網(wǎng)絡滲透與防御技術現(xiàn)狀與趨勢

網(wǎng)絡滲透與防御技術現(xiàn)狀與趨勢第1頁，課件共51頁，創(chuàng)作于2023年2月內容互聯(lián)網(wǎng)上的生存環(huán)境在悄然變化網(wǎng)絡攻擊技術趨勢防御思路及其驗證我的幾點思考與建議第2頁，課件共51頁，創(chuàng)作于2023年2月先看幾個數(shù)據(jù)2014年是我國正式接入國際互聯(lián)網(wǎng)20周年。據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡信息中心發(fā)布的報告，截止2013年底，我國網(wǎng)民規(guī)模突破6億，其中通過手機上網(wǎng)的網(wǎng)民占80%；手機用戶超過12億，國內域名總數(shù)1844萬個，網(wǎng)站近400萬家，全球十大互聯(lián)網(wǎng)企業(yè)中我國有3家。2013年網(wǎng)絡購物用戶達到3億，全國信息消費整體規(guī)模達到2.2萬億元人民幣,同比增長超過28%,電子商務交易規(guī)模突破10萬億元人民幣。中國已是名副其實的“網(wǎng)絡大國”。第3頁，課件共51頁，創(chuàng)作于2023年2月這是共知的事實Microsoft、Oracle、Apple、IBM、Intel、EMC、希捷……Ethernet互聯(lián)網(wǎng)標準、GSM、WCDMA包括4G等無線通信網(wǎng)絡標準都是國外進口；大量核心底層通信設備也來自國外，例如思科。DNS的頂層服務器多數(shù)在美國……微軟說，他會對用戶的利益負責到底。但是聽命于美國政府關掉的古巴的MSN服務；Google關掉了中國大陸業(yè)務的背后故事很多；微軟為了逼迫中國用戶升級WIN8，宣布將停止對于WINXP的支持。VISTA由于其架構高度不可控，未列入國家采購目錄，WIN8的不可控程度遠超VISTA。第4頁，課件共51頁，創(chuàng)作于2023年2月斯諾登事件告訴了我們什么斯諾登某運營商某大學第5頁，課件共51頁，創(chuàng)作于2023年2月美國安全局的“安全門”路透社20131220獨家報道，NSA（美國國家安全局）向RSA（美國網(wǎng)絡安全巨頭）支付1000萬美元，在其旗下Bsafe安全軟件中植入后門第6頁，課件共51頁，創(chuàng)作于2023年2月這個信息我“無法證明”美國國安局下設的這個黑客部門名為“定制入口行動辦公室”(TAO，簡稱“行動辦公室”)。用國安局的話說，這個部門的任務就是“獲得無法獲得的東西”?！靶袆愚k公室”1997年設立。當時，互聯(lián)網(wǎng)處于萌芽階段，全球只有不到2%的人口能接觸互聯(lián)網(wǎng)。設立之初，“行動辦公室”就與國安局其他部門完全隔離，而且任務明確：夜以繼日地找辦法入侵全球通訊網(wǎng)絡。

《明鏡》周刊報道，一份有關職責描述的內部文件明確將網(wǎng)絡攻擊行為列入“行動辦公室”的任務范疇。換句話說，美國政府授權這些人員去“黑”全世界的通訊網(wǎng)絡。秘密文件顯示，2010年，“行動辦公室”在全球范圍內實施了279次網(wǎng)絡入侵行動。第7頁，課件共51頁，創(chuàng)作于2023年2月愛因斯坦計劃(網(wǎng)絡風暴)已經(jīng)公開I:2003：流量感知II:2008：檢測攻擊并預警III:2010：即時感知，主動處置第8頁，課件共51頁，創(chuàng)作于2023年2月2008.1.8，美國總統(tǒng)布什以54號國家安全總統(tǒng)令和23號國土安全總統(tǒng)令的形式部署《國家網(wǎng)絡安全綜合計劃》(CNCI)，此計劃被稱為信息安全的“曼哈頓計劃”。此計劃預算高達300-400億美元，在5-7年內打造一道網(wǎng)絡安全的國家防線。2010.3.24，美國參議院商務、科學和運輸委員會全票通過由伊杰.洛克菲勒和斯諾.蓋恩提交的《網(wǎng)絡安全法案》(CybersecurityAct)，法案進入立法審批程序。2010年5月，美軍建立網(wǎng)絡司令部，統(tǒng)一協(xié)調保障美軍網(wǎng)絡安全、開展網(wǎng)絡戰(zhàn)等與電腦網(wǎng)絡有關的軍事行動。