02最新網(wǎng)絡(luò)安全威脅對教育行業(yè)的影響及應(yīng)對方案-V1.2-20140429

最新網(wǎng)絡(luò)安全威脅對教育行業(yè)的影響及應(yīng)對方案321網(wǎng)絡(luò)信息安全現(xiàn)狀下一代信息安全防御高級逃避測試方法當前網(wǎng)絡(luò)安全狀況--漏洞越來越多每天平均都有新的漏洞被發(fā)現(xiàn)數(shù)據(jù)來源：國家信息安全漏洞共享平臺當前網(wǎng)絡(luò)安全狀況--漏洞越來越多當前網(wǎng)絡(luò)安全狀況--漏洞沒有補丁或沒有及時打補丁當前網(wǎng)絡(luò)安全狀況--0

day攻擊當前網(wǎng)絡(luò)安全狀況--排名前十的關(guān)鍵漏洞沒有PATCH廠商IBM漏洞分析小組的報告，很多系統(tǒng)其實是存在一些漏洞但是廠家短時間內(nèi)沒有任何解決方案IBM-X-Force-Vulnerability-Threats如何解決?安裝補丁?2010.04

用戶更新某廠商的防病毒補丁后出現(xiàn)大量機器被鎖住無法登陸現(xiàn)象，廠商緊急發(fā)布新的補丁。

2009.01

Conflicker

蠕蟲病毒爆發(fā)受感染的服務(wù)器達到幾百萬臺，因為許多公司的Windows服務(wù)器沒有安裝早在2008年10月發(fā)布的補丁當前網(wǎng)絡(luò)安全狀況--Web攻擊典型攻擊的歸類典型攻擊的歸類DataLossDB.orgIncidentsOverTime來自于全球?qū)I(yè)性數(shù)據(jù)泄漏事件分析網(wǎng)站:http:///statistics近幾年數(shù)據(jù)泄露事件統(tǒng)計沒有絕對的安全APT(AdvancedPersistentThreat)：高級持續(xù)性威脅AET(AdvancedEvasionTechnique)：高級逃避技術(shù)“0Day”、未公開漏洞、廠家后門、信任鏈基礎(chǔ)設(shè)施…物理隔離也不安全，服務(wù)器主機安全防護是最后的堡壘APTAET0DAY/后門攻擊者如何入侵的2013年TOP安全威脅APT攻擊事件依然難以快速的定位基于政府組織的網(wǎng)絡(luò)間諜會持續(xù)增加

更多的攻擊將采用高級攻擊技術(shù)，隨著傳統(tǒng)的安全技術(shù)和總體計算機攻擊防御能力的提高，黑客們將會采用更為先進的攻擊手段，而逃避是最為“有效”的一種方式.Time分界線2011-2012防御措施

攻擊方式

APT(AdvancedPersistentThreat)高級持續(xù)性威脅(AdvancedPersistentThreat，APT)1、有明確的突破目標2、采用多種偵查手段全方位搜集情報3、通常利用0day漏洞4、采用新型的入侵手段5、由一組人員相互協(xié)作完成攻擊APT的“潛伏性和持續(xù)性”是最大威脅

——潛伏性：這些新型的攻擊和威脅可能在用戶環(huán)境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報。

——持續(xù)性：由于APT攻擊具有持續(xù)性甚至長達數(shù)年的特征，這讓企業(yè)的管理人員無從察覺。

——鎖定特定目標：針對特定政府或企業(yè)，長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充客戶的來信,取得在計算機植入惡意軟件的第一個機會。

——安裝遠程控制工具：攻擊者建立一個類似僵尸網(wǎng)絡(luò)的遠程控制架構(gòu)，攻擊者會定期傳送有潛在價值文件的副本給命令和控制服務(wù)器審查。將過濾后的敏感機密數(shù)據(jù)，利用加密的方式外傳。利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息是使用APT攻擊的另一重要手段。社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。以智能手機、平板電腦和USB等移動設(shè)備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。APT入侵客戶的途徑主要包括以下幾個方面APT手段字符串混淆

（Obfuscation）碎片（Fragmentation）協(xié)議違規(guī)

