初次用Django开发web应用,在试图用Pycharm进行debug的时候,出现了一个奇怪的问题。以正常模式启动或者在terminal启动都没有问题。但是以debug模式启动时,显示can't find '__main__' module”报错。在网上找了很久都没有看到解决方法,最后在某乎上看到一篇文章,在启动时加上--noreload参数,既可以debug模式启动。
报错信息:
解决方法:
在启动时加上 --noreload 参数可以正常启动调试
debug启动正常也可以调试了。
踩过的坑记录一下,希望能帮到碰到同样问题的人。
最近有个小项目,需要爬取页面上相应的资源数据后,保存到本地,然后将原始的HTML源文件保存下来,对HTML页面的内容进行修改将某些标签整个给替换掉。
对于这类需要对HTML进行操作的需求,最方便的莫过于BeautifulSoup4的库了。
样例的HTML代码如下:
1 | <html> |
这里主要包括了<a >标签,<a >标签里面嵌入了<img >标签,其中有<a class="videoslide">的标识该标签实际是可以播放动画的。需要根据class="videoslide" 来判断将整个<a >标签换成播放器的<video >标签,将没有class="videoslide" 的<a >标签换成<figure>标签。
也就是将带有的<a class="videoslide" ...><img ... /></a>标签换成
1 | <div class="video"> |
将<a ....><img .../></a>标签换成
1 | <figure> |
这里通过BeautifulSoup4 的select()方法找到标签,通过get()方法获取标签及标签属性值,通过replaceWith来替换标签,具体代码如下:
首先安装BeautifulSoup4的库,BeautifulSoup4库依赖于lxml库,所以也需要安装lxml库。
1 | pip install bs4 |
具体代码实现如下:
1 | import os |
结果:
1 | <html> |
运维安全管理与审计系统(俗称 “堡垒机”):是采用新一代智能运维技术框架,基于认证、授权、访问、审计的管理流程设计理念,实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计;通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。
简单的说,运维安全管理与审计系统(堡垒机)就是用来控制哪些人可以登录哪些资产(事先防范和控制),以及录像记录登录资产后做了什么事情(事中监控和事后溯源)的系统。其核心是可控及审计。可控是指权限可控、行为可控。权限可控指可以方便的设置、回收运维操作人员的权限;行为可控,比如需要集中禁用某个危险命令;可审计,指有权限操作的人员对资产的所有操作都有记录,能够被监控和审计。
当企业的IT资产越来越多,当参与运维的岗位越来越多样性,运维团队达到一定的规模,不同的人员如运维人员、开发人员、第三方代维、厂商支撑人员需要控制访问不同的资产及权限,如果没有一套好的机制,就会产生混乱。无法有效的做到“哪些人允许以什么样的身份访问哪些设备”,更加没有办法知道“哪些人登录设备后做了哪些事情”,出了问题以后无法回溯。
运维安全管理与审计系统(堡垒机)是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。跳板机其实就是一台unix/linux/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。
跳板机解决了远程登录集中管理访问的问题,但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。同时,对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲就显得力不从心了。
人们逐渐认识到跳板机的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。在这些理念的指导下,2005年前后,运维安全管理与审计系统(堡垒机)开始以一个独立的产品形态被广泛部署,有效地降低了运维操作风险,使得运维操作管理变得更简单、更安全。
