安全必知-基础
网络安全,强调的是计算环境(网络空间)的安全,从而最终保障计算对象(数据)的安全。强调信息及信息系统的保密性、完整性、可用性
安全必知系列
一、入门简介
主机安全
介绍: 保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。
常见安全风险: 木马查杀、密码破解、本地提权、漏洞管理
网络安全(网络安全法 - 基础性的法律框架 - 2017 年 6 月 1 日)
介绍: 网络安全机制是一组策略、流程和技术,旨在保护公司的网络数据和基础架构免遭未经授权的访问和损害。网络数据和基础架构面临的常见威胁包括黑客攻击、恶意软件和病毒,这些威胁都有可能企图访问、修改和破坏网络。因此,控制访问以及防止这些威胁进入网络并在网络中传播,是网络安全方面的一个重要优先事项。
常见安全风险: 漏洞利用、代码注入攻击、命令注入攻击
应用安全
介绍: 应用安全是应用级别的安全措施,旨在保护应用内的数据或代码免遭窃取和劫持。它涵盖了在应用开发和设计期间发生的安全注意事项,还涉及在应用部署后对其加以保护的系统和方法。包含着开发安全,指开发安全功能并将之加在应用中进行测试,以防止安全漏洞遭受未经授权的访问和修改等威胁的过程。
常见安全风险: 漏洞利用、代码注入攻击、命令注入攻击
数据安全(数据安全法 - 2021 年 9 月 1 日)
介绍: 通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
常见安全风险: 物理损坏(自然灾害)、病毒、人为失误
终端安全
介绍: 终端安全(endpoint security)是一种网络防护方法,它需要企业网络上每个计算设备得到网络访问许可前遵从特定标准。终端可能包括 PC、笔记本、智能手机、平板电脑(tablet)和专用设备,如条形码扫描器(bar code reader)或 POS 终端。
常见安全风险: 病毒、漏洞、信息泄密、非法接入
邮件安全
介绍: 电子邮件安全是指电子邮件遭到攻击者获取或篡改邮件、病毒邮件、垃圾邮件、邮件炸弹等都严重危及电子邮件的正常使用,甚至对计算机及网络造成严重的破坏。
常见安全风险: 漏洞、钓鱼邮件、垃圾邮件
安全风险所造成的后果
业务被中断:数据库、文件被篡改或删除,导致服务无法访问,系统瘫痪。
数据被窃取:黑客窃取企业数据后公开售卖,客户隐私数据被泄漏,造成企业品牌受损和客户流失。
被加密勒索:黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密,对企业进行金钱勒索。
服务不稳定:黑客在服务器中运行挖矿程序,并通过 DDoS 木马程序获取经济利益,消耗大量的系统资源,导致服务器不能提供正常服务。
二、厂商
国内
深信服:专注于企业级安全、云计算及 IT 基础设施的产品和服务供应商
主营产品:下一代防火墙;上网行为管理;SSL VPN 网关;超融合一体机;安全感知系列;等保一体机;EDR;
奇安信:专门为政府、企业,教育、金融等机构和组织提供企业级网络安全技术、产品和服务
主营产品:入侵防御系统;SSL VPN 安全网关;防火墙;网闸;WAF
天融信:为各行业客户提供物理环境和云环境下的网络安全、大数据和云服务相关产品、服务以及综合解决方案,覆盖基础网络、工业互联网、物联网、车联网等业务场景
主营产品:Web 安全、数据 / 数据库安全、安全 / 防病毒网关、入侵防御、抗 DDoS
启明星辰:国内具有实力的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商
主营产品:安全网关、入侵防御、抗 DDoS、漏洞扫描、安全审计、安全管理平台、数据安全、终端管理及防病毒
安恒信息:国家级高新技术企业,网络与信息安全产品和服务提供商
主营产品:Web 应用安全、Web 防火墙、数据库运维审计、安全网关、等保检查、网站安全监测,APT 攻击防护
绿盟科技:提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。
主营产品:抗 DDoS、防火墙、入侵防御、Web 安全、威胁分析、漏洞扫描
山石网科:专注于网络安全领域前沿技术的创新,提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务。
主营产品:下一代防火墙、Web 应用防火墙、入侵防御、安全管理、安全审计、虚拟化云安全
附:
国外