（Protocolviolations）通過偽裝和/或修飾網(wǎng)絡(luò)攻擊以躲避信息安全系統(tǒng)的檢測和阻止的手段；利用協(xié)議中不常用的屬性，偽裝攻擊流量躲避安全系統(tǒng)檢測。逃避手段逃避技術(shù)逃避的相關(guān)研究AseminaltextdescribingtheattacksagainstIDSsystemsappearedin1997

(注釋-逃避IDS檢查)OneofthefirstcomprehensivedescriptionofattackswasreportedbyPtacekandNewshaminatechnicalreportin1998(注釋-詳細的技術(shù)細節(jié)描述此類攻擊)In1998,alsoanarticleinthePhrackMagazinedescribeswaystoby-passnetworkintrusiondetection(注釋-逃避IPS的方式)HandleyandPaxsonsuggestnormalizationin2001(注釋-建議防護系統(tǒng)具備合法遵從檢查)GortonandChampionsuggestedcombinationsin2004(注釋-更復(fù)雜的合法遵從檢查)MooreandCaswelldiscussevasionsatBlackHat2006(注釋-更多的人關(guān)注逃避)普通的逃避在TCP/IP的不同協(xié)議棧同時進行加載

組合形成了高級逃避.可穿越多種協(xié)議或協(xié)議組合,黑客通常是利用高級逃避技術(shù)作為高級不間斷攻擊(APT)的重要部分.高級逃避技術(shù)的出現(xiàn)EthernetVLANTagsSMB2SMBTCPUDPApplication高級逃避技術(shù)的特性高級逃避技術(shù)是動態(tài)的、不合常規(guī)的、沒有數(shù)量限制、傳統(tǒng)檢測手段無法檢測傳統(tǒng)特征庫不可能檢測高級逃避技術(shù)的特性

測試工具受限

目前有一些工具,集成了一些逃避的技術(shù)但是,這些工具是基于不同的漏洞風險的,并不是基于不同的逃避技術(shù)的所以,就無法深入的研究高級逃避技術(shù),及無法提供驗證防護效率的工具.反逃避的困境和原因高級逃避技術(shù)隱藏的攻擊可以逃避IPS/IDS的檢測–JackWalsh,ProgramManager

如果你的網(wǎng)絡(luò)系統(tǒng)不能夠發(fā)現(xiàn)攔截高級逃避，你將面臨巨大損失–RickMoy,President進來的研究發(fā)現(xiàn)AET是真是存在的而且成爆發(fā)時增長。–BobWalder,ResearchDirector高級逃避技術(shù)被證實ICSA/NSS/Gartner證明這一系列新型逃避技術(shù)確實不能被主流IPS設(shè)備所檢測出來高級逃避技術(shù)的特性目前公開的高級逃避只是冰山一角高級逃避技術(shù)的特性可穿越多種協(xié)議或協(xié)議組合，黑客通常是利用高級逃避技術(shù)作為高級不間斷攻擊(APT)的重要部分.《TPAAnalysisBrief》August14,2012BobWalderfromNSSLABAPT中的A就是利用零日漏洞和復(fù)雜的逃避技術(shù)進行攻擊高級逃避技術(shù)的特性《CybercrimeKillChainvs.DefenseEffectiveness》Nov,2012StefanFrei,Ph.DfromNSSLAB高級逃避技術(shù)在APT攻擊中被廣泛使用對于Oracle數(shù)據(jù)庫，一個RPC碎片逃避就可以導(dǎo)致30多種不同遠程攻擊高級逃避技術(shù)的特性高級逃避的存在促使了下一代IPS出現(xiàn)

Gartner制定了描述了下一代IPS的藍圖

其中一個重要的原因就是高級逃避逃避了IPS的檢查《DefiningNextIPS》利用逃避技術(shù)和其它新的傳遞手段高級逃避技術(shù)的特性只要存在漏洞目標,高級逃避技術(shù)就可以傳遞任何已知和未知的攻擊,更可怕的是沒有人知道它的存在,沒有任何日志記錄.高級逃避技術(shù)就像

