管理员 : kyma1 创建时间 : 2016-03-06 18:36:31

简介 : 威客安全是北京锦龙信安科技有限公司旗下核心品牌,是国内首个基于互联网+安全模式的网络与信息安全产业平

3844

话题 Web攻击的5个阶段及防御措施(二)

  信息安全专家所描述的Web攻击是指通过利用Web访问技术所实施的入侵攻击。这些技术包括XSS, DDoS, SQLi 攻击以及其他,这些攻击最后会导致目标的部分或整个系统陷入危险。  对于所有攻击而言,攻击者通常会选择五个步骤:侦察,扫描,获得权限,维持权限,清除攻击痕迹。  在侦查这一步中,攻击者通常使用以下两种方法的一种:他们或低调的进行垃圾搜寻(dumpster diving)或字符分析,或是积极入侵,收集潜在目标的数据以及可以使其获利的其他方式,而不在乎是否会被他人发现痕迹,因为之后为防止数据泄露会被删除。  第二部是扫描,这一步并不是指扫描目标的以了解详细信息,而是“漏洞扫描”。此时,攻击者已经确定其攻击目标,他们试图寻找目标防御机制中可能存在的漏洞,通过使用例如端口扫描,网络映射与清除工具等。  2015年非法网络访问的记录攻击达到10亿条。  在第三步中攻击者获取了系统的访问权限,通过利用进攻性入侵技术如:跨站脚本、会话劫持、拒绝服务攻击、缓冲区溢出、SQL注入攻击等。  在获取到目标系统权限后,攻击者下一步会选择使用如木马、后门、或rootkit(bookits)等工具来维持他们对受感染系统的权限,直至他们拖取了所有数据。  最后一步是当数据被窃取的同时攻击者也很好的隐藏了自己。数据已经被拖走,那么攻击者只需要更改受感染系统的日志文件以清除之前的操作记录及他所留下的所有痕迹。    【文章来源:Softpedia,转载请注明来自威客安全】  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(一)

接盘侠

--

13月前
3843

话题 Web攻击的5个阶段及防御措施(一)

 信息安全专家所描述的Web攻击是指通过利用Web访问技术所实施的入侵攻击。这些技术包括XSS, DDoS, SQLi 攻击以及其他,这些攻击最后会导致目标的部分或整个系统陷入危险。  对于所有攻击而言,攻击者通常会选择五个步骤:侦察,扫描,获得权限,维持权限,清除攻击痕迹。  在侦查这一步中,攻击者通常使用以下两种方法的一种:他们或低调的进行垃圾搜寻(dumpster diving)或字符分析,或是积极入侵,收集潜在目标的数据以及可以使其获利的其他方式,而不在乎是否会被他人发现痕迹,因为之后为防止数据泄露会被删除。  第二部是扫描,这一步并不是指扫描目标的以了解详细信息,而是“漏洞扫描”。此时,攻击者已经确定其攻击目标,他们试图寻找目标防御机制中可能存在的漏洞,通过使用例如端口扫描,网络映射与清除工具等。  2015年非法网络访问的记录攻击达到10亿条。  在第三步中攻击者获取了系统的访问权限,通过利用进攻性入侵技术如:跨站脚本、会话劫持、拒绝服务攻击、缓冲区溢出、SQL注入攻击等。  在获取到目标系统权限后,攻击者下一步会选择使用如木马、后门、或rootkit(bookits)等工具来维持他们对受感染系统的权限,直至他们拖取了所有数据。  最后一步是当数据被窃取的同时攻击者也很好的隐藏了自己。数据已经被拖走,那么攻击者只需要更改受感染系统的日志文件以清除之前的操作记录及他所留下的所有痕迹。    【文章来源:Softpedia,转载请注明来自威客安全】  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(二)