Palo Alto Networks
产品类别:下一代防火墙、UEBA、云安全、端点保护、威胁检测与预防、应用框架
Fortinet
产品类别:网络防火墙、防病毒、入侵防御、网络访问控制 (NAC)、Web 应用程序防火墙和端点安全。
Cisco
网络安全产品类别:下一代防火墙、下一代入侵防御、CASB、网络网关、NAC、高级恶意软件防护、电子邮件安全、端点安全、安全管理、VPN、安全服务
IBM
网络安全产品类别:安全分析、服务、补丁管理、加密、SIEM、安全编排、移动安全、欺诈保护、网络安全、数据保护、威胁情报、应用程序安全、端点保护、身份和访问管理、身份验证、数据库安全、大型机安全
Check Point
网络安全产品类别:高级威胁防御、下一代防火墙、UTM、加密、安全网关设备、端点保护、远程访问、云安全、移动安全、零信任、事件响应
Trend Micro
网络安全产品类别:混合云安全、入侵防御、高级威胁防护、加密、端点安全、电子邮件安全、Web 安全、SaaS 安全、物联网安全、威胁情报
McAfee Enterprise
网络安全产品类别:消费者防病毒和隐私保护、身份盗窃预防、IDPS、网络网关、移动安全、企业云安全、数据保护、加密、端点安全、网络安全、安全管理、服务器安全、安全分析、SIEM、 咨询、数据库安全
Sophos
网络安全产品类别: 防火墙、统一威胁管理、安全 Web 网关、安全电子邮件网关、安全管理、反网络钓鱼、端点保护、移动安全、加密、服务器安全、消费者防病毒和 Web 过滤
Splunk
网络安全产品类别:安全分析、SIEM、用户行为分析(UEBA)、勒索软件预防、安全自动化
附:
三、产品
基础安全
防火墙 (FW、NGFW)
防火墙是位于内网与外网之间的屏障,按照安全人员预先定义好的规则来控制数据包的进出,可以说防火墙是企业系统的第一道防线。 下一代防火墙 (NGFW) 的主要发展趋势是基于行为分析技术,帮助客户发现未知网络威胁,能够在攻击的全过程提供防护和检测,帮助客户有效抵御 APT、DDoS、变种恶意软件攻击,全面降低网络风险。
上网行为管理 (AC)
上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 上网行为管理产品及技术可用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏;上网行为管理可以挖掘和整合企业网络资源,并可实时监控、管理网络资源使用情况,提高整体工作效率。
入侵检测与防御 (IDS/IPS)
入侵检测系统(IDS)和入侵防御系统(IPS),这两者均是网络安全的重要机制。
入侵检测系统(IDS)是一种通过实时监控网络流量来定位和识别恶意流量的软件。在网络系统中,IDS 所处的位置是一个非常关键的设计因素,IDS 一般会部署在防火墙之后,但我们还应该在充分了解网络数据流和整体网络架构之后再去考虑 IDS 的部署位置。除此之外,为了进一步提升网络的整体安全性,我们还建议可以部署多个 IDS。常用的入侵检测方法如下:
特征型入侵检测: 又称误用检测,指利用已知恶意行为和已知系统和应用软件的弱点攻击模式来检测入侵。传统的特征型入侵检测技术主要包括基于专家系统的攻击检测技术和基于模型推理的攻击检测技术。
异常型入侵检测: 根据异常行为和使用计算机资源情况来检测入侵。传统的异常型入侵检测技术分为基于统计方法的攻击检测技术和基于神经网络的攻击检测技术这两种。
不过,当攻击发生时,入侵检测系统只能发出警报,它并不能防止攻击的发生。而入侵防御系统(IPS)却能有效地阻止攻击行为的发生,因为所有的网络流量在达到目标服务器之前,都需要流经 IPS。所以在没有得到允许的情况下,恶意软件是无法触及服务器的。
准入控制(NAC)
网络授权准入控制(Network Admission Control,NAC)是网络信息系统安全管理的一种 IT 技术方式之一,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助 NAC,能够在用户访问网络之前,确保用户的身份是信任关系,可以只允许合法的、值得信任的终端设备(例如 PC、服务器、PDA)接入网络,而不允许其它设备接入。 在企业中,通常网络已拥有终端和网络接入设备。只需要再部署策略 / AAA 服务器。 通常有 4 种准入控制:802.1x 准入控制;DHCP 准入控制;网关型准入控制;MVG 准入控制;ARP 型准入控制。
VPN
