信息安全威脅審計(jì)

Click to edit Master title style,,Click to edit Master text styles,,Second level,,Third level,,Fourth level,,Fifth level,,*,,*,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡(jiǎn)25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡(jiǎn)25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡(jiǎn)25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡(jiǎn)25pt,,Arial 或 Frutiger 55 Roman 25pt ,華文細(xì)黑簡(jiǎn)25pt,,Arial 或Frutiger Bold 40pt ,黑體簡(jiǎn)40pt,,,,*,Neusoft Co., Ltd.,,信息安全威脅審計(jì)技術(shù),,,曹鵬 網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷中心解決方案部部長(zhǎng),CISP,北京,caopeng@,沈陽東軟軟件股份有限公司,,,怎么去理解審計(jì)的重要性和實(shí)際用途,好象是城市交通安全中的違章攝像頭和自動(dòng)拍照系統(tǒng)。,,審計(jì)策略有時(shí)應(yīng)公開， 有時(shí)應(yīng)嚴(yán)格保密。,,審計(jì)結(jié)果數(shù)據(jù)需要有專人負(fù)責(zé)處理，沒有完全自動(dòng)的審計(jì)產(chǎn)品，人的因素非常重要。,,,入侵檢測(cè)系統(tǒng),,WEB,日志分析系統(tǒng),,終端用戶審計(jì)和控制系統(tǒng),,遭受入侵后的檢測(cè)工作流程建議,安全審計(jì)部分內(nèi)容整體介紹,,,哪些站點(diǎn)最容易遭受攻擊,,什么是入侵檢測(cè),,入侵檢測(cè)的主要檢測(cè)方式,,入侵檢測(cè)系統(tǒng)主要能夠?qū)崿F(xiàn)的安全功能有什么,,入侵檢測(cè)所面臨的技術(shù)挑戰(zhàn),,,從入侵檢測(cè)系統(tǒng)說起,~,,,,,,,政府站點(diǎn),,,很多站點(diǎn)甚至都沒有發(fā)現(xiàn)自己已經(jīng)被攻擊,,,一例利用,FORNTPAGE,的攻擊事件,,,利用同樣的手段遠(yuǎn)程進(jìn)入調(diào)試頁(yè)面狀態(tài),,,修改后的結(jié)果,,,入侵過程描述,入侵主機(jī)情況描述：,該主機(jī)位于國(guó)家,xx,局的,x,層計(jì)算機(jī)辦公室，在,11,月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫(kù)被刪除記錄的事件，最后該網(wǎng)站管理員認(rèn)定事件可疑，隨即向國(guó)家,xx,局網(wǎng)絡(luò)安全管理部門報(bào)告，我公司在接到國(guó)家,xx,局的報(bào)告后，立即趕到現(xiàn)場(chǎng)取證分析。,操作系統(tǒng)和補(bǔ)丁情況：,WIN2000,個(gè)人版操作系統(tǒng),SP2,的補(bǔ)丁包,主要服務(wù)用途：,做為國(guó)家,xx,局計(jì)算中心內(nèi)部網(wǎng)站使用，負(fù)責(zé)發(fā)布計(jì)算中心內(nèi)部信息。網(wǎng)站運(yùn)行,IIS5,，后臺(tái)數(shù)據(jù)庫(kù)采用,ACCESS,。,入侵后的行為表現(xiàn)：,主頁(yè)頁(yè)面新聞欄目?jī)?nèi)容被刪除，后臺(tái)數(shù)據(jù)庫(kù)內(nèi)容被人非法刪改。