一把萬能的鑰匙高級逃避技術(shù)的特性“高級逃避技術(shù)”已經(jīng)引起國內(nèi)安全專家和廠商的重視國內(nèi)安全廠商紛紛投入力量進行研發(fā)，目前對“普通逃避技術(shù)”已經(jīng)取得了較好的防御效果國內(nèi)部分安全產(chǎn)品已經(jīng)能夠防御部分或大部分的“高級逃避技術(shù)”的入侵，但是仍存在較大的技術(shù)差距進一步加強對“高級逃避技術(shù)”最新威脅的研究，成為國內(nèi)安全行業(yè)的首要課題國內(nèi)針對高級逃避技術(shù)的研究近況網(wǎng)絡(luò)信息安全總結(jié)網(wǎng)絡(luò)架構(gòu)風險應(yīng)用安全風險主機安全風險321網(wǎng)絡(luò)信息安全現(xiàn)狀下一代安全防御高級逃避測試方法Firewall傳統(tǒng)安全防御IDSUTM新一代的防御對策防火墻入侵防御應(yīng)用防御主機防護入侵防御Networklayer(OSI2-3)Applicationlayer(OSI4-7)網(wǎng)絡(luò)防御應(yīng)用防御主機防御（服務(wù)器加固系統(tǒng)）安全防御的劃分深度檢測病毒檢測應(yīng)用控制網(wǎng)絡(luò)防御Clicktoedittitlestyle下一代防御系統(tǒng)

應(yīng)用感知及協(xié)議棧可視在應(yīng)用層鑒別應(yīng)用、加強網(wǎng)絡(luò)安全策略，從而獨立于端口協(xié)議（而不是僅僅基于端口、協(xié)議和業(yè)務(wù)）；

上下文感知及內(nèi)容感知根據(jù)IPS之外的源地址提高攔截判決，或改善攔截規(guī)則；檢查和分類入站的可執(zhí)行文件及其他類似的文件類型，比如PDF和微軟office文件；

靈活的引擎對于新的信息資源反饋和針對將來出現(xiàn)的威脅的解決技術(shù)留有升級通道。下一代網(wǎng)絡(luò)安全的定義安全引擎在每一層執(zhí)行完整的協(xié)議棧檢測，基于應(yīng)用層數(shù)據(jù)流的檢測過程

網(wǎng)絡(luò)防御多協(xié)議組合檢測；采用更好檢測算法；從IP層到應(yīng)用層逐層的合規(guī)標準化檢測，突破傳統(tǒng)的檢測機制.新的檢測方式特性硬件架構(gòu)及高性能無需外加硬件設(shè)備可實現(xiàn)bypass。簡化網(wǎng)絡(luò)構(gòu)架，提高單機可實現(xiàn)吞吐量。訪問控制及策略系統(tǒng)策略、嚴格策略、認證策略實現(xiàn)網(wǎng)絡(luò)的分層防御透明部署過濾及防毒內(nèi)置WEB數(shù)據(jù)過濾庫、屏蔽非法網(wǎng)站,包括多個大類和URL記錄，具有病毒檢測功能定期更新升級靈活部署及集群支持分布式部署性能擴展，實現(xiàn)負載均衡具備功能應(yīng)用防御Web防御數(shù)據(jù)庫防御郵件防御應(yīng)用防御-WEBWEB應(yīng)用防火墻-加固web應(yīng)用站點幫助客戶實現(xiàn)合規(guī)需求Web漏洞掃描-掃描，分析，檢查web應(yīng)用漏洞應(yīng)用加速-加速確保實時提交web應(yīng)用站點支付內(nèi)容負載均衡-保證可持續(xù)的性能高可用的web應(yīng)用應(yīng)用防御-數(shù)據(jù)庫配置和漏洞管理各行業(yè)類別內(nèi)的廣泛政策驅(qū)動基于策略的控制自動處理IT內(nèi)部控制數(shù)據(jù)庫活動監(jiān)控實時監(jiān)視關(guān)鍵用戶和關(guān)鍵業(yè)務(wù)變化數(shù)據(jù)庫審計和合規(guī)性實現(xiàn)合規(guī)和取證分析的目的應(yīng)用防御-郵件豐富的部署模式針對各種郵件系統(tǒng)有良好的部署方式歸檔具備郵件歸檔隔離&報告實現(xiàn)郵件隔離及垃圾郵件病毒郵件報告主機防御（服務(wù)器加固系統(tǒng)）的目標防止注入防止被利用數(shù)據(jù)保護主機防御（服務(wù)器加固系統(tǒng)）的目標設(shè)定從系統(tǒng)層面保證入侵者不能控制目標服務(wù)器，不能成為“肉雞”，不能成為入侵者攻擊其他目標的“幫兇”發(fā)現(xiàn)企圖隱藏者滿足等級保護對服務(wù)器加固的安全要求替代人工的定期安全加固服務(wù)服務(wù)器是攻擊者的最終目標信息：竊取到目標內(nèi)的特定信息；信息：修改了目標內(nèi)的特定信息；控制：建立了遠程控制目標的后門通道；隱藏：成功潛伏在目標內(nèi)沒有被發(fā)現(xiàn)；不讓服務(wù)器被入侵者控制，把安全損失降低到最少。阻止入侵者最想做的事---反控制能力