VPN(Virtual Private Network),即虚拟专用网络。国内应用最为广泛的 VPN 技术有两类:一类是网络层的 IPSec VPN,一类是应用层的和 SSL VPN。前者工作在网络层,实现数据端到端的安全传输,后者工作在应用层,提供颗粒度的应用访问控制,更适合于移动、单点用户的远程接入。 当设备连接到 VPN 时,流入和流出设备的所有流量都会被加密。顶级 VPN 提供商使用的加密通常是 256 位 AES,堪比军用级加密。使用 VPN 可以防止中间人(MITM)攻击和各种窥探行为
网络隔离
网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备,部署于两个或多个安全域之间,在安全隔离的基础上实现实时的、高性能的信息交换。
网闸与防火墙的区别在于:防火墙是在保障互联互通的前提下,尽可能安全;网闸是在保证必须安全的前提下,尽可能互联互通。
主机安全
主机安全一般指检测主机上是否存在安全漏洞、是否发生黑客入侵行为、是否有外来攻击以及后门木马等情况。目的在于保护主机在数据存储方面的保密性、完整性以及可用性,包括硬件、软件、固件的安全以及一系列附加的安全措施。
EDR & 终端防病毒
EDR 的重点不在于阻止漏洞利用和恶意软件,而在于监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。合格 EDR 解决方案应具备四大基本功能: 安全事件检测、安全事件调查、遏制安全事件以及将端点修复至感染前的状态。EDR 工具通过记录大量终端与网络事件, 并将这些数据存储在终端本地或者集云端数据库中, 对这些数据进行 IOC 比对、行为分析和机器学*, 用以持续对这些数据进行分析, 识别威胁, 并快速进行响应,能够在现有基础上为企业提供深层次、细化的端点数据。
业务与应用安全
WAF
*年来,针对 Web 应用的攻击已成为企业面临的主要安全问题之一。网络安全攻击有 75% 都是发生在 Web 应用层上,约 2/3 的 Web 站点都相当脆弱,易受攻击。攻击类型包括 SQL 注入、XSS 攻击、CSRF 攻击、恶意爬虫、扫描器、远程文件包含,以及针对 Web 服务器软件漏洞和插件漏洞的攻击。
WAF(Web Application Firewall,即 Web 应用防火墙),通过定制的安全策略来检测、过滤或阻断 HTTP/HTTPS 流量,提供 Web 协议的解析和过滤、Web 攻击防护以及 Web 应用漏洞防护,保护 Web 应用远离攻击。
邮件安全 跟传统的信息传输模式相比,电子邮件具有很强的时效性、便捷性,然而随着电子邮件在社会的广泛应用,随之而来的安全保密 问题日渐突出,鱼叉式钓鱼、机密泄漏、信息篡改、假冒地址、垃圾邮件等令人烦恼不堪,相应的安全保密防护需求越来越迫切。
一般来说,根据攻击的针对性不同,我们大致可以将针对邮箱的攻击事件分为如下表中的几个层次:垃圾邮件、个人攻击、商业欺诈和 APT(Advanced Persistent Threat, 高级持续性威胁)攻击。
网页防篡改 网页被篡改已经成为常见的网站服务器安全事件,黑客、病毒等通过对 Web 站点目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏,严重危害网站安全。
传统的数字水印技术已经向多因子检测技术发展,多因子检测技术包括文件驱动、内核事件触发、核心内嵌等技术,可解决网站被黑客篡改的危险。
身份与访问安全
堡垒机
堡垒机指在特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。
主流堡垒机一般分为网关型堡垒机和运维审计型堡垒机两种类型,从实现的形态来说,一般包含开源堡垒机、内部自研堡垒机、传统软硬件堡垒机和云堡垒机四种。 堡垒机的主要功能就是单点访问控制,不仅可以集中管理并分配账号,更重要的是能对操作人进行权限控制与审计,确保运维的安全合规,保障运维人员的最小化权限管理。
SSO
SSO(Single Sign On,单点登录)也是目前较为流行的企业业务整合解决方案。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
数据安全
加密机
目前,国内密码市场以硬件形式为主。其中,企业数据加解密类别中又以加密机为主。加密机是通过国家商用密码主管部门鉴定并批准使用的主机加密设备。
简单来说,企业解决用户消费或登录时的密码验证,多采用加密机来进行处理。加密机内部写入了一些算法,如 DES、RSA 等。
