IT安全如今已不再是保卫(不存在的)边界,而是保护公司的受攻击面。而云、移动性、BYOD(自带设备)以及促进网络架构和操作发生根本性变化的企业计算发展进步等已经让公司的受攻击面发生了极大的变化。
这意味着我们更多的是需要监视防火墙内部发生的事件,而不是哪些外部的东西正企图进来。基于“1000个光点”模型的反攻击理念与“挖护城河和建城堡”的防御模式形成了鲜明的对比。
理论上,这种发展正在加快安全公司成熟的速度,然而这种转型未必能够轻易地实现。不仅威胁情况发生了变化,领导层、技能、工具和所需预算也都在不断地发生着变化。
因此,即便在高级商店中,基于边界的防御实践仍然停滞不前。以错误想法或错误理念为基础的实践如果任其发展将会妨碍快速检测和响应。下面让我们看一下其中的一些典型错误:
对防渗透过于迷信 。解决方案:调整至“已经有受到了威胁的”心态。APT(高级持续性威胁)变得比以往更加厉害,现在已经不再是你的网络是否被攻击的问题,而是何时发生网络攻击的问题。我们应当相应地提升安全防护能力。与此同时,我们不应再将重点放在阻止渗透上,而是应当将重点放在对抗措施上,让这些对抗措施进入到你的网络当中。好消息是我们拥有一个优势,大多数损失都发生在被渗透后的数个月内。为了规避探测,更好的理解公司行为,制作出可安全抵达真正目标的路线图,黑客都倾向于使用“低强度慢速度”技术,每天只执行少量操作。
接受简单的解释 。解决方案:进一步深挖根源。安全事件不能归因为错误或事故。所有的证据都应当被仔细分析,恶意意图必须要被考虑在内。由于你的安全团队并不知道所有的对抗措施,在某种意义上他们处于劣势。对于你的团队来说,关键是要认真调查他们所看到的一切,以揭示其它一些不为人知的或是未被检测到的相关要素。安全团队必须一直假设他们只看到了拼图的一半,要努力找到拼图的其它剩余部分。
力求快速补救 。解决方案:利用已知的情况。与尽可能地快速补救孤立的事件相反,安全团队应当认真监视已知的情况,力争搞清楚这些事件与环境中的其它要素之间的联系,力求发现未知的情况。例如,某个程序的IP地址与已发现的恶意程序的IP地址相同,那么我们就可认定这个程序为一个之前未掌握的恶意程序。此外,当我们发现黑客所使用的工具很容易被检测到,我们必须要考虑到黑客可能是故意使用这种工具,以此来分散和浪费防御者的精力。
将重点放在恶意软件上 。解决方案:将重点放在整个攻击行为上。虽然检测恶意软件非常重要,但是将重点放在检测单个端点上的孤立行为的解决方案将无法应对复杂的黑客攻击。我们应当部署一个整体性的防御措施。利用自动化,尤其是分析和威胁情报,来查清楚整个恶意攻击行动的来龙去脉,而不仅仅是局限在代码上。注意,你的对手是人,恶意软件只是他们手中最强大的工具之一,在他们的工具箱里还有许多这样的工具。
花大量精力调查虚警 。解决方案:让调查实现自动化。由于许多安全解决方案都会产生大量零散的警报(许多是虚警),安全团队可能会花上大量的时间人工调查和验证解决方案所发现的警报。这一漫长的过程可能会严重影响安全团队解决真正问题,即是否受到了网络攻击。适当地使用自动化可以大幅提升工作效率,缩短检测与响应时间,降低在攻击中所蒙受的损失。如果预算妨碍了在这一流程中实现自动化,那么我们应当量化一下对自动化的投资价值,然后要求公司提供相应的资金。
与IT的许多领域一样,网络攻击检测即是一门艺术,也是一门科学。优秀分析师与普通分析师最大的不同之处是他的思维方式。避开这些错误思想不仅可让安全团队在进行检测时更具战略眼光,同时还可让他们更好地利用手中的资源。
网络攻击 病毒 具体如何防范
一般这种情况,只要你定期更新了系统补丁,这些所谓的“攻击”一般是不会造成任何威胁的。 个人认为防火墙程序的这种提示也是一种变相的“广告”而已--你看我多么地有用啊,功能多强大!网络上有这么多的攻击,我都替你拦截了,用我是没有错的!--要真有了攻击,它告诉你没有拦截住,你还会用它吗?计算机病毒具有自我复制和传播的特点,传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播。 首先,我们来看看网络传播的途径和解决方案。 一、因特网传播:Internet既方便又快捷,不仅提高人们的工作效率,而且降低运作成本,逐步被人们所接受并得到广泛的使用。 商务来往的电子邮件,还有浏览网页、下载软件、即时通讯软件、网络游戏等等,都是通过互联网这一媒介进行。 如此频繁的使用率,注定备受病毒的“青睐”。 二、通过电子邮件传播:在电脑和网络日益普及的今天,商务联通更多使用电子邮件传递,病毒也随之找到了载体,最常见的是通过Internet交换Word格式的文档。 由于Internet使用的广泛,其传播速度相当神速。 电子邮件携带病毒、木马及其他恶意程序,会导致收件者的计算机被黑客入侵。 email协议的新闻组、文件服务器、FTP下载和BBS文件区也是病毒传播的主要形式。 经常有病毒制造者上传带毒文件到FTP和BBS上,通常是使用群发到不同组,很多病毒伪装成一些软件的新版本,甚至是杀毒软件。 很多病毒流行都是依靠这种方式同时使上千台计算机染毒。 BBS是由计算机爱好者自发组织的通讯站点,因为上站容易、投资少,因此深受大众用户的喜爱,用户可以在BBS上进行文件交换(包括自由软件、游戏、自编程序)。 由于BBS站一般没有严格的安全管理,亦无任何限制,这样就给一些病毒程序编写者提供了传播病毒的场所。 各城市BBS站间通过中心站间进行传送,传播面较广。 随着BBS在国内的普及,给病毒的传播又增加了新的介质。 三、通过浏览网页和下载软件传播:很多网友都遇到过这样的情况,在浏览过某网页之后,IE标题便被修改了,并且每次打开IE都被迫登陆某一固定网站,有的还被禁止恢复还原,这便是恶意代码在作怪。 当你的IE被修改,注册表不能打开了,开机后IE疯狂地打开窗口,被强制安装了一些不想安装的软件,甚至可能当你访问了某个网页时,而自己的硬盘却被格式化……那么很不幸,你肯定是中了恶意网站或恶意软件的毒了。 四、通过即时通讯软件传播:即时通讯(Instant Messenger,简称IM)软件可以说是目前我国上网用户使用率最高的软件,它已经从原来纯娱乐休闲工具变成生活工作的必备利器。 