信息安全威脅審計

《信息安全威脅審計》由會員分享，可在線閱讀，更多相關《信息安全威脅審計（69頁珍藏版）》請在裝配圖網上搜索。

1、Click to edit Master title style,,Click to edit Master text styles,,Second level,,Third level,,Fourth level,,Fifth level,,*,,*,,Arial 或 Frutiger 55 Roman 25pt ,華文細黑簡25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細黑簡25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細黑簡25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細黑簡25pt,,

2、Arial 或 Frutiger 55 Roman 25pt ,華文細黑簡25pt,,Arial 或Frutiger Bold 40pt ,黑體簡40pt,,,,*,Neusoft Co., Ltd.,,信息安全威脅審計技術,,,曹鵬 網絡安全產品營銷中心解決方案部部長,CISP,北京,caopeng@,沈陽東軟軟件股份有限公司,,,怎么去理解審計的重要性和實際用途,好象是城市交通安全中的違章攝像頭和自動拍照系統。,,審計策略有時應公開， 有時應嚴格保密。,,審計結果數據需要有專人負責處理，沒有完全自動的審計產品，人的因素非常重要。,,,入侵檢測系統,,WEB,日志分析系統,,終端用戶審計

3、和控制系統,,遭受入侵后的檢測工作流程建議,安全審計部分內容整體介紹,,,哪些站點最容易遭受攻擊,,什么是入侵檢測,,入侵檢測的主要檢測方式,,入侵檢測系統主要能夠實現的安全功能有什么,,入侵檢測所面臨的技術挑戰(zhàn),,,從入侵檢測系統說起,~,,,,,,,政府站點,,,很多站點甚至都沒有發(fā)現自己已經被攻擊,,,一例利用,FORNTPAGE,的攻擊事件,,,利用同樣的手段遠程進入調試頁面狀態(tài),,,修改后的結果,,,入侵過程描述,入侵主機情況描述：,該主機位于國家,xx,局的,x,層計算機辦公室，在,11,月中曾經連續(xù)發(fā)生數據庫被刪除記錄的事件，最后該網站管理員認定事件可疑，隨即向國家,xx,局網絡

4、安全管理部門報告，我公司在接到國家,xx,局的報告后，立即趕到現場取證分析。,操作系統和補丁情況：,WIN2000,個人版操作系統,SP2,的補丁包,主要服務用途：,做為國家,xx,局計算中心內部網站使用，負責發(fā)布計算中心內部信息。網站運行,IIS5,，后臺數據庫采用,ACCESS,。,入侵后的行為表現：,主頁頁面新聞欄目內容被刪除，后臺數據庫內容被人非法刪改。,,,,,分析審計,WEB,服務器訪問日志,00:40:59 10.71.1.98 GET /mynews.mdb 200,該記錄表明,10.71.1.98,在早上,8,點,40,分的時候非法下載了,mynews.mdb,數據庫，服務器

5、返回,200,正確請求值，表示請求成功該數據庫已經被非法下載。,00:42:14 10.71.1.98 GET /login.asp 200,隨后該攻擊者直接訪問網站的在線管理系統。,,,,入侵檢測的基本概念,真正的入侵檢測系統是在,20,世紀,80,年代末才開始被研究,,我們先來明確計算機安全的特性有那三個方面,CIA,,機密性,,完整性,,可用性,,,什么是入侵呢？,破壞上面四性的行為都可以定義為入侵，不管成功與否。,,從受害者的角度可以說：,,發(fā)生了什么？,,誰是受害者？,,受害程度大不大？,,誰是入侵者？,,入侵者的來源在哪里？,,入侵發(fā)生的時間？,,入侵是怎么發(fā)生的？,,為什么發(fā)生入

6、侵？,,但很多時候我們身邊沒有一個安全專家可以幫助我們解答這些問題,?,,,為什么需要入侵檢測系統,檢測防護部分阻止不了的入侵,,檢測入侵的前兆,,入侵事件的歸檔,,網絡遭受威脅程度的評估,,入侵事件的恢復,,,入侵檢測的分類和檢測方式,基于主機的入侵檢測系統,,基于網絡的入侵檢測系統,,基于文件效驗方式的入侵檢測,,基于誘捕的蜜罐檢測技術,,,全面的檢測方式,異常檢測：異常檢測的假設是入侵者活動異常于正常主體的活動，建立正?；顒拥摹盎顒雍啓n”，當前主體的活動違反其統計規(guī)律時，認為可能是“入侵”行為。,特征檢測：特征檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模

7、式。支持用戶自定義攻擊特征代碼分析。,事后檢測：完整的將網絡中所有活動數據報的特征記錄下來，當發(fā)生不可確定的安全時間時，可以將信息包全部回放，進行事后檢測分析。,協議內容檢測：支持常見的明文應用層協議記錄，可以及時恢復所有訪問原始交互內容。支持用戶自定義明文協議特征。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,多種靈活接入方式,入侵檢測設備直接連接在交換機的偵聽口,入侵檢測設備直接連接在交換設備之間，充當透明網橋功能同時進行數據包抓取分析,,,,入侵檢測設備支持多端口偵聽，對中小企業(yè)網絡更好適應。,內部網絡,DMZ,區(qū)域,多偵聽口設計多臺交換機數