2011.5.16，美國白宮網(wǎng)絡安全協(xié)調員施密特發(fā)布《網(wǎng)絡空間國際戰(zhàn)略》(InternationalStrategyforCyberspace)，闡述美國“在日益以網(wǎng)絡相聯(lián)的世界如何建立繁榮、增進安全和保護開放”。該戰(zhàn)略是美國的網(wǎng)絡外交政策。2011.7.14，美國國防部副部長威廉·林恩在美國國防大學發(fā)表演講，正式公布美軍第一份《網(wǎng)絡空間行動戰(zhàn)略》，并將“網(wǎng)際空間Cyberspace”正式列為與陸、海、空并列的第四大行動領域2012.6.21，歐美日聯(lián)合發(fā)布《政府網(wǎng)絡安全推薦準則》歐洲電子產(chǎn)業(yè)組織“數(shù)字歐洲”(DIGITALEUROPE)、美國信息技術行業(yè)協(xié)會(ITI)以及日本電子與信息技術行業(yè)協(xié)會(JEITA)在比利時布魯塞爾共同發(fā)布了名為《政府網(wǎng)絡安全推薦準則》的聲明，提出12條準則，力圖向各國政府清晰地傳達網(wǎng)絡安全政策所應涵蓋的內容。2013.1.4，奧巴馬簽署2013國防預算法案932.b：下一代網(wǎng)絡安全系統(tǒng)不應依賴于簽名技術(特征檢測)，F(xiàn)ireEye公司的“沙箱”動態(tài)還原監(jiān)視技術成為熱門。2014.1，公司FireEye以10億美元股票與現(xiàn)金收購Mandiant安全公司美國政府的政策是一貫性的第9頁，課件共51頁，創(chuàng)作于2023年2月菜鳥職業(yè)黑客黑客組織黑客部隊這“或許”只是個傳說第10頁，課件共51頁，創(chuàng)作于2023年2月國家網(wǎng)絡防御能力排名CountryDefenseRankings數(shù)據(jù)來源：McAfee2013年的防御能力排名第11頁，課件共51頁，創(chuàng)作于2023年2月這次或許是“真”的重視了2014年2月27日，中央網(wǎng)絡安全和信息化領導小組成立。該領導小組將著眼國家安全和長遠發(fā)展，統(tǒng)籌協(xié)調涉及經(jīng)濟、政治、文化、社會及軍事等各個領域的網(wǎng)絡安全和信息化重大問題，研究制定網(wǎng)絡安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，推動國家網(wǎng)絡安全和信息化法治建設，不斷增強安全保障能力。

中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長；李克強、劉云山任副組長。第12頁，課件共51頁，創(chuàng)作于2023年2月?lián)蘒DC2011年的報告顯示，在全球排名前20位的安全公司中，美國便占了15個席位。此外，以色列、俄羅斯、英國、荷蘭以及中國臺灣也各占一席，而在這之中，卻難覓中國大陸安全廠商的身影。

技術得不到資金與人才的眷顧，是無法一枝獨秀的，靠個人科學家推動社會進步的時代早已經(jīng)過去了…環(huán)境很惡劣，“黎叔”很生氣技術落后是飽受欺凌的根本原因！不是有沒有被入侵過而是根本就不知道是否被入侵過！第13頁，課件共51頁，創(chuàng)作于2023年2月安全是雙方對抗的技術技術的對抗歸根結底是人與人之間的對抗信息安全已經(jīng)是國家間的實力對抗，是戰(zhàn)爭第14頁，課件共51頁，創(chuàng)作于2023年2月內容互聯(lián)網(wǎng)上的生存環(huán)境在悄然變化網(wǎng)絡攻擊技術趨勢防御思路及其驗證我的幾點思考與建議第15頁，課件共51頁，創(chuàng)作于2023年2月突破電話系統(tǒng)偷源代碼做病毒/蠕蟲開發(fā)流氓軟件挖漏洞/造木馬黑站/拖庫釣魚社會工程學攻擊APT/竊取情報/破壞過去25年黑客行為的轉變第16頁，課件共51頁，創(chuàng)作于2023年2月網(wǎng)絡攻擊技術的新特點攻擊者：團隊作戰(zhàn)技術組合定向性(APT)APTAET0DAY/后門攻擊手段：肉雞操作自動