课题A:调试常见的安全问题
访问控制问题
访问控制问题通常被分类为访问不够或访问过多。
| 问题 | 描述 | 测试策略 |
|---|---|---|
| 认证问题 | 认证机制没有对正确的用户进行认证,或者完全失去功能 | 检查支持有线和无线网络认证机制的配置更改。确保认证服务器连接到网络并且可以与其他资源进行通讯。确保用户被赋予了何时的访问权限,并/或他们放在适合的访问组中。检查认证机制接受的证书与用户提供的证书是否一致。 |
| 权限问题 | 用户要么没有何时的权限来完成他们的工作,要么拥有比需求更多的权限。 | 检查支持有线和无线网络的授权机制的配置更改。确保用户位于能提供合适级别读/写访问权限的适当组中。确保资源对象支持其主体的相关权限。用户权限的设计需要遵守最小特权原则。 |
| 访问冲突 | 用户正在访问未被授权访问的资源。 | 确保用户和组未被授予不应当拥有的资源访问权限。检查目录结构中位置或可以的账户。禁用不在使用的账户,尤其是那些与不在组织工作的人员绑定更多账户。检查账户的权限是否超出预期水平。 |
加密问题
加密问题可能会严重影响数据的机密性,完整性和真实性。一些需要注意的加密问题包括以下内容。
| 问题 | 描述 | 调试策略 |
|---|---|---|
| 未加密的证书 | 通过网络发送的证书未经加密,或者以明文形式存储。 | 确保你正在使用SSH等安全远程协议。确保你正在使用SSL/TLS来保护基于Web的通讯。确保用户知道不能将密码存储在未加密的文本,电子表格或数据库文件中。确保你开发的任何自定义应用程序采用加密技术来处理静态数据,传输中的数据和正在使用的数据。 |
| 证书问题 | 数字证书无效,不安全或无法使用。 | 检查证书是否过期。在手动撤销任何证书的情形中,确保你从CA中接受了CRL。确保你颁发的或未你颁发的任何证书都使用了强大的算法。检查服务器和客户端上是否都安装了相关证书链。 |
| 密钥管理问题 | 加密密钥无法被授权人员访问,或可以被未经授权的人员访问, | 确保你的密钥管理程序包含了人员任职和授权的既定规则。确保私钥没有存储在攻击者可以获取其虚拟或物理访问权限的位置上。确保将私钥备份到可移动介质,以防系统发生故障。 |
数据外泄
数据外泄(Data exfiltration)是攻击者获取了存储在私有网络内部的数据并将其移至外部网络的过程。因此受害者不再能够完全控制数据。在很多情况下,攻击者会将数据复制到自己的机器上并原封不动的保留原始数据集合。如果攻击者想要知道或公开组织的秘密,那么他们不会费心去销毁数据或将其扣为抵押。如果攻击者想要勒索组织或损害其业务运营,那么他们可能会考虑采取这些额外的措施。
数据外泄与数据丢失和数据泄露的概念密切相关,因此,你可以利用的一种重要调试策略就是配置并维护一个数据丢失/泄露预防(DLP)解决方案。在某些情况下,这可能还不够,防止数据外泄的其他策略可能还包括:
- 确保所有敏感数据在闲置时都进行了加密。如果数据在网络外部进行传输,对于没有破解密钥的攻击者来说,这些数据通常是无用的。
- 为可能成为销毁或勒索目标的数据创建并维护异地备份。
- 确保存储或传输敏感数据的系统正在实施访问控制。
- 检查访问控制机制是否授予某些账户过多的权限。
- 限制攻击者将数据从网络传输到外部时可利用的网络通道类型。
- 断开存储存档数据系统的网络连接。
事件日志中的异常
查看时间日志是任何安全评估体系结构中的重要组织部分。时间日志记录的行为与预期行为存在差异可能暗示了各种不同内容,从轻微的安全违规到重大的安全事件。异常条目可能包括:
- 多次连续的认证失败。虽然合法用户可能会忘记密码,但这也可能表示了未经授权用户的破解密码尝试。
- 系统配置不按计划的更改。攻击者可能会尝试调整系统的配置,以便能打开系统实施其他破坏方式,如为攻击者添加后门来外泄数据。