8、據同時采集處理,,,強大的網絡訪問內容審計功能,可以進行多種協議,HTTP,、,FTP,、,POP3,、,SMTP,、,IMAP,、,NNTP,、,Telnet,、,rsh,、,rlogin,、,MSN,、,Yahoo Messager,、,DNS,等協議的回放和會話記錄，便于回放資源訪問的詳細過程并追查攻擊的來源。,,支持用戶自定義擴充,,,明文應用協議還原配置,,,對于,HTTP,協議做到訪問頁面級別的還原,,,SMTP,協議還原支持,,,POP3,協議還原支持,,,FTP,協議還原支持（支持自動回放）,,,TELNET,協議還原支持（支持自動回放）,,,IMAP,協議還原支持,,,NNT

9、P,協議還原支持,,,DNS,協議還原支持,,,MSN,（網絡聊天）會話回放,,,強大的事件定義庫,,,根據網絡自身應用特點添加自定義檢測規(guī)則,,,根據網絡自身應用特點添加自定義檢測規(guī)則,,,根據網絡自身應用特點添加自定義檢測規(guī)則,,,根據網絡自身應用特點添加自定義檢測規(guī)則,,,靈活的策略編輯器,,,入侵檢測響應選項,主動響應,,收集相關信息,,改變環(huán)境,,反擊攻擊者,,被動響應,,報警和告示,,SNMP/SYSLOG,協議通知,,,,發(fā)現攻擊多種響應方式可供選擇,記錄日志：事件發(fā)生時，記錄到監(jiān)控主機的攻擊檢測數據庫，可通過攻擊檢測查詢。,實時報警：事件發(fā)生時，實時報警中心顯示報警事件，實時報

10、警圖標閃爍。,郵件報警：事件發(fā)生時，將報警事件以郵件的形式發(fā)送出去。,切斷連接：事件發(fā)生時，切斷事件產生的,tcp,連接。,防火墻聯動：由防火墻完成阻斷工作。,Syslog,：事件發(fā)生時，記錄到配置的,Syslog,服務器。,SNMP Trap,：事件發(fā)生時，記錄到配置的,SNMP,服務器。,播放聲音：事件發(fā)生時，按事件的優(yōu)先級發(fā)出不同的聲音。應在“本地選項”中啟用服務、配置聲音文件。,Windows,日志：事件發(fā)生時，寫入安全管理器所在的主機的日志中。,Windows,消息：事件發(fā)生時，向指定的主機發(fā)送消息。,運行程序：事件發(fā)生時，在安全管理器所在的主機上運行指定的程序。,,,實時報警,,,

11、攻擊檢測,,,應用審計,,,網絡審計,,,統計圖表,當查看實時報警、攻擊檢測、內容恢復、應用審計、網絡審計記錄時，可以通過圖表直觀的查看各種信息的統計結果。,,,,實時監(jiān)控系統,,,自定義監(jiān)視狀態(tài)協議方便用戶擴充,,,實時數據流量,在實時數據流量窗體中可通過折線圖查看當前網絡中可監(jiān)聽到的網絡實時數據流量信息，包括,TCP,、,UDP,、,ICMP,三種協議的數據包數和字節(jié)數六種數據流量。,,,,數據實時捕捉工具,,,支持事件統一管理,分層次集中管理 統一取證,,支持通用管理協議,SNMP SYSLOG,與企業(yè)現有安管中心可以無縫集成,,,集中管理器,集中管理多個子監(jiān)控主機及子管理節(jié)點。對子監(jiān)控

12、主機進行升級、安全策略下發(fā)；對子管理節(jié)點進行安全策略下發(fā)。,,所有激活的子監(jiān)控主機向集中管理器提交報警事件，由集中管理器集中審計。,,可利用統計圖表、生成報表功能對收集到的記錄進行分析保存。,,可將收集到的記錄導出為,CSV,文件；可以文本形式保存消息日志。,,可根據不同的用戶權限打開相應的其它管理器，實現對每一臺子監(jiān)控主機的單獨管理。,,,,,,報表查看器,可對通過安全管理器、集中管理器、脫機瀏覽器查詢出的各種數據記錄按不同的模板生成報表。,,可對報表進行打印、保存或以郵件的形式發(fā)送出去。,,可打開保存在本地主機上的,rpt,格式的報表。,,可同時打開多個報表，便于集中分析。,,,,,,,,