,,,,,分析審計(jì),WEB,服務(wù)器訪問日志,00:40:59 10.71.1.98 GET /mynews.mdb 200,該記錄表明,10.71.1.98,在早上,8,點(diǎn),40,分的時(shí)候非法下載了,mynews.mdb,數(shù)據(jù)庫(kù)，服務(wù)器返回,200,正確請(qǐng)求值，表示請(qǐng)求成功該數(shù)據(jù)庫(kù)已經(jīng)被非法下載。,00:42:14 10.71.1.98 GET /login.asp 200,隨后該攻擊者直接訪問網(wǎng)站的在線管理系統(tǒng)。,,,,入侵檢測(cè)的基本概念,真正的入侵檢測(cè)系統(tǒng)是在,20,世紀(jì),80,年代末才開始被研究,,我們先來明確計(jì)算機(jī)安全的特性有那三個(gè)方面,CIA,,機(jī)密性,,完整性,,可用性,,,什么是入侵呢？,破壞上面四性的行為都可以定義為入侵，不管成功與否。,,從受害者的角度可以說：,,發(fā)生了什么？,,誰是受害者？,,受害程度大不大？,,誰是入侵者？,,入侵者的來源在哪里？,,入侵發(fā)生的時(shí)間？,,入侵是怎么發(fā)生的？,,為什么發(fā)生入侵？,,但很多時(shí)候我們身邊沒有一個(gè)安全專家可以幫助我們解答這些問題,?,,,為什么需要入侵檢測(cè)系統(tǒng),檢測(cè)防護(hù)部分阻止不了的入侵,,檢測(cè)入侵的前兆,,入侵事件的歸檔,,網(wǎng)絡(luò)遭受威脅程度的評(píng)估,,入侵事件的恢復(fù),,,入侵檢測(cè)的分類和檢測(cè)方式,基于主機(jī)的入侵檢測(cè)系統(tǒng),,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),,基于文件效驗(yàn)方式的入侵檢測(cè),,基于誘捕的蜜罐檢測(cè)技術(shù),,,全面的檢測(cè)方式,異常檢測(cè)：異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。,特征檢測(cè)：特征檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。支持用戶自定義攻擊特征代碼分析。,事后檢測(cè)：完整的將網(wǎng)絡(luò)中所有活動(dòng)數(shù)據(jù)報(bào)的特征記錄下來，當(dāng)發(fā)生不可確定的安全時(shí)間時(shí)，可以將信息包全部回放，進(jìn)行事后檢測(cè)分析。,協(xié)議內(nèi)容檢測(cè)：支持常見的明文應(yīng)用層協(xié)議記錄，可以及時(shí)恢復(fù)所有訪問原始交互內(nèi)容。支持用戶自定義明文協(xié)議特征。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,多種靈活接入方式,入侵檢測(cè)設(shè)備直接連接在交換機(jī)的偵聽口,入侵檢測(cè)設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時(shí)進(jìn)行數(shù)據(jù)包抓取分析,,,,入侵檢測(cè)設(shè)備支持多端口偵聽，對(duì)中小企業(yè)網(wǎng)絡(luò)更好適應(yīng)。,內(nèi)部網(wǎng)絡(luò),DMZ,區(qū)域,多偵聽口設(shè)計(jì)多臺(tái)交換機(jī)數(shù)據(jù)同時(shí)采集處理,,,強(qiáng)大的網(wǎng)絡(luò)訪問內(nèi)容審計(jì)功能,可以進(jìn)行多種協(xié)議,HTTP,、,FTP,、,POP3,、,SMTP,、,IMAP,、,NNTP,、,Telnet,、,rsh,、,rlogin,、,MSN,、,Yahoo Messager,、,DNS,等協(xié)議的回放和會(huì)話記錄，便于回放資源訪問的詳細(xì)過程并追查攻擊的來源。