安全防御第五天--知识总结(APT及密码学)
目录
1、 什么是APT?
2、APT的攻击过程及攻击生命周期
3、APT的防御技术
4、什么是对称加密?
5、什么是非对称加密?
6.、私密性的密码学应用?
7、 非对称加密如何解决身份认证问题?
9、简述SSL工作过程
1、 什么是APT?
APT 攻击即高级可持续威胁攻击 , 也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
APT 是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的 “ 恶意商业间谍威胁” 。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。 APT 的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“ 网络间谍 ” 的行为。
APT 攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是 通过 Web 或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的 防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息、这使 得它的攻击更不容易被发现。
2、APT的攻击过程及攻击生命周期
- 第一阶段:扫描探测
在 APT 攻击中,攻击者会花几个月甚至更长的时间对 " 目标 " 网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。
- 第二阶段:工具投送
在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一个经过伪造的恶意URL ,希望利用常见软件 ( 如 Java 或微软的办公软件 ) 的 0day 漏洞,投送其恶意代码。一旦到位,恶意软件可能会复制自己,用微妙的改变使每个实例都看起来不一样,并伪装自己,以躲避扫描。有些会关闭防病毒扫描引擎,经过清理后重新安装,或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播。
- 第三阶段:漏洞利用
利用漏洞,达到攻击的目的。攻击者通过投送恶意代码,并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话,你的系统将受到感染。普通用户系统忘记打补丁是很常见的,所以他们很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术,即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。
- 第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件 —— 击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。
- 第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令。这种连接方法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。
- 第六阶段:横向渗透
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
- 第七阶段:目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后, APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP 技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找" 已知的 " 恶意地址和受到严格监管的数据。
3、APT的防御技术
目前,防御 APT 攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则可以通知防火墙 实施阻断。
针对APT攻击的防御过程如下∶
- 黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的 文件类型。
- FW将攻击流量还原成文件送入沙箱进行威胁分析。
- 沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
- FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW侧则 可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
APT防御与反病毒的差异:
- 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。 这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
- APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造 的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行 以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序 是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提 炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。
- 总体来看,反病毒系统是以被检测对象的特征来识别攻击对象,APT防御系统是以被检测对象的行为来识别攻击对象。
沙箱处理流程
1、内容安全检测
网络流量进入 FW 并通过安全检查策略以后,进入智能感知引擎进行内容安全检测。
智能感知引擎可以分析出网络流量所使用的应用协议,并根据实际配置对流量进行一系列的检测,如反病毒、URL 过滤、 APT 防御等。如果对应流量命中了 APT 防御配置文件中的应用类型等匹配条件,则准备对文件进行还原,并进行其他检测判断是否需要将还原后的文件送往沙箱做进一步检测; 如果未命中 APT防御配置文件,则流量直接被转发。
2、 查询Web信誉
