下篇:
0x05 慎重
一. 隐匿式安全
有两种思路:
a) 对脆弱性的长期隐藏,指操作系统人员掩盖某些可能会被利用脆弱性的事实,这种方式建议只是短期方案,长期方案还是要更加合理的将脆弱性消除。
b) 对信息的长期抑制。值目标系统操作人员故意抑制系统的常用信息,使敌人、黑客或第三方更加难以发现系统的潜在威胁。
二. 信息侦查
1. 信息侦查包括三个阶段:
a) 第一级主要从多种可能渠道进行广泛侦查,可能包括网络搜索、私人接触和商业互动。
b) 第二级侦查涉及有针对性的搜集活动,通常包括自动搜集。主要包括网络扫描等。
c) 第三级侦查主要包括对目标的直接访问,例如入侵进前面搜集的某个带有脆弱性的目标。
侦查阶段如下图所示:
2. 隐藏对应项
a) 属性: 主要包括与国家信息基础设施相关的计算系统、网络系统、应用程序、软件特性、功能和特点,包括设备类型、供应商名称、规模与容量。
b)保护: 包括技术性的系统配置、非技术性的安全管理员的联系方式、邮箱、手机等。
c)脆弱性: 包括人员、基础设置管理团队、相关技术或者服务供应商列表等。
三. 组织性安全划分
获得绝密权限并处于海军和空军类别中的某个人成功看到仅限于本密级和本类别阅读的保密文件,同时,获得绝密权限并处于海军离别中的某个人也成功看到了仅限于本秘籍和本类别阅读的保密文件。而拥有绝密权限但处于空军类别中的某个人却不能查看阅读类别仅限于海军的文件。这样做的好处就是大大减少国家安全相关信息被泄露的可能性。
解析:利用组织的group以及文件的密级来控制信息泄露。
四.与慎重相关的国家计划:
1. 与黑客界进行信息交换
2. 构建隐匿分层模型
3. 实现商业信息保护模型。
0x06 采集
国家级信息采集的三项安全目标:
1. 预防攻击:利用采集的数据发挥在拦截攻击方面的作用。
2. 削弱攻击:对可能涉及的范围进行评估,采集能解决这个问题。
3. 分析攻击: 事后的取证分析
一. SIEM
解析: 从国家层面的SIEM更关注的是信息的共享,SIEM将来的模式应该是可以将不同供应商的专有输出信息、日志和报警转化为一种通用格式。
二. 预测趋势
解析:利用数据来分析Botnet的恶意程序等。
三. 跟踪蠕虫
解析: 从流量中可以看到SQL/Slammer爆发时UDP的流量激增
0x07 关联
关联是威胁调查中一个最强大的的分析方法,例如只有将来自签名或特征处理过程中的报警数据流与来自其他方面的数据相关联时,入侵检测系统才能发挥作用。
关联主要有四种方法: 基于特征的、基于签名的、基于域的和基于时间的。
一. 传统的关联方式:
解析:入侵检测与防火墙进行关联。关联产生的数据会作为新的输入信息输入到防火墙中,防火墙进行相应的操作。
二. 关注数据关联的数据源质量和可靠性问题
解析:真实的活动共计X0 X1 X0 X3,但是日志丢失了X1,这个时候攻击签名X0 X1 X0检测不到日志中的攻击,就会遗漏。所以必须保持日志发送过程的持续性、可预料性和保证性。
三.检测蠕虫的数据关联
解析:ISP骨干网络上,可以从基于时间的检测来预测将要发生的蠕虫事件。
四.大规模数据关联
1. 对于国家信息基础设施保护来讲,要注意数据格式(安全数据采集工具缺乏统一的标准,可能导致数据不兼容的情况)。
解析:
a) 第一阶段主要解决不同来源的数据格式不兼容的问题。它的数据格式来源复杂,包括安全设备、系统数据、社交类、应用类数据。
b) 第二阶段主要是解决所采集的数据格式统一问题,最重要的任务就是将相似数据划分到合适的分组里面。
c) 第三阶段主要是将所采集的数据与相关特性进行实际对比。
d) 第四阶段主要对输出的数据进行存储和保护。
e) 第五阶段主要是对信息进行过滤和分发。
0x08 感知
安全态势感知需要考虑以下几种技术:
1. 已知脆弱性,包括供应商、服务提供商、政府、黑客界相关漏洞做到详细了解,参加著名的黑客会议来了解这方面的前沿知识。
2. 安全基础设施,需要了解所有活跃安全组件的状态、包括完整性管理和反恶意软件所需的安全软件版本、入侵检测设备的签名部署情况。
3. 网络和计算架构,
4. 硬件和软件特性,包括当前安装的所有硬件和软件的情况。
一. 检测基础设施攻击
解析:从系统的一些事件行为来确认是否发生了攻击
附上DJ大牛的一张图
二. 管理脆弱性信息
解析:脆弱性管理框架
基本原则:
1. 假设基础设施敌人知道的和你甚至比你还多。
2. 敌人总是不想让你知道漏洞的秘密。
