迅速从故障中恢复。高可用性通常通过使用负载平衡 和故障切换服务器实现。

8.4.2.1. 保护硬盘驱动器

RAID包括两个或以上磁盘，常见配置如下：

• RAID-0: 称为条带，使用两个或以上磁盘，但不提供容错能力
• RAID-1: 称为镜像，使用两个磁盘，每个磁盘保存相同数据。
• RAID-5: 奇偶校验(也称为striping with parity，奇偶条带)，它使用三个或以上磁盘，相当于一个磁盘，其中包含奇偶校验信息，如果一个磁盘故障，RAID会继续运行，但速度会变慢。
• RAID-10:也称为RAD1+0 或条带镜像，是在RAIDO 配置上再加两个或以上镜像 (RAID-1), 所以它至少需要4个磁盘，增加 磁盘数以偶数计。即使多个磁盘损坏，只要每个镜像集中有一个驱动器是好的，它就能正常运行。

注意：大多数基于硬件的阵列支持热插拔，冷插拔的RAID要求关机后才能更换损坏的驱动器。

8.4.2.2. 保护服务器

可通过故障转移集群含两个或以上的服务器，如果其中一台故障，集群中的其他服务器可通过故障转移技术接管其负载。

8.4.2.3. 保护电源

不间断电源 (UPS)、 发电机或它们两者结合提供容错能力。
UPS提供5-30分钟的短时间供电，而发电机可提供长期电力。
UPS 内含有可变电压互感器，可调整高低电压。

8.4.2.4. 受信恢复

系统可被预置成在损坏后处理故障防护或应急开放状态。两者区别在于是注重安全性还是可用性。
4种受信恢复：

• 手动恢复
• 自动恢复
• 无过度损失的自动恢复
• 功能恢复

8.4.2.5. QoS

服务质量(Quality of service ,QoS) 控制能够保护负载下的数据网络的完整性。关键指标有：

• 延迟时间
• 抖动；不同数据包之间的延迟变化
• 数据包丢失
• 干扰：电噪声、故障设备等因素可能会损坏数据包的内容

8.4.3. 恢复策略

8.4.3.1. 确定业务单元优先级

DRP首先标识业务单元，确定优先顺序，最终输出一张业务单元的优先级列表。列表中最好包含：

• 平均恢复时间(mean time to repair,MTTR)
• 最大可容忍中断 (maximum tolerable downtime ,MTD)
• 恢复时间点 recoverytime objective(RTO)
• recovery point objective(RPO)

8.4.3.2. 危机管理

如果培训预算允许，对主要员工进行危机培训是个好方法，至少能确保有一些员工知道如何用正确的方法处理紧急情况，并 对那些受到灾难恐吓的同事起到重要的现场领导作用。

8.4.3.3. 应急通信

灾难来袭时，组织能在内部与外部之间进行通信。

8.4.3.4. 工作组恢复

在设计灾难恢复计划时，重要的目标是将工作组恢复到日常工作中来。

8.4.3.5. 可替代的工作站点

主站点不可用时要使用的备用站点
1. 冷站点
只是备用设施(如仓库、空的办公大楼),没有预先安装计算基础设施，没有可供使用的网络线路。 优点：便宜
缺点；从启用到正式投入使用的时间通常需要数个星期
2. 热站点
有固定的被维护的备用工作设施，并附带完备的服务器、通信线路，并已经安装了OS 和 APP。主站点服务器上的数据会定期 或持续复制到热站点中对应的服务器上。
3. 温站点
介于冷站点与热站点之间，是灾难恢复专家可选择的中间场所，与热站点不同的是，它不包含生产数据。灾难发生后将其激 活需要12小时以上。
4. 移动站点
移动站点属于非主流方案， 一般会配置为冷站点或温站点。
5. 服务局
服务局是出租计算机时间的公司
6. 云计算
按需提供服务，如华为云、 AWS