- 过多或无法解释的关键系统故障或应用程序崩溃。恶意软件通常会干扰合法软件的功能,并可能导致这些应用程序崩溃,甚至导致系统本身的故障。
- 网络设备日志中记录的过量带宽消耗。虽然时不时的流量峰值是正常的,但带宽的持续增加可能表示了恶意软件的散布或数据的外泄。
- 时间日志中的排序错误或空白。攻击者可能会试图通过删除部分日志或修改日志来掩盖自己的踪迹,以便使它看起来描述了与实际发生不同的时间。
安全配置问题
无论网络中的设备是否配置错误或应用较弱的安全配置,它们都可能成为一项主要漏洞。注意以下一些设备配置问题以及纠正这些问题的策略。
| 网络设备 | 配置问题 | 调试策略 |
|---|---|---|
| 访问点 | 访问点无法正确的对用户进行身份验证或不起作用。 | 确保无线访问点使用强密码来实施WPS。检查任何RADIUS客户端和服务器,确定它们是否正在运行并按预期运行。确保没有其他无线信号干扰访问点上的传输。确保私有网络的有线访问点与公共区域物理分隔。 |
| 防火墙 | 防火墙无法阻止不想要的流量进入或离开网络,或阻止合法流量进入或离开网络。 | 检查防火墙的入站和出站规则,确定费否存在合适的规则。确保使用隐式拒绝配置入站规则。确保根据策略配置出站规则。检查防火墙出站规则是否组织了合法的端口或IP地址。 |
| 内容过滤器 | 内容过滤器阻止了合法内容,或无法阻止不想要的内容。 | 检查内容过滤器是否在白名单或黑名单模式下运行。确保黑名单中的内容与合法内容不相重叠。确保白名单全面广泛并且能支持可用性。确保过滤器真正的识别了不需要的内容并采取措施对其加以阻止。 |
| 入侵检测系统 | IDS经常遇到误报和漏报的情况。 | 检查IDS的规则是否被定义的过于宽泛或狭隘。确保IDS规则的定制能反映出阻止的独特情况。检查IDS是否部署在正确的位置上,能够接受来自所有预期网段的流量。确保IDS经过配置能真正的提醒相关人员。 |
基线偏差
在调试系统不符合既定基线的原因时,请记住以下几点:
- 在正确操作下,系统的状态会随时间发横一定偏离。这并不一定表示发生了攻击。
- 补丁和其他更新可能会导致基线过期,这提示你需要更新基线。
- 如果攻击者进行过侦查并对基线非常熟悉,攻击导致的基线偏差可能非常微小。
- 只有对基础配置进行锁定隔阂访问控制,在用户工作站上执行基准才能有效。
- 产生相同或相似基线偏差的多个关键系统需要进行迅速补救。
- 基线如果偏差的性质可能会揭示恶意意图。例如,应当被关闭远程访问的系统突然安装并激活Telnet就是一个需要关注的问题。
软件问题
| 问题 | 描述 | 调试策略 |
|---|---|---|
| 未经授权的软件 | 未经授权的软件被发现在你的系统上安装和运行。 | 如果可能,检查时间日志确定软件何时被上载或安装在系统上。检查时间日志和浏览记录,确定未授权软件的来源。在分析软件的运行状态之前,先将其放入沙盒中。执行一次防恶意软件扫描,确定该软件是否被认定为恶意。 |
| 无证书的软件 | 无证书软件的功能性会降低,或被组织完整的运行。 | 确定无证书的软件是否违反了供应商知识产权方面的协议,或者是否有允许使用的有限试用期。确定软件的无证书状态导致哪些功能丢失,以及这对软件使用的数据的可用性和完整性有何影响。检查是否有可以弥补这种功能损失的其他软件。联系供应商并购买相应的证书。 |
| 过时软件 | 过时的软件处于易受攻击的状态,并可能导致云心关键的系统和软件使用的数据遭到破坏。 | 确定是否有任何可用的补丁能够修复已知的安全问题。参考补丁管理策略, 确定应用任何可用补丁的最佳方式。如果该软件面临的风险超过其对业务的利益,可以考虑删除易受攻击的软件。考虑使用积极维护过的备用软件替换过时的软件。 |
人事问题
