在信息时代，信息已经成为第一战略资源，信息对组织使命的完成、组织目标的实现起着至关重要的作用，因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体，资产价值越高，面临的风险就越大。而对于目前的组织机构而言，由于组织的业务运营越来越依赖于信息资产，信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度，保护信息及其相关资产，最终保障组织能够完成其使命，实现其目标。

一、什么是安全风险

风险定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面，如财务目标、健康和人身安全目标、信息安全目标和环境目标等；目标也可能有不同的级别，如战略目标、组织目标、项目目标、产品目标和过程目标等。风险经常通过引用潜在事态和后果或这些的组合来描述。影响，是对一个预期的偏离，正面的或负面的偏离。
风险是客观存在的，与不确定性紧密相连，但又不能完全等同。风险带来的影响，通常都是负面的(正面的影响通常不被称为风险)。风险强调的是损害的潜在可能性，而不是事实上的损害。风险不能消除殆尽，包括人为因素带来的风险，也一样不能消除殆尽。衡量风险的两个基本要素就是事件的概率和影响。
威胁利用脆弱性作用于资产产生影响，威胁增加了组织资产的风险，脆弱点能够暴露资产，脆弱性本身不会构成对资产的损害，但是脆弱性被威胁利用就会增加组织资产的风险。

二、如何评估安全风险

根据《信息安全技术信息安全风险评估规范》（GB/T 20984-2007），对评估对象进行安全风险评估分析，风险分析中涉及评估对象的影响范围、威胁、脆弱性三个基本要素。

以下参考互联网新技术新业务安全风险评估可以分为确定影响范围->确定威胁->确定脆弱性->计算分险值->形成评估结论，通过定量和定性相结合的方式进行安全风险评估。

1、确定影响范围

影响范围是指评估对象涉及的传播影响，按评估对象支持的用户数计。
对于运营于互联网上的应用系统，参考下表进行赋值。

2、确定威胁

威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性，采用一定的途径和方式，对评估对象造成损害或损失，从而形成风险。如：下表为互联网新技术新业务安全评估涉及的威胁及发生可能性赋值。

为了便于对不同威胁发生的可能性概率数据进行类比、度量，依据经验或专家意见进行赋值，常用准则参照如下表。采用相对等级的方式进行度量，等级值为1-5，1为最低，5为最高。
表：威胁赋值准则

3、确定脆弱性

脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞，这些漏洞可能会被威胁所利用。脆弱性依据经验或专家意见进行赋值，常用准则参照如下表。采用相对等级的方式进行度量，等级值为1-3，1为最低，3为最高。
表：脆弱性赋值准则

脆弱性等级

4、计算风险值

风险计算公式：

风险值=影响范围 * 威胁可能性 * 脆弱严重性

根据风险计算公式得出风险值后可以对应其风险等级，如风险值在55-75分，表示风险极高

5、评估结论

评估报告以风险计算得分形式呈现，即：不仅呈现脆弱性问题，并且对于不符合评估标准的项，根据面临威胁赋值和脆弱性赋值，结合评估对象的影响范围计算出风险得分，依据得分给出风险等级（极高、高、中、低、极低）。 任一评估要点匹配对应的企业安全保障能力的脆弱性测算值＞0时，须及时记录并反馈至本级信息安全部门进行报备。任一评估要点的风险值的对应等级为中及其以上程度时，必须纳入整改事项严格贯彻执行，并密切跟踪把握风险变化、持续健全更新与之匹配对应的信息安全管理措施和技术保障手段，根据业务上线后的经营发展情况适时开展安全评估，以确保将信息安全风险控制在中级以下范围内。评估管理部门应组织评估专家审查小组，对“评估结论”进行审核，通过后出具评审结论。

三、为什么要管理安全风险

风险管理的目的是确保不确定性不会使企业的业务目标发生变化。风险管理是风险的识别、评估和优化，然后协调和经济地应用资源，以最小化监测和控制不良事件的可能性及影响，最大限度地实现业务。

风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡，并最终通过对支持其使命的信息系统及数据进行保护而提高其实现使命的能力。

一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施是有成本的，因此对信息安全的成本必须像其他管理决策一样进行全面检查。一套合理的风险管理方法，可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力，以有效实现其使命。

四、如何管理安全风险

信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤，监控审查和沟通咨询则贯穿于这4个基本步骤中，如下图所示。

1、背景建立

背景建立是信息安全风险管理的第一个步骤，是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，对信息安全风险管理项目进行规划和准备，保障后续的风险管理活动顺利进行。背景是建立在业务需求的基础上，通过有效的风险评估和国家、地区、行业相关法律法规及标准的约束下获得背景依据。
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在信息安全风险管理过程中，对象确立过程是一次信息安全风险管理主循环的起始，为风险评估提供输人。

2、风险评估

风险评估确定信息资产的价值、识别适用的威胁和(存在或可能存在的)脆弱点、识别现有控制措施及其对已识别风险的影响，确定潜在后果,对风险进行最终的优先级排序，并按照风险范畴中设定的风险评价准则进行排名。
风险评估的目的是通过风险评估的结果，来获得信息安全需求，信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具，能够将安全活动的重点放在重要的问题上，能够选择有合理成本效益的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，已被广泛应用于各个领域。
风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段。在信息安全风险管理过程中，风险评估活动接受背景建立阶段的输出，形成本阶段的最终输出《风险评估报告》，此文档为风险处理活动提供输人。

3、风险处理

风险处理是依据风险评估的结果，选择和实施合适的安全措施。风险处理的目的是为了将风险始终控制在可接受的范围内。风险处理的方式主要有降低、规避、转移和接受4种方式。

• 降低方式:
  组织首先应该选择降低风险，通常通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5个方面( 即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。比如，采用法律的手段制裁计算机犯罪(包括窃取机密信息，攻击关键的信息系统基础设施，传播病毒、不健康信息和垃圾邮件等)，发挥法律的威慑作用，从而有效遏制威胁源的动机;采取身份认证措施，从而抵制身份假冒这种威胁行为的能力；及时给系统打补丁(特别是针对安全漏洞的补丁)，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性；采用各种防护措施，建立资产的安全域，从而保证资产不受侵犯，其价值得到保持；采取容灾备份、应急响应和业务连续计划等措施，从而减少安全事件造成的影响程度。

• 规避方式:
  当风险不能被降低时，通过不使用面临风险的资产来避免风险。比如，在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。再如，对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害人侵和不良攻击。

• 转移方式:
  只有在风险既不能被降低，又不能被规避时，通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。比如，在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构，从而避免技术风险。再如，通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，从而降低资产价值的损失。

• 接受方式:
  是选择对风险不采取进一步的处理措施，接受风险可能带来的结果。接受风险的前提是确定了风险的等级，评估了风险发生的可能性以及带来的潜在破坏，分析了使用每种处理措施的可行性，并进行了较全面的成本效益分析，认定某些功能、服务、信息或资产不需要进一 步保护。

风险处理的过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段。

4、批准监督

批准监督包括批准和持续监督两部分。
批准，是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定。批准应由机构内部或更高层的主管机构的决策层来执行。
持续监督，是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新的安全隐患并影响到信息系统的安全保障级别。监督通常由机构内部管理层和执行层完成，必要时也可以委托支持层的外部专业机构提供支持，这主要取决于信息系统的性质和机构自身的专业能力。
对风险评估和风险处理的结果的批准和持续监督，不能仅依据相关标准进行僵化的对比，而是需要紧紧围绕信息系统所承载的业务，通过对业务的重要性和业务遭受损失后所带来的影响来开展相关工作。批准通过的依据( 原则)有两个：一是信息系统的残余风险是可接受的；二是安全措施能够满足信息系统当前业务的安全需求。

参考资料：
《CISP培训教材》
《信息安全工程师教程（第2版）》
《信息安全技术信息安全风险评估规范》

博客地址：http://xiejava.ishareread.com/

随着信息系统的发展，大家都在说网络安全要覆盖“云”、“管”、“端”，CWPP与EDR是目前非常火的产品，一个面向云端服务器的防护，一个是面向常规终端PC端的防护。

