1、网络流量分析(Analyzing Network Traffic)(p505)
网络通信分析通常是网络管理的基本功能。它可用于追踪恶意通信、检测错误或解决传输问题。协议分析器是一种用于检查网络流量内容的工具。协议分析器也可以称为嗅探器、网络评估器、网络分析器、流量监视器或数据包捕获实用程序。
2、DNS嫁接、DNS查询欺骗(DNS Pharming、DNS Query Spoofing)(p512)
另一种与DNS中毒(DNS poisoning)或DNS欺骗(DNS spoofing)密切相关的攻击是DNS嫁接。嫁接是将有效网站的URL或 IP地址恶意重定向到虚假网站。嫁接通常通过修改系统上的本地主机文件或通过中毒或欺骗DNS解析来发生。
当黑客能够窃听客户端对DNS服务器的查询时,就会发生DNS查询欺骗攻击。然后攻击者发回带有虚假信息的回复。为了使此操作成功,虚假回复必须包含从查询中克隆的正确 QID。
3、分离解析DNS系统、DNS沉洞(split-DNS system、DNS sinkhole)(p514)
分类解析DNS是部署一个DNS服务器给公共使用,以及再部署单独的一个DNS服务器给内部使用。DNS沉洞是一种虚拟遥测系统的例子,这种技术用于防御DNS欺骗,DNS沉洞试图对自恶意软件(例如机器人)的 DNS查询提供错误响应,以防止访问命令和控制系统。
4、域劫持(完善):域名抢注、同形异义攻击、URL劫持(Domain Hijacking:Typosquatting、Homograph Attack、URL Hijacking)(p515)
域名抢注是一种用于在用户错误输入预期域名或IP地址时被利用的做法,用于域名抢注的变体包括常见的拼写错误(例如 http://googel.com)、打字错误(例如 http://gooogle.com)等。
同形异义词攻击。这些攻击利用字符集的相似性来注册肉眼看来合法的假冒国际域名 (IDN)。例如,拉丁语中的 l(即小写 L)看起来像 Palochka Cyrillic字母。因此,http://apple.com 和 http://paypal.com的域名可能看起来像拉丁字符一样有效,但实际上可能包含西里尔字符,这些字符在解析时会将定向到与预期不同的站点。
URL劫持是指显示看起来像知名产品、服务或网站的链接或广告的做法,但在点击时会将用户重定向到其他位置、服务或产品。这可以通过发布站点和页面并利用搜索引擎优化 (SEO) 来实现,或者通过使用广告软件将合法广告和链接替换为导致替代或恶意位置的广告和链接。
5、微隔离(Microsegmentation)(p526)
微分段通过内部分段防火墙 (ISFW)、子网、VLAN或其他虚拟网络解决方案,将内部网络划分为多个子区域。区域之间的任何和所有通信都被过滤,可能需要进行身份验证,通常需要会话加密,并且可能受到允许列表和阻止列表控制。微分段是实现零信任的关键要素。
6、无线信道:2.4GHz、5GHz、6GHz(Wireless Channels:2.4GHz、5GHz、6GHz)(529)
在无线信号的指定频率内对该频率的细分,称为信道。将信道视为同一条高速公路上的车道。2.4 GHz信道宽22MHz,相距5MHz,而5 GHz信道宽20MHz,相距20MHz。因此,相邻的5 GHz信道不会相互干扰。6 GHz频谱范围比5 GHz频谱支持多达七个160 MHz宽的信道。
7、Wi-Fi Protected Access 3 (WPA3)(p532)
Wi-Fi Protected Access 3(WPA3)于2018年1月定稿。WPA3-ENT使用192位AES CCMP加密,而 WPA3-PER保持在128位 AES CCMP。WPA3-PER用同步验证 (SAE) 替换了预共享密钥验证。一些 802.11ac/Wi-Fi 5设备最先支持或采用 WPA3。同时身份验证 (SAE) 仍然使用密码,但它不再加密并通过连接发送该密码来执行身份验证。相反,SAE 执行称为 Dragonfly Key Exchange 的零知识证明过程,它本身是 Diffie-Hellman 的衍生物。该过程使用预先设置的密码以及客户端和AP的MAC地址进行认证和会话密钥交换。
WPA3 还实现了 IEEE 802.11w-2009 管理帧保护,以便大多数网络管理操作具有机密性、完整性、源身份验证和重放保护。
8、Wifi Disassociation、Jamming(p541)
Wifi解除关联(Wifi Disassociation)是多种无线帧管理中的一种。当客户端连接到同一ESSID网络覆盖区域中的另一个 WAP时,解除关联帧用于断开客户端与一个 WAP的连接。如果被恶意使用,客户端将失去无线链接。可以使用解除身份验证数据包执行类似的攻击。此数据包通常在客户端启动WAP身份验证后立即使用,但未能提供正确的凭据。但是,如果在连接会话期间的任何时间发送,客户端会立即断开连接,就好像其身份认证失败一样。
Wifi干扰(Wifi Disassociation)是通过降低有效信噪比来故意阻止或干扰通信的无线电信号传输。
9、LiFi、卫星通信、窄带无线、ZigBee(LiFi (light fidelity) 、Satellite communications、Narrow-band wireless、Zigbee)(p543)
LiFi(light fidelity)可见光无线通信,这是一种使用光进行无线通信的技术。它用于在设备之间传输数据和位置信息。它使用可见光、红外线和紫外线光谱来支持数字传输。它的理论传输速率为 100 Gbps。
卫星通信主要基于在地面位置和轨道人造卫星之间传输无线电波。卫星用于支持电话、电视、广播、互联网和军事通信。