加密机在全国大多数商业银行,城市一卡通系统、公交卡系统、社保卡系统、加油卡系统,金融 IC 卡系统、电子联行系统、综合业务系统、信用卡系统、银证转帐系统、企业银行系统、网上证券交易系统都有应用。
数据防泄露(DLP)
数据泄露防护(Data Leakage Prevention,DLP),通过内容识别扩展到对数据的防控,最终形成具备智能发现、智能加密、智能管控、智能审计功能的一整套数据泄露防护方案,其核心是动态的应用数据处理策略,对象包括各种信息。
容灾备份
容灾备份实际上是两个概念,容灾是为了在遭遇灾害时能保证信息系统能正常运行,帮助企业实现业务连续性的目标,备份是为了应对灾难来临时造成的数据丢失问题。这原本需要两个独立的系统,而容灾备份一体化解决方案出来之后迅速占据主流。
在建立容灾备份系统时会涉及到多种技术,如: SAN 或 NAS 技术、远程镜像技术、基于 IP 的 SAN 的互连技术、快照技术等。
数据库安全
数据库系统的安全特性主要也是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制和故障恢复等几个方面。而数据库系统的安全除了依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关。因此,数据库系统的安全也可以分为:网络系统层次安全、操作系统层次安全和数据库管理系统层次安全。
从技术层面来说,数据库安全包括:数据库加密技术、存取管理技术、安全审计技术以及备份与恢复技术。
安全运营与服务
安全运营中心 (SOC)
SOC, 即 Security Operations Center,我们一般称之为安全运营中心,主要是负责企业的入侵检测,应急响应,以及安全监控等,通常我们会笼统地概括成两个方面即 Blue Team (Defensive Security) 和 Red Team (Offensive Security)
态势感知
态势感知的概念最早在军事领域被提出,覆盖感知、理解和预测三个层次。并随着网络的兴起而升级为 “网络态势感知(Cyberspace Situation Awareness,CSA)”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最*发展趋势的顺延性预测,进而进行决策与行动。 网络安全态势是指整个网络当前状态和变化趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。以商业银行网络安全态势感知体系为例,包括如下四个部分: 态势察觉: 主动探测 + 被动监听采集实现多维度多层次数据源收集; 态势理解和评估: 对数据源进行预处理、数据融合并进行多层次多维度的态势评估; 态势预测: 运用数据分析模型实现态势预测,并通过可视化技术集中呈现,提供决策数据,指导安全防御体系的敏捷调整和持续运营; 安全决策: 高层领导、部门领导、安全经理和运维人员在内的四层网络安全态势管理模式。
SIEM
SIEM,全称为 Security Information and Event Management Software,即安全信息和事件管理软件。它可以帮助我们提取、分析和管理那些来自文本文件的信息,并在不需要任何人工交互的情况下对数据进行动态标记和报警,这将帮助我们预先收到已知威胁的安全警报。 SIEM 将许多其他安全规程和工具结合在一个综合的框架下: 日志管理 (LMS)⸺用于传统日志收集和存储的工具。 安全信息管理 (SIM)⸺集中于从多个数据源收集和管理与安全相关的数据的工具或系统。例如,这些数据源可以是防火墙、DNS 服务器、路由器和防病毒应用程序。 安全事件管理 (SEM)⸺基于主动监视和分析的系统,包括数据可视化、事件相关性和警报。
ATT&CK
MITRE's ATT&CK 矩阵,是一个用于分析网络入侵者的战术和技术的知识库,它可以用于了解和分析攻击者所有当前已知的攻击技术和行为,以便于规划安全性改进以及验证防御体系是否正常工作。通俗地说,这其实就类似于对攻击者进行画像,再利用这个入侵分析矩阵来全面了解我们的攻击者从而帮我们来设计和改进我们的防御体系。
漏洞检测
漏洞检测是一种重要的网络安全技术,通过对网站中漏洞的扫描与攻击模拟,及时发现潜在的危险漏洞,根据漏洞危险程度进行风险评估,及时进行 漏洞的修复,在黑客发现并对网站进行攻击之前,完成修复工作,防患于未然。
漏洞管理
