02最新网络安全威胁对教育行业的影响及应对方案-V1.2-20140429

最新网络安全威胁对教育行业的影响及应对方案321网络信息安全现状下一代信息安全防御高级逃避测试方法当前网络安全状况--漏洞越来越多每天平均都有新的漏洞被发现数据来源：国家信息安全漏洞共享平台当前网络安全状况--漏洞越来越多当前网络安全状况--漏洞没有补丁或没有及时打补丁当前网络安全状况--0

day攻击当前网络安全状况--排名前十的关键漏洞没有PATCH厂商IBM漏洞分析小组的报告，很多系统其实是存在一些漏洞但是厂家短时间内没有任何解决方案IBM-X-Force-Vulnerability-Threats如何解决?安装补丁?2010.04

用户更新某厂商的防病毒补丁后出现大量机器被锁住无法登陆现象，厂商紧急发布新的补丁。

2009.01

Conflicker

蠕虫病毒爆发受感染的服务器达到几百万台，因为许多公司的Windows服务器没有安装早在2008年10月发布的补丁当前网络安全状况--Web攻击典型攻击的归类典型攻击的归类DataLossDB.orgIncidentsOverTime来自于全球专业性数据泄漏事件分析网站:http:///statistics近几年数据泄露事件统计没有绝对的安全APT(AdvancedPersistentThreat)：高级持续性威胁AET(AdvancedEvasionTechnique)：高级逃避技术“0Day”、未公开漏洞、厂家后门、信任链基础设施…物理隔离也不安全，服务器主机安全防护是最后的堡垒APTAET0DAY/后门攻击者如何入侵的2013年TOP安全威胁APT攻击事件依然难以快速的定位基于政府组织的网络间谍会持续增加

更多的攻击将采用高级攻击技术，随着传统的安全技术和总体计算机攻击防御能力的提高，黑客们将会采用更为先进的攻击手段，而逃避是最为“有效”的一种方式.Time分界线2011-2012防御措施

攻击方式

APT(AdvancedPersistentThreat)高级持续性威胁(AdvancedPersistentThreat，APT)1、有明确的突破目标2、采用多种侦查手段全方位搜集情报3、通常利用0day漏洞4、采用新型的入侵手段5、由一组人员相互协作完成攻击APT的“潜伏性和持续性”是最大威胁

——潜伏性：这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。

——持续性：由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。

——锁定特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。

——安装远程控制工具：攻击者建立一个类似僵尸网络的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器审查。将过滤后的敏感机密数据，利用加密的方式外传。利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。APT入侵客户的途径主要包括以下几个方面APT手段字符串混淆

（Obfuscation）碎片（Fragmentation）协议违规

（Protocolviolations）通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段；利用协议中不常用的属性，伪装攻击流量躲避安全系统检测。逃避手段逃避技术逃避的相关研究AseminaltextdescribingtheattacksagainstIDSsystemsappearedin1997

(注释-逃避IDS检查)OneofthefirstcomprehensivedescriptionofattackswasreportedbyPtacekandNewshaminatechnicalreportin1998(注释-详细的技术细节描述此类攻击)In1998,alsoanarticleinthePhrackMagazinedescribeswaystoby-passnetworkintrusiondetection(注释-逃避IPS的方式)HandleyandPaxsonsuggestnormalizationin2001(注释-建议防护系统具备合法遵从检查)GortonandChampionsuggestedcombinationsin2004(注释-更复杂的合法遵从检查)MooreandCaswelldiscussevasionsatBlackHat2006(注释-更多的人关注逃避)普通的逃避在TCP/IP的不同协议栈同时进行加载

组合形成了高级逃避.可穿越多种协议或协议组合,黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分.高级逃避技术的出现EthernetVLANTagsSMB2SMBTCPUDPApplication高级逃避技术的特性高级逃避技术是动态的、不合常规的、没有数量限制、传统检测手段无法检测传统特征库不可能检测高级逃避技术的特性

测试工具受限

目前有一些工具,集成了一些逃避的技术但是,这些工具是基于不同的漏洞风险的,并不是基于不同的逃避技术的所以,就无法深入的研究高级逃避技术,及无法提供验证防护效率的工具.反逃避的困境和原因高级逃避技术隐藏的攻击可以逃避IPS/IDS的检测–JackWalsh,ProgramManager