接盘侠

--

13月前
3842

话题 DDoS,网络安全世界里的暗黑杀手

  今天和大家谈谈网络安全世界里的暗黑杀手——DDoS。我们常常说编程的世界是一个江湖,有圣殿,有神,有前辈,有高手,有各种武器,还有各种复杂的鄙视链,但是更多时候,这些都是隐喻和类比。但是到了安全领域,这些隐喻就不再是虚拟的,而是真实的残酷的江湖。在互联网的安全世界里,你会看到行走在网际暗黑领域的白衣少年和黑衣剑客,他们背双肩挎、携电脑包,走位飘忽,宛若一个孤独的侠客行走在网路之间,或攻或防,遇到楼舍密室,要么跳跃穿行,要么潜入一窥究竟。  早年的黑客更多崇尚自由、创新和冒险,他们做酷的东西,立志成为伟大的程序员,写出匪夷所思的代码,入侵系统更多是为了警示对方和彰显自己的 Hack 技术。随着互联网技术逐步渗透到人们的衣食住行中,入侵系统已经可以让黑客获取巨大的利益,于是地下黑产应运而生。从那以后,网络的守护者白帽子和暗黑世界的黑客就开始了永无休止的争斗和攻防。  在此期间,给互联网世界造成巨大损失的攻击之一就是 DDoS。  DDoS 又称为分布式拒绝服务,全称是 Distributed Denial of Service。DDoS 就是利用合理的请求造成资源过载,导致服务不可用。比如你是个程序员,在经历了各种上线失败、弱智需求和白痴老板之后,你终于像李宗盛一样看破人生,你对自己说,这帮搞 IT 的也就那么回事,劳资不和你们玩了。于是你开了个花店,每天浇花读书陪伴父母,没准还能遇到白色领口的姑娘……你幻想着温暖的夕阳和美好的爱情故事,这时候你以前得罪的一个产品经理知道了这个消息,于是他雇佣一大批伪顾客堵在你的店铺门口,聊天唠嗑磕瓜子,不买花也不走开,从开门到打烊。你再也不能为真正的用户提供服务了,于是你的花店倒闭了……  这就是现实生活中的 DDoS。为了搞清楚 DDoS 的类型、原理和具体的攻防内容,我特别邀请了现在阿里云的道哥团队里的双乐写了一篇文章。道哥是一个有安全理想的青年,嗯,差不多也中年了,他在自己的云盾产品中倾注了巨大的情感。我想,他团队里的成员,文章也不会差吧。以下是全文:  DDoS清洗,阿里为什么要走一条属于自己的路  DDoS攻击是互联网上臭名昭著的一种网络攻击形式,大约在上个世纪90年代出现,至今活跃已经近20年,20年来DDoS攻击的手法层出不穷,据调查,目前已知的DDoS攻击种类在400种以上,而可获取的各种DDoS工具更是达到4000多种,DDoS攻击给互联网的发展带来了沉重的负担。  在DDoS攻击危害互联网的同时,不少安全专家也在不断研究DDoS攻击的防御方法。国内最早出现的DDoS防御产品约在2002年,此后攻防双方此消彼长,进行着无休无止的对抗,不少安全厂商都推出了自己的DDoS防御产品和服务。  DDoS攻击的手法很多,比如SYN flood,Ack flood,udp food,icmp flood,针对应用层的还有CC攻击,SSL flood,DNS flood,近几年反射攻击很火,出现了比如 NTP flood,SSDP flood等反射攻击形式。  阿里巴巴在长期跟DDoS对抗中也曾踩过坑,走过弯路。但在这个过程中,也积累了很多对抗经验。  早期的时候市面上有不少的DDoS产品,这些产品本身已经做的非常成熟。2012年,阿里尝试引进外部清洗产品进入集团防御体系。经过几次实战,发现总是有些不尽人意的地方,我们开始积极的跟厂商进行沟通,反馈一些需求,实际上,厂商也积极的响应,但是由于理解业务特点和研发模式的差异,随着云计算和电商业务的发展,这些需求越来越无法满足。  阿里巴巴相关团队在实战中发现,DDoS防御产品的核心是检测技术和清洗技术,而检测技术的核心有在于对于业务深刻的理解,才能快速精准判断出是否真的发生了攻击,清洗技术相对于检测来讲,不同的业务场景下要求粒度不一样。从安全厂商处采购的硬件防火墙类设备主要的应用场景是运营商和IDC,这类业务的清洗算法往往比较粗放。直接拿到阿里的场景来用,对于一些细粒度的场景支持就会需要做很多的工作才能完成。  所以,阿里巴巴集团决定研发自己的DDoS清洗系统。  阿里巴巴DDoS防御系统由两个产品组成:镜像检测产品 AliBeaver 和流量清洗产品 Aliguard。  AliBeaver是一套毫秒(ms)级镜像检测产品,通过对机房入口镜像流量的深度包分析,实时地检测出各种攻击和异常行为,并与其他防护系统产生联动。AliBeaver提供丰富的信息输出与基础的数据支持。  AliBeaver支持镜像或分光方式采集流量,对采集上来的报文做深度包分析(DPI),根据设定的阈值对流量进行实时检测,定期上报流量日志。