在介绍CWPP与EDR两个产品概念之前，先来简单说明一下主机、服务器、终端几个位置概念：

主机VS服务器。主机是一个统称，所有服务器（虚拟机）都是主机，但并非所有主机都是服务器，也就是主机覆盖服务器。主机和服务器的主要差别在于，主机是连接到网络的计算机或其他设备，而服务器是提供服务的软件或硬件设备，日常所说的服务器一般是指提供服务的主机。由此可见，主机安全并不是一个产品，而是对应一个需要被保护的位置，主机安全即主机侧的安全保护。

终端VS服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备，而服务器则是提供服务、存储、计算的设备。当然，某种程度上来说，广义上的终端概念也可以包括服务器，但常规意义的终端不包括服务器。

对于一般的应用系统来说，服务器就是提供服务的主机如提供WEB、FTP、数据库等服务的服务器，终端就是访问服务的工作站、个人PC等。

一、CWPP的定义

现代数据中心支持运行在物理设备、虚拟机（VM）、容器以及私有云基础架构中的各种工作负载，并且几乎总是涉及一些在一个或多个公有云基础设施即服务（IaaS）提供商中运行的工作负载。
云工作保护平台(Cloud Workload Protection Platform)简称CWPP，市场定义为基于主机的解决方案，主要满足现代混合数据中心架构中，服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式，通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载，而不用考虑工作负载运行的位置。
可以理解成为基于代理（Agent）的底层技术方案，和传统部署在网络边界上的安全产品不一样，CWPP部署在操作系统层，因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境，部署方式更加灵活、防护层面更加丰富。采用服务端agent+远程控制台的部署模式，agent支持云、物理、混合环境部署，能有效安全加固服务器、抵御黑客攻击和恶意代码。

Gartner定义的产品能力(需求)的金子塔说明了对CWPP产品能力的定义，越是靠近基座的功能越重要，越是靠近塔尖的功能越次要。

CWPP的核心能力：

• Congurationand vulnerability management 配置和漏洞管理
  1.配置，即服务器优化，通过对操作系统进行合理配置，提升操作系统的安全性和抗攻击能力。
  2.漏洞管理，分为操作系统漏洞管理和应用漏洞管理。目前网络攻击主要是通过web服务器或者web应用漏洞发起，因此CWPP产品要能提供标准化、同时支持制定自定义的web应用漏洞防护策略。
• Networksegmentation, isolation and traffic visibility 网络隔离与流可视
  要求CWPP产品首先能图形化管理用户的主机业务资产，并且可以跨物理、虚拟架构、网络定于基于角色的访问策略（微隔离）；对于主机之间的访问关系，可以图形化的展示和控制（流可视化）。
• Systemintegrity measurement， attestation and monitoring 系统完整性检测、认证和监测
  可以保护系统文件或者指定目录、文件不被恶意修改，提供监控模式和防护模式。
• Application control应用防护
  CWPP产品需要能识别到主机上运行的应用，并对不同的应用提供相应的防护策略，如云锁对web应用提供waf防护，对于sshd、remotedesktop提供防暴力破解防护等。
• Capabilities that augment/verify foundational operational controls 增强及验证基础运维能力
  CWPP产品要求不能单纯依靠服务器账号、密码来验证管理员，而需要引入账号密码外的第二套验证机制。比如云锁的登陆防护功能，可以限制登陆服务的用户名、IP范围、登陆时间、登陆服务器使用的PC名称，如果不满足限制条件，即使拿到服务器的管理员账号密码也无法登陆服务器。
• Log management and monitoring日志管理和监测
  要求CWPP产品能提供完整的日志，同时当安全事件发生后，CWPP产品需要关联相关日志最终形成事件IOC，帮助用户回溯攻击过程，快速定位风险点。

二、EDR的定义

根据Gartner的定义，EDR端点检测与响应（Endpoint Detection and Response）简称EDR是一种集成的终端安全解决方案，它将终端数据的实时连续监控和收集与基于规则的自动响应和分析功能相结合。该术语由Gartner的Anton Chuvakin提出，用于描述新兴的安全系统，用于检测和调查终端上的可疑活动，采用高度自动化使安全团队能够快速识别和响应威胁。完全不同于以往的端点被动防护思路，而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的安全威胁，并进行自动化的阻止、取证、补救和溯源，从而有效对端点进行防护。

相比于传统端点安全防护采用预设安全策略的静态防御技术，EDR加强了威胁检测和响应取证能力，能够快速检测、识别、监控和处理端点事件，从而在威胁尚未造成危害前进行检测和阻止，帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示：

• 资产发现：定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产，包括全网所有的端点资产和在用的软件名称、版本，确保整个网络中没有安全盲点。
• 系统加固：定期进行漏洞扫描、补丁修复、安全策略设置和更新端点软件清单，通过软件白名单限制未经授权的软件运行，通过主机防火墙限制未经授权的服务端口开放，并定期检查和清理内部人员的账号和授权信息。
• 威胁检测：通过端点本地的主机入侵检测和借助云端威胁情报、异常行为分析、攻击指示器等方式，针对各类安全威胁，在其发生前、发生中、发生后进行相应的安全检测动作。
• 响应取证：针对全网的安全威胁进行可视化展示，能够针对安全威胁自动化地进行隔离、修复和补救，自动完成安全威胁的调查、分析和取证工作，降低事件响应和取证分析的技术门槛，不需要依赖于外部专家即可完成快速响应和取证分析。

三、CWPP与EDR的关系与区别

EDR与CWPP主机安全属于网络安全领域两个不同的方向，前者聚焦于常规的终端侧，后者聚焦于主机侧，两者作用于完全不同的位置。EDR的基因是根植于PC等常规终端的，它天然不适配于主机侧。

在安全的需求上，PC类的终端侧与主机侧的安全诉求差别很大。所以，面向终端的EDR产品与面向服务器/工作负载的主机安全产品CWPP，这两者之间有本质的区别，并不能混为一谈。主机侧的安全产品实现不了终端侧的安全防护，EDR也不能实现CWPP的防护效果。
两种产品的区别如下：

CWPP与EDR，一个面向服务器端的防护（CWPP），一个是面向常规终端PC端的防护（EDR）但是对于企业的整体安全防护来说，CWPP和EDR相互作为补充构建企业的云、端防护能力。

博客：http://xiejava.ishareread.com/

一、什么是APT攻击

当今，网络系统面临着越来越严重的安全挑战，在众多的安全挑战中，一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗，国际上常称之为APT（Advanced Persistent Threat高级持续性威胁）攻击。
APT攻击是一种以商业或者政治目的为前提的特定攻击，其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息，特别是针对国家重要的基础设施和单位开展攻击，包括能源、电力、金融、国防等等。APT攻击常常采用多种攻击技术手段，包括一些最为先进的手段和社会工程学方法，并通过长时间持续性的网络渗透，一步步的获取内部网络权限，此后便长期潜伏在内部网络，不断地收集各种信息，直至窃取到重要情报。
对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的，该定义给出了APT攻击的4个要素，具体如下。
(1)攻击者：拥有高水平专业知识和丰富资源的敌对方。
(2)攻击目的：破坏某组织的关键设施，或阻碍某项任务的正常进行。
(3)攻击手段：利用多种攻击方式，通过在目标基础设施上建立并扩展立足点来获取信息。
(4)攻击过程：在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。

二、APT攻击过程

一般APT攻击过程可概括为3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段，又可细分为5个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。

1.情报收集

在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息(如公司通讯录等)。攻击者通过对这些信息的分析，可以清晰地了解攻击目标所使用的应用、防御软件，组织内部架构和人员关系，核心资产存放情况等等。于是，攻击者针对特定目标(一般是内部员工)所使用的应用软件寻找漏洞，并结合特定目标所使用的杀毒软件、防火墙等设计特定木马/恶意代码以绕过防御。同时，攻击者搭建好入侵服务器，开展技术准备工作。