8.4.3.6. 相互援助协议

相互援助协议 (Mutual Assistance Agreement,MAA), 两个组织承诺在灾难发生时通过共享计算设施或其他技术资源彼此 援助。
有以下缺点导致很难实施：

• 协议参与方要彼此信任
• 地理位置相对接近
• 保密性问题

8.4.3.7. 数据库恢复

1. 电子链接(electronic vaulting)
数据库备份通过批量传送方式转移到远处场所(如热站点)。
2. 远程日志处理
更快的方式传输数据，通常为每小时或更短
3. 远程镜像
最先进的数据库备份方案。主库数据修改远程服务器同时收到副本。
4. 事务日志记录
不仅仅是一种恢复技术，它是一个生成远程日志中使用的日志的过程。

8.4.4. 恢复计划开发

8.4.4.1. 紧急事件响应

8.4.4.2. 人员通知

DRP中应包括一份人员名单，以便在发生灾难时进行联络。他们承担关键灾难恢复任务。

8.4.4.3. 评估

DRP 团队到达现场时首要任务是评估现状。

8.4.4.4. 备份和离站存储

三种主要备份类型：

• 完整备份
• 增量备份：复制那边最近一次完整备份或增量备份以来修改过的文件。
• 差异备份：复制那些从最近一次完整备份以来修改过的所有文件。

差异备份还原时间短，但创建备份所需时间比增量备份长。

8.4.4.5. 软件托管协议

软件托管协议下，软件开发商将应用程序的源代码副本提供给独立的第三方组织，如果开发商无法满足SLA 或公司破产，第 三方将向最终用户提供此副本。

8.4.4.6. 外部通信

8.4.4.7. 公用设施

电力、水等

8.4.4.8. 物流和供应

8.4.5. 培训与文档记录

与BCP一样，对所有涉及DRP的人员进行培训十分重要，DPR需要进行完整文档记录并标记为极其敏感文档。

8.4.6. 测试与维护

8.4.6.1. 通读测试

8.4.6.2. 结构化演练

8.4.6.3. 模拟测试

8.4.6.4. 并行测试

将人员部署到替换的恢复场所并实施场所启用的过程，不会中断主要设施的运营，属于并行状态。

8.4.6.5. 完全中断测试

非常难执行，通常会遇到来自管理层阻力。

8.4.6.6. 维护

DRP是一份灵活的文档，随时组织需求的变化， DRP 需要修改以适应变化。

8.5. 调查与道德

8.5.1. 调查

8.5.1.1. 调查的类型

1. 行政调查
行政调查属于内部调查，它检查业务问题或是否违反组织的政策。
2. 犯罪调查
犯罪调查通常由执法者进行，是针对违法行为进行的调查。
3. 民事调查
民事调查通常不涉及执法，而是涉及代表法律团队工作的内部员工和外部顾问
4. 监管调查
政府机构在认为个人或企业可能违法时会执行监管调查。监管调查一般由政府工作人员执行。 一些监管调查可能不涉及政府 机构而是基于行业标准，如 PCI DSS。
5. 电子发现
在法律诉讼中，各方都有义务保存与案件相关的证据，并通过发现过程与诉讼中的对手共享信息。该发现过程适用于纸质记录和电子记录，电子发现(或电子发现)过程促进了电子信息披露的处理。电子发现参考模型 (EDRM) 从九个方面描述了进行电子发现的标准过程：

• 信息治理
• 识 别
• 保 存
• 收 集
• 处 理
• 检 查
• 分 析
• 产 生
• 呈 现

8.5.1.2. 证据

• 口头证据规则 如果双方签订书面协议，则该书面文件应包含协议的所有条款
• 最佳证据规则 如果原始文件可用，则文件副本不可受理。
• 道听途说规则 证人不能就别人告诉他们的事情作证，除非有非常具体的例外情况。法院应用了传闻规则，将律师不得将日志引入证据的概念包括在内，除非系统管理员对其进行了认证。

8.5.1.2.0.1. 可采纳的证据

满足以下三个要求：

• 证据必须与确定事实相关(关联性)
• 证据要相关(相关性-relevant)
• 证据必须通过合法方式获得(有作证能力-Competence)

To be admissible, evidence must be relevant, material, and competent.