当判断存在异常流量后,会及时向Aliguard发送启动防护的告警日志,由Aliguard牵引流量清洗。  AliBeaver支持多种 DDoS 攻击的检测,包括网络型攻击 SYN Flood、 UDP Flood、 DNS Query Flood、 ICMP Flood、 (M)Stream Flood、 Ping of Death、 Connection Flood、 Land、 Tear Drop、 WinNuke 等,应用型攻击 HTTP Get攻击、 CC攻击、 DNS攻击等。  Aliguard是阿里巴巴安全自主研发的DDoS流量清洗系统。通过AliBeaver的检测和调度,Aliguard可以防护来自互联网的各种DDoS攻击,并可以根据用户的流量大小自动调整防御策略,防护类型包括SYN flood、Ack flood、UDP flood、DNS Query Flood以及NTP Reply Flood等所有DDoS攻击方式,保障互联网应用系统的可用性。  如下是整套系统的架构:    云盾的检测技术  DDoS攻击一般是由于流量的突增造成,但是流量的突增一般有几种可能:  (1)业务出现常规性的波峰和波谷,跟业务本周周期性的增长有关,如上午高峰,整点高峰,节假日高峰等 (2)业务出现某些特定的活动,如广告投放,促销,打折等活动上线 (3)恶意的攻击造成。  即使是有经验的运维人员,在用肉眼去观测流量曲线的时候,也很难看出流量的突增是由于攻击造成还是业务的增长造成,如下图,是一次整点活动的投放,此时的业务增长是符合预期的。    再看这个图,则是在平稳的业务过程中出现了一次较大的攻击。    在过去,很多防火墙对于DDoS攻击的检测一般是基于一个预先设定的流量阈值,超过一定的阈值,则会产生告警事件,做的细一些的可能会针对不同的流量特征设置不同的告警曲线,这样当某种攻击突然出现的时候,比如SYN flood,此时网络中SYN的报文会超过阈值,说明发生了SYN flood攻击。  但是当网络中的报文速率本身是这条曲线的时候,曲线自身就一直在震荡,在这样的曲线上如何检测异常?如何根据阈值检测攻击?真正的攻击又是哪一个点?    这个攻击几乎肉眼无法分辨。如果不是那个时间点真的出了攻击,也很难从曲线上找出来。要放大了才能看出来。    所有上述的攻击,人的肉眼可以发现出来,基本上都是因为人在观察曲线的时候对于曲线的平滑和不平滑的交界处非常敏感。攻击检测算法第一位的需求是要把人肉眼可以观察出来的波动,锯齿,突刺都检测出来。  除了上面的这些检测方法之外,还有一类,就是从整体上看历史流量情况,然后根据这个时刻的流量峰值来判断。  这种方法对历史流量进行学习,生成业务访问的流量模型,并将业务当前流量和模型作比较,出现明显偏差时就判断为DDoS攻击。这种方法对于流量比较稳定的业务比较有效。但是在我们实际的互联网业务中,发现检测效果非常的低,特别是云计算环境,每天的业务都不一样,因此检测效率较低。    看起来,要实现一个高精度的检测系统,无外乎几个条件: 1、采集目标IP的网络流量 2、对关注的指标进行存储,并描绘成曲线 3、对曲线进行攻击检测,在必要的时候告警通知运维人员  如果要对其进行量化的话则主要是两个指标: 1、误报率:在所有产生的告警中,有多少代表了真正的攻击 2、敏感度:在所有真正的攻击中,有多少被检测系统发现  为了降低误清洗率,我们又进一步的在alibeaver中提出了一种基于流量成分的检测算法,并且结合毫秒级的分光设备,实现了快速的ddos攻击检测。  实际的算法可能有N多的公式、函数和流程,我不是一个理论工作者,这里只用一个简单的例子来说明: 如下可以看到一个HTTP业务的正常情况和受攻击时的入方向流量成分。正常时的抓包:其中在协议层面上,SYN、ack、Fin、Rst、icmp等报文的比例在一定的范围之内。不管流量多大,只要业务不发生变化,其实总的比例都差不多。    而我们观察一次该业务被攻击时候的抓包,可以发现攻击发生的时候,某些成分的比例会急剧上升,也许有人会挑战我,攻击者也可以完全的模拟正常业务的请求来跟服务器进行交互,这样你的检测算法也就没用了,但是事实上是,这样做攻击者需要真正的真实IP,而且真实的交互会更快的暴露自己,虽然也没法做到像正常业务交互那样真实。    结论:这是一个典型的SYNflood攻击。通过对比正常情况和受攻击时的入口流量成分,可以看到攻击发生的时候网络中各个协议的占比发生了明显的变化。  事实上,不光是高精度、毫秒级的检测速度,在分布式、多机房部署、高冗余的可靠性上面云盾的检测系统也做了不少的工作,阿里的云计算如今已经是遍布全球,在多机房部署时的流量汇总,策略下发,还有冗余机制上都会有更多的工作要做,而这些问题的处理,在小规模的部署上是很难发现的。  