| 问题 | 描述 | 调试策略 |
|---|---|---|
| 违反策略 | 人员违反组织的策略,并使用系统,数据和万绿谷哦从事不可接受的互动。 | 确定违反了哪些实际的策略项目。提醒违规人员对违规行为引起注意,并向他们建议更好遵守策略的方法。制定培训计划,更好的将策略告知人员并培养网络安全文化。 |
| 社交媒体和个人电子邮件的使用 | 员工使用社交媒体和个人电子邮件账户的方式会给组织带来风险。 | 告诉员工在社交媒体上透露过多信息是如何为攻击者提供便利的。结合数据丢失/泄露防御(DLP)解决方案,防止员工通过个人电子邮件向外部用户发送敏感信息。通过组织的策略限制办公室内社交媒体和个人电子邮件的使用。 |
| 社交工程 | 人员会成为社交工程攻击的受害者,并泄露敏感信息,或者给予未授权用户访问权限。 | 对用户进行有关如何发现社交工程尝试并减轻影响方面的培训。准确的确定每个人可能在无意中向攻击者提供哪些信息和访问权限。坚持最小特权原则,尽可能的降低成功的社交工程攻击造成的影响。 |
| 内部人员威胁 | 不满或恶意的员工利用他们对组织的特别了解来破坏组织并谋取私利。 | 采用强制休假和轮岗等认识管理任务来减少任何个人掌握的权利。顶起审查并审计特权用户的活动。进行离职面谈,确保任何终止合同的员工彻底离开组织。 |
资产管理问题
资产管理(asset management)流程会清点并跟踪所有组织的关键系统,组件,设备和其他有价值对象。它还包括搜集和分析有关这些资产的信息,以便人员可以尽心更明智的变更或以其他方式使用资产以实现业务目标。但是,资产管理流程可能无法正确跟踪组织中所有的有价值对象,或者可能存储了特定对象的不准确信息。
- 确保所有相关资产都参与到一个跟踪系统中,如条形码或无缘射频识别码(RFID)。
- 确保部署了何时的流程,标记新获得或新开发的资产。
- 确保部署了何时的流程,移除系统中过时的资产。
- 检查资产是否具有冲突的ID。
- 检查资产是否具有不准确的元数据。
- 确保资产管理软件能够正确读取并理解跟踪标签。
- 更新资产管理软件以修复任何错误或安全问题。
课题B:响应安全事件
事件响应
事件响应(Incident response)是指使用有序的方法论来解决和管理安全漏洞和攻击,同时限制损害并降低恢复成本的做法。如果考虑到风险管理的周期性过程,那么事件响应是缓解阶段的关键因素。
- 准备。
- 检测和分析。
- 遏制,消除和恢复。
- 事后的活动。
事件准备
第一阶段以最有效方式响应时间奠定了基础,这包括:
- 制定组织策略,帮助定义什么是安全事件及事件是否发生。
- 制定处理时间的响应计划或策略,包括根据对组织的影响确定事件优先级。
- 制定沟通计划,以便让需要知道事件或其缓解措施的个人和团体了解事件。
- 建立文档要求,以便记录每个时间的准确和相关信息,用作将来参考。
- 组建事件响应小组(IRT),该小组应由来自组织不同领域的人员组成,以处理时间期间可能出现的问题。
- 确保IRT拥有必要的访问权限,许可和工具以便能够对事件作出响应。
- 需要对IRT,IT员工和终端用户在安全策略方面进行教育,让他们了解他们在报告和响应计算机和网络安全事件方面的角色。
事件检测和分析
这个阶段的重点是确定与政策操作的偏离情况,并分析这些偏离是否被认为是事件。这包括:
- 使用日志文件,错误消息,IDS报警,防火墙劲爆和其他资源来建立基线并识别能指示安全事件的参数。
- 比较与既定指标的偏差,识别事件及其范围。
- 通知IRT并建立团队与管理层之间的沟通渠道。
- 通常情况下至少选择一名负责评估和证据搜集的事件处理人员。
- 确保事件处理员用文档记录下了检测和范围界定过程中的所有方面。
事件遏制
这一阶段侧重于限制损失并防止进一步的损害。它包含几个分阶段,每个阶段对于完全缓解和证据保存都是至关重要。