运维安全管理与审计系统(堡垒机)承担了运维人员在运维过程中唯一的入口,通过精细化授权以明确“哪些人以什么身份访问了哪些设备”,从而让运维混乱变得有序起来,堡垒机不仅可以明确每一个运维人员的访问路径,还可以将每一次访问及操作过程变得可以“审计”,就像飞机中的黑匣子,汽车上的行车记录仪,能够做到针对运维人员的每次一操作均可以录像、全程审计,一但出了问题,可以追踪溯源。
运维安全管理与审计系统的目标可以概括为5W,主要是为了降低运维风险。具体如下:
运维安全管理与审计系统实现:
运维安全管理与审计系统(堡垒机),主要采用4A管理模型,对IT运维操作进行访问控制和行为审计的合规性管控系统,主要用来解决企业IT运维部门账号管理混乱,身份冒用、滥用,授权控制不明确,操作行为不规范,事件责任无法定位等问题。
4A 是指认证 Authentication、授权 Authorization、账号 Account、审计 Audit,中文名称为统一安全管理平台解决方案。即将身份认证、授权、记账和审计定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。
具体来说:
实现的技术架构如下:
主要核心功能包括:
1、访问控制
通过对访问资源的严格控制,堡垒机可以确保运维人员在其账号有效权限、期限内合法访问操作资源,降低操作风险,以实现安全监管目的,保障运维操作人员的安全、合法合规、可控制性。
2、账号管理
当运维人员在使用堡垒机时,无论是使用云主机还是局域网的主机,都可以同步导入堡垒机进行账号集中管理与密码的批量修改,并可一键批量设置SSH秘钥对等。
3、资源授权
支持云主机、局域网主机等多种形式的主机资源授权,并且堡垒机采用基于角色的访问控制模型,能够对用户、资源、功能作用进行细致化的授权管理,解决人员众多、权限交叉、资产繁琐、各类权限复制等众多运维人员遇到的运维难题。
4、指令审核
对运维人员的账号使用情况,包括登录、资源访问、资源使用等。针对敏感指令,堡垒机可以对非法操作进行阻断响应或触发审核的操作情况,审核未通过的敏感指令,堡垒机将进行拦截。
5、审计录像
除了可以提供安全层面外,还可以利用堡垒机的事前权限授权、事中敏感指令拦截外,以及堡垒机事后运维审计的特性。运维人员在堡垒机中所进行的运维操作均会以日志的形式记录,管理者即通过日志对微云人员的操作进行安全审计录像。
6、身份认证
为运维人员提供不同强度的认证方式,既可以保持原有的静态口令方式,还可以提供微信、短信等认证方式。堡垒机不仅可以实现用户认证的统一管理,还能为运维人员提供统一一致的认证门户,实现企业的信息资源访问的单点登录。
7、操作审计
将运维人员所有操作日志集中管理与分析,不仅可以对用户行为进行监控与拦截,还可以通过集中的安全审计数据进行数据挖掘,以便于运维人员对安全事故的操作审计认定。
堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
部署特点:
旁路部署,逻辑串联。
不影响现有网络结构。
旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。用户通过堡垒机虚拟IP进行访问,堡垒机自动进行会话负载分配和数据同步、冗余存储。
部署特点:
两台硬件堡垒机,一主一备/提供VIP。
当主机出现故障时,备机自动接管服务。
奇安信[运维安全管理与审计系统]:https://www.qianxin.com/product/detail/pid/385
亚信安全[信磐堡垒机]:https://www.asiainfo-sec.com/product/detail-27.html
绿盟[绿盟运维安全管理系统]:https://www.nsfocus.com.cn/html/2019/212_0926/20.html
启明星辰[堡垒机]:https://www.venustech.com.cn/new_type/blj/
麒麟堡垒机:http://www.secvpn.com.cn/
飞致JumpServer堡垒机:https://fit2cloud.com/jumpserver/index.html
信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和。随着当前社会信息化程度的不断提高,各类信息系统越来越成为其所从属的组织机构生存和发展的关键因素,信息系统的安全风险也成为组织风险的一部分。同时,信息系统受来自于组织内部与外部环境的约束,信息系统的安全保障除了要充分分析信息系统本身的技术、业务、管理等特性,还要考虑这些约束条件所产生的要求。为了保障组织机构完成使命,系统安全管理人员必须针对信息系统面临的各种各样的风险制定相应的策略。