由于用户数量众多,再加上即时通讯软件本身的安全缺陷,例如内建有联系人清单,使得病毒可以方便地获取传播目标,这些特性都能被病毒利用来传播自身,导致其成为病毒的攻击目标。 事实上,臭名昭著、造成上百亿美元损失的求职信()病毒就是第一个可以通过ICQ进行传播的恶性蠕虫,它可以遍历本地ICQ中的联络人清单来传播自身。 而更多的对即时通讯软件形成安全隐患的病毒还正在陆续发现中,并有愈演愈烈的态势。 截至目前,通过QQ来进行传播的病毒已达上百种。 五、通过网络游戏传播:网络游戏已经成为目前网络活动的主体之一,更多的人选择进入游戏来缓解生活的压力,实现自我价值,可以说,网络游戏已经成了一部分人生活中不可或缺的东西。 对于游戏玩家来说,网络游戏中最重要的就是装备、道具这类虚拟物品了,这类虚拟物品会随着时间的积累而成为一种有真实价值的东西,因此出现了针对这些虚拟物品的交易,从而出现了偷盗虚拟物品的现象。 一些用户要想非法得到用户的虚拟物品,就必须得到用户的游戏帐号信息,因此,目前网络游戏的安全问题主要就是游戏盗号问题。 由于网络游戏要通过电脑并连接到网络上才能运行,偷盗玩家游戏账号、密码最行之有效的武器莫过于特洛伊木马(Trojan horse),专门偷窃网游账号和密码的木马也层出不穷,这种攻击性武器无论是菜鸟级的黑客,还是研究网络安全的高手,都视为最爱。 以上答案来自互连网
网络安全漏洞及解决方案都有哪些
1、TCP数据包问题:在特定版本的IOS中,存在内存泄漏漏洞,可导致DOS工具,美国CERT的一份安全警报如此写道。 2、IPv6路由数据帧头缺陷:IOS可能不能正确的处理IPv6(互联网协议第六版)数据包的特定格式的路由数据头,可能导致一个DOS攻击或者运行任何恶意代码。 IPv6是一套可以让我们在互联网上获得更多IP地址一套规范。 3、欺骗性的IP选项漏洞:这是一个IOS在处理具有特定的欺骗性的IP选项的IPv4数据包的时候存在的安全漏洞,据CERT说,它也可以导致DOS攻击或运行任意恶毒代码。 CERT表示,所有三个漏洞都可能导致设备重新加载它的操作系统。 这情况下,一种间接的持续性的DOS情况就有可能发生,因为数据包已经不能通过该设备了。 据CERT表示,由于运行IOS的设备可能要针对许多其他的网络来转发数据,因此这种拒绝服务攻击的间接影响所带来的后果可能是 非常严重的。 据思科公司在其安全公告中表示,公司已经发布了针对这些漏洞的补丁软件。 据思科公司补充道:它目前还不未得知有利用这些漏洞的攻击出现。 不过,据IBM公司互联网安全系统的安全战略主管奥尔曼表示,由于这些漏洞的严重性,用户需要尽快安装补丁软件。 据他表示,从他们的监测来看,有许多黑客正在试图利用这些漏洞。 建议使用金山清理专家或360安全卫士,扫描电脑上的漏洞,并修复。
ARP攻击,怎么办?
按以下顺序删除病毒组件1) 删除 ”病毒组件释放者”%windows%\SYSTEM32\2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)%windows%\System32\drivers\. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”b. 在设备树结构中,打开”非即插即用….”c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.e. 重启windows系统,f. 删除%windows%\System32\drivers\3) 删除 ”命令驱动程序发ARP欺骗包的控制者”%windows%\System32\2. 删除以下”病毒的假驱动程序”的注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf三、定位ARP攻击源头和防御方法1.定位ARP攻击源头主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。 定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。 标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。 这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。 被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。 也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。 使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。 命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。 输出结果第一列是IP地址,最后一列是MAC地址。 NBTSCAN的使用范例:假设查找一台MAC地址为“000d870d585f”的病毒主机。 1)将压缩包中的 和解压缩放到c:下。 2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。 3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。 通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。 2.防御方法a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。 b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。 此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。 c.在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。
发表评论