- 短期遏制:尽快限制损害,如隔离单台计算机或一个网段。
- 系统备份:在采取任何其他操作之前先创建受影响系统的重复镜像,以确保证据的保存。
- 长期遏制:暂时将受影响的系统下线进行维修,以便预期的操作可以通过事件响应过程的其余部分进行恢复。
事件消除
在此阶段,受影响的系统将被删除或恢复。这个阶段通常可以包括:
- 采取任何必要步骤将系统恢复到已知的运行状态。这可能简单到只需要应用软件补丁,或者复杂到需要从头开始重建系统。
- 实施任何被认为能有效遏制事件重演的额外安全控制措施。
- 更新事件文档,列举这一阶段中采取的任何步骤。仔细记录诸如工时,软件购买或硬件购买等成本可以帮助你确定事件的整体影响。
事件恢复
这一阶段将受影响的系统重新引入生产环节。仔细的测试和监控可以帮助确保系统不会再次受损。这一阶段所需的信息包括:
- 恢复运营的时间范围,这应该由IRT与存疑系统的所有者或运营商之间的共识决定。
- 应该使用哪些测试工具的措施来确保每个系统功能完备且没有受到感染。
- 监视系统异常的时间范围。
经验教训
这个阶段包括了整个过程,其目的是确保事件得到了成功的处理。它要求:
- 与IRT和管理层会面,完成事件时间线的确定。这会议应该在事件发生后的两周内举行,确保大家仍然对此记忆犹新。
- 确定问题及其范围,以及为显示遏制,消除和恢复需要采取的措施。
- IRT和事件响应计划(IRP)的有效性,尤其是需要确定哪些运作良好,哪些需要改进。
- 完成事件的文档记录,以便对事件和IRT的响应方式进行详细全面的描述。
事件响应计划
事件响应计划(Incident Response Plan/IRP)是一个文档或一系列文档,描述了检测,响应以及最小化安全事件影响的程序。
IRP通常指定了以下内容:
- 建立并维护事件响应小组,也成为网络事件响应小组。
- 以书面形式列举了构成安全事件的内容,以及对每类事件类型的定义。
- 事件发生时应遵循的分步流程。
- IRT成员的角色和责任,例如谁负责宣布事件的发生,以及谁负责执行存疑事件的确定流程。
- 应当如何报告事件,包括接受通知的人员,以及通知发生的方式和时间。
- 事件或相应何时需要扩大到更多合格人员中。
- 测试和验证计划有效性的方式,通常通过桌面演习或功能演习来进行。
在安全事件发生后,根据学习到的任何经验教训,IRP讷讷够称为评估组织中哪些策略和程序需要改进的重要工具。
第一响应人
第一响应人(first responder)是指第一时间到达事故现场的一位经验丰富的人员或一组训练有素的专业人员。
事件报告
事件报告(Incident report)是一份描述了安全事件期间所发生的报告。需要注意的是,应当尽可能的写出与事件相关的信息,如组织名称,事件性质,联系人姓名和电话号码,事件发生的事件和日期以及日志信息。
响应安全时间的准则
响应安全事件时:
- 如果存在IRP,请遵循其中列举的指导原则来响应事件。
- 如果IRP不存在,则需要确定一名主要调查人员,他将领导整个调查过程。
- 确定事件是否真正发生以及系统或流程的受损程度。
- 尝试隔离或以其他方式控制事件的影响。
- 记录事件的详细信息。
课题C:调查安全事件
计算机取证
计算机取证(Computer forensics)是指搜集和分析来自存储设备,计算机系统,网络和无线通讯的数据的做法,并有可能在法庭上将这些信息作为一种证据形式呈现。取证过程主要处理的是潜在的证据的恢复和调查。
基本的取证流程
在任何取证流程都有四个基本阶段:
| 阶段 | 描述 |
|---|---|
| 搜集阶段 | 确定受到攻击的系统并对其进行标记。从所有有权访问系统的相关人员那里记录并获取详细信息以及证据材料。维护数据的完整性。 |