,,支持用戶自定義擴(kuò)充,,,明文應(yīng)用協(xié)議還原配置,,,對(duì)于,HTTP,協(xié)議做到訪問頁(yè)面級(jí)別的還原,,,SMTP,協(xié)議還原支持,,,POP3,協(xié)議還原支持,,,FTP,協(xié)議還原支持（支持自動(dòng)回放）,,,TELNET,協(xié)議還原支持（支持自動(dòng)回放）,,,IMAP,協(xié)議還原支持,,,NNTP,協(xié)議還原支持,,,DNS,協(xié)議還原支持,,,MSN,（網(wǎng)絡(luò)聊天）會(huì)話回放,,,強(qiáng)大的事件定義庫(kù),,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則,,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則,,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則,,,根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則,,,靈活的策略編輯器,,,入侵檢測(cè)響應(yīng)選項(xiàng),主動(dòng)響應(yīng),,收集相關(guān)信息,,改變環(huán)境,,反擊攻擊者,,被動(dòng)響應(yīng),,報(bào)警和告示,,SNMP/SYSLOG,協(xié)議通知,,,,發(fā)現(xiàn)攻擊多種響應(yīng)方式可供選擇,記錄日志：事件發(fā)生時(shí)，記錄到監(jiān)控主機(jī)的攻擊檢測(cè)數(shù)據(jù)庫(kù)，可通過攻擊檢測(cè)查詢。,實(shí)時(shí)報(bào)警：事件發(fā)生時(shí)，實(shí)時(shí)報(bào)警中心顯示報(bào)警事件，實(shí)時(shí)報(bào)警圖標(biāo)閃爍。,郵件報(bào)警：事件發(fā)生時(shí)，將報(bào)警事件以郵件的形式發(fā)送出去。,切斷連接：事件發(fā)生時(shí)，切斷事件產(chǎn)生的,tcp,連接。,防火墻聯(lián)動(dòng)：由防火墻完成阻斷工作。,Syslog,：事件發(fā)生時(shí)，記錄到配置的,Syslog,服務(wù)器。,SNMP Trap,：事件發(fā)生時(shí)，記錄到配置的,SNMP,服務(wù)器。,播放聲音：事件發(fā)生時(shí)，按事件的優(yōu)先級(jí)發(fā)出不同的聲音。應(yīng)在“本地選項(xiàng)”中啟用服務(wù)、配置聲音文件。,Windows,日志：事件發(fā)生時(shí)，寫入安全管理器所在的主機(jī)的日志中。,Windows,消息：事件發(fā)生時(shí)，向指定的主機(jī)發(fā)送消息。,運(yùn)行程序：事件發(fā)生時(shí)，在安全管理器所在的主機(jī)上運(yùn)行指定的程序。,,,實(shí)時(shí)報(bào)警,,,攻擊檢測(cè),,,應(yīng)用審計(jì),,,網(wǎng)絡(luò)審計(jì),,,統(tǒng)計(jì)圖表,當(dāng)查看實(shí)時(shí)報(bào)警、攻擊檢測(cè)、內(nèi)容恢復(fù)、應(yīng)用審計(jì)、網(wǎng)絡(luò)審計(jì)記錄時(shí)，可以通過圖表直觀的查看各種信息的統(tǒng)計(jì)結(jié)果。,,,,實(shí)時(shí)監(jiān)控系統(tǒng),,,自定義監(jiān)視狀態(tài)協(xié)議方便用戶擴(kuò)充,,,實(shí)時(shí)數(shù)據(jù)流量,在實(shí)時(shí)數(shù)據(jù)流量窗體中可通過折線圖查看當(dāng)前網(wǎng)絡(luò)中可監(jiān)聽到的網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)流量信息，包括,TCP,、,UDP,、,ICMP,三種協(xié)議的數(shù)據(jù)包數(shù)和字節(jié)數(shù)六種數(shù)據(jù)流量。,,,,數(shù)據(jù)實(shí)時(shí)捕捉工具,,,支持事件統(tǒng)一管理,分層次集中管理 統(tǒng)一取證,,支持通用管理協(xié)議,SNMP SYSLOG,與企業(yè)現(xiàn)有安管中心可以無縫集成,,,集中管理器,集中管理多個(gè)子監(jiān)控主機(jī)及子管理節(jié)點(diǎn)。