2020年12月21日星期一

Coursera - IBM - Introduction to Cybersecurity Tools & Cyber Attacks 觀後摘要(二)

Week 2 - A brief overview of types of actors and their motives

Types of actors and their motives

Actors

Hackers
Interaal Users
Hacktivism
Govermment

Motivation

Fun
Money
Political
Job

An Architect's perspective on attack classifications

Security Attack Definition(安全攻擊)
任何洩漏組織所擁有的資訊安全之行動皆可稱為安全攻擊，大致上可分為被動式與主動式攻擊兩種。

Passive Attack
被動式攻擊意指攻擊者雖已攔截或取得通信內容或存取權限，但並未對其內容進行竄改，此類攻擊通常較難察覺，通常會採取防堵措施避免此類攻擊。

Eavesdropping(竊聽)
Traffic Analysis(流量分析)

Active Attack
主動式攻擊意指攻擊者針對檔案或通訊內容進行了偽造或修改，由於完全防止過於困難，通常會採取偵測的方式即早阻斷攻擊。

Masquerade(偽裝)
攻擊者利用攔截到的資訊偽裝成其他授權個體或非法存取系統資源。
Replay(重播)
攻擊者將攔截到的資訊重新發送，以欺騙伺服器認證機制。
Modification(竄改)
攻擊者針對網路通訊的內容進行刪增或者更動。
Denial of Service(阻斷服務)
攻擊者透過各種方法讓使用者與管理者無法存取系統資源與服務。

Security Service (安全服務)
提供組織資料處理系統及資料傳遞安全的服務，防禦安全攻擊，且至少有一種安全機制來提供這項服務。
ITU (國際電信聯盟) 定義了一份 X.800 OSI 安全架構的建議書，其中除了定義了若干讓IT人員評估企業資訊安全需求的方法，也提供了評比、選擇各種資訊安全產品、策略的方法；另外一份文件RFC 2828網際網路安全詞彙文件對安全服務的定義則「由系統為了保護特定系統資源所提供的處理機制或通訊服務」，其類別可分為五種。

認證(Authentication)
確保通訊方的身份。
存取控制(Access Control)
防止未授權個體存取資源。
資料完整性(Data Integrity)
確保收到的資料和送出的內容相同。
不可否認性(Non-Repudiation)
可防止發送端或者接收端否認發送的訊息。
可用性(Avaliability)
系統易用、可用的程度，例如即時性。

Security Mechanisms (安全機制)
安全機制適用於實施安全服務的技術工具或技術本身，機制可以單獨或合併運行以提供特定的服務，又可分成Specific Security mechanisms(特定安全機制)與Pervasive Security mechanisms(一般安全機制)

Specific Security mechanisms(特定安全機制)
可以併入適當的通訊協定層，以提供某些OSI安全服務的機制。

加密(Cryptography)
以數學演算法將資料轉換成不易破解的形式
數位簽章(Digital signatures)
讓接收者可以證明資料的來源與完整性，並確保資料不被偽造。
存取控制(Access control)
管控存取權限的各種機制
資料完整性(Data integrity)
確保資料完整的機制。
認證交換(Authentication exchange)
藉由資訊交換的方法認證身份的機制。
路由控制(Routing control)
讓特定資料選用特定的安全路由，若懷疑連線已不安全時，也允許更換路由。
公證(Notarization)
利用信任的第三者來確保某些資料。

Pervasive Security mechanisms(一般安全機制)
並非針對特定的OSI安全服務或通訊協定層的安全機制。

受信任的功能(Trusted functionality)
符合準則的功能。
安全標記(Security labels)
附於資源之上，用來表示資源安全屬性的標記。
事件偵測(Event detection)
偵測資訊安全事件。
安全稽核追蹤(Security audit trails)
收集可幫助安全稽核的資料。
安全復原(Security recovery)
根據事件處理或管理功能等機制的要求進行復原的動作。

