闲谈

闲话

• 网络安全——>网络空间安全

• 网络空间：一个由信息基础设备组成互相依赖的网络

• 继：海、陆、空、天、的第五大空间

信息安全的一个发展：

• 通信保密阶段---计算机安全---信息系统安全---网络空间安全

棱镜门事件

• 棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年小布什时期起开始实施的绝密电子监听计划，该计划的正式名号为“US-984XN”。英国《卫报》和美国《华盛顿邮报》2013年6月6日报道，美国国家安全局（NSA）和联邦调查局（FBI）于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。

APT：

• 高级持续性威胁（Advanced Persistent Threat，APT），又叫高级长期威胁，是一种复杂的、持续的网络攻击，包含三个要素：高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度，需要花费大量时间和资源来研究确定系统内部的漏洞；长期是为了达到特定目的，过程中“放长线”，持续监控目标，对目标保有长期的访问权；威胁强调的是人为参与策划的攻击，攻击目标是高价值的组织，攻击一旦得手，往往会给攻击目标造成巨大的经济损失或政治影响，乃至于毁灭性打击。

• 事件：平昌奥运会、震网事件

防火墙原理

• 包过滤：acl

安全设备：

• 防火墙、ips、ids、av、waf

水坑攻击：

• watering hole。在受害者必经之路设置一个水坑，就是陷进。常见的做法是攻击者分析攻击目标的上网活动规律，经常访问哪些网站，然后利用网站漏洞在其中植入攻击代码，用户访问该网站就中招了。这种方式隐蔽性高，成功率较高。但有一定条件，网站要有漏洞可利用，以便用于部署恶意代码。用户访问被“加工”过的网站时，攻击代码会在客户端植入恶意代码或者直接窃取用户信息，有些就是将用户跳转到其他恶意网站。这些恶意网站中，恶意软件正等待将其与后续的网络钓鱼或勒索软件攻击挂钩。

鱼叉邮件攻击：

• 社工的方式很多人都明白，但是真有些防不胜防，比较多的方式还是使用钓鱼邮件，那我们就看看（spear phishing）鱼叉攻击。鱼叉攻击，肯定是有看到了鱼再叉，也就是有针对性的攻击，目标明确，比如公司或团体，给这些特定团体发送包含木马的邮件，这种邮件要让受害者打开，就需要一个欺骗和迷惑的标题。这个题目和内容的构造就考验红方的想象力了。比如打补丁的通知邮件，放假通知安排，投诉举报，简历投递或者来点公司的劲爆信息引爆吃瓜群众。员工点了附件之后，就中了木马，黑客在远端就可以远程控制这个电脑了。

零日漏洞攻击：

• 零日漏洞也可以称为零时差漏洞，通常是指还没有补丁的安全漏洞。

木马：

• 木马病毒是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击

社会工程学：人性

缺乏自动化防御手段：

网络安全法：2017.06

等级保护制度：2019.05

• 《准则》将计算机安全保护划分为以下五个级别:

  • 第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

  • 第二级:系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，是所有的用户对自己行为的合法性负责。

  • 第三级:安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。

  • 第四级:结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。

  • 第五级:访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

tcp闲聊

• tcp 发送syn时会开辟空间

• tcp：基于字节流 一个字节一个字节的传输 每个字节都有序号

• tcp四元组：源ip，目标ip，源端口，目标端口。

• 数据包五元组：源ip，目标ip，源端口，目标端口，协议。

信息安全

• 防止任何对 数据 进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

常见的网络安全术语

• 漏洞:(脆弱性)可能被一个或多个威胁利用的资产或控制的弱点

• 攻击:企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为

• 入侵:对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。

• 0day:漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞

• 后门:绕过安全控制而获取对程序或系统访问权的方法

• WEBSHELL:以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门

• 社会工程学:通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法

• exploit:简称exp，漏洞利用

• APT攻击:高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻

信息安全脆弱性

• 网络环境的开放性：INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接

协议栈基本攻击模式与脆弱性

协议栈的脆弱性：

• 缺乏数据源验证机制

• 缺乏机密性保障机制

• 缺乏完整性验证机制

常见风险：

基本攻击模式

物理攻击

物理设备破坏

• 指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等>设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听