2.防线突破

攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：①社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员 工打开附件，员工电脑便感染了恶意软件。②远程漏洞攻击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。

3.通道建立

攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用HTTP/HTTPS等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。

4.横向渗透

入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。

5.信息收集及外传

攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。

三、APT攻击和传统攻击的区别

APT攻击具有不同于传统网络攻击的5个显著特征：针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。
1.针对性强
APT攻击的目标明确，多数为拥有丰富数据/知识产权的目标，所获取的数据通常为商业机密、国家安全数据、知识产权等。
相对于传统攻击的盗取个人信息，APT攻击只关注预先指定的目标，所有的攻击方法都只针对特定目标和特定系统，针对性较强。
2.组织严密
APT攻击成功可带来巨大的商业利益，因此攻击者通常以组织形式存在，由熟练黑客形成团体，分工协作，长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源，具备长时间专注APT研究的条件和能力。
3.持续时间长
APT攻击具有较强的持续性，经过长期的准备与策划，攻击者通常在目标网络中潜伏几个月甚至几年，通过反复渗透，不断改进攻击路径和方法，发动持续攻击，如零日漏洞攻击等。
4.高隐蔽性
APT攻击根据目标的特点，能绕过目标所在网络的防御系统，极其隐藏地盗取数据或进行破坏。在信息收集阶段，攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透，使被攻击者很难察觉；在攻击阶段，基于对目标嗅探的结果，设计开发极具针对性的木马等恶意软件，绕过目标网络防御系统，隐蔽攻击。
5.间接攻击
APT攻击不同于传统网络攻击的直接攻击方式，通常利用第三方网站或服务器作跳板，布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中，可由攻击者在远端进行遥控攻击，也可由被攻击者无意触发启动攻击。

四、如何防范APT攻击

随着人们对APT攻击的研究不断深入，已经出现一些有效的防御技术来对抗APT攻击，其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括：沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等等。

1.沙箱技术

沙箱，又叫做沙盘，被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境，同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离，以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术，将测试过程中生成和修改的文件定向到特定文件夹中，避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时，可以及时地观察并分析其特征码，进一步防御其深入攻击。

2.信誉技术

安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术，通过建立信誉库，包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等，可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑，实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用，将进一步提高安全新品的安全防护能力。

3.主机漏洞防护技术

针对横向移动与内部资料进行挖掘和探测的防御，可采用主机漏洞防护技术，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控，保护未套用修补程序的主机，防止已知和0day 漏洞攻击。

4.异常流量分析技术

这是一种流量检测及分析技术，其采用旁路接入方式提取流量信息，可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测，并基于时间、拓扑、节点等多种统计分析手段，建立流量行为轮廓和学习模型来识别流量异常情况，进而判断并识别0Day漏洞攻击等。

5.数据防泄漏技术（DLP）

针对资料外传的风险，一般可采用加密和资料外泄防护 (DLP)技术，将关键、敏感、机密的数据加密，是降低数据外泄风险的一种方法，DLP 可提供一层额外的防护来防止数据外泄。然而，这类工具通常很复杂，而且有些部署条件，例如：数据要分类，要定义政策和规则等。

6、大数据分析技术

APT攻击防御离不开大数据分析技术，无论是网络系统本身产生的大量日志数据，还是SOC安管平台产生的大量日志信息，均可以利用大数据分析技术进行大数据再分析，运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹，以弥补传统安全防御技术的不足。

我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御，目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节，未来发展的趋势，是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系，如态势感知平台等。

博客：http://xiejava.ishareread.com/

随着通信技术和信息技术的发展，极大的改变了人们处理信息的方式和效率。计算机网络尤其是互联网的出现是信息技术发展中一个里程碑事件。计算机网络将通信技术和计算机技术结合起来。信息在计算机上产生、处理，并在网络中传输。网络信息系统安全是通信安全和信息系统安全的综合，网络信息安全已经覆盖了信息资产的生成、处理、传输和存储等各个阶段。包括信息自身的安全、信息应用的安全、计算机信息系统安全、通信网络安全。

网络信息系统安全随着通信技术和信息技术的发展，大致经历了通信保密年代、计算机系统安全年代、信息系统网络安全年代、网络空间安全年代。

一、通信保密年代

1906年，美国物理学家费森登( Fessenden )成功地研究出无线电广播。法国人克拉维尔建立了英法第一条商用无线电线路，推动了无线电技术的进一步发展。
进入20世纪，尤其是在“二战”时期，军事和外交方面的巨大需求，使得无线通信技术得到飞速发展，被广泛用来传递军事情报、作战指令、外交政策等各种关键信息。21世纪，通信技术突飞猛进的发展，移动通信和数字通信成为通信技术的主流，现代世界中通信技术成为支撑整个社会的命脉和根本。
在通信保密年代，网络信息安全面临的主要威胁是攻击者对通信内容的窃取:有线通信容易被搭线窃听、无线通信由于电磁波在空间传播易被监听。保密成为通信安全阶段的核心安全需求。这阶段主要通过密码技术对通信的内容进行加密，保证数据的保密性和完整性，而破译成为攻击者对这种安全措施的反制。

二、计算机系统安全年代

计算机经历了电子计算机、晶体管计算机、集成电路计算机等几个阶段。尤其是在进入20世纪70年代后,随着个人计算机的普及，各行各业都迅速采用计算机处理各种业务。计算机在处理、存储信息数据等方面的应用越来越广泛。美国国家标准局公布了《数据加密标准》( Data Encryption Standard,DES )，标志着信息安全由通信保密阶段进人计算机安全阶段。这个时期，计算机网络尚未大规模普及，相对于电话电报，计算机对信息的处理和存储能力强大，但数据长距离、大容量的传输方式较单一，功能相对较弱(主要通过软盘等形式传输)。因此，计算机阶段主要威胁来自于非授权用户对计算资源的非法使用、对信息的修改和破坏。
20世纪80年代计算机安全的概念开始成熟。计算机安全的主要目的是采取措施和控制以确保信息系统资产(包括硬件、软件、固件和通信、存储和处理的信息)的保密性、完整性和可用性。典型代表措施是通过操作系统的访问控制手段来防止非授权用户的访问。

三、信息系统网络安全年代

计算机网络尤其是互联网的出现是信息技术发展中一个里程碑事件。计算机网络将通信技术和计算机技术结合起来。信息在计算机上产生、处理，并在网络中传输。信息技术由此进人网络阶段，网络阶段利用通信技术将分布的计算机连接在一起，形成覆盖整个组织机构甚至整个世界的信息系统。信息系统安全是通信安全和计算机安全的综合，信息安全需求已经全面覆盖了信息资产的生成、处理、传输和存储等各阶段,确保信息系统的保密性、完整性和可用性。信息系统安全也曾被称为网络安全，主要是保护信息在存储、处理和传输过程中免受非授权的访问，防止授权用户的拒绝服务，同时检测、记录和对抗此类威胁。为了抵御这些威胁，人们开始使用防火墙、防病毒、PKI、 VPN等安全产品。此阶段的主要标志是发布了《信息技术安全性评估通用准则》，此准则即通常所说的通用准则( Common Criteria,CC)，后转变为国际标准ISO/IEC 15408,我国等同采纳此国际标准为国家标准GB/T 18336。