更加突出的是,AliBeaver具备智能识别攻击的能力,基于三四层报文信息以及常见的应用统计信息建立自动学习模型,会根据最新流量信息进行自动更新,通过这些学习模型,AliBeaver可以迅速发现存在的异常流量。  云盾的防御技术  云盾的清洗系统Aliguard通过异常流量限速,动态规则过滤,以及特征学习和识别等技术,可以实现多层次安全防护, 精确过滤各种网络层和应用层的攻击和恶意流量。    如上图所示,Aliguard内置清洗策略中心,实时分析攻击类型和最佳清洗策略,实现精准清洗。AliBeaver 预警时会告知Aliguard初始的攻击类型,Aliguard根据攻击类型定义清洗策略,牵引流量经过采样分析特征,网络层清洗和应用层清洗后,Aliguard会对流量做统计和日志分析,反馈清洗效果,进一步调整清洗策略。  DDoS的清洗技术在不少的文章都谈到过,Aliguard的防御算法不同于以往部署在运营商和IDC的方式,由于离业务更近,防御的体量更大,云计算中有上百万的用户,阿里自身的业务遍布电商、金融、多媒体、云计算、游戏等,在防御的时候每种业务每个区域都需要有不同的策略。同时,由于应用覆盖TCP/UDP/HTTP/HTTPS/DNS等复杂协议场景,对于策略的管理和应用的学习也会比传统的技术更加细粒度。  拿SYN Flood的防御来说: SYN Flood攻击是通过伪造一个源地址的SYN报文,发送给受害主机,受害主机回复SYN-ACK报文给这些地址后,不会收到ACK报文,导致受害主机保持了大量的半连接,直到超时。这些半连接可以耗尽主机资源,使受害主机无法建立正常TCP连接,从而达到攻击的目的。    业界防御比较有名的SYN cookie算法,有些防火墙厂商甚至基于session来做。  其基本原理如下:  1、Anti-DDoS设备接收到SYN报文,发送SYN-ACK探测报文到SYN报文中的源IP地址。 Anti-DDoS设备通过校验接收到的对探测报文的响应报文的真实性来确认源IP地址的真实性,以防止虚假源攻击。  2、如果没有响应报文,则表示之前的SYN报文为攻击,Anti-DDoS设备不会将该SYN报文发给被防护服务器,有效终止了攻击。  3、如果有响应报文,Anti-DDoS设备验证响应报文是否为真实的报文,如果真实,则表示该源IP地址通过源认证,Anti-DDoS设备将该源IP地址加入白名单,在白名单老化前,从此源IP地址发出的SYN报文都直接被Anti-DDoS设备转发。白名单老化时间可配置。  4、未匹配白名单的源IP地址发出的SYN报文则继续被探测。    在一般的机房环境下,SYN cookie算法是非常好的防御算法,能有效的抵御SYN flood的攻击,但是在云计算环境下面,SYN cookie的机制确会带来很多新的问题。如  1、 session的问题,因为大部分防火墙是基于seesion来实现,所以自身会在大流量SYN flood的时候出现瓶颈,有的时候攻击被把业务打死,却把防火墙打死了。  2、 防御算法的成本,SYN cookie算法会大量的反向探测SYN ack报文确认源IP的真实性, 算法的设计者是不会考虑成本的,但是用算法的人却需求,有的时候10G的SYN flood打过来,缺要产生10 G的SYN ack报文反弹回去,众所周知,在很多厂家下,out带宽比In带宽贵。  3、 还有,SYN cookie由于会产生多次的三次握手,在处理大规模集群的时候,由于每次的tcp会话不可能分在同一台机器上,所以有可能会产生多次认证的问题。  以上这些,没有把算法真正用到业务的时候,是不可能感知这种痛苦的。当然阿里在处理DDoS的清洗算法上,不仅仅是针对tcp业务做过很多上述问题的考虑,针对dns/cdn/cc攻击等场景,都有了很多业务上的调整,而这些,才是Aliguard真正的生命力。  小结  今天阿里云云盾的高防在国内已经拥有了上T的检测能力和清洗能力,云盾的各种系统遍布全国各地,这些系统每天防护着全国30%的网站安全,我们在跟DDoS攻击对抗的路上才走出了第一步,这一步其实也积累了阿里巴巴集团不少团队的智慧和心血,我们相信,离业务越近,我们才越能看清】攻击的本质。安全如此,做产品也是如此。  【文章来源:微信公众号:MacTalk,转载请注明来自威客安全陈星  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、Web攻击的5个阶段及防御措施(一)  4、Web攻击的5个阶段及防御措施(二)