| 检查阶段 | 使用自动和手动的方法对搜集到的数据进行取证处理。评估和提取证据。维护数据的完整性。 |
| 分析阶段 | 使用法律允许的方法和技术分析检查阶段的结果。获取能证明搜集和检查原因合法的有用信息。 |
| 报告阶段 | 报告取证分析的结果,包括对所有工具和方法的描述以及为什么要这么做。集思广益,想出能够改进现有安全控制措施的不同方式,并推荐更好的策略,工具,程序和其他方法,将它们包含在取证流程中。 |
取证数据的保留
为说明任何法律状况的法律责任,你需要提供有关情况的证据以及对引发这种状况进行负责的人和事。
法律保留是指当有充分理由提到诉讼时,要求保护所有相关信息的过程,通常包括以下阶段:
- 收到诉讼保留通知:法律顾问通知诉讼正在或可能正处于待定状态,这是法律保留过程中的触发时间。
- 信息保存:收到保留通知后,数据保管人有责任对保留通知的接收进行确认并遵守通知中的指示。
- 建立审计跟踪:对取证数据的生命和验证是至关重要的;如果没有这一步,证据的可接受性就会受到质疑,并且可能危及组织的法律案件。
基本的取证响应程序
IT取证响应程序可帮助安全专业人员以法庭可采纳的形式从数据中搜集证据。
| 取证响应程序 | 描述 |
|---|---|
| 捕获取证图像和内存 | 计算机取证程序中最重要的步骤之一就是能够捕获证据的精确副本,也称为取证图像。这一过程通过逐位对应的将一块媒介复制位一个具有高精度的镜像文件来完成。此外,转储系统内存可以揭示可操作的证据,否则这些证据会在系统断电时丢失。 |
| 检查网络流量和日志 | 攻击者总会留下痕迹;你只需要知道如何以及在哪里查看。日志功记录了入侵防御系统或入侵检测系统以及路由器,防火墙,服务器,台式机,大型机,应用程序,数据库,防病毒软件和虚拟专用网络中发生的所有事件。通过这些日志就可能提取黑客的身份并提供所需的证据。 |
| 捕获视频 | 视频取证是指通过视频勘察线索的方法。用于计算机取证的工具可以帮助重组作为法庭证据的视频。 |
| 记录时间偏移量 | 记录文件活动的时间格式已扩展为能包含相对GMT的本地时区偏移量。 |
| 散列 | 你应该对每个电子证据进行散列,包括存储分区,软件和单个文件。 |
| 截取快照 | 你应该在取证过程的每一步中截取快照,特别是当你使用取证工具提取数据时。这样可以确保存在于受损系统中的数据不会被篡改,并且可以向法院提供证据,证明你在提取证据的过程中使用了有效的计算机取证方法。 |
| 确定证人 | 如果证据是由观察到证据获取程序的证人证词支持的,法院通常会接受此证据。 |
| 跟踪工时和成本 | 计算工时成本是事件整体损害评估的一部分。 |
| 搜集情报 | 战略情报搜集包括高效的确定有关事件的详细信息,这些信息能为你的调查过程提供资料,几时这些细节不会被用作硬性证据。 |
易失性顺序
数据是不稳定的,在安全事件后检索或验证数据的能力取决于它存储在计算机或外部设备上的位置或内存层中的位置。
监管链
监管链(chain of custody)是指从搜集,到呈堂公证,在到清理的证据处理过程记录。证据可以是硬件组件,电子数据或电话系统。证据链强化了证据从搜集,分析,存储到最终呈现过程中的完整性和合理保管。处于监管链中每个处理证据的人都必须记录他们使用的方法和工具。
调查安全时间的准则
当你调查安全事件时,可以遵循一些准则:
- 制定或采用一致的流程来处理和保存取证数据。
- 评估损害,并确定受影响系统带来的影响。
- 确定是否需要外部的专业技术支持,例如咨询公司。
- 如果需要,通知当地执法部门。
- 保护现场,使其中的硬件受到控制。
- 搜集所有必要的证据,这些证据可能是电子数据,硬件组件或电话系统组件。
- 在搜集来自各种媒介的电子数据时,要注意易失性顺序。
- 与相关人员进行面谈,搜集有关犯罪的更多信息。
- 将调查结果报告给所需人员。