攻擊工具移動、公共IP躲避技術(AET)目標：0DAY/廠家后門應用層滲透信任鏈入侵第17頁，課件共51頁，創(chuàng)作于2023年2月什么是APT攻擊APT(AdvancedPersistentThreats:高級持續(xù)性威脅)第18頁，課件共51頁，創(chuàng)作于2023年2月什么是AET逃逸AET(AdvancedEvasionTechnique：高級逃逸技術)第19頁，課件共51頁，創(chuàng)作于2023年2月CSRF跨站腳本請求偽造第20頁，課件共51頁，創(chuàng)作于2023年2月“水坑式”攻擊黑客通過分析被攻擊者的網(wǎng)絡活動規(guī)律，尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點，先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀錄片中的一種情節(jié)：捕食者埋伏在水里或者水坑周圍，等其他動物前來喝水時發(fā)起攻擊獵取食物。第21頁，課件共51頁，創(chuàng)作于2023年2月說不清楚：現(xiàn)狀、對手、結果、技術對安全的了解往往從安全事件開始安全事件是了解技術的有效有段第22頁，課件共51頁，創(chuàng)作于2023年2月大公司被入侵的安全事件頻繁出現(xiàn)2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據(jù)建立VPN網(wǎng)絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取。2013年10月，Adobe公司表示，黑客盜取了其一些最流行軟件的源代碼和數(shù)百萬用戶的數(shù)據(jù)。Adobe稱，黑客獲得了AdobeAcrobat以及ColdFusion和ColdFusionBuilder的源代碼。該公司首席安全官布拉德·阿金(BradArkin)表示，自兩周前發(fā)現(xiàn)此事后，他們一直在調查這次入侵，目前沒有任何跡象顯示黑客利用這次盜取的源代碼發(fā)動了攻擊。黑客還竊取了290萬Adobe客戶的信息，包括他們的姓名、用戶識別碼和加密密碼以及支付卡號。第23頁，課件共51頁，創(chuàng)作于2023年2月韓國主要廣播電視臺KBS、MBC、YTN，以及韓國新韓銀行（ShinNanBank）、農(nóng)協(xié)銀行（NongHyupBank）等部分金融機構疑似遭受黑客攻擊，相關網(wǎng)絡與信息系統(tǒng)突然出現(xiàn)癱瘓。這是網(wǎng)際戰(zhàn)爭嗎？攻擊行為分析：典型APT攻擊郵件植入木馬病毒傳播病毒在2013年3月20日下午2：00以后激活Vista以上系統(tǒng)覆蓋文件、其他的破壞引導扇區(qū)這不是演習！第24頁，課件共51頁，創(chuàng)作于2023年2月2011年12月21日，以CSDN為主的多家互聯(lián)網(wǎng)用戶注冊信息庫被黑客盜取，涉及的用戶資料在5000萬以上，資料泄露的賬號可能涉及網(wǎng)易郵箱、QQ郵箱、人人網(wǎng)在內的多家網(wǎng)站。

國內泄漏事件的“背后效應”第25頁，課件共51頁，創(chuàng)作于2023年2月Struts2漏洞事件是“烏龍”嗎？201307的ApacheStruts2漏洞發(fā)布事件---BS架構的一次震顫第26頁，課件共51頁，創(chuàng)作于2023年2月關于OpenSSL“心臟出血”漏洞2014年4月7日OpenSSL發(fā)布了安全公告，在OpenSSL1.0.1版本中存在嚴重漏洞(CVE-2014-0160).問題出在OpenSSLHeartbleed模塊ssl/dl_both.c文件中的心跳部分，當攻擊者構造一個特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會導致memcpy函數(shù)把SSLv3記錄之后的數(shù)據(jù)直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存中多達64K的數(shù)據(jù)。