接盘侠

--

13月前
3841

话题 不想“打破互联网”?你需要更安全的DNS

    “打破互联网”是2015年频繁出现的短语,它通常与名人裸照或病毒视频有关。很多人认为互 联网是不会被打破的无限的资源,但Paul Mockapetris认为事实并非如此,他在上世纪80年代与Jon Postel发明了域名系统(DNS)。目前Mockapetris是互联网安全公司ThreatSTOP首席科学家,他现阶段的目标是引导NDS和IP 寻址发展到下一阶段,其中强调更安全的DNS。  互联网是否容易受到灾难性攻击?网络攻击或DNS故障是否可破坏大部分互联网?  Paul Mockapetris:从理论上说,是这样。从历史上来看,也是如此。  与所有人类发明一样,互联网反反复复使用了关键技术和理念。如果其中一种技术出现故障或者存在可被利用的漏洞,那么,使用该特定技术的任何设备都可能出现 故障或被控制。这个技术可能是一个协议—对完善协议的不完善部署,例如域名系统或边界网关协议(BGP),或者因为错误理解或懒惰,所有人都选择同一质 数。  由于每台计算机设备都在用DNS,DNS故障理论上就是灾难性的故障。而BGP故障可能让所有路由器“崩溃”,或者阻止用户与服务通信或与其自身 ISP(互联网服务提供商)之外的用户通信。但更可能发生的事情是,特定的部署成为问题,例如我们在Heartbleed事故中看到的:安全协议的特定部 署让所有使用该协议的服务器面临风险。  这会给我们带来什么后果?在未来,由于漏洞或黑客攻击,我们可能会看到大部分互联网遭到破坏。  如果在“大玩家”之间爆发网络战争,我们会看到很多漏洞被同时利用,而互联网将会崩溃很长一段时间。  Mockapetris:安全需要时间、金钱,还会带来不便利。我有三个建议:安全自动化、应用之间隔离以及法律责任。  人们会购买防火墙、路由器和电子邮件服务器,用来阻止可疑流量。但是,通常情况下,他们不会配置这些设备,或者只是偶尔手动配置它们。在这里,更好的方法 是部署自动化服务来根据以下信息配置它们:可用的公共威胁信息、专有数据和用户的具体情况。向安全产品实时提供这些信息,不要蒙骗你的安全卫士。当然,你 不一定需要自己构建这种自动化服务:很多供应商都提供这种安全即服务。  我们都知道,通过应用共享信息非常方便,但这通常并不安全。当然,我们很难让人们对便利性说不,不过,我还是会在受保护的虚拟机内运行我的网上银行应用。 这就是说,我们可以提供这些保护机制,我们应该让那些想要更高安全性的人这样做。  供应商会优先考虑市场份额和功能开发,而不是安全性,这里必须有一个法律强制的平衡。  你曾说过,互联网需要通过结合身份验证与某种声誉系统来改进命名,我们正在朝着这个方向发展吗?  30多年前,DNS首次亮相,虽然它已经有所发展,但我认为还有很多发展空间。例如,我们可以实现瞬间创建新数据类型,通过在DNS本身描述它们。我们还 可以提高根系统的可靠性,分发根数据的签名副本,而不是保护根服务器抵御日益增加的分布式拒绝服务(DDoS)攻击。我们可以添加访问控制来更好地保护敏 感信息。正如DNSSEC提供的身份验证让我们可以使用DNS用于更敏感的应用,这些功能可带来新的DNS应用。  互联网安全是我们现在面临的重大挑战之一:IoT、云计算、大数据和云联合都带来挑战。由于DNS会接触每个计算设备并在近实时运行,它是收集和分发安全 信息的理想载体。但新功能会让它更加强大。  Mockapetris:到目前为止,DNS已经被用于在10亿设备注册,在未来这个数据可能会是1000亿或万亿。但规模并不是这里唯一的问题:IoT 需要受控制的信息共享。 我可能会高兴地让别人查看我室外的温度计,但我可不想让所有人都能监控我的家用设备以及知道我是否在家。我喜欢采用RFID(射频识别)标签的产品概念, 这样我总是能找到事物,但当我在商店购买新的东西时,我可能会想改写RFID标签,这样标签就只对我有用。  如果DNS是IoT的关键技术,那么,它还需要新的功能来让这种受控制的共享成为可能。它还需要适当的部署以供家庭使用;现在的DNS服务器主要是针对高 级用户的需求。  Mockapetris:很多人在研究如何对付DDoS攻击。这非常重要,我认为需要考虑三个重要方面:  1. 为所有想要域名的人免费提供域名,这可能不是新的TLD(顶级域名),但可能是新的.FREETLD TLD下面的域名。  2. 自动化协调域名之间的数据,也许通过区块链技术,从而降低对人工干预的需要。  3. 允许创建新的RRTypes;例如特设数据类型,通过DNS本身内存储的规格。使用DNS问题部分多个条目创建更强大的查询。  所有这些功能必须解决实际问题。我认为我们面临的重要问题都需要受控制的共享,或对IoT或其他未来应用的真正访问控制。  Mockapetris:我喜欢试验,所以20年前我会在推向市场前尝试少量新的TLD,并且,现在的法律问题变得非常重要,而我们终于有了新的TLD, 这是很棒的事情。  我不认为这会有任何长期的危害,但我确定现有软件和做法中存在很多漏洞需要解决。有人说我们已经让攻击者可很容易地获得域名或自己的TLD,但我们需要处 理这种可能性。  这里是否有好处呢?现在有很多人想要TLD来识别自己是某个社区的一部分,无论是巴黎或柏林的居民、某个行业的成员或者其他身份。我们很容易低估这一愿 望。  我认为还需要十年左右的时间,我们才可以清晰地分辨好和坏的新TLD,当然,这只是我个人的意见。  [文章来源:头条号:TechTarget中国,转载请注明来自威客安全]  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(一)  5、Web攻击的5个阶段及防御措施(二)

接盘侠

--

13月前
3840

话题 为什么单靠网络外围安全行不通?

