还剩2页未读,继续阅读
文本内容:
论社会变迁后的社会工作信息安全防护
1.总结最近,媒体曝光的一些信息安全事件使攻击成为行业的首要任务所谓APT,可以从两个方面理解
1.1全方位攻击,生成网络攻击的威胁有比较明确的突破目标,采用多种侦查手段全方位搜集情报,通常利用Oday漏洞,采用广谱的入侵技术,由一组人员相互协作完成攻击,有实力雄厚的组织和资源做支撑
1.2长期威胁攻击准备和攻击过程的持续时间都很长,攻击行为是一个任务,抱定势在必得的决心,不成功绝不罢手
2.发送特定人群的而产生的特定的所有的APT攻击过程,几乎完全一样,大体上可以分为四个步骤1以社会工程的方法,通过对Oday漏洞的利用,使目标网络中的一个主机感染恶意程序社会工程的方法通常是先通过各种方法收集到目标人员的基本信息,然后向特定的目标人员发送电子邮件或即时消息其中含有恶意附件或恶意URL2被攻陷的系统与命令控制CC服务器之间建立一个通道在被攻陷系统上的后门程序与CC服务器之间穿过内网网络边界防火墙,建立起一个秘密通道3使用这个通道搜索有用信息,寻找并访问目标系统攻击者在企业内网中搜寻具有更高权限的主机和存储有价值数据服务器,并获得访问权限4通过这个通道外传数据攻击者通过很隐蔽的方式将机密信息传送到外网的服务器上外传数据的方法是多种多样的,有些还非常隐蔽,例如伪装成DNS流量[Splunk]或者ICMP流量[Covert]
3.检测和防护的契机从APT攻击的过程可以看出,整个攻击循环包括了多个步骤,这就为检测和防护提供了多个契机因此对APT的防护,可以遵循“多点部署,集中管控”的原则,即在各个可能的环节上部署检测和防护手段,通过一个统一的平台进行监控和维护
3.1通过检测社会程序避免木马侵入社会工程是APT攻击的第一个步骤,防社会工程需要一套综合性措施,既要根据实际情况,完善信息安全管理策略,如禁止员工在个人微博上公布与工作相关的信息,禁止在社交网站上公布私人身份和联络信息等又要采用新型的检测技术,提高识别恶意程序的准确性社会工程测试社会工程是利用人性的弱点针对人员进行的渗透过程因此提高人员的信息安全意识,是防止社工攻击的最基本的方法传统的办法是通过宣讲培训的方式来提高安全意识,但是往往效果不好不容易对听众产生触动,而比较好的方法是社会工程测试这种方法已经是被业界普遍接受的方式,有些大型企业都会授权专业公司定期在内部进行测试垃圾邮件的彻底检查对可疑邮件中的URL链接和附件应该做细致认真的检测有些附件表面上看起来就是一个普通的数据文件,如PDF或EXCEL格式的文档等恶意程序嵌入在文件中,且利用的漏洞是未经公开的通常仅通过特征扫描的方式,往往不能准确识别出来的比较有效的方法是用沙箱模拟真实环境访问邮件中的URL或打开附件观察沙箱主机的行为变化[Sandbox],可以有效检测出恶意程序1上网行为管理绝大部分社工攻击是通过电子邮件或即时消息进行的上网行为管理设备应该做到阻止内部主机对恶意URL的访问2DNS监控防投毒攻击者通过篡改DNS服务器上的解析记录,也可以将对正常URL的访问引导到挂有木马的网页上这里所说的DNS服务器,可能是内部的缓存服务器,也可能是外部的DNS服务器企业只能对内部DNS服务器监控而无法监控外部DNS服务器的情况,因此不能完全避免这种类型的攻击
3.2程序输出的能力对IT系统行为记录的收集是异常行为检测的基础和前提大部分IT系统行为可以分为主机行为和网络行为两个方面更全面的行为采集还包括物理访问行为记录采集如1主机行为采集主机行为采集一般是通过允许在主机上的行为监控程序完成有些行为记录可以通过操作系统自带的日志功能实现自动输出为了实现对进程行为的监控,行为监控程序通常工作在操作系统的驱动层,如果在实现上有错误,很容易引起系统崩溃为了避免被恶意程序探测到监控程序的存在,行为监控程序应尽量工作在驱动层的底部,但是越靠近底部,稳定性风险就越高2网络行为采集网络行为采集一般是通过镜像网络流量,将流量数据转换成流量日志以Netflow记录为代表的早期流量日志只包含网络层信息近年来的异常行为大都集中在应用层,仅凭网络层的信息已难以分析出有价值的信息应用层流量日志的输出,关键在于应用的分类和建模
3.3标主机与外网的通讯从前述APT攻击过程可以看出,异常行为包括对内部网络的扫描探测、内部的非授权访问、非法外联非法外联即目标主机与外网的通讯行为,可分为三类
(1)shellcode从“养马场”下载恶意程序到目标主机,这些下载行为不仅在感染初期发生,在后续恶意程序升级时还会出现
(2)目标主机与外网的CC服务器进行联络
(3)内部主机向CC服务器传送数据,其中外传数据的行为是最多样、最隐蔽也是最终构成实质性危害的行为
4.加强数据安全的保护和存储有效防护APT需要一套完整的防护体系,除了前述的技术措施以外,还需要配合数据泄露防护(DLP,Data LeakProtection)和非法外联阻断的技术手段例如,重要数据采用加密存储采用虚拟桌面技术,将终端对数据的访问限制在一个相对安全的空间,工作结束后所有数据都保存在服务器上利用上网行为管理设备,阻断非法外联的行为等。