防御与保护第一天笔记

信息安全现状与挑战

1.网络空间安全市场在中国，潜力无穷

2.数字化时代威胁升级

3.传统安全防护逐步失效

4.安全风险能见度不足

5.缺乏自动化防御手段

6.网络安全监管标准愈发严苛

信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络的基本攻击模式

截获：1.嗅探 2.监听

篡改：数据包篡改

中断：拒绝服务

伪造：欺骗

被动威胁与主动威胁

协议栈自身的脆弱性

1.缺乏数据源验证机制

2.缺乏机密性保障机制

3.缺乏完整性验证机制

常见安全风险

应用层：漏洞、缓冲区溢出攻击  WEB应用的攻击、病毒及木马

传输层：TCP 欺骗、TCP拒绝服务、UDP拒绝服务 端口扫描

网络层：IP欺骗、Smurf攻击、ICMP攻击 地址扫描

链路层：MAC欺骗、MAC泛洪、ARP欺骗

物理层：设备破坏、线路侦听

操作系统的脆弱性及常见攻击

1.操作系统自身的漏洞

人为原因：在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。

客观原因：受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

硬件原因：由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

2.缓冲区溢出攻击

针对终端的脆弱性的常见攻击

1.勒索病毒

勒索病毒定义：一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪，直至用户支付赎金使系统解锁。

勒索病毒特点：调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。

勒索病毒危害：勒索病毒会将电脑中的各类文档进行加密，让用户无法打开，并弹窗限时勒索付款提示信息，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将永远无法恢复。

勒索病毒第一阶段：锁定设备，不加密数据

勒索病毒第二阶段：加密数据，交付赎金后解密

勒索病毒第三阶段：攻陷单点后，横向扩散

勒索病毒第四阶段：加密货币的出现改变勒索格局

勒索病毒第五阶段：RaaS模式初见规模

勒索病毒感染与传播方式：1.钓鱼邮件（外到内） 2.蠕虫式传播（横向） 3.恶意软件捆绑（外到内） 4.暴力破解（横向、外到内） 5.Exploit Kit分发（外到内）

勒索病毒攻击链分析：

感染媒介：1.钓鱼软件 2.蠕虫病毒 3.恶意邮件

C&C通信：1.匿名通信 2.下载载荷 3.DGA通信

文件加密：1.混合加密体系 2.弹出勒索对话框

横向移动： 1.弱点横向探测 2.蠕虫式传播 3.MS17-010永恒之蓝漏洞

勒索病毒的特点

针对攻击者：1.传播入口多 2.传播技术隐蔽 3.勒索产业化发展

针对受害者：1.安全状况看不清 2.安全设备防不住 3.问题处置不及时

2.挖矿病毒

定义：一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用。

特点：占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。

危害：占用系统资源、影响系统正常使用。

3.特洛伊木马

定义：完整的木马程序一般由两个部份组成：服务器程序与控制器程序。（“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。）

特点：注入正常程序中，当用户执行正常程序时，启动自身。 自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。

危害：个人隐私数据泄露，占用系统资源

4.蠕虫病毒

定义：蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。

特点：不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。

危害：拒绝服务、隐私信息丢失

5.宏病毒

定义：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

特点：感染文档、传播速度极快、病毒制作周期短、多平台交叉感染

危害：1.感染了宏病毒的文档不能正常打印。 2.封闭或改变文件存储路径，将文件改名。 3.非法复制文件，封闭有关菜单，文件无法正常编辑。 4.调用系统命令，造成系统破坏。

6.流氓软件/间谍软件

定义：流氓软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含中国法律法规规定的计算机病毒。间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。

特点：强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等。

危害：窃取隐私，影响用户使用体验。

7.僵尸网络

定义：采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸程序：指实现恶意控制功能的程序代码；控制服务器：指控制和通信(C&C)的中心服务器

特点：可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来，可以一对多地执行相同的恶意行为。

危害：拒绝服务攻击；发送垃圾邮件；窃取秘密；滥用资源；僵尸网络挖矿

终端安全防范措施

1.不要点击来源不明的邮件附件，不从不明网站下载软件

2.及时给主机打补丁，修复相应的高危漏洞

3.对重要的数据文件定期进行非本地备份

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口

5.RDP远程服务器等连接尽量使用强密码，不要使用弱密码

6.安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能

其他常见攻击：1.社工攻击 2.人为因素 3.拖库、洗库、撞库 4.跳板攻击 5.钓鱼式攻击/鱼叉式钓鱼攻击 6.水坑攻击

信息安全要素

1.保密性：确保信息不暴露给未授权的实体或进程。

2.完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可以防篡改。

3.可用性：得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。

4.不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。

5.可控性：可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

整体安全解决方案

1.风险可视化

2.防御主动化

3.运行自动化

4.安全智能化