网络安全

黄玮

第一章 网络安全基础

提纲

  • 从风险管理开始入门
  • 威胁模型
  • 漏洞管理相关标准
  • 计算机⽹络安全模型
  • 等级安全保护
  • 计算机安全法规

风险管理的一张神图

风险管理的类比案例

小明⼝袋里有100元,因为打瞌睡,被小偷偷⾛了,导致小明晚上没饭吃

  • 风险
  • 资产
  • 影响
  • 威胁
  • 弱点
  • 攻击

小明⼝袋里有100元,因为打瞌睡,被小偷偷⾛了,导致小明晚上没饭吃

  • 风险 - 钱被偷走
  • 资产 - 100 元
  • 影响 - 晚上没饭吃
  • 威胁 - 小偷
  • 弱点 - 打瞌睡
  • 攻击 - 偷

重要启示

  • 如果没有 漏洞(弱点),攻击⽆法得⼿
  • 如果没有价值(资产),不会招来威胁

威胁模型

微软 STRIDE 模型

威胁 安全性属性
假冒 (Spoof) 认证(Authentication)
篡改 (Tamper) 完整性
否认 (Repudiation) 不可抵赖性
信息泄露 (Information Disclosure) 机密性
拒绝服务 (Denial of Service) 可用性
提升权限 (Elevation of Privilege) 授权(Authorization)

安全性属性的扩充

  • 认证 / 授权 / 不可抵赖性
  • 不可抵赖性可通过审计来保证
  • 认证(Authentication):身份验证
  • 授权(Authorization):⾏为验证
  • 审计(Audit):结果验证+责任认定
    • 责任认定(能⼒):Accountability

概念对比

  • 真实性 = 完整性+(身份)认证
    • 复合概念
  • 完整性
    • 原⼦概念

漏洞管理相关标准

漏洞标准 英文全称 中文名称 建议书编号
CVE Common Vulnerability and Exposure 通用漏洞及曝光 ITU-T X.1520
CVSS Common Vulnerability Scoring System 通用漏洞评分系统 ITU-T X.1521
CWE Common Weakness Enumeration 通用缺陷枚举 ITU-T X.1524
CWSS Common Weakness Scoring System 通用缺陷评分系统 ITU-T X.1525
CPE Common Platform Enumeration 通用平台枚举 ITU-T X.1528
OVAL Open Vulnerability and Assesment Language 开放漏洞评估语言 ITU-T X.1526
CAPEC Common Attack Pattern Enumeration and Classification 常见攻击模式枚举和分类 ITU-T X.1544
网络安全漏洞管理标准的安全测量和安全管理架构
网络安全漏洞管理标准的安全测量关系图

CVSS

通用弱点评价体系(Common Vulnerability Scoring System, CVSS)是由美国国土安全部主导的 NIAC(国家资讯与分析中心)开发、FIRST(Forum of Incident Response and Security Teams,事件反应和安全小组论坛)维护的一个开放并且能够被产品厂商免费采用的标准。

第二章 中,我们将详细介绍CVSS的具体内容。

CVE

  • CVE 的全称是 Common Vulnerabilities & Exposures ,中文翻译对应「公共漏洞曝光」
  • CVE 目前已经是信息安全界内有关漏洞的一个事实上的标准,安全研究人员也把自己发现的漏洞能够具备 CVE-ID 编号为荣
    • 并不是所有发现的安全漏洞都能获得 CVE-ID ,申请 CVE-ID 有一个严格的流程

CNVD

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD) 是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称 CNCERT )联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD) 由国家互联网应急中心、国家信息技术安全研究中心于2009年10月牵头发起,由国家互联网应急中心(简称 CNCERT )具体组织运作,联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

NVD

NVD(National Vulnerability Database)是美国的国家漏洞数据库,其角色和作用同我国的 CNVD。

CNNVD

国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”简称“CNNVD”,于2009年10月18日正式成立,是 中国信息安全测评中心 为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务

CWE

常见缺陷列表(Common Weakness Enumeration, CWE)是对常见软件缺陷和漏洞进行分类整理的一套标准,该标准的制订目标是归纳和整理不同的软件缺陷机理,统一软件安全漏洞(包括架构、设计或代码实现层面)的描述语言以便于开发出自动化工具来识别、修复和预防这些缺陷。

