Coursera - IBM - Introduction to Cybersecurity Tools & Cyber Attacks 觀後摘要(四)

Week 4  - An overview of key security tools

Firewalls

• Filter Packet  (Layer 3)
  提供網路層封包篩選的基本功能，建置上簡單便宜，但無法處理應用層協定，所以對於封包資料段或針對特定應用服務弱點的攻擊方式無能為力。
  
  
• Stateful (Layer 3)
  可以透過連線狀態來判斷是否為合法授權的封包，所以安全性較靜態封包過濾防火牆高但效能稍差，一樣無法處理應用層協定。

• Circuit Gateway (Layer 5)
  內外部進行TCP連線時，閘道器會在[內部使用者和閘道器之間]與[閘道器和外部端點之間]各建立一組TCP連線。不允許用戶端點與網際網路伺服端點間的直接連線。
  
  
• XML gateway (Layer 7)
  XML是一種文件檔案的傳輸協定，透過80 port 傳輸，因此一般的防火牆無法區分XML與其他流量，可防止其夾帶可執行程式碼。
  
  
• Application gateway (Layer 7)
• 可過濾封包內容，確保某應用層協定的內容安全，例如：HTTP、FTP、Email。
• 可支援嚴謹的使用者驗證(User Authentication) 功能。
• 對於應用層協定的流量進出，可以作較詳盡的記錄或稽核。
• 系統管理較複雜，系統資源負荷較高，且擴充性較差，未列入系統的應用程式類型將無法進行控管。
  
  

Anti-virus

可以偵測、預防與清除惡意軟體的程式。通常使用病毒特徵碼去對電腦裡的檔案做掃描比對。

Introduction to Cryptography

• Encryption Type
• Symmetric Encryption
• 使用相同金鑰進行加解密
• 加密隨著金鑰長度增加提高安全性
• e.g., DES, Triples DES, AES
  
  
• Asymmetric Encryption
• 使用兩把金鑰分別進行加解密，通常稱為公鑰(解密用)與私鑰(加密用)
• e.g., 數位憑證
  
  
• Hash (雜湊)
  雜湊與加密不同，無法逆向解出原始輸入，且具有雜湊碰撞的問題。
• 無論原文的內容長短，透過雜湊演算法得到的輸出都會是固定的長度，即輸出的長度不受原文長度影響。
• 通常被拿來驗證檔案校驗與儲存不需要被還原的資料時使用，常見演算法有SHA-1, MD5, SHA-2,...等。
  
  
• Cryptographic Attack
• Brute force
  基於反覆嘗試的攻擊
  
  
• Rainbow table
  透過雜湊鏈的生成與反覆嘗試去比對出明文
  
  
• Social engineering
  透過使用者取得密碼
  
  
• Known plaintext
  已知明文，嘗試破解加密機制
  
  
• Known ciphertext
  已知密文，嘗試恢復明文終訊息與金鑰
  
  
• Cryptography 
  
• Plaintext
  明文
  
  
• Ciphertext
  密文，經過金鑰進行加密的明文
  
  
• Simple XOR cipher
  一種簡單的加密演算法，利用數值進行兩次XOR運算會得出本身的特性設計。只要金鑰長度≧明文長度，且每次加密時使用隨機產生的金鑰，即可產生一次性使用且無法破解的密碼。
  
  
• DES (Data Encryption Standard) 
  一種對稱金鑰加密算法，以每64位元為分組對數據加密，它的密鑰長度是56位元，加密解密用的算法相同。
  
  
• AES (Advanced Encryption Standard)
  2001 由 NIST 提出，取代AES。以每128位元為分組對數據加密，它的密鑰長度可為128, 192 或256位元。

First look at Penetration Testing amd Digital Forensics

• Penetration Testing (Ethical Hacking) 滲透測試
  在攻擊者入侵之前識別系統安全性的弱點
• 標準流程/手冊
• OSSTMM
• NIST SP900-42
• FFIEC
• ISSAF
• PTES( Penetration Testing Execution Standard )
  
  
• 步驟
• Intelligence Gathering
  利用各種訊息來源與工具，嘗試蒐集更多關於目標網路拓樸、系統配置與安全防護措施…等訊息。
  
  
• Threat Modeling
  整理蒐集到的訊息，規劃可行的攻擊路徑。
  
  
• Vulnerability Analysis
  彙整前面階段的訊息，尤其是目標系統的安全漏洞掃描結果、服務查點資訊，進而篩選出可以進行滲透攻擊的代碼與攻擊點。
  
  
• Exploitation
  利用可取得或自製的滲透代碼進行滲透攻擊，在黑箱測試中，滲透方須考慮如何規避目標系統的檢測機制。
  
  
• Post Exploitation
  滲透攻擊成功後，滲透方須維持對該系統的存取權限而不被發現，並針對目標組織的營運模式、網路架構與安全防禦措施的設計識別出最具攻擊價值的資訊與資產，以及如何利用這些資訊的價值。
  
  
• Reporting
  向目標組織提交滲透測試報告，內容須檢附事前所蒐集的關鍵情報與探測出的系統安全漏洞、成功滲透攻擊的過程與得手後對組織營運的影響，並指出目前安全防禦架構中的問題環節，提供修補與升級方案。
  
  
• Digital Forensics 數位鑑識
  
  
• Chain of custody
  按時間排序的文件或記錄了保管、控制、轉移、分析與處置的物理/電子證據

Resource review - Securityintelligence.com

略