  近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行……  根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。然而,与此同时,单在2014年,超过1500起数据泄露事故共导致10亿数据记录遭泄露,这比2013年的数据泄露增加了49%,被盗或丢失的数据记录增加了78%。这些数据很疯狂:企业在反复做同样的事情,却期待不同的结果。  现在,虚拟化、公共云和BYOD等最新趋势进一步恶化了这个问题,因为这些趋势显著扩大了网络外围。随着U盘、Wi-Fi和VPN连接的普及,我们面临的威胁越来越大,这也不难理解为什么单靠外围防御会失败。  2015年Verizon数据泄露调查报告提供了新的见解。在60%的情况中,攻击者可以在数分钟之内入侵企业,而发现数据泄露所花费的时间却在增加。此外,99.9%被利用的漏洞是在CVE信息公布漏洞一年多之后。下面让我们看看过去的Verizon数据泄露报告中对外围防御及其失败原因的见解:  ? 62%企业花了几个月时间来发现数据泄露  ? 与网络入侵检测系统、基于主机入侵检测系统和日志审查相比,最终用户可更有效地检测到数据泄露  ? 对于安全意识培训不要太乐观,最终用户只负责4%的检测工作  ? 托管安全服务提供商只发现不到1%的数据泄露  笔者最喜欢2013年Verizon数据泄露报告中写道的话:“我们必须接受这个事实,即没有任何障碍是坚不可摧的,检测/响应是极其重要的防御线。我们不能再将这作为备用计划,而应该使之成为计划的核心部分。”  为什么网络外围安全会行不通?  为了阻止攻击者,企业必须修复所有漏洞,因为攻击者只要找到一个易受攻击的机器、应用或用户即可开始攻击。这也难怪企业会不断遭遇数据泄露,导致数百万甚至数十亿美元的损失。即使是大型企业也会遭遇数据泄露事故,尽管他们拥有很多的安全预算、很多员工、一流的产品和高端服务提供商。那么,企业和安全专业人员应该如何抵御当今资金雄厚的意志坚定的攻击者呢?  首先企业必须接受这个事实,攻击是不可避免的,无论网络外围安全多么好。其次,该行业需要重新定义在与攻击者的战斗中什么是“胜利”。传统来看,企业安全认为阻止攻击就是胜利。但攻击企业网络只是杀伤链的一步;攻击者还会在企业内横向移动,发现有价值的信息,然后渗出这些信息。  入侵网络并不是攻击者的重点,窃取数据才是重点。企业不应该专注于发现攻击者以及阻止攻击者,而应该检测攻击者活动目标并迅速做出反应。基于这些目标来部署安全是赢得这场战争的唯一途径。  在过去,防止攻击者入侵就等于胜利,而现在阻止攻击者取得成功才是胜利。  预防是理想,检测是必须  攻击者在使用U盘或鱼叉式网络钓鱼电子邮件攻击企业环境内的台式机后,攻击者会开始横向移动到其他台式机以寻找有价值的数据,那么,企业安全团队能否检测到呢?如果数据从环境内受感染的电脑转移到基于互联网的资产,安全团队能否检测?对于上面的问题,大多数企业的答案是否定的,因为大多数企业把所有的重点放在网关,而没有在网络内部署适当的工具来检测横向移动或数据渗出。然而,横向移动和数据渗出也许是杀伤链中最难以被检测的部分。新安全模式工具包括以下步骤和组件:  1. “可防御的安全架构”:FireEye公司首席安全战略家Richard Bejtlich在他的著作《网络安全监控之道》中介绍了可防御网络架构的概念。根据Bejtlich表示,这种架构必须进行监控、清查和控制,并应联合资产所有者和利益相关者为网络制定适当的政策和程序。此外,该架构应可减小攻击面、定期评估漏洞以及保持更新和修复。  2. 网络安全监控:这不只是入侵检测系统(IDS),它应该包括事件数据、会话数据、全部内容采集和统计数据。网络安全监控不只是提供IDS警报;它还包含必要的背景和元数据以做出有关入侵的独立决策。  3. 连续安全监控:安全和网络管理员应该保留日志数据12个月,每15到60分钟更换日志并每5分钟传输日志到日志管理基础设施。此外,他们应该每天6次自动分析日志。对更换的日志执行完整性检查,并加密这些日志。  4. 部署攻击指标(IOC):通过US CERT的工作以及Mandiant及其OpenIOC项目,收集和共享IOC的框架正迅速推出。企业安全团队应该利用这些框架。通过使用定义的框架,企业可有效实现快速和广泛传播真正的攻击数据。而安全产品现在已经开始利用这些数据来搜寻环境内的攻击活动。  【文章来源:TechTarget中国,转载请注明来自威客安全】  推荐阅读  1、如何利用TFTP协议发动DDoS放大攻击  2、DDoS,网络安全世界里的暗黑杀手  3、Web攻击的5个阶段及防御措施(一)  4、Web攻击的5个阶段及防御措施(二)