四、网络空间安全年代

随着互联网的不断发展，越来越多的设备被接人并融合，技术的融合将传统的虚拟世界与物理世界相互连接，共同构成了一个新的IT世界。互联网成为个人生活、组织机构甚至国家运行不可或缺的一部分，网络空间随之诞生，信息化发展进人网络空间阶段。网络空间作为新兴的第五空间，已经成为新的国家竞争领域,威胁来源从个人上升到犯罪组织，甚至上升到国家力量的层面。
“网络空间( Cyberspace)”一词，由加拿大作家威廉●吉布森在其短篇科幻小说《燃烧的铬》中创造出来，原意指由计算机创建的虚拟信息空间，体现了Cyberspace 不仅是信息的简单聚合体，也包含了信息对人类思想认知的影响。此后，随着信息技术的快速发展和互联网的广泛应用，Cyberspace 的概念不断丰富和演化。
随着信息化的不断深人，信息系统成为组织机构工作和生活不可或缺的一部分，信息安全威胁来源从个人上升到犯罪组织，甚至国家力量。在这个阶段，人们认识到信息安全保障不能仅仅依赖于技术措施，开始意识到管理的重要性和信息系统的动态发展性，信息安全保障的概念逐渐形成和成熟。
信息安全保障把信息系统安全从技术扩展到管理，从静态扩展到动态，通过各种安全保障技术和安全保障管理措施的综合融合至信息化中，形成对信息、信息系统乃至业务以及使命的保障。信息安全保障时代，其主要标志是《信息保障技术框架》（IATF）。如果说对信息的保护，主要还是处于从传统安全理念到信息化安全理念的转变过程中，那么面向业务的安全保障，就完全是从信息化的角度来考虑信息的安全了。体系性的安全保障理念，不仅是关注系统的漏洞，而且是从业务的生命周期着手，对业务流程进行分析，找出流程中的关键控制点，从安全事件出现的前、中、后三个阶段进行安全保障。面向业务的安全保障不是只建立防护屏障，而是建立一个“深度防御体系”，通过更多的技术手段把安全管理与技术防护联系起来，不再是被动地保护自己，而是主动地防御攻击。也就是说，面向业务的安全防护已经从被动走向主动，安全保障理念从风险承受模式走向安全保障模式。信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。
2009年5月29日，美国发布《网络空间政策评估:确保信息和通信系统的可靠性和韧性》报告。云计算、虚拟化、物联网、移动互联网、大数据、人工智能等新技术的出现，使得网络空间安全的问题无比复杂。
2016年12月，我国发布了《国家网络空间安全战略》，明确了网络空间是国家安全的新疆域，已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域，国家主权拓展延伸到网络空间，网络空间主权成为国家主权的重要组成部分。

作者博客：http://xiejava.ishareread.com/

自建hexo博客xiejava.ishareread.com一直在用CNZZ的网站流量统计，每天登陆到CNZZ的网站流量统计后台看博客的访问量成了建站以来的习惯。3月23日以后突然发现CNZZ的统计没有数据了，查了半天才知道CNZZ的U-Web统计分析产品停服了，计划要收费了。最开始用百度统计也是的，原来用得好好的，突然也是要收费了才开始转向用CNZZ的，现在CNZZ也要开始收费了。看来互联网公司日子比较难过了，免费时代已经一去不复返了。对于个人博客网站来说要付费买个网站流量统计又有点划不来。本来流量就很少，每年域名要付费、主机要付费，再弄个流量统计也要付费实在是有点承受不了。但是没有网站流量统计，不能看到自己的站点的访问量，对于个人自建网站来讲失去了大部分的乐趣。
所以这几天一直在寻找其他的网站流量统计的工具，只到找到了51LA。以前只知道百度和CNZZ的网站流量统计工具，最近才了解到51LA统计，它是15年老牌网站统计工具，是互联网上最早基于ASP编写的网站数据统计工具，拥有一大批忠实老站长，后来历经改造，推出新版51LA统计目前是网站统计V6，界面较以往有了较大的改动更加友好直观。
51LA网站统计V6的产品链接是 https://v6.51.la/

看到”免费使用“几个大字的时候我的眼睛已经发光了。迫不及待的点击“注册”，进行使用。

一、注册登录

注册流程很简单，要注册的信息很少，基本上就是手机号和登录密码。

注册过程很友好，注册完就可以登录了。

二、添加应用

在正式使用网站统计服务之前要添加应用。也就是要将要统计的站点域名登记到应用里，生成统计代码。
点击“添加应用”按钮。要填的信息也就是你要统计的站点域名，可以是多个域名。我的hexo博客除了用到xiejava.ishareread.com外还在github和gited上都生成了。所以把这几个访问的域名都加上。

三、加入网站流量统计代码

添加应用后下一步就是生成统计代码，将统计代码加入到自己的hexo站点。

标签页后面还有“图标引用”、“数据挂件”的代码，如果有需要也可以加入。
找到自己的hexo站点的文件目录的footer.swig文件，具体在themes\hexo-theme-next\layout\_partials目录下。编辑footer.swig文件，加入统计代码，根据需要加入图标引用、数据挂件的代码。

四、查看统计效果

加入统计代码、图标引用、数据挂件代码后，大约5分钟刷新hexo站点，就可以在网站底部看到图标和数据挂件。

登录到https://v6.51.la/user/application 的管理后台，可以看到代码安装状态为“安装成功”

点击“查看报表”可以查看网站的流量统计分析信息。各种统计图表直观易懂，数据详实，感觉比CNZZ 及百度统计更加实用和方便。

51LA可免费添加应用30个，每日应用统计总PV在3000000，对于个人站点或小型企业足足够用了。

作者博客：http://xiejava.ishareread.com/

什么是“纵深防御”？很多人和资料都有不同的解释，有许多资料将“纵深防御”和“分层防护”等同起来，
上次文章介绍了“分层防护”，分层防护是根据网络的应用现状情况和网络的结构，将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理等各个层级，在每个层级实施相应的防护策略和手段。“纵深防御”与“分层防护”既有区别又有联系。

“纵深防御”实际上并不是一个网络安全领域的专属名词，早在二十世纪初，前苏联元帅米·尼·图哈切夫斯基就在对第一次世界大战以及国内战争经验的基础上，提出了一种名为“大纵深作战理论”的思想。由于网络安全的本质就是黑客与开发者之间的攻防战，所以信息安全领域中的“纵深防御”概念确与战争学上的思想有着共通之处，其核心都是多点布防、以点带面、多面成体，以形成一个多层次的、立体的全方位防御体系来挫伤敌人、保障自身的整体安全。

根据《信息安全工程师教程（第2版）》的描述，纵深防御模型的基本思路就是将信息网络安全防护措施有机组合起来，针对保护对象，部署合适的安全措施，形成多道保护线，各安全防护措施能够相互支持和补救，尽可能地阻断攻击者的威胁。目前，安全业界认为网络需要建立四道防线：安全保护是网络的第一道防线，能够阻止对网络的入侵和危害；安全监测是网络的第二道防线，可以及时发现入侵和破坏；实施响应是网络的第三道防线，当攻击发生时维持网络”打不垮”；恢复是网络的第四道防线，使网络在遭受攻击后能够以最快的速度“起死回升”，最大限度地降低安全事件带来的损失。看描述基本上是对应美国国防部提出的PDRR模型，即（Protection防护、Detection检测、Recovery恢复、Response响应）。PDRR改进了传统的只有防护的单一安全防御思想，强调信息安全保障的四个重要环节。
保护（Protection）的内容主要有加密机制、数据签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
检测（Detection）的内容主要有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
恢复（Recovery）的内容主要有数据备份、数据修复、系统恢复等。
响应（Response）的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。

但是PPDR模型总体还是比较局限与从技术上考虑安全问题。随着信息化的发展，人们越来越意识到信息安全涉及面非常广，除了技术，管理、制度、人员和法律等方面也是信息安全必须考虑的因素，就像一个由多块木板构成的“木桶”，木桶的容量由最短的那块短板决定。在处理信息安全问题是，需要全面考虑各方面的因素。

所以美国国家安全局（NSA）发布的信息安全保障技术框架IATF（Information Assurance Technical Framework）提出了纵深防御战略思想，其3个核心要素就是人、技术和操作。信息系统安全保障依赖于人、技术和操作来共同实现组织机构的职能。
IATF用一句话概括起来就是：一个核心思想、三个核心要素、四个焦点领域。