漏洞管理 (VM) 是每个全面信息安全项目的必备基础,不是什么可选项。事实上,很多信息安全合规、审计及风险管理框架都要求公司企业拥有并维护好漏洞管理项目。 漏洞管理过程是一项持续的信息安全风险事业,需要多方面的管理督导。漏洞管理主要由 4 个高级过程组成:发现、报告、风险定级及响应。漏洞管理框架中,每个过程和子过程都是着重改善安全和减少网络资产风险的持续周期的一部分。
攻防演练
攻防演练即企业在一定的规则下,通过多种手段攻击企业关键信息资产,尝试获取服务器的权限。通常思路是利用入侵成功的外网服务器或者办公终端作为跳板,通过尝试安装后控制目标,最终攻击内网的关键服务器获取敏感数据,而安全防护主要是在了解攻击思路的基础上进行的安全防护操作。
渗透测试
透测试则是以安全为基本原则,通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全。以一个攻击者的角色去对系统的弱点、技术缺陷或漏洞进行主动分析及利用,简而言之则是走 “攻击者” 的路,让 “攻击者” 无路可走。其目的是让企业了解入侵者可能利用的途径及系统、网络的安全强度,提前规避潜在的风险。
威胁情报
目前来说,最被大众所接受是《安全威胁情报服务市场指南》中对威胁情报的定义:威胁情报是关于 IT 或信息资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。
网络空间资产绘测
当下网络空间治理的一大重点在于高效管理网络空间、发现和识别网络空间基础设施、合理分配资源并进行安全检测防护,而 “网络空间测绘” 技术应运而生,其意义正是在于“看得清、防得住” 。
蜜罐
网络欺骗的核心概念最早由普渡大学 GeneᅠSpafford 于 1989 年提出,而 “欺骗防御” 一词,是*两年才出现的术语,简单来说,是一种通过工具诱骗攻击者,令安全人员得以观察攻击者行为的新兴网络防御战术。
通过诱骗攻击者和恶意应用暴露自身,以便研究人员能够设计出有效的防护措施。蜜罐便是专门为诱捕攻击者而设置的脆弱系统,其具备真实网络的所有特征,包括真正的数据和设备、能够诱使攻击者盗取有价值数据或进一步探测目标网络的主机等。
蜜罐(欺骗防御系统)一般部署于业务内部,应对的不是攻击或漏洞,而是关注攻击者本身,从而打乱攻击节奏,增加攻击复杂度,给企业更多响应时间。同时,还有可能对攻击者进行分析溯源,以预防未来更多的攻击。
恶意软件检测(沙箱)
沙箱(sandbox),是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。
附:
四、攻击类型 (OWASP top10)
代码执行:远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。
SQL 注入(SQLi):发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入 SQL 指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的 SQL 指令而执行,因此遭到破坏或是入侵。
跨站点脚本(XSS):攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。当被攻击者登陆网站时就会自动运行这些恶意代码,从而,攻击者可以突破网站的访问权限,冒充受害者
暴力破解:又称为穷举攻击(英语:Exhaustive attack)或蛮力攻击,是一种密码分析的方法,即将密码逐个推算直到找出真正的密码为止。
拒绝服务(DDoS)攻击:拒绝服务攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
网络钓鱼:钓鱼式攻击是一种企图从电子通信中,透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
零日 (0day) 攻击:零日漏洞通常是指还没有补丁的安全漏洞,而零日攻击或零时差攻击则是指利用这种漏洞进行的攻击。零日漏洞的利用程序对网络安全具有巨大威胁
路径(目录)遍历:一种利用网站的安全验证缺陷或用户请求验证缺陷(如传递特定字符串至文件应用程序接口)来列出服务器目录的漏洞利用方式。
中间人攻击:在密码学和计算机安全领域中是指攻击者与通讯的两端分别建立独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。