接盘侠

--

13月前
3076

话题 苹果Mac用户成为勒索病毒的首要攻击目标

    据路透社报道,苹果公司用户成为黑客首次针对Macintosh电脑的攻击目标。Ransomeware是目前增长最快的一种网络安全威胁因素,被感染的计算机数据将会被加密。之后,受害者需要支付一定的赎金以获取密码来解锁数据。  一些安全专家预测,这些被勒索病毒感染的用户向网络犯罪分子支付的赎金总额已经超过数亿美元。这些网络犯罪分子的目标通常是微软公司的Windows操作系统。  苹果公司的发言人表示,苹果公司上周末已经采取一定的措施来防止黑客的入侵。但他并未透露更多的防范细节。  此类病毒会在感染后的三天之内对电脑上的数据进行加密。这也就意味着,如果苹果公司已经成功克制住了这些病毒,那么上周末感染病毒的用户在本周一将不会被加密。  苹果公司表示,他们计划在官方博客上提供免费咨询,帮助Mac用户检测是否感染了此类病毒,并为他们及时提供帮助和保护。  Transmission是下载Mac应用程序的一个最流行的网站,用户能够在该网站下载软件、视频、音乐和其他应用程序。该网站在上周日已经发出警告称2.90版本的Mac软件已经收到勒索病毒的感染,并建议用户立刻升级到2.91版本并删除之前的版本。同时他们也为用户提供了检测是否被病毒感染的方法。  文章来源:微信公众号:汇哲科技,转载请注明来自威客安全  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(一)  5、Web攻击的5个阶段及防御措施(二)

接盘侠

--

14月前
3075

话题 智能手表暗藏后门,数据传至中国

    据外媒报道,Mobile Iron的研究人员在研究智能手表安全性研究时,发现其中一款售价为17美元的智能手表的配对app中存在后门。  人们应当小心网络上售价比较便宜的智能手表。Mobile Iron的安全研究人员发现在eBay上出售的一款U8智能手表,其Android和iOS配对app中存在后门,并将数据传输至中国。  研究人员在BSides旧金山会议上公布了他们最近的研究结果。当然“穿戴设备存在安全问题,严重威胁用户隐私”又再一次被重申。  他们发现这款售价仅为15.99欧元(约合110元人民币)的智能手表,当用户收到该手表时会发现邮寄过来的还有印有ip地址的说明书,用户从该地址下载相应的配对app。  这款智能手表有着1.48”触摸屏幕,提供蓝牙接听电话等功能,而用户需授权该Android app访问用户的联系人,电话以及短信记录。  Mobile Iron研发团队主管Michael Raggo在BSides会议上称该智能手表无论对个人隐私还是企业安全都存在威胁。    U8是Raggo与他的同事分析的唯一一款存在问题的智能手表。他们的研究清单中也包括Apple Watch、三星Gear 2与Moto 360。  “我们(在配对app中)进行了动态分析与行为分析,发现了当其被配对成功时,它就生成了一个随机IP并向中国发送数据,”Raggo解释道。  “我们还没有确定IP地址。”但“存在很多可疑行为,并可能会提升商业间谍事件发生的频率与企业风险。”  Raggo开发了一款名为SWATtack tool的Python工具,可应用于进行智能手表的取证分析和漏洞评估。这个工具也可以绕过 三星Gear 2 Neo的PIN保护并可直接提取数据。  [本文为威客安全原创翻译,转载请注明出处]  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(一)  5、Web攻击的5个阶段及防御措施(二)

接盘侠

--

14月前
3074

话题 恶意软件又来了 三方法让Mac远离攻击

  又有新勒索软件威胁苹果Mac电脑。这个新恶意软件叫做“KeRanger”,它透过档案分享软件Transmission(2.90版本)入侵Mac,然后将Mac中的档案加密,用户必须支付比特币给黑客以换回个人档案。  据报导,上周末许多Mac用户陷于恶意程序攻击之苦,因为它们的电脑被拐骗数据恶意程序(Ransomware)攻击,这款名为“KeRanger”的拐骗数据恶意软件会对受害者的数据进行加密,然后再要求受害者支付解密密钥的比特币,约相当于400美元。  本文参考科技网站Technicollit,教你3种保护Mac不受攻击的方法。  1. 到Mac的Terminal或是Finder检查是否存在“/Applications/Transmission.app/Contents/Resources/ General.rtf”或是“/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf”这两个档案。如果有,那就是Mac已遭入侵,建议删除该应用程序。  2. 至OS X操作系统内建的“Activity Monitor”检查是否存在“kernel_service”的程序正在执行,如有,请双击该程序,然后选择“Open Files and Ports”,并检查是否有“/Users//Library/kernel_service”档案。若有,请马上选择“离开”,将它“强制结束”(Force Quit)。  3. 在完成以上步骤之后,在~/Library栏目下必须再次检查是否还存在“.kernel_pid”、“.kernel_time”、“.kernel_complete”或是“kernel_service”等档案。如果有,必须立刻删除。  一些防毒软件,像是Malwarebytes已经有拦阻“KeRanger”的更新版。使用Avira防毒软件的Mac用户也需要定期扫描电脑。此外,Sophos这款防毒软件也可以防堵Mac的恶意病毒。  [文章来源:头条号:科技飞猪,转载请注明来自威客安全]  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(一)  5、Web攻击的5个阶段及防御措施(二)

