常见信息安全威胁与防范以及安全防御未来的发展趋势

目录

  • 案例:震网病毒
  • 信息安全攻击事件的演变
  • 安全威胁分类
    • 网络安全威胁
      • DDos攻击
      • DDos的防御
    • 应用安全威胁
      • 蠕虫病毒
      • 漏洞
      • 钓鱼攻击
      • 恶意代码
      • 应用安全威胁的防御手段
    • 数据在传输与终端安全威胁
      • 中间人攻击
  • 信息安全防范
    • 安全防范的方法
    • 安全意识
    • 社会工程学
  • 安全防御未来的发展趋势
    • 趋势一:安全服务化
    • 趋势二:终端检测重要性日益凸显
    • 趋势三:流量管控由IP向应用演进
    • 趋势四:软件定义安全防御方案(华为SDSec)

案例:震网病毒

震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。
作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。
“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。
这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。

信息安全攻击事件的演变

常见信息安全威胁与防范以及安全防御未来的发展趋势_第1张图片

安全威胁分类

安全威胁 举例
网络安全威胁 DDos攻击、网络入侵等
应用安全威胁 操作系统漏洞;病毒、木马、蠕虫;钓鱼网站;数据泄露等。
数据传输与终端安全威胁 通信流量挟持;中间人攻击;未授权身份人员登录系统;无线网络安全薄弱等。

网络安全威胁

DDos攻击

攻击过程
寻找肉鸡:物联网设备通常默认开启telnet远程登录功能,方便管理员进行远程管理。攻击者可以通过IP地址扫描来发现存活的物联网设备,通过端口扫描来进一步判断物联网设备是否开启telnet服务。
组件僵尸网络:部分物联网设备使用者,会直接使用出厂密码,或者设置简单的密码(类似admin/123456的简单用户名/密码组合),这些密码很容易被攻击者暴力破解。当攻击者成功破解物联网设备的密码,并通过telnet登录成功后,接着在物联网设备上进行远程植入恶意软件Mirai,从而获得设备的绝对控制权。
恶意软件对感染的设备拥有绝对控制权,除了利用设备发起DDoS攻击以外,还能够对设备本身的系统、业务、数据造成严重危害,比如能够篡改数据、窃取隐私、修改配置、删除文件等,并可能以此为跳板攻击核心业务系统。
加载攻击模块:攻击者在物联网设备上加载DNS DDoS攻击模块。
发起攻击:攻击者通过僵尸网络向美国Dyn DNS服务发起DDoS攻击,导致上百家网站出现无法访问的情况。

首先通过在网络中扫描存在的设备,通过地址扫描使用ping命令或者TCP/UDP建立连接对网络中所有IP地址进行测试,来找到网络中有哪些设备存在,然后扫描其端口查看是否开放了telnet的端口。再然后通过各种方式来获取控制权限,如保利破解密码,或者通过IP地址欺骗的方式来获取控制权限。
IP地址欺骗的过程为:
1、首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰;
2、然后连接到目标主机的某个端口来猜测序列号和增加规律;
3、接下来把源地址伪装成被信任主机,发送带有SYN标志的数据段请求连接;
4、然后等待目标机发送SYN+ACK包给已经瘫痪的主机;
5、最后再次伪装成被信任主机向目标机发送的ACK,此时发送的数据段带有预测的目标机的序列号+1;
6、连接建立,发送命令请求。
当获取到控制权限后,可以让被控制设备发起DDos攻击,如:SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood等。

DDos的防御

防火墙:通过在大中型企业、数据中心等网络的内网出口处部署防火墙,可以防范各种常见的DDoS攻击,而且还可以对传统单包攻击进行有效地防范。
AntiDDoS设备:Anti-DDoS解决方案,面向运营商、企业、数据中心、门户网站、在线游戏、在线视频、DNS域名服务等提供专业DDoS攻击防护。

应用安全威胁

蠕虫病毒

蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据.影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。

钓鱼攻击

“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。

恶意代码

恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有病毒、木马、蠕虫、后门等。

应用安全威胁的防御手段

定期更新系统修复漏洞,提高防范意识,对可疑的网站和URL链接保持警惕,不要随意点入。采用专门的软硬件如防火墙和杀毒软件等。

数据在传输与终端安全威胁

中间人攻击

中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
常见信息安全威胁与防范以及安全防御未来的发展趋势_第2张图片