一个核心思想
一个核心思想就是”纵深防御”，纵深防御也被称为深度防护战略（Defense-in-Depth），是指网络安全需要采用一个多层次、纵深的安全措施来保障信息安全。因为网络信息的安全不是仅仅依靠一两种技术或简单的安全防御设施就能实现，必须在各个层次、不同技术框架区域中实施保障机制，才能最大程度地降低风险，应对攻击并保护信息系统的安全。在一个规范的信息系统网络中，我们可以看到在网络出口有防火墙，在DMZ区有防火墙，在服务器前端还有防火墙，这就是纵深防御思想的一个体现。需要在多个位置部署安全措施，看似重复，但是因其面对不同的业务、其安全策略有很大的差异。

三个核心要素
三个核心要素是人、技术、操作。网络安全三分靠技术、七分靠管理，三要素中的“人”指的就是加强管理。
人是信息系统的主题，包括信息系统的拥有者、管理者和使用者，是信息安全保障的核心；
技术是重要手段，需要通过技术机制来保障各项业务的安全，是一种被动防御；
操作也称为运行或运营安全，是一种主动防御的体系和机制，包括风险评估、监控、审计、入侵检测等。

四个焦点领域
网络和基础设施、区域边界、计算环境、支撑性基础设施4个焦点领域。基于这4个焦点领域，结合IATF纵深防御的思想进行信息安全防御从而形成保障框架。

1.保护网络和基础设施

网络和其他基础设施是信息系统及业务的支撑，是整个信息系统安全的基础。应采取措施确保网络和基础设施能稳定可靠运行，不会因故障和外界影响导致服务的中断或数据延迟，确保在网络中进行传输的公共的、私人的信息能正确地被接收者获取，不会导致未受权的访问、更改等。保护网络和基础设施防护措施包括但并不限于以下方式。

• 合理规划以确保骨干网可用性。
• 使用安全的技 术架构，例如在使用无线网络时考虑安全的技术架构。
• 使用冗余设备提高可用性。
• 使用虚拟专网 ( VPN)保护通信。

2.保护区域边界

信息系统根据业务、管理方式和安全等级的不同，通常可以划分为多个区域，这些区或多或少都有与其他区域相连接的边界。保护区域边界关注的是如何对进出这此区域边界的数据流进行有效的控制与监视。要合理地将信息系统根据业务、管理方式和安全等级划分不同的安全区域，并明确定义不同网络区域间需要哪些数据传递。在此基础上采取措施对数据进行控制与监视。通常采取的措施包括但并不限于以下方式。

• 在区域边界设 置身份认证和访问控制措施，例如部署防火墙对来访者进行身份认证。
• 在区域边 界部署人侵检测系统以发现针对安全区域内的攻击行为。
• 在区域边界部署防病毒网关以发现并过滤数据中的恶意代码。
• 使用VPN设备以确保安全的接人。
• 部署抗拒绝服务攻击设备以应对拒绝服务攻击。
• 流量管理、行为管理等其他措施。

3.保护计算环境

计算环境指信息系统中的服务器、客户机及其中安装的操作系统、应用软件等。保护计算环境通常采用身份鉴别、访问控制、加密等一系列技术以确保计算环境内的数据保密性、完整性、可用性、不可否认性等。保护计算环境的措施包括但并不限于以下方式。
安装并使用安全的操作系统和应用软件。

• 在服务 器上部署主机入侵检测系统、防病毒软件及其他安全防护软件。
• 定期对系统进行漏洞扫描或者补丁加固，以避免系统脆弱性。
• 定期对系统进行安全配置检查，确保最优配置。
• 部署或配置对文件的完整性保护。
• 定期对 系统和数据进行备份等。

4.支撑性基础设施

支撑性基础设施是提供安全服务的基础设施及与之相关的一系列活动的综合体。IATF定义了两种类型的支撑性基础设施：密钥管理基础设施( KMI) /公钥基础设施( PKI)和检测与响应。

• KMI/PKI：提供支持密钥、授权和证书管理的密码基础设施并能实现使用网络服务人员确实的身份识别。
• 检测与响应：提供入侵检测、报告、分析、评估和响应基础设施，它能迅速检测和响应入侵、异常事件并提供运行状态的情况。

IATF的4个技术焦点区域是一个逐层递进的关系，从而形成一种纵深防御系统。因此，以上4个方面的应用充分贯彻了纵深防御的思想，对整个信息系统的各个区域、各个层次，甚至在每一个层次内部都部署了信息安全设备和安全机制，保证访问者对每一个 系统组件进行访问时都受到保障机制的监视和检测，以实现系统全方位的充分防御，将系统遭受攻进行访问时都受到保障机制的监视和检测，以实现系统全方位的充分防御，将系统遭受攻击的风险降至最低,确保数据的安全和可靠。

除了纵深防御这个核心思想之外，IATF还提出了其他一些信息安全原则，包括保护多个位置、分层防护。
1.保护多个位置
保护多个位置包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们，仅仅在信息系统的重要敏感区域设置一些保护装置 是不够的，任意一个系统漏洞都有可能导致严重的攻击和破坏后果，所以在信息系统的各个方位布置全面的防御机制，才能将风险降至最低。
2.分层防御
如果说保护多个位置原则是横向防御，那么这一原则就是纵向防御，这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制，每个这样的机制必须对攻击者形成一道屏障。而且每一个这样的机制还应包括保护和检测措施，以使攻击者不得不面对被检测到的风险，迫使攻击者由于高昂的攻击代价而放弃攻击行为。

可见，纵深防御是战略思想、分层防护是具体的战术实现。

资料来源：
《信息安全工程师教程（第2版）》
《CISP培训教材》

作者博客：http://xiejava.ishareread.com/

作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

1.物理环境的安全性(物理层安全)

该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质)，软硬件设备安全性(替换设备、拆卸设备、增加设备)，设备的备份，防灾害能力、防干扰能力，设备的运行环境(温度、湿度、烟尘)，不间断电源保障，等等。

2.操作系统的安全性(系统层安全)

该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。

3.网络的安全性(网络层安全)

该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。

4.应用的安全性(应用层安全)

该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。

5.管理的安全性(管理层安全)

安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

作者博客：http://xiejava.ishareread.com/

一、背景

数字新时代正在加速全面到来，网络环境变得更加多元、人员变得更复杂、接入方式多种多样，网络边界逐渐模糊甚至消失，同时伴随着企业数据的激增。数字化转型促进组织的业务发展的同时，也带来了重大的网络安全挑战。
1.越来越多的外部攻击，包括被利益驱动或国家驱动的难以察觉的高级攻击；
2.心怀恶意的内鬼、疏忽大意的员工、失陷账号与失陷主机导致的各种内部威胁；
3.数字化基础设施的脆弱性和风险暴露面越来越多，业务需求多变持续加剧的问题；
4.安全团队人员不足或能力有限，深陷不对称的“安全战争”之中。
在数字化带来的巨大变化下，传统的安全威胁发现能力受到了巨大的挑战。传统安全产品、技术、方案基本上都是基于已知特征进行规则匹配来进行分析和检测，基于特征、规则和人工分析，以“特征”为核心的检测分析存在安全可见性盲区，有严重的滞后效应、无力检测未知攻击、容易被绕过，以及难以适应攻防对抗的网络现实和快速变化的企业环境、外部威胁等问题。

安全是人和人攻防对抗的游戏，一切的意图都需要通过行为表达，这是安全运营中最重要也最有价值的一块拼图，同时也是传统方式最欠缺的。针对传统方式的不足，安全行业逐步加强基于大数据驱动，机器学习、概率分析、模式识别等的以“行为”为核心的检测分析。
用户实体行为分析（UEBA）应运而生。

二、UEBA是什么

UEBA全名User and Entity Behavior Analytics ，即为用户实体行为分析。
Gartner 对 UEBA 的定义是“UEBA 提供画像及基于各种分析方法的异常检测，通常是基本分析方法（利用签名的规则、模式匹配、简单统计、阈值等）和高级分析方法（监督和无监督的机器学习等），用打包分析来评估用户和其他实体（主机、应用程序、网络、数据库等），发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。这些活动包括受信内部或第三方人员对系统的异常访问（用户异常），或外部攻击者绕过安全控制措施的入侵（异常用户）