如果你的网络系统不能够发现拦截高级逃避，你将面临巨大损失–RickMoy,President进来的研究发现AET是真是存在的而且成爆发时增长。–BobWalder,ResearchDirector高级逃避技术被证实ICSA/NSS/Gartner证明这一系列新型逃避技术确实不能被主流IPS设备所检测出来高级逃避技术的特性目前公开的高级逃避只是冰山一角高级逃避技术的特性可穿越多种协议或协议组合，黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分.《TPAAnalysisBrief》August14,2012BobWalderfromNSSLABAPT中的A就是利用零日漏洞和复杂的逃避技术进行攻击高级逃避技术的特性《CybercrimeKillChainvs.DefenseEffectiveness》Nov,2012StefanFrei,Ph.DfromNSSLAB高级逃避技术在APT攻击中被广泛使用对于Oracle数据库，一个RPC碎片逃避就可以导致30多种不同远程攻击高级逃避技术的特性高级逃避的存在促使了下一代IPS出现

Gartner制定了描述了下一代IPS的蓝图

其中一个重要的原因就是高级逃避逃避了IPS的检查《DefiningNextIPS》利用逃避技术和其它新的传递手段高级逃避技术的特性只要存在漏洞目标,高级逃避技术就可以传递任何已知和未知的攻击,更可怕的是没有人知道它的存在,没有任何日志记录.高级逃避技术就像

一把万能的钥匙高级逃避技术的特性“高级逃避技术”已经引起国内安全专家和厂商的重视国内安全厂商纷纷投入力量进行研发，目前对“普通逃避技术”已经取得了较好的防御效果国内部分安全产品已经能够防御部分或大部分的“高级逃避技术”的入侵，但是仍存在较大的技术差距进一步加强对“高级逃避技术”最新威胁的研究，成为国内安全行业的首要课题国内针对高级逃避技术的研究近况网络信息安全总结网络架构风险应用安全风险主机安全风险321网络信息安全现状下一代安全防御高级逃避测试方法Firewall传统安全防御IDSUTM新一代的防御对策防火墙入侵防御应用防御主机防护入侵防御Networklayer(OSI2-3)Applicationlayer(OSI4-7)网络防御应用防御主机防御（服务器加固系统）安全防御的划分深度检测病毒检测应用控制网络防御Clicktoedittitlestyle下一代防御系统

应用感知及协议栈可视在应用层鉴别应用、加强网络安全策略，从而独立于端口协议（而不是仅仅基于端口、协议和业务）；

上下文感知及内容感知根据IPS之外的源地址提高拦截判决，或改善拦截规则；检查和分类入站的可执行文件及其他类似的文件类型，比如PDF和微软office文件；

灵活的引擎对于新的信息资源反馈和针对将来出现的威胁的解决技术留有升级通道。下一代网络安全的定义安全引擎在每一层执行完整的协议栈检测，基于应用层数据流的检测过程

网络防御多协议组合检测；采用更好检测算法；从IP层到应用层逐层的合规标准化检测，突破传统的检测机制.新的检测方式特性硬件架构及高性能无需外加硬件设备可实现bypass。简化网络构架，提高单机可实现吞吐量。访问控制及策略系统策略、严格策略、认证策略实现网络的分层防御透明部署过滤及防毒内置WEB数据过滤库、屏蔽非法网站,包括多个大类和URL记录，具有病毒检测功能定期更新升级灵活部署及集群支持分布式部署性能扩展，实现负载均衡具备功能应用防御Web防御数据库防御邮件防御应用防御-WEBWEB应用防火墙-加固web应用站点帮助客户实现合规需求Web漏洞扫描-扫描，分析，检查web应用漏洞应用加速-加速确保实时提交web应用站点支付内容负载均衡-保证可持续的性能高可用的web应用应用防御-数据库配置和漏洞管理各行业类别内的广泛政策驱动基于策略的控制自动处理IT内部控制数据库活动监控实时监视关键用户和关键业务变化数据库审计和合规性实现合规和取证分析的目的应用防御-邮件丰富的部署模式针对各种邮件系统有良好的部署方式归档具备邮件归档隔离&报告实现邮件隔离及垃圾邮件病毒邮件报告主机防御（服务器加固系统）的目标防止注入防止被利用数据保护主机防御（服务器加固系统）的目标设定从系统层面保证入侵者不能控制目标服务器，不能成为“肉鸡”，不能成为入侵者攻击其他目标的“帮凶”发现企图隐藏者满足等级保护对服务器加固的安全要求替代人工的定期安全加固服务服务器是攻击者的最终目标信息：窃取到目标内的特定信息；信息：修改了目标内的特定信息；控制：建立了远程控制目标的后门通道；隐藏：成功潜伏在目标内没有被发现；不让服务器被入侵者控制，把安全损失降低到最少。阻止入侵者最想做的事---反控制能力