IP地址與路徑用戶名、cookie等手機號帳戶、郵箱、密碼第27頁，課件共51頁，創(chuàng)作于2023年2月內容互聯(lián)網(wǎng)上的生存環(huán)境在悄然變化網(wǎng)絡攻擊技術趨勢防御思路及其驗證我的幾點思考與建議第28頁，課件共51頁，創(chuàng)作于2023年2月等級保護是基本方法：分域分級信息系統(tǒng)分級保護對信息系統(tǒng)按業(yè)務安全應用域和區(qū)實行等級保護---防護、監(jiān)控、審計安全產(chǎn)品分級管理對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理---測評安全服務分級管理對等級系統(tǒng)的安全服務資質分級許可管理---測評安全事件分級響應對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置---應急能力產(chǎn)品服務外部支持內部力量第29頁，課件共51頁，創(chuàng)作于2023年2月隔離防護可見(對外)可見(對內)可信任的人(用戶與維護者)可信任的人(安全管理者)防御在于考慮全面第30頁，課件共51頁，創(chuàng)作于2023年2月安全保障設計---“花瓶模型”第31頁，課件共51頁，創(chuàng)作于2023年2月等級保護涉及的安全產(chǎn)品與服務(一)安全類型安全產(chǎn)品說明邊界防護體系FW/UTM安全域邊界、安全域內部隔離IPS/AV可選。補充FW隔離時的不足WAF可選。網(wǎng)站或Web服務器前防護VPN可選。出差人員、分支單位接入網(wǎng)閘可選。生產(chǎn)網(wǎng)與辦公網(wǎng)隔離終端安全三級選用。至少補丁管理、網(wǎng)絡準入、終端審計、非法外聯(lián)等模塊服務器加固重要服務器(安全加固、強制性訪問控制)普通服務器選擇加固服務平臺系統(tǒng)加固虛擬化平臺加固中間件，可以部署其他安全措施監(jiān)控體系IDS隔離的網(wǎng)絡分別部署漏洞掃描網(wǎng)絡共用，或選擇安全服務防病毒系統(tǒng)主機防病毒、網(wǎng)絡防病毒異常流量監(jiān)控可選。第32頁，課件共51頁，創(chuàng)作于2023年2月等級保護涉及的安全產(chǎn)品與服務(二)安全類型安全產(chǎn)品說明信任體系身份認證系統(tǒng)CA三級選用。主要是雙因子認證需要二級系統(tǒng)可選擇動態(tài)口令系統(tǒng)網(wǎng)絡行為與數(shù)據(jù)庫審計隔離的網(wǎng)絡分別部署運維審計(堡壘機審計)三級選用。運維區(qū)域出口互聯(lián)網(wǎng)行為審計可選?；ヂ?lián)網(wǎng)出口日志審計二級選用，三級用SOC替代安全管理安全管理平臺SOC隔離的網(wǎng)絡分別部署在網(wǎng)絡核心補丁管理系統(tǒng)補丁服務器安全服務等保方案設計與咨詢服務安全加固服務安全滲透服務安全應急服務可選。安全值守服務可選。源代碼審計服務可選。第33頁，課件共51頁，創(chuàng)作于2023年2月如何了解安全保障建設的效果領導關心：花多少算是夠用？管理者關心：如何檢驗戰(zhàn)斗力？實戰(zhàn)、演練…第34頁，課件共51頁，創(chuàng)作于2023年2月滲透性測試是一種驗證性的安全檢查，不是黑客入侵的情景再現(xiàn)，更不是黑客的友情表演。定義滲透性測試驗證安全漏洞可以被利用的程度，能給用戶造成什么樣的損害，為用戶安全管理決策提供依據(jù)；驗證用戶信息系統(tǒng)防御系統(tǒng)的實戰(zhàn)應急能力，是信息安全對抗的一種實戰(zhàn)演習模擬。

第35頁，課件共51頁，創(chuàng)作于2023年2月滲透測試面臨的尷尬但真實的黑客哪兒能找到？“菜鳥”冒充、說得多做得少效果看不懂，做了還是不知道用戶內心的糾結：上京趕考實處無奈管理者顧慮重重：滲透者可以信任嗎滲透者也在打鼓：無法度量的服務，做多做少成了良心賬第36頁，課件共51頁，創(chuàng)作于2023年2月滲透性測試的目標：宕機：中斷服務或服務能力降級；竊?。焊`取到目標內的特定信息；篡改：修改了目標內的特定信息；控制：建立了遠程控制目標的后門通道；潛伏：成功潛伏在目標內沒有被發(fā)現(xiàn)；