用户行为分析(UBA)关联了用户活动和相关实体（用户相关的应用和终端等）信息构建人物角色与群组，进一步定义这些个体与群组的合法和正常行为，把这些人物角色在群体与群体、群体与个体、个体与个体（那些远离合法和正常行为的群体与个体）维度上相互比对分析，将异常用户（失陷账号）和用户异常（非法行为）检测出来，从而达到检测业务欺诈、敏感数据泄露、内部恶意用户、有针对性攻击等高级威胁的目的。

三、UEBA应用场景

1 账号安全

内部员工特别是高权限用户，以及服务和共享类帐户是内部和外部攻击者的主要目标。通过获取他们的访问权限则能够访问最敏感的交易、数据，甚至可以创建其他新特权帐户或滥用提权操作。由于公司账号数量庞大且难以区分滥用和合法使用，组织在监控这些帐户时面临着巨大的挑战。有效监控特权帐户不仅是一项重要的合规性要求，而且还是一项关键的威胁管理功能。和专有的特权账号管理应用（PAM，Privileged Account Management），PAM类应用提供了特权账号的全生命周期管理，而对特权账号异常行为的监控、检测、分析则是PAM的一类高级功能。PAM 内置的特权账号异常检测能力相对较弱，所以一些 PAM 供应商会跟 UEBA 产品集成，将 PAM 检测到的异常事件接入 UEBA 产品的高级分析引擎中，和其他维度的数据一起做更深层次的特权账号异常事件识别。
细分账号安全的场景，大致有两类。一类是账号本身的操作异常，如创建、提权、删除、暂停、撤回存在异常行为，静默账号忽然出现活动。另一类通过对账号行为如登录的时间、地点、频次的异常监控，判断账号是否被盗用或被攻陷。

2 内部威胁

相比于不受信任的外部人员，内部员工访问和获取公司重要信息的要轻松很多。一方面公司的大部分安全防护、访问控制都是针对外来的攻击者；另一方面内部人员对组织的人员、规章、制度都有一定程度的了解，从而可以利用这些便利性来躲过安全防护检测。内部威胁者通常分为两类，一类是恶意内部人员，即合法的人员利用自己的权限做非法的事情。比如，下载大量重要的客户数据贩卖获取利益。另一类是内部人员账号被攻陷后的恶意行为。内部威胁检测的场景设计比较复杂，一般会从4个维度来考虑。

1. 建立用户行为风险画像 - 将所有身份、活动和访问特征，与基线、同组以及其他已知威胁指标进行比较，确定真正的风险区域。
2. 高权限账号监控 – 自动识别高权限账号，例如管理员、服务和共享帐户，然后监控他们与攻击相关的异常行为，确定高风险异常行为是否源于高权限用户被成功攻击。
3. 关键应用监控 – 为所有关键应用程序和系统构建访问风险评估，以识别与其敏感数据和交易相关的所有高风险用户、访问和活动。
4. 内部欺诈侦测 – 利用同组人员的异常行为，比较分析侦测潜在的内部欺诈行为。

3 数据渗漏

一般而言，各类攻击的主要意图是窃取组织中最重要的数据资产。组织一般会部署监控数据流向的 DLP 产品，数据库安全或者应用访问类产品以保护公司的核心数据资产。这类数据防护类产品往往误报很多，每天产生的海量报警让安全团队难以真正聚焦重点。UEBA 可以对应用访问以及 DLP 日志做更深层次的多维分析，从而定位出真正的高风险数据泄漏风险。具体的场景设计可以从以下维度考虑。
应用系统访问监控/风险分析 – 对存储敏感数据的应用系统、文件服务器等的访问进行行为监控，通过与用户过去行为或其同组行为异常行相比较，自动识别并持续监控与此数据相关的高风险访问和活动。
DLP 事件评估 – 将 DLP 事件做多维度关联分析，比如说发生 DLP 事件的人，他的风险等级、是否有离职倾向、敏感数据下载/外发/打印的数量、频次、数据外流的目的地是否为竞争对手等等，从而进一步定位高风险。高风险人群的 DLP 事件优先处置，并且通过多维度分析往往也能进一步定位这些数据泄漏企图背后的动机。

4 失陷主机

除了人员行为异常以外，重要的 IT 资产比如说各种应用服务器、重要的终端等行为异常检测对很多组织也是至关重要。例如，一个重要的应用服务器执行了一个非业务的应用或进程，打开了一个新的端口，外连了从未外连的地址/端口，忽然有长链接的 SSH 会话，系统目录下忽然出现新的可疑文件等等。这些异常行为往往是服务器被攻击的征兆，需要进一步分析与取证。
用 UEBA 技术定位失陷主机通常的思路是，基于相应设备和主机执行的高风险异常事件和活动，建立异常时间线，然后关联各种实体参数，包括：端点安全警报、漏洞扫描结果（常见漏洞评分系统[CVSS]）、用户或帐户的风险级别、访问的目标、请求的有效负载的数据包级别等等，从多维度检测任何异常活动或事件以确定风险评分。

四、UEBA主要实现技术

UEBA 是一个完整的系统，涉及到算法、工程等检测部分，以及用户实体风险评分排序、调查等用户交互、反馈。从架构上来看，UEBA 系统一般包含三个层次，分别是数据中心层、算法分析层、场景应用层。其中，算法分析层一般大数据计算平台之上运行实时分析、统计分析、关联分析、机器学习等分析引擎。

机器学习引擎实现，如基线及群组分析、异常检测、集成学习风险评分、安全知识图谱、强化学习等UEBA 核心技术。

基线及群组分析

历史基线，是行为分析的重要部分，通过构建群组分析，可以跨越单个用户、实体的局限，看到更大的事实；通过对比群组，易于异常检测；通过概率评估可以降低误报，提升信噪比；组合基线分析、群组分析，可以构成全时空的上下文环境。

异常检测

异常检测关注发现统计指标异常、时序异常、序列异常、模式异常等异常信号，采用的技术包括孤立森林、K 均值聚类、时序分析、异常检测、变点检测等传统机器学习算法。现代的异常检测也利用深度学习技术，包括基于变分自编码器（VAE）的深度表征重建异常检测、基于循环神经网络（RNN）和长短时记忆网络（LSTM）的序列深度网络异常检测、图神经网络（GNN）的模式异常检测等。针对标记数据缺乏的现状，某些UEBA 系统能够采用主动学习技术（Active Learning）、自学习（Self Learning），充分发掘标记数据和无标记数据的价值。

集成学习风险评分

把安全运维从事件管理转换到用户、实体风险，极大的降低工作量、提升效率。其中，实现转换的关键在于使用集成学习进行风险评分。风险评分需要综合各种告警、异常，以及进行群组对比分析和历史趋势。同时，风险评分技术中用户间风险的传导同样重要，需要一套类似谷歌搜索使用的网页排名PageRank 算法的迭代评估机制。风险评分的好坏，将直接影响到UEBA 实施的成效，进而直接影响到安全运营的效率。

安全知识图谱

知识图谱已经成为人工智能领域的热点方向，在网络安全中同样也有巨大的应用潜力。部分UEBA 系统已经支持一定的安全知识图谱能力，可以将从事件、告警、异常、访问中抽取出的实体及实体间关系，构建成一张网络图谱。任何一个事件、告警、异常，都可以集成到网络图谱中，直观、明晰的呈现多层关系，可以让分析抵达更远的边界，触达更隐蔽的联系，揭露出最细微的线索。结合攻击链和知识图谱的关系回放，还能够让安全分析师近似真实的复现攻击全过程，了解攻击的路径与脆弱点，评估潜在的受影响资产，从而更好的进行应急响应与处置。