(账户提权、shellcode、后门账户、远程命令窗口、安装木马、主动回家、上传工具…)发现入侵者自己的痕迹---反隐藏能力(日志保存、进程注入、系统驱动篡改、非授权文件写入、篡改安全配置、Rootkit…)服务器安全加固系统的设计目标进不来：减少系统漏洞，加强动态监控，入侵成功后无法启动木马进程或特定访问服务；拿不走：入侵成功获取系统管理员权限，却不能看到用户敏感的数据文件或目录，无法窃取敏感数据；改不了：对系统文件进行完整性保护，敏感信息隐藏，攻击者看不到；控不了：入侵成功却不能实施预想操作(下载数据、安装后门、获取权限…)，无法安装或启动远程操作工具；逃不掉：无法启动“回家”进程，无法接收主人指令，无法删除行为痕迹。主机防御（服务器加固系统）敏感性保护-系统用户与文件目录建立安全级别标记，每个用户不能读级别高于自己级别的文件目录，不能写低于自己级别的文件目录。完整性保护-完整性保护系统目录或文件，如系统驱动、配置文件、注册表等，允许读或执行，但限定其账户、时间、登录方式等等。进程管理-可以配置黑白名单，学习模式下只禁止黑名单进程；运行模式下，可以设置是否运行非白名单进程运行的控制开关。主机防御配置加固-弥补漏洞防止暴力破解防止后门连接事件查看-文件访问进程运行进程注入安全事件技术标准1：敏感性数据保护-偷不走符合BLP模型：

系统用户与文件目录建立安全级别标记，每个用户不能读级别高于自己级别的文件目录，不能写低于自己级别的文件目录。技术标准2：系统完整性保护-改不了完整性保护系统目录或文件，如系统驱动、配置文件、注册表等，允许读或执行，但限定其账户、时间、登录方式等等。技术标准3：进程管理-进不来进程白名单进程黑名单进程注入白名单

可以配置黑白名单，学习模式下只禁止黑名单进程；运行模式下，可以设置是否运行非白名单进程运行的控制开关技术标准4：安全事件查看-逃不掉文件访问进程运行进程注入安全事件技术特点1：系统安全的双重控制机制服务器加固系统控制：敏感性保护：账户与文件目录都建立名感标记，强制性访问控制完整性保护：严格限制其修改权限，强制性访问控制Windows控制：账户口令控制：口令管理账户权限控制：系统管理员与普通账户系统权限(入侵者攻击的)+服务器加固系统权限(入侵者不知道的)

=系统操作技术特点2：强制性访问控制BLP系统管理员administrator普通用户秘密级敏感用户机密级机密级目录秘密级目录公开级目录可读不可读技术特点3：防注入技术：进程注入方法：通过对远程进程创建线程的方式注入：进程间通讯的一种方式，在其他进程空间运行自己注册表注入：利用系统或用户程序启动自己钩子注入：驻留内核，利用系统调用启动自己防止进程注入方法：监控内核函数：禁止没有注入权限的进程创建远程线程注册表文件管理：阻止对注册表的非授权写入钩子注入：对系统进程的钩子链进行监控设置注入权限，在白名单内的进程可以开通注入权限，未在白名单内的进程无注入权限技术特点4：反控制进程黑白名单：非授权的进程不能启动，禁止入侵者的非法行为，阻止入侵者开辟后门通道特殊进程与服务监控：账户权限监控：防止提权远程桌面监控：防止操控网络连接监控：防止链接安装简便方便配置保证服务器不被攻击者控制不影响业务运行容易卸载服务器加固系统的设计宗旨建立等级保护等级保护目的能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。建立全网应急相应中心全网部署结合三级等保整改建设将重要数据和信息中心统一进行防护分散部署到个重要系统网络出入口建设全网统一的入侵检测和应急响应中心安全技术手段不统一，安全技术标准不统一，安全管理不统一，安全策略不统一安全技术手段统一，安全技术标准统一，安全管理统一，安全策略统一不涉及网络架构变动，原有设备继续使用，工作量小，进度快，省投资，统一提升至最新安全防护水平下一代安全防御技术总结网络安全防御应用安全防御主机安全防御建立等级保护建立全网应急响应中心321网络信息安全现状下一代信息安全防御高级逃避测试方法介绍本测试方案是针对现有网络中的安全设备（包括防火墙、IDS/IPS），通过高级逃避（AET,AdvancedEvasionTechnology）的手段来检测、审计现有网络安全设备防御功能的一个系统。该系统包括高级逃避模拟攻击机和高级逃避模拟目标机两部分。待检测的网络安全设备串联在模拟攻击和目标机之间，模拟攻击机通过高级逃避的手段来避开待测网络安全设备的检查，达到控制模拟目的机。在此过程中，通过查看网络安全设备的反应（警告、拦截等），来检测审计该网络安全设备对高级逃避攻击手段的防御能力。环境拓扑TES交换机IPS目标默认管理IP:登陆方式::8000部署透明模式加载安全策