13、,添加自定義報表,,,,,,入侵檢測產品報表的重要性,只有定期的查看報告才能及時發(fā)現攻擊企圖，對各種入侵行為及時處理。,,建議每天上班和下班的時候都查看一遍入侵檢測產品的報告。,,報告顯示結果是否清楚明了至關重要。,,介紹我的一個真實的成功案件,,,蜜罐技術,蜜罐技術就是建立一個虛假的網絡，誘惑黑客攻擊這個虛擬的網絡，從而達到保護真正網絡的目的。,,主要作用：,,誘惑黑客攻擊虛假的網絡而忽略真正的網絡。,,收集黑客的信息和企圖，幫助系統進行安全防護和檢測，響應。,,消耗黑客的精力，讓系統管理員有足夠的時間去響應。,,現有技術允許將,4000,個,IP,地址綁定在一臺,PC,機上，顯然會增加攻擊

14、者的工作量，光用掃描這些,IP,地址就要花去大量的時間。,,技術的費用很低，但是能達到很好的效果。,,,入侵檢測面臨的挑戰(zhàn),攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復雜細致的攻擊手法。,,惡意信息采用加密的方法傳輸。,,必須協調、適應多樣性的環(huán)境中的不同的安全策略。,,不斷增大的網絡流量。,,廣泛接受的術語和概念框架的缺乏。,,不斷變化的入侵檢測市場給購買、維護,IDS,造成的困難。,,,,入侵檢測面臨的挑戰(zhàn),采用不恰當的自動反應所造成的風險。,,對,IDS,自身的攻擊。,,大量的誤報和漏報使得發(fā)現問題的真正所在非常困難。,,客觀的評估與測試信息的缺乏。,,交換式局域網造成網絡

15、數據流的可見性下降，同時更快的網絡使數據的實時分析越發(fā)困難。,,,,WEB,服務器日志審計,WEB,日志的分析方法,,WEB,分析工具軟件的介紹,,介紹幾個日志分析的實際例子,,,,通過服務器的返回代碼來判斷,攻擊者使用,CGI,漏洞掃描器對潛在的,CGI,漏洞腳本進行掃描時，,HTTP 404 Not Found errors,的記錄會大量增長，一次完整的掃描一般可以產生,500,個以上的連續(xù),404,錯誤。,,攻擊者嘗試暴力破解服務器上的帳戶，,HTTP 401 Authorization Required errors,的記錄會增長。,,入侵者嘗試,SQL,注入腳本攻擊，,HTTP 50

16、0 Server Errors,記錄會增長。,,,,終端用戶的安全審計,終端用戶的安全防護一直是信息安全的“死角”，但也是最容易出現問題的地方。,隨著,NT,內核的操作系統被大量的采用，所有的工作站其實都是在運行著一臺服務器。,,,當前的解決問題的途徑,采用簡單快速有效的系統安全加固配置方法，以文檔的方式總結出來下發(fā)給所有員工。,,利用,SUS,服務進行內部網絡的補丁統一分發(fā)和管理，大大加快內部網絡的補丁更新速度和頻率。,,利用一些第三方的軟件進行安全審計與控制。,,,事件響應,不要驚慌，冷靜分析和處理問題,,確定問題的性質，事件嚴重程度。,,,,,技術處理流程建議,暫時中斷服務器的網絡通訊，

17、但不要急于重新格式化安裝新系統。,,利用,SNIFFER,監(jiān)視網絡通訊狀況,,利用系統當前分析軟件將進程，端口關聯表，服務狀態(tài)，自啟動程序列表分析并保存結果。,,可以將分析的原始數據發(fā)送給安全專家請求協助。,,利用自評估根據檢測服務器的安裝狀態(tài)補丁安裝情況等。,,,,Thank you,Neusoft Group Ltd.,謝謝,,,演講完畢，謝謝觀看！,內容總結,信息安全威脅審計技術。審計策略有時應公開， 有時應嚴格保密。但很多時候我們身邊沒有一個安全專家可以幫助我們解答這些問題?。入侵檢測設備直接連接在交換設備之間，充當透明網橋功能同時進行數據包抓取分析。SNMP Trap：事件發(fā)生時，記錄到配置的SNMP服務器?？筛鶕煌挠脩魴嘞薮蜷_相應的其它管理器，實現對每一臺子監(jiān)控主機的單獨管理?？纱蜷_保存在本地主機上的rpt格式的報表。建議每天上班和下班的時候都查看一遍入侵檢測產品的報告。技術的費用很低，但是能達到很好的效果。廣泛接受的術語和概念框架的缺乏。不斷變化的入侵檢測市場給購買、維護IDS造成的困難。采用不恰當的自動反應所造成的風險。大量的誤報和漏報使得發(fā)現問題的真正所在非常困難。客觀的評估與測試信息的缺乏。采用簡單快速有效的系統安全加固配置方法，以文檔的方式總結出來下發(fā)給所有員工。利用自評估根據檢測服務器的安裝狀態(tài)補丁安裝情況等。演講完畢，謝謝觀看,