3. 绝不能假设了解基础设施和安全相关的一切事情。
三. 网络安全情报报告
方法:
1. 情报搜集,主要搜集可能的脆弱性和安全状况数据,一般是自动化完成,但是允许人工提交一些信息。
2. 解读和发布,对采集的数据进行综合分析和对外发布
3. 分发和归档,对报告进行受保护的发放和存档
解析:网络安全情报报告的生成和分发流程和步骤。
四. SoC
解析:对于安全态势感知而言,应该具备可视化效果的SOC。核心思想就是将多种数据、信息和情报输入到某个数据仓库中,然后由分析人员进行解析、关联、显示、存储、归档、报警灯操作。SOC的数据仓库应该主动请求和被动接收输入各种信息,信息处理将人力分析、自动化处理和可视化结合在一起。并且实现7X24小时永不下班的支持模式。
0x09 响应
一.应急响应流程
1. 事件触发:必须存在某种形式的报警或事件,应急响应流程启动。
2. 专家聚集:把相关事件所涉及的人员聚集在一起进行处理。
3. 事件分析:安全专家和安全事件相关人员一起进行详尽的技术取证、网络数据分析等。
4. 相应活动:包括重建系统、解决问题、通知客户等。
解析:应急响应流程图。
二. 攻击前响应和攻击后响应
解析:前置式响应和后置式响应的对比。
1. 前置式响应
数据源采集征兆和警报信息,以便早期预防。缺点是高概率的虚警报信息。
2. 后置式响应
采集的数据源揭示攻击正在进行中还是已经完成。缺点是无法基于预警数据进行有效的拦截。
三. 事件应急响应团队
解析:1. 避免出现单个联系人
2.案例管理自动化:需要对应急响应案例自动化管理、记录、归档,特别是以前的案例信息能够在线查询和搜索,将会大大提升工作效率。
3.对专家参与的组织性支持,从高到低全员参与。
4.24/7全天操作支持。
四. 取证
取证遇到的问题:
1. 根源:目标系统为什么以及如何遭受攻击
2. 利用点:利用什么脆弱性
3. 状态:是否仍然处于攻击之内
4. 后果:系统哪些组件被查看、窃取、改变
5. 行动: 什么样的行动可以拦截并且可以预防未来的攻击。
五. 分布式取证
在各个系统上部署内存取证、网络取证、系统取证工具,自动化应急响应等。
google grr架构:
解析: 利用grr自动化应急响应可以做到,一个恶意主机的感染恶意软件后,可以在所有机器上检查同样的PAYLOAD。
0x10 参考
1. Cyber Attacks Protecting National Inforstructure
http://papsa.ir/sites/default/files/cyber-attacks-protecting-national-infrastructure.pdf
2. Securing Critical Infrastructure Networks for SCADA
3.Critical Infrastructure Protection:Threats, Attacks and Countermeasures
http://www.dis.uniroma1.it/~tenace/download/deliverable/Report_tenace.pdf
4. gartner five style模型
5. 中文翻译版
http://www.amazon.cn/%E4%BF%A1%E6%81%AF%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E5%AE%89%E5%85%A8%E4%BF%9D%E6%8A%A4%E4%B8%9B%E4%B9%A6-%E5%9B%BD%E5%AE%B6%E4%BF%A1%E6%81%AF%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD%E7%9A%84%E5%AE%89%E5%85%A8%E4%BF%9D%E6%8A%A4-%E7%88%B1%E5%BE%B7%E5%8D%8E%C2%B7%E9%98%BF%E8%8E%AB%E7%BD%97%E7%B4%A2/dp/B00WFKGWH8/ref=sr_1_1?ie=UTF8&qid=1444113992&sr=8-1&keywords=%E5%9B%BD%E5%AE%B6%E5%9F%BA%E7%A1%80%E4%BF%A1%E6%81%AF%E4%BF%9D%E6%8A%A4
6. Google Grr
https://github.com/google/grr