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出信息安全保障要求,确保信息系统的保密性、完整性和可用性,把安全风险降到可接受的程度,从而保障系统能够顺利实现组织机构的使命。
信息系统安全保障工作就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略体系,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险降至预定可接受的程度,从而保障其使命要求。策略体系是组织机构在对风险、资产和使命综合理解的基础上所做出的指导文件。策略体系的制定,反映了组织机构对信息系统安全保障及其目标的理解,它的制定和贯彻执行对组织机构信息系统安全保障起着纲领性的指导作用。
信息系统安全保障工作的基础和前提是风险管理。信息安全策略必须以风险管理为基础,针对可能存在的各种威胁和自身存在的弱点,采取有针对性的防范措施。
信息系统安全保障模型包含保障要素、生命周期和安全特征3个方面。
信息系统安全保障模型的主要思路是以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征:信息的保密性、完整性和可用性特征,从而达到保障组织机构执行其使命的根本目的。
模型特点:
信息系统的生命周期层面和保障要素层面不是相互孤立的,而是相互关联、密不可分的。
在信息系统生命周期模型中,将信息系统的整个生命周期抽象成计划组织、开发采购、实施交付、运行维护和废弃5个阶段,加上在运行维护阶段的变更产生的反馈,形成信息系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。
这样,通过在信息系统生命周期所有阶段融人信息系统安全保障概念,确保了信息系统的持续动态安全保障。
信息安全技术体系包括以下几个方面。
信息安全管理体系,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识、ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管 理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
风险管理是指以风险为主线进行信息安全的管理,它的实施目标就是要依据安全标准和信息系统的安全需求,对信息、信息载体、信息环境进行安全管理,以达到安全目标。
风险管理贯穿于整个信息系统生命周期,包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询等6个方面的内容。其中,对象确立、风险评估、风险控制和审核批准是信息安全风险管理的4个基本步骤,监控与审查、沟通与咨询则贯穿于这4个基本步骤中。
信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级。
系统安全工程能力成熟模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)描述了一个组织的系统安全工程过程必须包含的基本特征。这些特征是完善的安全工程保证,也是系统安全工程实施的度量标准,同时还是一个易于理解的评估系统安全工程实施的框架。
信息安全保障诸要素中,人是最关键也是最活跃的要素。网络攻防对抗,最终较量的是攻防两端的人,而不是设备。对组织机构来说,应建立一个完整的信息安全人才体系。
信息安全人才体系应包括以下方面。
本文节选自:
《信息安全技术 信息系统安全保障评估框架:简介和一般模型》GB_T 20274.1 200
《CISP培训教材》
1947年冯·诺依曼建立计算机系统结构理论时认为,计算机系统也有天生的类似基因的缺陷,也可能在使用和发展过程中产生意想不到的问题。20世纪七八十年代,早期黑客的出现和第一个计算机病毒的产生,软件漏洞逐渐引起人们的关注。在各种产品、主机、网络和复杂信息系统中,安全漏洞以不同形式存在,而且数量逐年增加,利用漏洞造成的各类安全事件层出不穷。攻击行为或网络安全事件的发生正越来越多地受到利益驱动的影响,这种“黑色产业链”的兴起,导致越来越多的网络终端受害,大量机密信息被窃取,敏感数据信息在互联网上传播,并在黑市中待价而沽。工业控制领域以及新技术新应用的安全漏洞,特别是基础核心系统的安全漏洞已经成为危害国家经济和发展安全的重要因素。在安全运营过程中一个最重要的工作就是漏洞管理。
安全漏洞(Vulnerability)也被称为脆弱性。