- 大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力,所以网立站被侵入口的可能性较小,网站上也几乎不存在恶意文件,用户访问此类网站时的风险很小。相反,随意搭建的小网站或者恶意网站上充斥着大量的恶意文件,用户访问此类网站时的风险也极大。
- Web信誉功能对网站进行了分类,FW会根据不同分类进行差异化处理。对于信誉度低的网站,FW会提取出网络流量中的文件,然后送往沙箱进行进一步的检测;对于信誉度高的网站,FW不会提取网络流量中的文件,即跳过了沙箱检测的步骤。这样处理可以提高FW的检测效率,在不降低安全性的同时,提升用户的访问体验。
- Web信誉网站分类
- 预定义可信网站。
- 自定义可信网站
- 自定义可疑网站
- 未知网站
- 当某个网站命中预定义可信网站或自定义可信网站列表时,系统不会提取网络流量中的文件;而命中自定义可疑网站或未知网站时,系统会提取出网络流量中的文件,并送往沙箱进行进一步的检测。
- 查询文件信誉
在文件还原之后,提交到沙箱之前,设备会对待检测文件进行文件信誉的查询,判断该文件是否为
恶意文件。如果判定为恶意文件,则直接将该文件删除,无需再送往沙箱进行检测 ; 否则送往沙箱进行检测。
- 文件提交至沙箱并进行检测
- 智能感知引擎将原始文件发送给APT防御模块。智能感知引擎还原出原始文件以后.会将这些文件放入一个缓存区。APT防御模块会定期扫描缓存区,当发现有新的文件以后,通知智能引擎将对应的文件发送给自己。
- APT防御模块将原始文件发送给沙箱。APT防御模块将文件发送给沙箱时会记录相应文件的 MD5值。
- 沙箱获取文件后运行此文件,并将文件的行为特征与沙箱的行为特征库进行比对,判定文件是 否为恶意攻击文件。然后向APT防御模块发送检测结果
- 根据沙箱检测结果阻断后续流量
- APT防御模块随后将检测结果和MD5值发给智能感知引擎。智能感知引擎根据文件的MD5值 和检测结果决定是否针对该文件执行阻断操作。
- 默认系统会在沙箱返回的检测结果为恶意时执行阻断,否则将会对流量放行。
- 如果用户想要根据检测结果对后续流量进行阻断,则需要在配置内容安全检测时必须配置反病毒和URL过滤功能。因为只有配置了这两个功能之后,IAE会根据沙箱的检测结果更新缓存中的AV特征库、文件信誉库和恶意URL列表。含有同样恶意特征的流量到达防火墙后,由于命中了AV特征库或恶意UJRL列表,可以根据反病毒配置文件或URL过滤配置文件中的动作来对该流量进行告警或者阻断
配置APT防御
1、 升级文件信誉库
提示:升级文件信誉特征库前,请根据沙箱类型确认 License 状态
- 云沙箱:依赖云沙箱检测License,请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测License。
- 本地沙箱:不依赖License
升级文件信誉特征库:
- 在线升级
- 本地升级
升级文件信誉热点库 :
- 文件信誉热点库是由sec.huawei.com发布的,启用文件信誉热点库的更新功能后,可以快速获取云端的文件信誉信息,以便对存在威胁的文件进行及时的阻断。
2、配置Web信誉
添加自定义可信 / 可疑网站
3、 本地沙箱联动
企业内网用户通过 FW 和路由器连接到 Internet ,企业内网中部署了本地沙箱,且本地沙箱与 FW 路由可达。配置FW 与本地沙箱联动,将 FW 识别出来存在风险的流量送往本地沙箱进行检测, FW 定期去本地沙箱上获取检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL 列表,当具有相同特征的后续流量命中恶意文件或恶意URL 列表时,直接进行阻断等处理,保护内网用户免受 APT 攻击。
3.1 选择 “ 对象 > 安全配置文件 > APT 防御 > 沙箱联动配置 ” 。
3.2 配置本地沙箱
3.3 配置APT防御文件
3.4 配置APT防御配置文件的名称和描述。
3. 5配置沙箱检测的相关参数
3.6 在安全策略中引用APT防御配置文件
结果验证 :
1. 选择 “ 对象 > 安全配置文件 > APT 防御 > 沙箱联动配置 > 本地沙箱 ” ,查看本地沙箱的连接状态为 “ 连接成功” 。
2. 点击 “ 连接状态 ” 后面的 “ 登录本地沙箱 ” ,登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果。
4.云沙箱联动
提示:4.1------4.6 与3.1-----3.6一致
4.7 配置沙箱检测的相关参数。
4.8 在安全策略中引用APT防御配置文件
4.9 结果验证
1. 在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功
2. 用云账户huawei登录isecurity.huawei.com,查看该FW往云沙箱提交过的文件的检测结果。
4、什么是对称加密?
- 对称加密
我们用一张图片来说明这个对称加密的过程:
图解:加解密用的是同一个密钥,数学角度是一个双向函数,从算法的角度来说就是正向加密、逆向解密用同一种算法加密明文、解密密文。
对称加密首先要保证算法足够复杂以及密钥传输足够安全。
- 加密信息传递有俩个通道
- 密文传递通道
- 密钥传递通道
5、什么是非对称加密?
- 非对称加密
图解:
由图我们可以看出在非对称加密过程中使用了两把钥匙一把公钥、一把私钥。Alice通过密钥传输通道将她自己的公钥传输给Bob然后Bob用Alice的公钥加密明文,然后通过密文传输通道将密文传输给Alice,Alice再用自己手里的私钥解密获得明文。
非对称加密算法也叫DH算法
DH 算法解决了在公开场合密钥安全传递问题
- 对称加密算法解决信息的安全传输通道
- 非对称加密算法解决对称加密算法密钥的安全传输通道
对称加密 速度快 但是密钥不安全
非对称加密算法 速度慢 但是安全
最佳解决 :用非对称加密算法加密对称加密算法的密钥
非对称加密的产生过程及原理
1. 对称加密的困境
密钥的安全传输 --- 对称加密算法的缺陷
- 密钥传输风险
Alice 与 bob 必须使用一个安全的信道来传输对称密钥,但是消息传输的通道是不安全的。
对称加密 A 的密钥需要用对称加密 B 来传输 ---B 的密钥不安全会导致 A 的不安全。
- 密钥管理难
如果没有非对称加密,百度这个企业需要和用户做安全传输,就需要保存至少 3-5 亿个密钥。
根据我们上图的非对称算法只需要一把公钥,而对称需要亿级别的钥匙。
机密性最佳解决 :用非对称加密算法加密对称加密算法的密钥
6.、私密性的密码学应用?