對(duì)子監(jiān)控主機(jī)進(jìn)行升級(jí)、安全策略下發(fā)；對(duì)子管理節(jié)點(diǎn)進(jìn)行安全策略下發(fā)。,,所有激活的子監(jiān)控主機(jī)向集中管理器提交報(bào)警事件，由集中管理器集中審計(jì)。,,可利用統(tǒng)計(jì)圖表、生成報(bào)表功能對(duì)收集到的記錄進(jìn)行分析保存。,,可將收集到的記錄導(dǎo)出為,CSV,文件；可以文本形式保存消息日志。,,可根據(jù)不同的用戶權(quán)限打開相應(yīng)的其它管理器，實(shí)現(xiàn)對(duì)每一臺(tái)子監(jiān)控主機(jī)的單獨(dú)管理。,,,,,,報(bào)表查看器,可對(duì)通過安全管理器、集中管理器、脫機(jī)瀏覽器查詢出的各種數(shù)據(jù)記錄按不同的模板生成報(bào)表。,,可對(duì)報(bào)表進(jìn)行打印、保存或以郵件的形式發(fā)送出去。,,可打開保存在本地主機(jī)上的,rpt,格式的報(bào)表。,,可同時(shí)打開多個(gè)報(bào)表，便于集中分析。,,,,,,,,,添加自定義報(bào)表,,,,,,入侵檢測(cè)產(chǎn)品報(bào)表的重要性,只有定期的查看報(bào)告才能及時(shí)發(fā)現(xiàn)攻擊企圖，對(duì)各種入侵行為及時(shí)處理。,,建議每天上班和下班的時(shí)候都查看一遍入侵檢測(cè)產(chǎn)品的報(bào)告。,,報(bào)告顯示結(jié)果是否清楚明了至關(guān)重要。,,介紹我的一個(gè)真實(shí)的成功案件,,,蜜罐技術(shù),蜜罐技術(shù)就是建立一個(gè)虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個(gè)虛擬的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)的目的。,,主要作用：,,誘惑黑客攻擊虛假的網(wǎng)絡(luò)而忽略真正的網(wǎng)絡(luò)。,,收集黑客的信息和企圖，幫助系統(tǒng)進(jìn)行安全防護(hù)和檢測(cè)，響應(yīng)。,,消耗黑客的精力，讓系統(tǒng)管理員有足夠的時(shí)間去響應(yīng)。,,現(xiàn)有技術(shù)允許將,4000,個(gè),IP,地址綁定在一臺(tái),PC,機(jī)上，顯然會(huì)增加攻擊者的工作量，光用掃描這些,IP,地址就要花去大量的時(shí)間。,,技術(shù)的費(fèi)用很低，但是能達(dá)到很好的效果。,,,入侵檢測(cè)面臨的挑戰(zhàn),攻擊者不斷增加的知識(shí)，日趨成熟多樣自動(dòng)化工具，以及越來越復(fù)雜細(xì)致的攻擊手法。,,惡意信息采用加密的方法傳輸。,,必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。,,不斷增大的網(wǎng)絡(luò)流量。,,廣泛接受的術(shù)語和概念框架的缺乏。,,不斷變化的入侵檢測(cè)市場(chǎng)給購(gòu)買、維護(hù),IDS,造成的困難。,,,,入侵檢測(cè)面臨的挑戰(zhàn),采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)所造成的風(fēng)險(xiǎn)。,,對(duì),IDS,自身的攻擊。,,大量的誤報(bào)和漏報(bào)使得發(fā)現(xiàn)問題的真正所在非常困難。,,客觀的評(píng)估與測(cè)試信息的缺乏。,,交換式局域網(wǎng)造成網(wǎng)絡(luò)數(shù)據(jù)流的可見性下降，同時(shí)更快的網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析越發(fā)困難。