强化学习

不同客户的环境数据源的多元性及差异性，以及用户对异常风险的定义各有不同， UEBA 需要具有一定的自适应性，输出更精准的异常风险。强化学习能够根据排查结果自适应地调整正负权重反馈给系统，进而得到更符合客户期望的风险评分。UEBA 给出异常信号后，结合安全管理人员的排查结果，获取反馈奖赏或惩罚，通过学习进行正负权重调整，从而让整体效果持续优化改进。

五、UEBA行业发展趋势

Gartner《Market Guide for User and Entity Behavior Analytics》报告中指出：
终端用户在UEBA独立解决方案上的支出将呈复合式增长年增长率为48％，从2015年的5,000万美元增长到2020年的3.52亿美元。
UEBA解决方案供应商在2017年和2018年继续减少，主要是由于收购活动。Gartner预计该领域将继续整合，同时在其服务于相邻细分市场的产品中使用UEBA技术的厂商数量也在大幅增加。
到2021年，用户和实体行为分析（UEBA）市场将不再是一个独立的市场。
一些UEBA供应商现在将其市场战略路线聚焦于将其核心UEBA技术嵌入其他供应商的更传统的安全解决方案中。到2022年，UEBA的核心技术将嵌入80％的威胁检测和事件高级解决方案中（如SIEM）。
Gartner认为这一趋势将持续到2022年，届时UEBA将成为被更广泛的安全分析技术所取代。

IndustryARC《UEBA Market - Forecast(2020 - 2025)》报告：
到2025年，用户和实体行为分析市场预计将达到49亿美元，从2020年到2025年，复合年增长率为41.5％。
UEBA是一种用于检测内部风险，财务欺诈和针对性攻击的机制。该方法用于分析人类行为模式，然后使用统计分析和算法来识别差异。
UEBA是一种机器学习模型，可以通过检测保护异常来帮助阻止网络攻击者。UEBA使用高级分析，汇总日志和报告数据，并分析数据包，流，文件和其他类型的信息以及其他类型的威胁数据，以评估某些形式的活动和动作是否可能构成网络攻击。
UEBA的优势包括–内部威胁识别，防止数据泄露，识别和防止欺诈，可操作的风险信息以及IP数据的安全性。
UEBA逐渐成为对全面网络威胁和欺诈的最有希望的回应。软件提供商更专注于确保可靠的算法和集成分析，以及开发应用程序系统。

综合上述报告可以看出：
UEBA市场价值正在飞速上升，UEBA技术研究前景广阔。
UEBA发展方向不再是一个独立个体，而是倾向于将UEBA技术嵌入到其他高级安全解决方案中。

作者博客：http://xiejava.ishareread.com/

网络信息安全术语是获取网络安全知识和技术的重要途径，常见的网络安全术语可以分为基础技术类、风险评估技术类、防护技术类、检测技术类、响应/恢复技术类、测评技术类等。

下面主要介绍常见的网络安全技术方面的术语

一、基础技术类

基础技术类常见的是密码及加解密相关的技术
密码（Cipher）
一种用于加密和解密数据的算法。

密码学（Cryptography）
编码研究。同样，使用代码/密码/数学技术来保护数据并提供实体和数据的身份验证。

密钥（Secret key）
用于加密和解密的加密密钥，使对称密钥加密方案能够运行。

编码(Encode)
使用代码将一种符号转换为另外一种符号。

加密(Encryption)
使用密码来保护信息，这使任何没有密钥对其解密的人都无法读取。

解密（Decryption）
将编码文本解密为原始原始格式的过程。

证书（Certificate）
数字证书是数字身份验证的一种形式，它允许计算机，用户或组织安全地交换信息。

二、攻击技术类

拒绝服务（Denial of Service）
是指通过向 服务器 发送大量垃圾信息或干扰信息的 方式 ，导致服务器无法向正常用户提供服务的现象。

分布式拒绝服务（Distributed Denial of Service）
指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。

网页篡改（Website Distortion）
网页篡改是恶意破坏或更改网页内容，使网站无法正常工作或出现黑客插入的非正常网页内容。

网页仿冒（Phishing）
网页仿冒是通过构造与某一目标网站高度相似的页面（俗称钓鱼网站），并通常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息，诱骗用户访问钓鱼网站，以获取用户个人秘密信息（如银行账号和账户密码）。

网页挂马（Website Malicious Code）
网页挂马是通过在网页中嵌入恶意代码或链接，致使用户计算机在访问该页面时被植入恶意代码。

域名劫持（DNS Hijack）
域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使得用户在访问相关域名时返回虚假IP地址或使用户的请求失败。

路由劫持（Routing Hijack）
路由劫持是通过欺骗方式更改路由信息，以导致用户无法访问正确的目标，或导致用户的访问流量绕行黑客设定的路径，以达到不正当的目的。

垃圾邮件（Spam）
垃圾邮件是将不需要的消息（通常是未经请求的广告）发送给众多收件人。包括：收件人事先没有提出要求或者同意接受的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件；收件人无法拒收的电子邮件；隐藏发件人身份、地址、标题等信息的电子邮件；含有虚假的信息源、发件人、路由等信息的电子邮件。

特洛伊木马（Trojan Horse）
特洛伊木马（简称木马）是以盗取用户个人信息，甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑，与战争中的 “木马”战术十分相似，因而得名木马。按照功能，木马程序可进一步分为：盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马和其他木马六类。

网络蠕虫（Network Worm）
网络蠕虫是指能自我复制和广泛传播，以占用系统和网络资源为主要目的恶意代码。按照传播途径，蠕虫可进一步分为：邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其他蠕虫五类。

僵尸程序（Bot）
僵尸程序是用于构建僵尸网络以形成大规模攻击平台的恶意代码。按照使用的通信协议，僵尸程序可进一步分为：IRC僵尸程序、Http僵尸程序、P2P僵尸程序和其他僵尸程序四类。

僵尸网络（Bot Net）
僵尸网络是被黑客集中控制的计算机群，其核心特点是黑客能够通过一对多的命令与控制信道操纵感染僵尸程序的主机执行相同的恶意行为，如可同时对某目标网站进行分布式拒绝服务攻击，或发送大量的垃圾邮件等。

SQL注入（SQL injection）
一种使用代码注入来攻击由数据驱动的应用程序的策略。恶意注入的SQL代码可以执行多种操作，包括将所有数据转储到攻击者控制的位置的数据库中。通过这种攻击，恶意黑客可以欺骗身份，修改数据或篡改数据，泄露机密数据，删除和销毁数据或使其不可用。他们还可以完全控制数据库。

网络钓鱼（Phishing）
大量电子邮件要求提供敏感信息或将其推送到假网站。这些电子邮件通常没有针对性。

宏病毒（Macro virus）
一种恶意代码，使用文档应用程序的宏编程功能来执行不当行为，自我复制并在整个系统中传播。

恶意代码（Malicious code）
恶意代码是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。旨在损害信息系统的机密性，完整性或可用性。

恶意广告（Malvertising）
使用在线广告投放恶意软件。

恶意软件（Malware）
恶意软件的简称。任何可能对组织或个人造成不利影响的病毒，特洛伊木马，蠕虫，代码或内容。

中间人攻击（MitM）
网络罪犯将自己置于受害者和受害者试图访问的网站之间，以获取正在传输的信息或对其进行更改。有时缩写为MITM，MIM，MiM或MITMA。

逻辑炸弹（Logic bomb）
一段带有一组秘密指令的代码。它被插入系统并由特定操作触发。该代码通常执行恶意操作，例如删除文件。

高级持久威胁（APT）
一种网络攻击，使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。
这些攻击往往来自多个入口点，并且可能使用多个攻击媒介（例如，网络攻击，物理攻击，欺骗攻击）。一旦系统遭到破坏，结束攻击可能非常困难。