- 对称加密算法:对称加密算法使用相同的密钥对数据进行加密和解密,可以确保加密数据只能被知道密钥的用户解密。常见的对称加密算法包括AES、DES、3DES等。
- 非对称加密算法:非对称加密算法使用不同的密钥对数据进行加密和解密,其中一个密钥是公开的(公钥),而另一个密钥是私有的(私钥)。这种算法可以确保加密数据只能被知道私钥的用户解密。常见的非对称加密算法包括RSA、ECC等。
- 散列函数:散列函数可以将任意长度的数据转换为固定长度的散列值,这个散列值通常用于验证数据的完整性和真实性。只有知道原始数据的用户才能生成相同的散列值。常见的散列函数包括MD5、SHA-1、SHA-2等。
- 数字签名:数字签名是通过使用私钥对数据进行签名来验证其完整性和真实性的一种机制。数字签名可以确保数据没有被篡改或者被其他人伪造,只有知道私钥的用户才能进行签名。常见的数字签名算法包括RSA、DSA等。
- 对数字签名进行验证时,需要用到公钥。如果公钥是伪造的,那我们无法验证数字签名了,也就根本不可能从数字签名确定对方的合法性了。如何保证自己拿到的公钥是合法的而不是被别人伪造的呢?这就是数字证书要实现的功能。数字证书可以保证公钥信息的可信。如果我们只拿到一个公钥信息,就无法确认该信息是否合法(未被篡改过),如果除了公钥信息我们同时拿到了权威机构数字签名,那么这个公钥就十分可信了。就像我们只有一个四级证书上面没有教育部的章,那么这个证书只是一张纸谁都可以印,但是上边加盖了教育部的(不可伪造的)印章,那么这张证书就会变的很可信。
- 总结:数字证书就是由(可信的)权威机构签发的,带有权威机构签名(不可伪造和篡改)的公钥信息。
7、 非对称加密如何解决身份认证问题?
完整性与身份认证最佳解决:对明文a进行hash运算得到定长值h,然后对h进行非对称运算用私钥加密得到值k,然后对明文a进行对称运算得到y,传输时同时传输y和k,收到后用非对称公钥解开k得到h‘,然后用对称算法解开y得到a,然后对a进行hash得到h‘‘ 如果h‘与h‘’相同,则证明完整性与身份认证。
- 8、 如何解决公钥身份认证问题?
要解决这个问题我们先看下面这个例子自然就明白了。
如何确认信息的发送者一定是他本人?
发送者是 alice ,使用非对称算法,生成私钥 A ,公钥 B 。
- alice把公钥给bob
- alice发送信息hello,world!
- alice把发送的信息用对称加密算法加密到加密信息C。
- alice把发送的hello,world!先用hash算法计算得到hash值D。
- alice把hash值D用非对称加密计算得到E。E值就是用于身份验证的。
- alice把C,E一起发给bob。
- bob收到C,E值,先用非对称的公钥对E进行解密,如果能正常解开则证明C值是alice的。
上述 1 中如果黑客偷换了 alice 的公钥,那么就会出现身份认证漏洞。
解决:
- alice把公钥给bob的环节能确保是安全的,一定是alice给的。
- 想办法证明alice的公钥一定是alice的。
黑客针对上述的攻击:
解决方案:
公钥的 “ 身份证 ”----- 数字证书
总结:CA颁发这个数字证书就解决了公钥的身份认证问题,也保证了信息的安全性。这个CA在浏览器中是自带安装的。
CA的可信度?
PKI (公开密钥体系, Public Key Infrastructure )是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
简单说就是利用公钥技术建立的提供安全服务的基础设施。通过第三方的可信机构, CA 认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户身份。
PKI 体系
PKI 是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA 认证机构。
CA 中心
CA 中心,即证书授权中心 (Certificate Authority ) ,或称证书授权机构,作为电子商务交易中受信任的第三方
数字证书
包含:
- 用户身份信息
- 用户公钥信息
- 身份验证机构的信息及签名数据
数字证书分类:
- 签名证书----身份验证,不可抵赖性。
- 加密证书----加密,完整性与机密性。
密码学完整应用:
9、简述SSL工作过程
SSL 协议分析
无客户端认证的握手过程--所谓的无客户端认证就是客户端没有使用第三方证书认证,而服务器使用了第三方认证,在下图中就可以看到。
过程:首先就是客户端向服务器发起会话进行协商要使用的版本、加密套件列表、压缩算法列表,客户端随机数、会话ID等,接着服务器回话,说使用什么版本号,使用哪一套加密算法,哪一套压缩算法等确定的信息。在上图中我们看到了服务端发了一个证书过去说明服务器端启用了第三方认证。然后握手完毕,客户端又将对称密钥的原材料发给server,然后server开始启用加密算法,再次期间还会相互发握手验证报文就是来证明相互身份的真实性,最终开始传输数据。
这个图就是客户端发送那个premasterkey(预主密钥参数) 与密钥之间的关系,为什么要发这个预主密钥原因一目了然。
有客户端认证的握手过程--就是客户端此时也需要有第三方认证才可以进行通信
过程:其实中间的过程与无客户端认证差不多,只是多了客户端需要发数字证书而这一项已。
会话恢复过程:
这个过程就相当于你之前与百度服务器建立了通信胆识中途有事情中断了,事情完了以后你又来通话,如果我们重新建立通信就会费时还浪费资源,所以系统自动启用会话恢复,找到你之前进行的那个会话ID直接建立连接省时省力。
SSL协议的细节
- 协议位置
- 体系结构
- SSL的两个概念
- SSL连接(connection)一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。SSL的连接是 点对点的关系。连接是暂时的,每一个连接和一个会话关联。
- SSL会话(session)一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价