模糊测试:一种软件测试技术。其核心思想是将自动或半自动生成的随机数据输入到一个程序中,并监视程序异常。模糊测试常常用于检测软件或计算机系统的安全漏洞。
附:
五、常见术语
僵尸网络
僵尸网络是可以远程控制受害者的系统并分发恶意软件,是黑客发起各种攻击的重要入口。如:网络犯罪分子利用命令和控制服务器控制僵尸网络并执行 DDoS 等网络攻击。
勒索软件
勒索软件是一种恶意软件,可以访问文件或系统,并阻止用户访问这些文件或系统。物联网病毒不仅可以锁定某些文件,还可以锁定并获得对许多硬件设备甚至网络的完全控制,如可能导致工业生产线停摆,造成巨大的损失。此时,黑客会要求更多的赎金。
社会工程学
在物联网设备的情况下,社交工程攻击者甚至不用深思熟虑开发钓鱼邮件。因为,许多物联网设备收集了大量个人身份信息 (PII)。攻击者可以通过访问 PII 来获取机密信息,如银行详细信息、购买历史记录和家庭地址。这些信息可以让网络犯罪分子利用易受攻击的物联网网络,针对用户及其家人和朋友实施高级社交工程攻击。
中间人攻击(MITM)
中间人攻击(简称 “MITM 攻击”)是一种“间接” 的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。利用 MITM,攻击者可以拦截多个物联网设备之间的通信,并导致严重故障。
数据盗窃
目前许多生活硬件都被物联网化,如智能家居、智能可穿戴产品等,这些设备会收集大量的个人私密信息。通过收集这些数据,攻击者可以执行更复杂和更详细的身份盗窃。攻击者还可以利用连接到其他设备或企业系统的物联网设备中的漏洞。
WebShell
WebShell 就是以 ASP、 PHP、 JSP 或者 CGI 等网页文件形式的一种命令执行环境,也可以将其称做是一种网页后门。黑客在侵入了一个网站后,通常会将这些 ASP 或 PHP 后门文件与网站服务器 Web 目录下正常的网页文件混在一起,之后就可以使用浏览器来访问这些 ASP 或者 PHP 后门,得到命令执行环境,以达到控制网站服务器的目的。可以上传下载文件、查看数据库、执行任意程序命令等。
蠕虫病毒
蠕虫病毒类似于脚步程序,它利用了 Windows 的开放性特点,即一个脚本程序能调用功能更大的组件来完成自己的功能。以 VB 脚本病毒为例,是把 VBS 脚本文件加在附件中,使用 *.HTM、 VBS 等欺骗性文件名来破坏系统。蠕虫病毒的主要特性有自我赋值能力、很强的传播性、潜伏性、特定的触发性及很大的破坏性。
远程命令执行漏洞
由于系统设计实现上存在的漏洞,攻击者可能通过发送特定的请求或数据导致在受影响的系统上执行攻击者指定的任意命令。
0day 漏洞
0day 漏洞最早的破解是专门针对软件的,叫做 WAREZ,后来才发展到游戏,音乐,影视等其他内容的。 0day 中的 0 表示 Zero,早期的 0day 表示在软件发行后的 24 小时内就出现破解版本。在网络攻防的语境下, 0day 漏洞指那些已经被攻击者发现掌握并开始利用,但还没有被包括受影响软件厂商在内的公众所知的漏洞,这类漏洞对攻击者来说有完全的信息优势,由于没有漏洞的对应的补丁或临时解决方案,防守方不知道如何防御,攻击者可以达成最大可能的威胁。
攻击载荷
攻击载荷(Payload)是系统被攻陷后执行的多阶段恶意代码。通常攻击载荷附加于漏洞攻击模块之上,随漏洞攻击一起分发,并可能通过网络获取更多的组件。
洪水攻击
是黑客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的。从定义上说,攻击者对网络资源发送过量数据时就发生了洪水攻击,这个网络资源可以是 router, switch, host, application 等。洪水攻击将攻击流量比作成洪水,只要攻击流量足够大,就可以将防御手段打穿。DDoS 攻击便是洪水攻击的一种。
S**QL 注入**
注入攻击最常见的形式,主要是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询或其他操作,导致数据库信息泄露或非授权操作数据表。
红队
通常指攻防演*中的攻击队伍。
蓝队
通常指攻防演*中的防守队伍。
紫队
攻防演*中新*诞生的一方,通常指监理方或者裁判方
附:
产品简介,术语简介,攻击简介详细信息可参考以下附件
六、法律法规
本文来自博客园,作者:游走De提莫,转载请注明原文链接:https://www.cnblogs.com/Gaimo/p/16097764.html