被动攻击（Passive attack）
攻击者试图获取机密信息以将其提取。因为他们不尝试更改数据，所以这种类型的攻击更难检测-因此称为“被动”。

密码嗅探（Password sniffing）
通过监视或监听网络流量以检索密码数据来收集密码的技术。

有效载荷（Payload）
执行恶意操作的恶意软件元素–网络安全性等同于导弹的爆炸性电荷。通常说来是造成破坏的。

勒索软件（Ransomware）
勒索软件是一种恶意软件（恶意软件），它对PC或移动设备上的所有数据进行加密，从而阻止数据所有者对其进行访问。感染发生后，受害者会收到一条消息，告知他/她必须支付一定数量的钱（通常以比特币支付）才能获得解密密钥。通常，支付赎金也有时间限制。如果受害者支付赎金，则不能保证解密密钥会被移交。最可靠的解决方案是至少在三个不同的位置备份数据（以确保冗余），并使这些备份保持最新状态，这样您就不会失去重要的进展。

社会工程学（Social engineering）
操纵人们执行特定的动作或泄露对攻击者有用的信息。操纵策略包括谎言，心理技巧，贿赂，勒索，假冒和其他类型的威胁。社交工程通常用于提取数据并获得对信息系统的未授权访问，这些信息系统可以是单个私人用户，也可以是组织的信息系统。

三、防护技术类

访问控制（Access Control）
访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术。

防火墙（Firewall）
网络或设备周围的虚拟边界，用于保护网络或设备免受不必要的访问。可以是硬件或软件。

入侵防御系统（Intrusion Prevention System）
是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

防毒软件(Antivirus)
防病毒软件用于监视计算机或网络，以检测从恶意代码到恶意软件的网络安全威胁。防病毒程序不仅可以警告您威胁的存在，还可以删除或消除恶意代码。

蜜罐（蜜网）Honeypot (honeynet)
诱骗系统或网络，用于吸引潜在的攻击者，通过检测攻击或使攻击发生偏转来保护实际系统。一个学习攻击方式的好工具。多个蜜罐可以组成一个蜜网。

安全信息和事件管理（SIEM）
用于监视，记录，提供警报和分析安全事件以支持威胁检测和事件响应的软件。

安全监控（Security monitoring）
从一系列安全系统中收集数据，并将这些信息与威胁情报进行关联和分析，以识别出受到威胁的迹象。

四、检测技术类

入侵检测（Instrusion Detection）
是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

漏洞扫描（Vulnerability Scanning）
是对网络设备及应用服务的可用性、安全性与合规性等进行扫描，发现可利用漏洞的一种安全检测（渗透攻击）行为。

威胁分析（Threat analysis）
对单个威胁的特征进行详细评估。

五、响应/恢复技术类

应急响应（Emergency Response）
应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。

灾难恢复（Disaster Recovery）
灾难恢复也称灾备，指自然或人为 灾害 后，重新启用 信息系统 的 数据 、 硬件 及 软体 设备，恢复正常商业运作的过程。

备份文件（Backup files）
一种用户以后数据恢复的文件

备份（Backup）
为应付文件、数据丢失或损坏等可能出现的意外情况，将电子计算机存储设备中的数据复制到磁带等大容量存储设备中。从而在原文中独立出来单独贮存的程序或文件副本。

应急预案（Contingency plan）
一种关于备份、应急响应和灾后恢复的计划。

灾难恢复计划（Disaster recovery plan）
信息系统灾难恢复过程中所需要的任务、行动、数据和资源的文件，用于指导相关人员在预定的灾难恢复目标内恢复系统系统支持的关键业务功能。

六、评测技术类

评价方案（Evaluation scheme）
针对一个特定的团体，由某一评价机构根据指定标准制定的行政管理的与规章制度的框架。

渗透测试（Penetration testing）
一种旨在探查和暴露信息系统中的安全性弱点以便对其进行修复的测试。

质量评价（Quality evaluation）
对实体满足规定要求程度而进行的系统性检查

威胁评估（Threat assessment）
识别或评估具有或表明可能危害生命，信息，操作和/或财产的实体，动作或事件（自然或人为）的产品或过程。

作者博客：http://xiejava.ishareread.com/

常见的网络信息安全基本属性主要有机密性、完整性、可用性、不可抵赖性和可控性等，其中机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）被称为网络信息系统核心的CIA安全属性，此外还有其他的安全属性包括：真实性、时效性、合规性、隐私性等。

机密性

机密性（Confidentiality）是指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。这些信息不仅包括国家机密，也包括企业和社会团体的商业机密和工作机密，还包括个人信息。例如，网络信息系统上传递口令敏感信息，若一旦攻击者通过监听手段获取到，就有可能危及网络系统的整体安全。人们在应用网络时很自然地要求网络能提供保密性服务，而被保密的信息既包括在网络中传输的信息，也包括存储在计算机系统中的信息。就像电话可以被窃听一样，网络传输信息也可以被窃听，解决的办法就是对传输信息进行加密处理。存储信息的机密性主要通过访问控制来实现，不同用户对不同数据拥有不同的权限。

完整性

完整性（Integrity）是指网络信息或系统未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。数据的完整性是指保证计算机系统上的数据和信息处于一种完整和未受损害的状态，这就是说数据不会因为有意或无意的事件而被改变或丢失。除了数据本身不能被破坏外，数据的完整性还要求数据的来源具有正确性和可信性，也就是说需要首先验证数据是真实可信的，然后再验证数据是否被破坏。影响数据完整性的主要因素是人为的蓄意破坏，也包括设备的故障和自然灾害等因素对数据造成的破坏。

可用性

可用性（Availability）是指合法许可的用户能够及时获取网络信息或服务的特征，即可授权实体或用户访问并按要求使用信息的特性。简单地说，就是保证信息在需要时能为授权者所用，防止由于主客观因素造成的系统拒绝服务。例如，网站能够给用户提供正常的网页访问服务，防止拒绝服务攻击。

不可抵赖性

不可抵赖性也称不可否认性。是指防止网络信息系统相关用户否认其活动行为的特性。在信息交换过程中，确信参与方的真实同一性，即所有参与者都不能否认和抵赖曾经完成的操作和承诺。简单地说，就是发送信息方不能否认发送过信息，信息的接收方不能否认接收过信息。利用信息源证据可以防止发信方否认已发送过信息，利用接收证据可以防止接收方事后否认已经接收到信息。数据签名技术是解决不可否认性的重要手段之一。

可控性

可控性是指网络信息系统责任主体对其具有管理、支配能力的属性，能够根据授权规则对系统进行有效掌握和控制，使得管理者有效地控制系统的行为和信息的使用，符合系统运行目标。是人们对信息的传播路径、范围及其内容所具有的控制能力，如：不允许不良内容通过公共网络进行传输，使信息在合法用户的有效掌控之中

其他

除常见的网络信息系统安全特性，还有真实性、时效性、合规性、公平性、可靠性、可生存性和隐私性等，这些安全特性适用于不同类型的网络信息系统，其要求程度有所差异。

1.真实性

真实性是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。如，网络谣言信息不符合真实情况，违背了客观事实。

2.时效性

时效性是指网络空间信息、服务及系统能够满足时间约束要求。如，汽车安全驾驶的智能控制系统要求信息具有实时性，信息在规定时间范围内才有效。

3.合规性

合规性是指网络信息、服务及系统符合法律法规政策、标准规范等要求。如，网站内容如何法律法规政策要求等。

4.公平性

公平性是指网络信息系统相关主体处于同等地位处理相关任务，任何一方不占据优势的特性要求。如，电子合同签订双方符合公平性要求，在同一时间签订合同。

5.可靠性

可靠性是指网络信息系统在规定条件及时间下，能够有效完成预定的系统功能的特性。

6.可生存性

可生存性是指网络信息系统在安全受损的情形下，提供最小化、必要的服务功能，能够支撑业务继续运行的安全特性。

7.隐私性

隐私性是指有关个人的敏感信息不对外公开的安全属性，如个人的身份证号码、住址、电话号码、工资收入、疾病状况、社交关系等。

网络攻击是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。常见的危害行为有四个基本类型：

• 信息泄露攻击；
• 完整性破坏攻击；
• 拒绝服务攻击；
• 非法使用攻击。

本文整理自《信息安全工程师教程第2版》

作者博客：http://xiejava.ishareread.com/