接盘侠

--

14月前
2896

话题 配置不当存隐患:研究人员发现联网卡车可被黑客追

    安全研究员Jose Carlos Norte表示,拥有互联网连接的拖车、厢式送货车、甚至公共汽车,都有可能被黑客追踪甚至入侵——如果它们使用了配置不当的“远程信息处理网关单元”(TGU)的话。远程信息处理系统通常配备了3G、4G、GPRS、LTE、Edge、HDSPA等调制解调器模块,许多公司都用TGU来追踪自家卡车的动向,以及与司机取得联系、发送新的路线、以及其它有价值的信息。  据Norte所述,有成千上万种此类设备在被使用(或许更多),连接到互联网是脆弱且不安全的。  以New Eagle制造的能够连接任何车子的C4 Max为例,该TGU可通过公网IP和23号Telnet端口(或者特制的Web管理面板)来访问。  然而Norte能够通过联网设备搜索引擎Shodan轻易找到数百上千的设备,很多竟然根本没有Telnet连接和访问Web管理界面的验证。  这意味着攻击者很容易通过Shodan扫描网络来识别出C4 Max设备,访问获取卡车当前的任务信息。    攻击者可以取得车辆的GPS路线,以及Modem网络、车速、电池电压、警报等信息。此外,攻击者也可以查询TGU支持的模块,或针对车辆设立区域限制。  如果区限失守,TGU就会被利用来停止车辆、触发警报、呼叫警方或司机所属公司(这些情况取决于TGU的制造商和型号,并非特定于C4 Max,包含理论上的攻击)。  攻击者还可对行车路线进行破坏,引发交付失误或延期,从而给相关企业造成经济损失(若有恶性竞争的背景的话)。  更糟糕的是,由于TGU直接与车子的CAN总线连接,攻击者也可将之作为攻击汽车内部软件的切入点,比如让车子永久丧失某种功能。  文章来源:cnBeta,转载请注明来自威客安全  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(一)  5、Web攻击的5个阶段及防御措施(二)

接盘侠

--

14月前
2551

话题 美国国防部发布网络安全学科计划

    美国国防部正采用四管齐下的方式实现网络安全水平提升,同时利用相关命令加以推动,旨在将其纳入网络安全学科实现计划。  这项计划最初于2015年10月提出,并在经过上个月的更新之后于本月正式发布。其主要着眼于四大关键性领域——计划本身将其称为四条推进路线:  高强度身份验证:国防部正在寻求更为严格的访问准入条件,同时清除其网络环境下的匿名状况。国防部方面已经发现存在由低强度验证导致的未经授权用户,包括部分伪造身份以获取特定权限的情况,以管理员角色进入网络的问题。这项工作将主要集中在服务器、路由器以及其它高价值资产,外加特权管理员账户层面。  设备强化:通过确保设备进行正确配置并安装有最新软件补丁,国防部能够确保攻击者无法侵入内部网络并获取升级权限。这部分要求还禁止在电子邮件当中使用活动链接。  减少攻击面:减少攻击者可资利用的入侵途径数量能够帮助国防部信息网络更为轻松地保护剩余接入点。这项计划指出,各指挥官与主管人员必须确保仅授权设备能够以受信形式接入国防部网络。减少攻击面同时也是联合信息环境的既定目标之一,其计划利用联合区域安全堆栈机制将超过1000个网络接入点逐步削减至50个。  着眼于网络安全/计算机网络防御服务供应商:监测网络边界并实现事故报告标准化将切实改进针对任意网络事件的快速检测与反应能力。  这项实施计划将配合另一国防部既定方案,即对国防部各部门的网络安全实践活动进行安全评估与记分。不过这项实施计划承认人为错误才是多数安全事故的根源所在,并将专注于将良好网络安全作法推广至用户群体当中。  文章来源:E安全,转载请注明来自威客安全  推荐阅读  1、为什么单靠网络外围安全行不通?  2、如何利用TFTP协议发动DDoS放大攻击  3、DDoS,网络安全世界里的暗黑杀手  4、Web攻击的5个阶段及防御措施(一)  5、Web攻击的5个阶段及防御措施(二)

接盘侠

--

15月前

最新加入圈友

圈子公告

无公告

Top10热门帖子