8.5.1.2.0.2. 证据的类型

• 实物证据：带有指纹的键盘、DNA
• 文档证据：这种类型的证据必须经过验证
• 言辞证据：证人证词
• 证据链(亦称监控链)

涉及所有处理证据的人，维护证据链时，应该记录以下信息：

• 证据描述
• 收集时间
• 位置
• 收集人姓名
• 收集的相关环境
  处理证据的每人人都必须签署监管日志链，从而能说明从证据收集到审问之间的过程。

8.5.1.2.0.3. 证据收集和司法取证

计算机证据国际组织(International Organization on Computer Evidence,IOCE) 给出了6条原则：
处理数字证据时必须应用所有通用的司法和程序原则

• 收集数字证据后不能修改；
• 使用原始数字证据时应当授受过相关培训
• 收集、访简、存储或转移证据的机构都要完整记录和保留，并且可供审查
• 证据被某人掌握后，他应当对证据有关的所有活动负责
• 收集、访问、存储或转移证据的机构都要遵守上述原则
  1. 介质分析
  取证磁盘控制器执行四个功能:
• 写阻塞，拦截发送到设备的写命令，并阻止它们修改设备上的数据。其他三个功能包括
• 返回读取操作请求的数据；
• 从设备返回重要访问信息；
• 从设备向取证主机报告错误。

出于取证目的对硬盘驱动器进行审查就是媒体分析的一个例子。

2. 网络取证分析
3. 软件分析
4. 硬件/嵌入式设备分析

8.5.1.3. 调查过程

8.5.1.3.1. 收集证据

8.5.1.3.2. 请求执法

两个因素考虑是否要请求执法机构介入：

• 调查可能使事件公并，从而给公司带来麻烦；
• 按规章执行

8.5.1.3.3. 实施调查

主要原则：

• 不要对被破坏的实际系统实施调查。(仅用备份进行调查)
• 不要试图发击并对犯罪进行报复(否则会伤及无辜或自己被指控)
• 如有疑问，最好向专家求助

8.5.1.3.4. 约谈个人

8.5.1.3.5. 事故数据的完整性和保存

如果证据在收集过程中发生变更，就会被法院驳回。

Linux工具dd创建了一个非常适合取证使用的目标驱动器的逐位副本，并且dd的特殊取证版本可以提供更多的取证功能。

8.5.1.3.6. 报告和记录调查

每一项调查都应提交一份最终报告，记录调查的目标、程序、收集的证据以及调查的最终结果。

8.5.2. 计算机犯罪主要类型

8.5.2.1. 军事和情报攻击

APT增多，攻击者有雄厚资金、先进技术和丰富资源，他们代表国家、恐怖组织等，对非常具体的目标进行有效攻击。

8.5.2.2. 商业攻击

用于获取公司机密信息。

8.5.2.3. 财务攻击

用于非法获得钱财和服务

8.5.2.4. 恐怖攻击

目的是中断正常的生活并制造恐怖攻击的气氛

8.5.2.5. 恶意攻击

动机通常源于不满发起的攻击

8.5.2.6. 兴奋攻击

通常由菜鸟发起，又被称为脚本小子。

8.5.3. 道德规范

8.5.3.1. ISC2

(ISC)²道德规范：

• 维护社会的共同利益、必要的公众信任度以及基础设施
• 正直、诚实、公正、负责任、合法地行事
• 为委托人提供尽职的、胜任的服务
• 推动并保护信息安全行业的发展

8.5.3.2. RFC 1087

RFC 1087 说明了怀有以下目的的行为是不道德的
— 试图获得未经授权访问 internet 资源的权莉

• 破坏 Inernet的正常使用
• 耗费资源
• 破坏完整性
• 侵犯用户隐私