Network Security Model

以下是一個通用的網路安全模型，展示如何設計安全服務，防止未授權個體破壞網路傳輸訊息的機密性或真實性。任何安全服務都將具有以下三個要素：

存在於訊息通道中的訊息需加密，防止其他人攔截讀取。
發送者和接收者之間共享之秘密信息，其他人不能有任何線索。
必須有一個受信任的第三方，負責密鑰分發給通信方兩端，並防止未授權個體取得密鑰。

Threats
可能造成數據或系統安全的威脅，不論是有意無意的舉動。

Destruction
Corruption/Modification
Theft/Removal/Loss
Disclosure
Interruption

Malware and an introdustion to threat protection

Malware and Ransomware
惡意程式泛指任何未授權，且會對電腦、網路或基礎設施造成損害或破壞的軟體。

病毒
被執行之後可透過修改其他程式及插入惡意程式碼來自我複製。它是唯一能夠「感染」其他檔案的惡意軟體。
蠕蟲
無需使用者的催化即可自我複製，主要目的為迅速散佈至整個網路，或將網路轉換為殭屍網路。
木馬
木馬會偽裝成合法程式，這類惡意軟體包含惡意程式碼及指令，通常用來放行其他類型的惡意軟體進入系統。
間諜程式
暗中收集攻擊者想要獲取的數據，如憑證、密碼與瀏覽歷史記錄…等。
廣告軟體
向使用者投放不需要的廣告。
RATs (Remote Access Trojan)
讓攻擊者可未經授權即遠端存取電腦資源。
Rootkit
修改系統核心以便隱藏特定的檔案或是處理程序。
勒索軟體
感染電腦、將檔案加密並持有解鎖所需的密鑰，直到受害者支付贖金為止。

Other Threats

Botnet
由一群遭到入侵的主機組成，使攻擊者可利用這些資源發起一定規模的攻擊。
Keylogger
可記錄使用者鍵盤輸入的軟硬體。
Logic Bomb
存在於目標上的代碼，滿足特定條件時觸發其惡意程式碼。
APT
長期監視網路行為以竊取訊息。

Threat Protection Defined

Technical Control

Anti-virus
透過已知病毒的特徵碼進行偵測與防禦。
IPS(入侵防禦)/IDS(入侵偵測)/UDM(統一威脅管理)
監聽網路封包，依據預先設定的安全策略(Security Policy)，對網路與系統的運行狀況進行監測，當發現網路異常封包或行為時，發送警訊或採取必要措施。
Updates
保持系統更新以防止安全漏洞。

Administrative Control

Policies
由組織發佈，確保所有使用者遵守。
Training
讓使用者了解目前政策與可能威脅。
Revisions and tracking
時刻確保以上項目皆有符合標準。

Additional Attack examples today

Security Threats

Mapping
透過網路探索工具或指令確定網路中含有那些設備、使用什麼服務透過那些協議…等

預防

分析進入網路中的流量，尋找可疑或是規律的掃描行為
維護網路中現行的主機清單，以實體位址創建白名單

Packet Sniffing
IP Spoofing
Denial of Service
Host Insertion

Attacks and Cyber Crime Resources

Cyber Killing Chain
Reconnaissance(偵查)
了解有什麼類型的可利用漏洞；通常會先針對開放性的資訊與情報來源進行挖掘。
Weaponization
將木馬程式與弱點攻擊程式結合，並放在可傳遞的載具；如Office文件、PDF檔案…等。
Delivery
將武器轉移至目標上；通常途徑為電子郵件、網站與USB儲存裝置。
Exploitation
轉移成功後觸發惡意程式碼
Installation
在目標系統上安裝後門，讓入侵者得以維持存取權限
Command & Control
在目標環境中部件內部網路並竊取資料
Actions on Objective
針對已得手的目標採取下一步措施，如洩漏機密、勒索…等

Social Engineering
Settoolkit
社會工程學的工具包，可在Linux上執行
Phishing(網路釣魚)
Vishing(語音詐騙)

X-Force Command Center and threat intelligence tools

略

A Day in the life of a SOC analyst - Javier Portuguez Mora

略

沒有留言:

張貼留言

訂閱：張貼留言 (Atom)