无论 CVSS ,还是 CVE 、CWE ,其基本目标都是围绕创建 可度量的安全(标准)。

以「破壳」漏洞为例

CVE-2014-6271 on NVD

CVSS v2.0 of CVE-2014-6271

CVSS v3.x of CVE-2014-6271

CWE of CVE-2014-6271

CPE of CVE-2014-6271

CAPEC of CVE-2014-6271

OVAL of CVE-2014-6271

ATT&CK

  • ATT&CK 模型是 MITRE 在洛克希德-马丁公司提出的 网络杀伤链(Cyber Kill Chain) 模型 的基础上,构建了一套更细粒度、更易共享的知识模型和框架
  • 分支
    • PRE-ATT&CK
    • ATT&CK for Enterprise
    • ATT&CK for Mobile

PRE-ATT&CK

覆盖杀伤链模型的前两个阶段,包含了与攻击者在尝试利用特定目标网络或系统漏洞进行相关操作有关的战术和技术。

ATT&CK for Enterprise

覆盖杀伤链模型的后五个阶段,ATT&CK for Enterprise 由适用于 Windows 、Linux 和 macOS 系统的技术和战术部分共同组成。

ATT&CK for Mobile

包含适用于移动设备的战术和技术。

ATT&CK 导航工具

  • 一个很有用的工具,可用于映射针对 ATT&CK 技术的控制措施
  • 可以添加不同的层,来显示特定的检测控制措施、预防控制措施甚至观察到的行为
  • 导航工具可以在线使用,快速搭建模型或场景,也可以下载下来,进行内部设置,作为一个持久化的解决方案

下一页如图所示,就是使用 ATT&CK 导航工具 制作的针对 2 次「APT 攻击事件报告」整理出的不同攻击过程的标准化定义描述。

一个例子 APT3 VS. APT29

  • 可视化不同组织在「攻击技术」选择上的差异
  • 可视化不同安全事件中所涉及到的「攻击技术」差异
  • 可量化(主观评分,配置着色方案)攻击技术

ATT&CK 典型应用场景

  • 对抗模拟和攻防演练
  • 渗透测试活动
  • 制定行为分析方案
  • 防御差距评估
  • SOC 成熟度评估
  • 网络威胁情报收集

ATT&CK 对比 CWE / CAPEC

  • ATT&CK 作为一个「知识库」,其所有「知识条目」均来自于「公开披露的真实安全事件」
    • ATT&CK 强调「实战性」
  • CWE / CAPEC 中并非所有「知识条目」都有「公开披露的真实安全事件」作为实例
    • CWE / CAPEC 强调「知识完备性」

计算机网络安全模型

静态模型(分层模型)

  • 每一层的安全威胁是既相互独立,又相互联系、相互影响的
  • 每一层的安全威胁必须依靠当前层的安全策略和安全机制解决
  • 下一层的安全机制是上一层安全机制的基础
  • 上一层的安全机制等级不会高于下一层的安全机制等级
    • 下层不安全,上层的安全无法保障
    • 下层安全,并不代表上层安全

动态模型—— P2DR 模型

  • 策略(Policy)
  • 防护(Protection)
  • 检测(Detection)
  • 响应(Response)

防护

  • 主动防护。例如:数据加密、身份认证、访问控制、虚拟专用网 VPN 等;
  • 被动防护。例如:防火墙、安全扫描、入侵检测。

检测

  • 主动检测。安全测试、蜜罐和安全审计。
  • 被动检测。蜜罐、入侵检测。

响应

  • 产生警告(Alert / Log):这是「检测」到异常时的「必选」行为,严格意义上来说并不能算作一种「有效响应」,只是起到了「通知」的作用。
  • 拒绝访问(Deny):限制「入站」流量。
  • 中断(Disrupt):限制「出站」流量。
  • 降级/限制访问(Degrade):「过滤」流量,有选择允许和禁止访问。
  • 欺骗(Deception / Deceive):「重定向」流量。
  • 灾难恢复(Recovery):启用备用系统、数据恢复措施等。

用P2DR模型审视:STRIDE/CVSS/CVE/CWE

  • 策略
    • 基于 STRIDE 进⾏系统设计
  • 防护
    • 基于 CWE 在系统开发过程中规避已知弱点
  • 检测
    • 检测到新漏洞后添加到 CVE
  • 响应
    • 基于 CVSSCVE 条目的评分确定响应策略:轻重缓急

动态模型—— P2DR2 模型

  • 策略(Policy)
  • 防护(Protection)
  • 检测(Detection)
  • 响应(Response)
  • 恢复(Recovery)

计算机⽹络安全模型小结

  • 从静态的视角看计算机⽹络安全模型:安全威胁是可以分层的
  • 从动态的视角看计算机⽹络安全模型:安全威胁是持续变化的
  • 计算机⽹络安全模型的核⼼特点
    • 对抗:威胁 VS. 安全策略/机制
    • 变化:威胁 / 安全策略/机制 / 环境