(賬戶提權(quán)、shellcode、后門賬戶、遠程命令窗口、安裝木馬、主動回家、上傳工具…)發(fā)現(xiàn)入侵者自己的痕跡---反隱藏能力(日志保存、進程注入、系統(tǒng)驅(qū)動篡改、非授權(quán)文件寫入、篡改安全配置、Rootkit…)服務(wù)器安全加固系統(tǒng)的設(shè)計目標進不來：減少系統(tǒng)漏洞，加強動態(tài)監(jiān)控，入侵成功后無法啟動木馬進程或特定訪問服務(wù)；拿不走：入侵成功獲取系統(tǒng)管理員權(quán)限，卻不能看到用戶敏感的數(shù)據(jù)文件或目錄，無法竊取敏感數(shù)據(jù)；改不了：對系統(tǒng)文件進行完整性保護，敏感信息隱藏，攻擊者看不到；控不了：入侵成功卻不能實施預(yù)想操作(下載數(shù)據(jù)、安裝后門、獲取權(quán)限…)，無法安裝或啟動遠程操作工具；逃不掉：無法啟動“回家”進程，無法接收主人指令，無法刪除行為痕跡。主機防御（服務(wù)器加固系統(tǒng)）敏感性保護-系統(tǒng)用戶與文件目錄建立安全級別標記，每個用戶不能讀級別高于自己級別的文件目錄，不能寫低于自己級別的文件目錄。完整性保護-完整性保護系統(tǒng)目錄或文件，如系統(tǒng)驅(qū)動、配置文件、注冊表等，允許讀或執(zhí)行，但限定其賬戶、時間、登錄方式等等。進程管理-可以配置黑白名單，學(xué)習模式下只禁止黑名單進程；運行模式下，可以設(shè)置是否運行非白名單進程運行的控制開關(guān)。主機防御配置加固-彌補漏洞防止暴力破解防止后門連接事件查看-文件訪問進程運行進程注入安全事件技術(shù)標準1：敏感性數(shù)據(jù)保護-偷不走符合BLP模型：

系統(tǒng)用戶與文件目錄建立安全級別標記，每個用戶不能讀級別高于自己級別的文件目錄，不能寫低于自己級別的文件目錄。技術(shù)標準2：系統(tǒng)完整性保護-改不了完整性保護系統(tǒng)目錄或文件，如系統(tǒng)驅(qū)動、配置文件、注冊表等，允許讀或執(zhí)行，但限定其賬戶、時間、登錄方式等等。技術(shù)標準3：進程管理-進不來進程白名單進程黑名單進程注入白名單

可以配置黑白名單，學(xué)習模式下只禁止黑名單進程；運行模式下，可以設(shè)置是否運行非白名單進程運行的控制開關(guān)技術(shù)標準4：安全事件查看-逃不掉文件訪問進程運行進程注入安全事件技術(shù)特點1：系統(tǒng)安全的雙重控制機制服務(wù)器加固系統(tǒng)控制：敏感性保護：賬戶與文件目錄都建立名感標記，強制性訪問控制完整性保護：嚴格限制其修改權(quán)限，強制性訪問控制Windows控制：賬戶口令控制：口令管理賬戶權(quán)限控制：系統(tǒng)管理員與普通賬戶系統(tǒng)權(quán)限(入侵者攻擊的)+服務(wù)器加固系統(tǒng)權(quán)限(入侵者不知道的)