信息安全防范

信息安全防范的三要素:安全运维与管理、安全技术与产品以及人员。
常见信息安全威胁与防范以及安全防御未来的发展趋势_第3张图片
三者相辅相成缺一不可,安全运维与管理确保企业在相关操作上符合既定的安全规则制度、并且能够在发生攻击或其他意外事故时能及时做好相应的响应、预防、防御工作。来提高企业网络的安全性。而安全产品与技术就是实现相关安全操作的核心,最后的人员则是整个安全体系中最薄弱的一环,人员安全意识不到位,则可能全面所做的一切努力都没有作用,因为一旦管理员因不当操作使得身份信心被窃取,那么对于企业网络的危害性要远高于因运维与技术尝试的危害。因此做好人员安全意识培养是一个企业非常重要的一点。

安全防范的方法

安全产品与技术:
网络安全:防火墙、IPS/IDS、Anti-DDoS等
系统安全:服务器安全、主机安全等
终端安全:安全接入、身份认证等
应用安全:病毒防御、漏洞扫描、渗透测试等

运维管理:
安全运营
应急响应
灾难恢复

安全意识:
企业员工安全意识培养
社会工程学

安全意识

据调查显示,24.1%的网民每个账号密码都不同;61.4%的网民会把账号密码做一定的区分;但仍有13.8%的网民将所有账号都使用同一个密码,十分危险。而用户在使用公共WiFi上网活动时,安全风险也不尽相同。统计显示,在连接共同WiFi时,所有网民都会浏览简单网页信息或看视频、听音乐;除此之外,25.1%的网民也会登录邮箱发送邮件,登录个人社交账号聊天;13.6%的网民还会购物和进行网银交易。如果在无意中连接了钓鱼WiFi,或者黑客WiFi,这些操作很容易导致账号密码被盗甚至金融账号里的财产损失。80%Wi-Fi能被轻易破解。每年因蹭网给人们带来网银被盗、账号被盗等经济损失多达50亿元。

社会工程学

社会工程学(Social Engineering,又被翻译为:社交工程学)在上世纪60年代左右作为正式的学科出现。社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。
常见信息安全威胁与防范以及安全防御未来的发展趋势_第4张图片

安全防御未来的发展趋势

趋势一:安全服务化

常见信息安全威胁与防范以及安全防御未来的发展趋势_第5张图片

未来,安全防御方案很可能不再是一个甚至多个设备构成的,安全防御与分析完全在远程。用户访问网络的流量全部通过代理的方式引导至安全厂商的数据中心,在数据中心种进行分析、过滤、清洗。安全防御不再是设备,而是远程服务。客户只需配置一个安全代理服务器的地址即可。管理检测与相应、云访问安全代理都属于这类安全服务。

趋势二:终端检测重要性日益凸显

对于企业内部,单纯的终端杀毒软件最终会演进成为分布式监控与集中化分析的架构向EDR方向演进,统一分析企业内部全部主机中进程的行为、上下文信息,有助于更加高效的发现潜在威胁。
终端的安全检查能力已经日益受到传统网络安全厂商的重视。在以前,终端安全与网络安全是分离的两个阵营,终端杀毒厂商专心检查终端中的文件,网络安全厂商只关注网络流量。现在,双方功能在相互融合。尤其是终端安全软件与网络防御设备的联动,将流量种的恶意部分直接与终端中的进程、文件建立联系,做到精确的威胁溯源。未来,终端中的安全软件会更加密切的与设备进行配合。

趋势三:流量管控由IP向应用演进

常见信息安全威胁与防范以及安全防御未来的发展趋势_第6张图片
对流量的甄别不再仅针对5元组进行了,而是与其相关的应用软件、数据中包含的信息等内容来进行流量甄别与管控。流量的管理要做到应用级别、容器级别。运维人员看到的网络拓扑图不在是主机之间的,而是服务与服务之间、服务于客户端之间。同时图论原理也会更好的应用于安全检查,及时发现云数据中心异常的通讯路径,找到潜在的威胁。

趋势四:软件定义安全防御方案(华为SDSec)

常见信息安全威胁与防范以及安全防御未来的发展趋势_第7张图片

你可能感兴趣的:(HCIA-SEC)