• 光纤监听 拿一根网线往那一怼，发啥我收啥

• 红外监听 高科技监视电流电位位，光的频段播长

链路层

MAC泛洪攻击

• 交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制;

• 泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播,攻击者凭此获得信息。

• 解决：限制每个接口对应mac地址的学习数量

链路层

ARP欺骗

• 当A与B需要通讯时:

  • A发送ARP Request询问B的MAC地址

  • Hacker冒充B持续发送ARP Reply给A （此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的)

  • 之后A发送给B的正常数据包都会发给Hacker

• 解决：把地址写完整

网络层

ICMP攻击

ICMP不可达攻击

• 这里攻击者不断向192.168.1.1 这个网关区域内的主机发送128.100.100.2主机不可达的报文，区域内的主机一直在处理这个不可达报文，而主机向真正的128.100.100.2发送报文时，主机会认为不可达，发不出去。

• Dos攻击：拒绝服务攻击，通过大量的泛洪的合法消息，达到消耗目标的链路资源，硬件资源，使得资源耗尽，不能提供正常服务

ICMP的重定向攻击

• 当主机A要向服务器A通讯时，会先将信息发给网关RTB。

• RTB收到信息后发现，去往服务器A的走，信息进来的接口，信息进出口相同，路径不佳，这时RTB会向主机A发送ICMP重定向报文，告诉它，今后去往服务器A，直接发送到RTA。

  • 这个过程中，hacker，就可以截获这个重定向报文，将转发地址改为自己控制主机的IP，从而实现数据的监听，和拒绝服务。

TCP SYN Flood攻击

• 面向连接：在发送消息前，会建立一个调到点的连接

• SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。

  • 这里利用的是当有客户端向服务器发送TCP连接请求时，服务器会开辟一部分类内存，用于存储过程中发送的消息

  • 此时就可以利用这个机制，由TCP四元组“源IP、目标IP、源MAC、目标MAC”其中一个参数变化就是一个新的链接，用不同的源IP向服务器大量的发送SYN连接请求，导致服务内存占满，无法正常提供服务

syn洪水攻击：防御

• 设置代理防火墙

  • 每目标 IP 代理阈值：当信息量达到单位时间内多少条时，转交给代理防火墙；

  • 每目标IP丢包阈值：代理防火墙，当信息量达到单位时间内多少条时，不在接收任何数据；

• 首包丢包

  • 每次连接的第一个包丢弃

• syn cookie

  • 携带一个连接状态信息，来确定连接阶段，到达某一阶段时，再开辟空间

TCP这块这位博主讲的很好！！！https://blog.csdn.net/Linkjiee/article/details/128207123?spm=1001.2014.3001.5502

DDOS攻击

• 
  分布式拒绝服务攻击

  • 一两台攻击进行泛洪的作用往往达不到要求，因为带宽的限制，你全部的带宽可能还抵不上人家服务器的万分之一

  • 攻击者往往需要控制几台C&C服务器，而这些C&C服务器底下又有N多台主机（肉鸡），这些主机一起发动攻击

  • 这种攻击，既能达到攻击的目地，又能保证攻击者不被轻易查到；但是肉鸡，CC服务器可能暴露，实为伤敌一千，自损八百

• DDOS攻击的风险维护方案

  • 网络设备性能充裕防火墙、路由器、交换机性能必须有富余

  • 异常流量清洗通过抗D设备清洗异常流量

  • 分布式集群每个节点分配足够资源数据回发瘫痪攻击源

  • 网络带宽资源充裕保持一定比例的网络带宽余量

  • 通过CDN分流多节点分担DDoS攻击流量

应用层

DNS欺骗攻击

1. 客户端通过域名去访问网站，首先去询问DNS服务器域名对应的IP地址

2. 黑客，将DNS服务器的数据篡改了

3. 客户端拿到的IP地址是黑客修改过的

操作系统的脆弱性与攻击模式

操作系统自身的漏洞

• 人为原因

  • 在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。

• 客观原因

  • 受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

• 硬件原因

  • 由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

缓冲区溢出攻击

原理

• 缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变

危害

• 最大数量的漏洞类型

• 漏洞危害等级高

缓冲区溢出攻击过程及防御

攻击过程

• 如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统

  1. 寻找程序漏洞

  2. 编制缓冲区溢出程序

  3. 精确控制跳转地址

  4. 执行设定的代码

  5. 获得系统权限或破坏系统

防御

• 缓冲区溢出的防范可以从以下三个方面考虑:

  • 用户

    • 补丁

    • 防火墙

  • 开发人员

    • 使用相对安全的函数

    • 编写安全代码，对输入数据进行验证

  • 系统

    • 缓冲区不可执行技术

    • 虚拟化技术

终端的脆弱性及常见攻击

恶意程序具有一个或多个特点：

1. 非法性---不经授权自动运行

2. 隐蔽性---隐藏在很深的文件位置

3. 潜伏性---已经感染病毒，但察觉不到

4. 可触发性---一定条件下触发

5. 表现性---表现出一定现状

6. 破坏性---对系统、文件产生破坏

7. 传染性---横向传播 在网络中传播 （求职信病毒）

8. 针对性---专一，专门针对某一种环境

9. 变异性---一种病毒永久后，换一种

10. 不可预见性---未来未知

勒索病毒

定义:

• —种恶意程序，可以感染设备、网络与数据中心并使其瘫痪，直至用户支付赎金使系统解锁。

特点:

• 调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。

• 针对攻击者

  • 传播入口多

  • 传播技术隐蔽

  • 勒索产业化发展

• 针对受害者

  • 安全状况看不清

  • 安全设备防不住

  • 问题处置不及时

危害:

• 勒索病毒会将电脑中的各类文档进行加密，让用户无法打开，并弹窗限时勒索付款提示信息，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将永远无法恢复。

发展阶段

第一阶段:锁定设备，不加密数据

• 时间：2008年以前

• 勒索方式：主要是锁定设备

• 主要家族：LockScreen

• 简介

  • 2008年以前，勒索病毒一般不加密用户数据，只锁住用户设备，需提供赎金才能解锁。

  • 期间以LockScreen家族为主。

  • 由于它不加密用户数据，所以只要清除病毒就不会给用户造成除勒索资金外的其他损失。

  • 该类勒索病毒带来的危害较小，所以该类型的勒索软件只是昙花一现，很快便消失了。

第二阶段:加密数据，交付赎金后解密

• 时间：2013以后

• 勒索方式：加密用户数据

• 主要家族：CTB-Locker、TeslaCrypt、Cerber

• 简介

  • 2013年，以加密用户数据勒索赎金的勒索软件出现在公众视野;

  • 勒索软件采用高强度对称和非对称的加密算法;

  • 因当时的算力不足无法解密，受害用户只能支付赎金

第三阶段:攻陷单点后，横向扩散

• 时间：2017以后

• 勒索方式：加密用户数据

• 主要家族：WannaCry、Satan等

• 简介

  • 此阶段，勒索病毒开始通过漏洞或弱口令等方式发起蠕虫式攻击，典型的如WannaCry;

  • 另外，如Satan病毒，除使用永恒之蓝漏洞传播外，还内置多种web漏洞攻击功能，相比传统的勒索病毒传播能力更强、速度更快。此类病毒利用的传播手法非常危险。

第四阶段:加密货币的出现改变勒索格局

• 黑产由个人化演变为产业化，对于企业的攻击更为频繁与持续

• 黑客曾经的三大困局

  1. 拿到了肉鸡赎金太易被追查

  2. 拿到了计算资源得不到利益

  3. 拿到了信息资产找不到买家

• 现在的格局

  • 去中心化

    • 易行为的记录与控制，成为真正自由的交易方式

  • 跨境无国界

    • 只要可以连入互联网，即可进行实时转账，不受任何地域限制

  • 匿名性

    • 1)通过哈希地址无法还原交易人身份;