效果才是我們真正的目的第37頁，課件共51頁，創(chuàng)作于2023年2月0級：沒有發(fā)現(xiàn)可利用的漏洞沒有發(fā)現(xiàn)可以利用的漏洞，包括技術漏洞與管理漏洞；發(fā)現(xiàn)了漏洞，但沒有利用成用成功；1級：利用漏洞成功，但滲透獲得權限有限，無法進行深入工作發(fā)現(xiàn)了應用類的漏洞，利用后獲得權限有限，無法獲取系統(tǒng)控制權限；發(fā)現(xiàn)了管理類漏洞，但無法獲得技術上進一步的突破；利用漏洞時，被用戶監(jiān)控系統(tǒng)及時發(fā)現(xiàn)并阻止，無法進一步滲透；獲得部分終端或普通服務器等的權限，但還沒有到達目標系統(tǒng)；2級：進入目標系統(tǒng)，但未完成特定的任務拿到服務器控制權限，但未完成目標任務；進入用戶應用系統(tǒng)，但沒有成功訪問到用戶敏感數(shù)據(jù)區(qū)域；控制了與目標賬戶類似的賬戶，但沒有獲得目標賬戶控制權；拿到目標特定信息，但無法回家(與滲透著建立聯(lián)絡)完成任務；3級：基本完成滲透目標任務獲取目標特定信息，并成功發(fā)送回家；成功修改目標特定信息；成功安裝目標控制后門，可以控制“肉雞”；成功潛伏在目標內，并設置了激活條件；4級：完成滲透任務，并在規(guī)定時間內到達如下要求目標特定信息已經(jīng)成功泄漏，從第三方知道自己的信息泄漏；正常的監(jiān)控狀態(tài)下，發(fā)現(xiàn)目標信息被篡改時，篡改時間超過2小時；發(fā)現(xiàn)目標被遠程作為“肉雞”控制時，滲透者已經(jīng)成功進行一次或多次遠程控制操作，達到既定目標；在規(guī)定滲透服務時間內，潛伏入侵者沒有被發(fā)現(xiàn)；若用戶服務要求潛伏者必須激活動作，激活后被發(fā)現(xiàn)時的已經(jīng)時間超過2小時；滲透性測試效果的分級第38頁，課件共51頁，創(chuàng)作于2023年2月1級(個人)2級(小組)3級(團隊)4級(組織)5級(集團)團隊規(guī)模單兵作戰(zhàn)小組協(xié)作專業(yè)團隊，滲透人員梯隊培養(yǎng)、隊員組合協(xié)作滲透具有專業(yè)后臺支撐團隊，分工細化，具有長遠團隊規(guī)劃大型專業(yè)團隊組織能力無組織松散合作，自由分工職業(yè)團隊，責任明確企業(yè)級，專門人員組織管理大型集團，后備人才基地技術保證能力非正式使用，無正式文檔管理計劃與跟蹤，過程化、文檔化管理充分定義，過程標準化定義量化控制，建立可測量的質量目標連續(xù)改進，改進組織能力與過程標準化滲透攻擊能力抵御資源較少的單個入侵者的入侵抵御擁有一定資源的小型團隊有計劃的入侵抵御擁有豐富資源、有組織的、有針對性的入侵(如APT)抵御大型攻擊組織的組合式入侵無限制漏洞挖掘能力收集最新漏洞信息，收集漏洞利用工具具有一定漏洞挖掘能力，掌握最新漏洞利用工具，工作中可集成、組合滲透工具可獨立研究挖掘系統(tǒng)漏洞的能力，具有開發(fā)利用工具的能力具有獨立的漏洞研究團隊，掌握“0DAY”漏洞及其利用工具無限制滲透性測試者的能力---能力成熟度第39頁，課件共51頁，創(chuàng)作于2023年2月滲透者扮演的角色很關鍵：測試方法針對用戶組織：自由滲透(互聯(lián)網(wǎng)、內網(wǎng))普通用戶內部運維人員管理人員第三方運維人員針對滲透目標對象：門戶網(wǎng)站郵件系統(tǒng)一般業(yè)務主機特定業(yè)務主機特定業(yè)務系統(tǒng)網(wǎng)絡與安全設備網(wǎng)絡基礎服務系統(tǒng)第40頁，課件共51頁，創(chuàng)作于2023年2月滲透性測試的流程步驟合法性很重要第41頁，課件共51頁，創(chuàng)作于2023年2月“善待”滲透性測試者不要試圖了解滲透者的方法，關注結果是目標；充分授權是前提，滲透的目的就是發(fā)現(xiàn)漏洞；不要認為管理性漏洞無所謂，“合理利用”有更強效果；通過滲透提高防御能力，不是追究責任。第42頁，課件共51頁，創(chuàng)作于2023年2月安全意識落實是根本領導重視用戶有意