=系統(tǒng)操作技術(shù)特點2：強制性訪問控制BLP系統(tǒng)管理員administrator普通用戶秘密級敏感用戶機密級機密級目錄秘密級目錄公開級目錄可讀不可讀技術(shù)特點3：防注入技術(shù)：進程注入方法：通過對遠程進程創(chuàng)建線程的方式注入：進程間通訊的一種方式，在其他進程空間運行自己注冊表注入：利用系統(tǒng)或用戶程序啟動自己鉤子注入：駐留內(nèi)核，利用系統(tǒng)調(diào)用啟動自己防止進程注入方法：監(jiān)控內(nèi)核函數(shù)：禁止沒有注入權(quán)限的進程創(chuàng)建遠程線程注冊表文件管理：阻止對注冊表的非授權(quán)寫入鉤子注入：對系統(tǒng)進程的鉤子鏈進行監(jiān)控設(shè)置注入權(quán)限，在白名單內(nèi)的進程可以開通注入權(quán)限，未在白名單內(nèi)的進程無注入權(quán)限技術(shù)特點4：反控制進程黑白名單：非授權(quán)的進程不能啟動，禁止入侵者的非法行為，阻止入侵者開辟后門通道特殊進程與服務(wù)監(jiān)控：賬戶權(quán)限監(jiān)控：防止提權(quán)遠程桌面監(jiān)控：防止操控網(wǎng)絡(luò)連接監(jiān)控：防止鏈接安裝簡便方便配置保證服務(wù)器不被攻擊者控制不影響業(yè)務(wù)運行容易卸載服務(wù)器加固系統(tǒng)的設(shè)計宗旨建立等級保護等級保護目的能夠?qū)箒碜源笮偷?、有組織的團體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災(zāi)難（災(zāi)難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。建立全網(wǎng)應(yīng)急相應(yīng)中心全網(wǎng)部署結(jié)合三級等保整改建設(shè)將重要數(shù)據(jù)和信息中心統(tǒng)一進行防護分散部署到個重要系統(tǒng)網(wǎng)絡(luò)出入口建設(shè)全網(wǎng)統(tǒng)一的入侵檢測和應(yīng)急響應(yīng)中心安全技術(shù)手段不統(tǒng)一，安全技術(shù)標準不統(tǒng)一，安全管理不統(tǒng)一，安全策略不統(tǒng)一安全技術(shù)手段統(tǒng)一，安全技術(shù)標準統(tǒng)一，安全管理統(tǒng)一，安全策略統(tǒng)一不涉及網(wǎng)絡(luò)架構(gòu)變動，原有設(shè)備繼續(xù)使用，工作量小，進度快，省投資，統(tǒng)一提升至最新安全防護水平下一代安全防御技術(shù)總結(jié)網(wǎng)絡(luò)安全防御應(yīng)用安全防御主機安全防御建立等級保護建立全網(wǎng)應(yīng)急響應(yīng)中心321網(wǎng)絡(luò)信息安全現(xiàn)狀下一代信息安全防御高級逃避測試方法介紹本測試方案是針對現(xiàn)有網(wǎng)絡(luò)中的安全設(shè)備（包括防火墻、IDS/IPS），通過高級逃避（AET,AdvancedEvasionTechnology）的手段來檢測、審計現(xiàn)有網(wǎng)絡(luò)安全設(shè)備防御功能的一個系統(tǒng)。該系統(tǒng)包括高級逃避模擬攻擊機和高級逃避模擬目標機兩部分。待檢測的網(wǎng)絡(luò)安全設(shè)備串聯(lián)在模擬攻擊和目標機之間，模擬攻擊機通過高級逃避的手段來避開待測網(wǎng)絡(luò)安全設(shè)備的檢查，達到控制模擬目的機。在此過程中，通過查看網(wǎng)絡(luò)安全設(shè)備的反應(yīng)（警告、攔截等），來檢測審計該網(wǎng)絡(luò)安全設(shè)備對高級逃避攻擊手段的防御能力。環(huán)境拓撲TES交換機IPS目標默認管理IP:登陸方式::8000部署透明模式加載安全策