,,,,WEB,服務(wù)器日志審計(jì),WEB,日志的分析方法,,WEB,分析工具軟件的介紹,,介紹幾個(gè)日志分析的實(shí)際例子,,,,通過服務(wù)器的返回代碼來判斷,攻擊者使用,CGI,漏洞掃描器對(duì)潛在的,CGI,漏洞腳本進(jìn)行掃描時(shí)，,HTTP 404 Not Found errors,的記錄會(huì)大量增長(zhǎng)，一次完整的掃描一般可以產(chǎn)生,500,個(gè)以上的連續(xù),404,錯(cuò)誤。,,攻擊者嘗試暴力破解服務(wù)器上的帳戶，,HTTP 401 Authorization Required errors,的記錄會(huì)增長(zhǎng)。,,入侵者嘗試,SQL,注入腳本攻擊，,HTTP 500 Server Errors,記錄會(huì)增長(zhǎng)。,,,,終端用戶的安全審計(jì),終端用戶的安全防護(hù)一直是信息安全的“死角”，但也是最容易出現(xiàn)問題的地方。,隨著,NT,內(nèi)核的操作系統(tǒng)被大量的采用，所有的工作站其實(shí)都是在運(yùn)行著一臺(tái)服務(wù)器。,,,當(dāng)前的解決問題的途徑,采用簡(jiǎn)單快速有效的系統(tǒng)安全加固配置方法，以文檔的方式總結(jié)出來下發(fā)給所有員工。,,利用,SUS,服務(wù)進(jìn)行內(nèi)部網(wǎng)絡(luò)的補(bǔ)丁統(tǒng)一分發(fā)和管理，大大加快內(nèi)部網(wǎng)絡(luò)的補(bǔ)丁更新速度和頻率。,,利用一些第三方的軟件進(jìn)行安全審計(jì)與控制。,,,事件響應(yīng),不要驚慌，冷靜分析和處理問題,,確定問題的性質(zhì)，事件嚴(yán)重程度。,,,,,技術(shù)處理流程建議,暫時(shí)中斷服務(wù)器的網(wǎng)絡(luò)通訊，但不要急于重新格式化安裝新系統(tǒng)。,,利用,SNIFFER,監(jiān)視網(wǎng)絡(luò)通訊狀況,,利用系統(tǒng)當(dāng)前分析軟件將進(jìn)程，端口關(guān)聯(lián)表，服務(wù)狀態(tài)，自啟動(dòng)程序列表分析并保存結(jié)果。,,可以將分析的原始數(shù)據(jù)發(fā)送給安全專家請(qǐng)求協(xié)助。,,利用自評(píng)估根據(jù)檢測(cè)服務(wù)器的安裝狀態(tài)補(bǔ)丁安裝情況等。,,,,Thank you,Neusoft Group Ltd.,謝謝,,,演講完畢，謝謝觀看！,內(nèi)容總結(jié),信息安全威脅審計(jì)技術(shù)。審計(jì)策略有時(shí)應(yīng)公開， 有時(shí)應(yīng)嚴(yán)格保密。但很多時(shí)候我們身邊沒有一個(gè)安全專家可以幫助我們解答這些問題?。入侵檢測(cè)設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時(shí)進(jìn)行數(shù)據(jù)包抓取分析。SNMP Trap：事件發(fā)生時(shí)，記錄到配置的SNMP服務(wù)器。可根據(jù)不同的用戶權(quán)限打開相應(yīng)的其它管理器，實(shí)現(xiàn)對(duì)每一臺(tái)子監(jiān)控主機(jī)的單獨(dú)管理。可打開保存在本地主機(jī)上的rpt格式的報(bào)表。建議每天上班和下班的時(shí)候都查看一遍入侵檢測(cè)產(chǎn)品的報(bào)告。技術(shù)的費(fèi)用很低，但是能達(dá)到很好的效果。廣泛接受的術(shù)語和概念框架的缺乏。不斷變化的入侵檢測(cè)市場(chǎng)給購(gòu)買、維護(hù)IDS造成的困難。采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)所造成的風(fēng)險(xiǎn)。大量的誤報(bào)和漏報(bào)使得發(fā)現(xiàn)問題的真正所在非常困難?？陀^的評(píng)估與測(cè)試信息的缺乏。采用簡(jiǎn)單快速有效的系統(tǒng)安全加固配置方法，以文檔的方式總結(jié)出來下發(fā)給所有員工。利用自評(píng)估根據(jù)檢測(cè)服務(wù)器的安裝狀態(tài)補(bǔ)丁安裝情況等。演講完畢，謝謝觀看,