等级安全保护

  • 橘皮书:TCSEC
  • 红皮书:TNI
  • ITSEC
  • CC

我国等级保护现状

等保定级原则

  • 关于上述三类受侵害的客体分类,一般损害、严重损害和特别严重损害的定义,基本沿袭原有表达。但是在《定级指南》中,对公民、法人和其他组织的合法权益,遭受特别严重损害的,明确定级在“第三级”,彰显了对私权利维护的升级。
  • 对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
  • 《定级指南》规定,原则上,大数据安全保护等级不低于第三级。对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。

等级保护的意义

  • 明确安全需求
    • 资产在哪⼉?价值多⼤?
  • 安全防护是需要成本投⼊的
    • 信息安全与信息化建设要协调
  • 安全建设和管理需要兼顾系统性、针对性、可⾏性
  • 明确重点、突出重点、保护重点

计算机安全法规

刑法修正案(七)在刑法第285条中增加两款(第⼆款、第三款)

违反国家规定,侵⼊前款规定以外的计算机信息系统或者采用其他技术⼿段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚⾦;情节特别严重的,处三年以上七年以下有期徒刑,并处罚⾦。

提供专门用于侵⼊、非法控制计算机信息系统的程序、⼯具,或者明知他⼈实施侵⼊、非法控制计算机信息系统的违法犯罪⾏为⽽为其提供程序、⼯具,情节严重的,依照前款的规定处罚。

⽹络安全不可⼉戏

《最⾼⼈民法院、最⾼⼈民检察院关于办理危害计算机信息系统安全刑事案件应用法律若⼲问题的解释》

  • 2011年6月20日最⾼⼈民法院审判委员会第1524次会议、2011年7月11日最⾼⼈民检察院第⼗⼀届检察委员会第63次会议通过
  • 自2011年9月1日起施⾏

中华人民共和国网络安全法

第七章,第七⼗六条(⼆)

网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的 完整性保密性可用性 的能力。

重要法律法规一览

重要法律法规一览

我国近年来数据安全法律法规最全汇编 2019-08-09

知法守法

  • ⽹络安全攻防实验必须严格限制在局域⽹范围内
  • 了解保密相关法律法规
    • 泄密坐牢,卖密杀头
    • 涉密不联⽹,联⽹不涉密

课后思考题

以下⾏为分别破坏了CIA和AAA中哪⼀个属性或多个属性?

  • 小明抄小强的作业
  • 小明把小强的系统折腾死机了
  • 小明修改了小强的淘宝订单
  • 小明冒充小强的信用卡账单签名
  • 小明把自⼰电脑的IP修改为小强电脑的IP,导致小强的电脑⽆法上⽹

有⼀次,小明⼝袋里有100元,因为打瞌睡,被小偷偷⾛了,搞得晚上没饭吃。又⼀天,小明⼝袋里有200元,这次小明为了防范小偷,不打瞌睡了,但却被强盗持⼑威胁抢⾛了,搞得⼀天没饭吃,小明当天就报警了。

  • 试分析两次失窃事件中的:风险、资产、威胁、弱点、攻击、影响
  • 试用P2DR模型分析以上案例中的“现⾦被抢”事件中的安全策略、安全防护、安全检测和安全响应
  • “被抢”事件中,小明的安全策略存在何问题?

针对下述论点,分别设计⼀场景案例(必须和课程相关),使得该论点在该场景中成立

  • 预防比检测和恢复更重要
  • 检测比预防和恢复更重要
  • 恢复比预防和检测更重要

试分析“CAPTCHA图片验证码技术可以阻⽌恶意批量注册⾏为”这句话中的安全策略、安全机制和安全假设分别是什么?CAPTCHA图片举例

某⼤型软件开发公司的总裁担⼼公司的专利软件设计⽅法被内部员⼯泄露给其他公司,他打算防⽌泄密事件的发⽣。于是他设计了这样⼀个安全机制: 所有员⼯必须每天向他汇报自⼰和其他竞争对⼿公司员⼯的所有联系(包括IM、电⼦邮件、电话等等) 。你认为该安全机制能达到总裁的预期安全效果吗?为什么?

请列举你经常使用的互联⽹服务有哪些,通过公开渠道检索这些服务提供商在历史上是否经历过安全事件?据此,撰写⼀篇主题为:《某某互联⽹服务安全问题概要》的调研报告。