    • 2)一个人可以有无数个收款地址。

第五阶段：RaaS模式初见规模

• 相信我，你也可以成为成功的网络罪犯!简单!低成本!一夜暴富!不需要花多年时间浸淫代码编写或软件开发技艺。 只需要下载我们简单的勒索软件工具包，就能让您坐等钱财源源而来——享受在家办公的舒适与弹指坐听比特币落袋声的双重快乐。 ——某勒索病毒宣言

勒索病毒感染与传播方式

• 勒索病毒需要传播植入到受害者主机的常见方式

由外到内

钓鱼邮件

• 恶意代码伪装在邮件附件中，诱使用户打开附件

• 典型案例：Hermes、 Petya

• 主要对象：个人PC

恶意软件捆绑

• 通过捆绑正常软件或恶意软件来分发勒索软件

• 典型案例：Globelmposter

• 主要对象：个人PC

Exploit Kit分发

• 通过黑色产业链中的Exploit Kit来分发勒索软件

• 典型案例：Cerber

• 主要对象：有漏洞的业务Server

横向

蠕虫式传播

• 通过漏洞进行网络空间中的蠕虫式传播

• 典型案例：WannaCry、Petya变种

• 主要对象：无定向，自动传播都有可能

横向、外到内

暴力破解

• 通过暴力破解RDP端口、SSH端口，数据库端口

• 典型案例： Matrix、Planetary、Crysis

• 主要对象：开放远程管理的Server

勒索病毒攻击链分析

1. 感染媒介

   • 钓鱼软件

   • 蠕虫病毒

   • 恶意邮件

2. C&C通信

   • 匿名通信

   • 下载载荷

   • DGA通信

3. 文件加密

   • 混合加密体系

   • 弹出勒索对话框

4. 横向移动

   • 弱点横向探测

   • 蠕虫式传播

   • MS17-010永恒之蓝漏洞

复盘一次勒索病毒事件

• 2019年08月19日接到企业A反馈，企业A的服务器中了勒索病毒。

分析过程

• ①检查客户防火墙安全策略，发现存在一条放通 设备A 3389 端口到公网IP的策略。（运维主机暴露）

• ②设备A 从五月开始一直存在远程桌面服务登入失败的记录。（慢速爆破攻击）

• ③攻击者通过 设备A 作为跳板，利用漏洞攻击取得 服务器A 用户权限并投递勒索病毒。（继续攻击）

• ④ 服务器A 横向爆破扩散几台服务器后，攻击者才打开加密开关，期间一直通过远控服务器遥控攻击行为（远控横向扩散）

安全建设复盘

• ①存在安全暴露点

• ②无法识别慢速爆破

• ③终端没有有效的防御手段

• ④无法识别攻击者和失陷主机的通信信令

• ⑤针对东西向的攻击无法防护

攻击链：

• ①攻击者发现了暴露在公网上的设备A

• ②通过代理服务器进行慢速爆破避免被安全设备识别

• ③取得设备A控制权后继续渗透服务器A

• ④攻陷服务器A后发现是测试环境通过远控继续横向扩散

• ⑤当发现被攻陷的服务器中存在有价值的信息后打开加密开关

构建高效的勒索病毒协同防护体系

挖矿病毒

定义：

• 一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用。

特点：

• 占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器。

危害：

• 占用系统资源、影响系统正常使用。

特洛伊木马

定义：

• 完整的木马程序一般由两个部份组成：服务器程序与控制器程序。

• “中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。

特点：

• 注入正常程序中，当用户执行正常程序时，启动自身。

• 自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口。

危害：

• 个人隐私数据泄露，占用系统资源

蠕虫病毒

定义：

• 蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。

特点：

• 不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。

危害：

• 拒绝服务、隐私信息丢失

宏病毒

定义：

• 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

特点：

• 感染文档、传播速度极快、病毒制作周期短、多平台交叉感染

危害:

• 感染了宏病毒的文档不能正常打印。

• 封闭或改变文件存储路径，将文件改名。

• 非法复制文件，封闭有关菜单，文件无法正常编辑。

• 调用系统命令，造成系统破坏。

流氓软件/间谍软件

定义：

• 流氓软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含中国法律法规规定的计算机病毒。

• 间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。

特点：

• 强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等。

危害：

• 窃取隐私，影响用户使用体验。

僵尸网络

定义：

• 采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

• 僵尸程序：指实现恶意控制功能的程序代码；

• 控制服务器：指控制和通信(C&C)的中心服务器

特点：

• 可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具

• 有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来，可以一对多地执行相同的恶意行为。

危害：

• 拒绝服务攻击；发送垃圾邮件；窃取秘密；滥用资源；僵尸网络挖矿

终端安全防范措施

1. 不要点击来源不明的邮件附件，不从不明网站下载软件

2. 及时给主机打补丁，修复相应的高危漏洞

3. 对重要的数据文件定期进行非本地备份

4. 尽量关闭不必要的文件共享权限以及关闭不必要的端口

5. RDP远程服务器等连接尽量使用强密码，不要使用弱密码

6. 安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能

其他常见攻击

社工攻击

原理：

• 社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。

• 在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

防御手段：

• 定期更换各种系统账号密码，使用高强度密码等。

人为因素

无意的行为

• 工作失误——如按错按钮;

• 经验问题——不是每个人都能成为系统管理员，因此并不了解贸然运行一个不知作用的程序时会怎么样;

• 体制不健全——当好心把自己的账号告诉朋友时，你却无法了解他会如何使用这一礼物;

恶意的行为

• 出于政治的、经济的、商业的、或者个人的目的

• 病毒及破坏性程序、网络黑客

• 在Internet上大量公开的攻击手段和攻击程序

防范措施

• 1.提升安全意识，定期对非IT人员进行安全意识培训和业务培训；

• 2.设置足够强的授权和信任方式，完善最低权限访问模式；

• 3.组织需要完善和落地管理措施，保障安全管理制度是实际存在的；

• 4.善于利用已有的安全手段对核心资产进行安全保护等

拖库、洗库、撞库

原理：

• 拖库：是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。

• 洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作洗库。

• 最后黑客将得到的数据在其它网站上进行尝试登陆，叫做撞库，因为很多用户喜欢使用统一的用户名密码。

防御手段：

• 重要网站/APP的密码一定要独立 、电脑勤打补丁，安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP，用安全的加密方式（如WPA2），密码复杂些、电脑习惯锁屏等。

跳板攻击

原理：

• 攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统,让它们成为“跳板”，再通过这些“跳板”完成攻击行动。

• 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

防御手段：

• 安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制。

钓鱼式攻击/鱼叉式钓鱼攻击

原理：

• 钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

• 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

防御手段：

• 保证网络站点与用户之间的安全传输，加强网络站点的认证过程，即时清除网钓邮件，加强网络站点的监管。

水坑攻击

原理：

• 攻击者首先通过猜测（或观察）确定特定目标经常访问的网站，并入侵其中一个或多个网站，植入恶意软件。最后，达到感染目标的目的。

防御手段：

• 在浏览器或其他软件上，通常会通过零日漏洞感染网站。

• 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。

• 如果恶意内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。

信息安全要素

信息安全的五要素

保密性—confidentiality

• 保密性：确保信息不暴露给未授权的实体或进程。

• 目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

完整性—integrity

• 只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可以防篡改。

可用性—availability

• 得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。

可控性—controllability

• 可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

不可否认性—Non-repudiation

• 不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。

案例

• QQ被盗 ——> 保密性 ——> 被举报、拉黑，删好友。亲人被骗

• 数据被黑 ——> 完整性 ——> 个人权限被入侵破解，重要数据被盗取并删除

• 数据被加密 ——> 可用性 ——> 勒索病毒加密重要数据，并勒索赎金

• 人肉个人信息 ——> 可控性 ——> 个人信息被外泄，散落在各个平台上

• 黑掉公司服务器 ——> 不可否认性 ——> 不清楚是如何被黑，被何人黑掉

企业信息安全建设规划目标

风险可视化（Visibility ）

• 未知攻，焉知防，看见风险才能防范风险

防御主动化（Proactive）

• 最好的防守是进攻，主动防御，纵深防御是设计的目标

运行自动化（ Automation ）

• 全天候自动化的安全运营才能保障安全体系的落实

安全智能化（Intelligent）

• 信息安全未来的重点将转向智能驱动，并能抵御未知高级威胁