窄带无线被SCADA系统广泛用于在电缆或传统无线无效或不合适的距离或地理空间上进行通信。Zigbee是一种基于蓝牙的物联网设备通信概念。Zigbee具有低功耗和低吞吐率,并且需要靠近设备。Zigbee通信使用128位对称加密算法进行加密。
10、蜂窝网络:5G(Cellular Network:2G, 3G, 4G, and 5G)(p544)
通过蜂窝网络提供的服务通常用代号表示,例如 2G、3G、4G 和 5G。5G是最新的移动服务技术,可用于某些手机、平板电脑和其他设备。许多 ICS、IoT和专业设备可能具有嵌入式5G的功能。5G 使用比以前的蜂窝技术更高的频率,这允许更高的传输速度(高达10Gbps),但距离更短。
11、Jumpbox、传感器、收集器、聚合器、片上系统(jumpbox、Sensor、Collector、Aggregator、A system on a chip (SoC))(p548)
Jumpbox:Jump服务器或jumpbox是一种远程访问系统,其部署目的是使访问特定系统或网络更容易或更安全。
传感器(Sensor):传感器收集信息,然后将其传输回中央系统进行存储和分析。
收集器(Collector):安全收集器是将数据收集到日志或记录文件中的任何系统。收集器的功能类似于审计、日志记录和监控的功能。
聚合器(Aggregator):聚合器是一种多路复用器。
片上系统 (A system on a chip (SoC):SoC是一种集成电路 (IC) 或芯片,它将计算机的所有元素集成到单个芯片中。
12、端点检测和响应(EDR) (Endpoint detection and response)(p558)
端点检测和响应 (EDR) 是一种安全机制,是传统反恶意软件产品、IDS和防火墙解决方案的演变。EDR旨在检测、记录、评估和响应可疑活动和事件,这些活动和事件可能由有问题的软件或有效、无效用户引起。EDR的一些相关概念包括托管检测和响应 (MDR)、端点保护平台 (EPP) 和扩展检测和响应 (XDR)。
13、EAP衍生品:LEAP、PEAP、EAP-SIM、EAP-FAST、EAP-MD5、EAP-POTP、EAP-TLS、EAP-TTLS(EAP Derivatives)(p583)
LEAP:轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol)是Cisco专有的WPA TKIP替代方案。在 802.11i/WPA2 被批准为标准之前,开发它是为了解决TKIP 中的缺陷。
PEAP:受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol)将EAP封装在TLS隧道中。
EAP-SIM:用户身份模块 (EAP-Subscriber Identity Module) 是一种通过全球移动通信系统 (GSM) 网络对移动设备进行身份验证的方法。
EAP-FAST:通过安全隧道的灵活身份验证 (Flexible Authentication via Secure Tunneling) 是 Cisco 提议用于取代 LEAP 的协议,由于WPA2的发展,LEAP现在已经过时。
EAP-MD5:是最早的 EAP 方法之一。它使用 MD5散列密码,现在已弃用。
EAP-POTP:EAP保护的一次性密码 (EAP Protected One-Time Password) 支持在多因素身份验证中使用OTP令牌(包括硬件设备和软件解决方案)以用于单向和相互身份认证。
EAP-TLS:EAP传输层安全 (EAP Transport Layer Security) 是一个开放的IETF标准,它是用于保护身份认证流量的TLS协议实现。当客户端和服务器都拥有数字证书(即相互证书身份认证)时,EAP-TLS最有效。
EAP-TTLS:EAP隧道传输层安全 (EAP Tunneled Transport Layer Security) 是EAP-TLS的扩展,可在身份认证之前在端点之间创建类似VPN的隧道。这确保即使是客户端的用户名也不会以明文形式传输。
14、Vishing (p588)
VoIP允许攻击者伪造他们的来电显示,以掩盖他们的身份或建立一个借口来欺骗受害者。这种类型的攻击被称为Vishing,它代表基于语音的网络钓鱼。
15、拆分隧道 vs. 完整隧道(Split Tunnel vs. Full Tunnel)(p607)
拆分隧道是一种VPN配置,它允许连接VPN的客户端系统(即远程节点)同时通过VPN和 Internet 直接访问组织网络。完整隧道是一种VPN配置,其中所有客户端的流量都通过 VPN链接发送到组织网络,然后任何以Internet为目标的流量都从组织网络的代理或防火墙接口路由到 Internet。
16、第三方连接(Third-Party Connectivity)(618)
几乎所有企业都越来越关注第三方连接。IT环境之间的任何连接都应在实际部署(无论是物理的还是虚拟的)之前详细规划。通常,此过程以MOU开始,以ISA结束。谅解备忘录MOU(A memorandum of understanding ) 或协议备忘录MOA(memorandum of agreement)是两个实体之间协议或一致意图、意愿或目的的表达。互连安全协议ISA(interconnection security agreement)是对两个组织的IT基础设施之间链接的安全立场、风险和技术要求的正式声明。
2374
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