根据国标-信息安全技术-安全漏洞标识与描述规范[GB/T 28458-2012]对安全漏洞的定义,安全漏洞是计算机信息系统在需求、设计、实现、配置运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行,危害信息产品或系统及信息的安全属性。
有时漏洞也被称作错误( Error)、缺陷 ( Fault)、 弱点( Weakness )或是故障( Failure )等,这些术语很容易引起混淆。在许多情况下,人们习惯于将错误、缺陷、弱点都简单地称为漏洞。需要指出的是,严格地说,错误、缺陷、弱点和故障并不等于漏洞。错误、缺陷和弱点是产生漏洞的条件,漏洞被利用后必然会破坏安全属性,但不一定能引起产品或系统故障。
以下为国标-信息安全技术-安全漏洞标识与描述规范[GB/T 28458-2012] 对安全漏洞标识与描述的定义:
安全漏洞描述项包括标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须的描述项,并可更具需要扩充(但不限于)相关编号、利用方法、解决方案建议、其他描述等描述项。
标识号
CVD-YYYY-NNNNNN格式为标识号。CVD为Common V ulnerabilities Description 的缩写;YYYY为4位十进制数字,表示产生本安全漏洞的年份;NNNNNN为6位十进制数字,表示当年内产生的安全漏洞的序号。
名称
安全漏洞标题,概括性描述安全漏洞信息的短语,例如InternetExplorer8.0缓冲区溢出漏洞。
发布时间
安全漏洞信息发布日期。
发布单位
发布安全漏洞的单位全称。
类别
安全漏洞所属分类,说明安全漏洞分类归属的信息。
等级
安全漏洞危害级别,说明安全漏洞能够造成的危害程度。
影响系统
安全漏洞所影响系统的信息,例如厂商、产品名称和版本号等。
相关编号
安全漏洞的其他相关编号,例如Bugtraq编号、CVE编号等。
利用方法
安全漏洞利用的方法,例如安全漏洞攻击方案或利用代码。
解决方案建议
安全漏洞的解决方案,例如补丁信息等。
其他描述
安全漏洞描述需要说明的其他相关信息,例如安全漏洞产生的具体原因。
网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行划分,分类如下:
网络安全漏洞分级是指采用分级的方式对网络安全漏洞潜在危害的程度进行描述,包括技术分级
和综合分级两种分级方式,每种方式均分为超危(严重)、高危、中危和低危四个等级,具体内容如下:
超危(严重):漏洞可以非常容易地对目标对象造成特别严重后果;
高危:漏洞可以容易地对目标对象造成严重后果;
中危:漏洞可以对目标对象造成一般后果,或者比较困难地对目标造成严重后果;
低危:漏洞可以对目标对象造成轻微后果,或者比较困难地对目标对象造成一般严重后果,或
者非常困难地对目标对象造成严重后果。
依据信息安全漏洞从产生到消亡的整个过程,信息安全漏洞生命周期分以下几个阶段:
a)漏洞的发现:通过人工或者自动的方法分析、挖掘漏洞的过程,并且该漏洞可以被验证和重现。
b)漏洞的利用:利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。
c)漏洞的修复:通过补丁、升级版本或配置策略等对漏洞进行修补的过程,使得该漏洞不能够被
恶意主体所利用。
d)漏洞的公开:通过公开渠道(如网站、邮件列表等)公布漏洞信息的过程。
根据漏洞生命周期中漏洞所处的不同状态,将漏洞管理行为对应为预防、收集、消减和发布等活动。
预防是指通过各种安全手段提高信息系统的安全水平,避免漏洞的产生和恶意利用。
收集是针对已发现的漏洞进行信息的及时跟踪与获取。
消减是指在漏洞被发现后积极采取补救措施,最大限度减少漏洞带来的损失。
发布是指在遵循一定的发布策略的前提下,对漏洞及其修复信息进行发布。
用户、厂商和漏洞管理组织可以根据漏洞的状态及管理活动建立符合自身特点的漏洞处理策略和处理流程。
对于企业组织安全运营来说可以参考以下漏洞处理流程:
一般由渗透测试工程师通过漏洞扫描工具或渗透测试发现系统漏洞,提交渗透测试报告。由安全工程师进行漏洞验证,确定系统漏洞是否真实存在。
在漏洞验证完成后,安全工程师需要根据企业内部的漏洞等级划分标准,将存在的漏洞录入漏洞管理系统。
漏洞管理系统根据漏洞所影响的业务系统、主机IP等匹配到系统负责部门和修复人。通知系统负责人进行修复加固等。
根据漏洞等级设定的时效性,设置修复计划时间,漏洞复验时间,在漏洞管理系统中进行管理和跟进。漏洞修复人修复完成后提交安全工程师进行漏洞复验,验证漏洞是否确实已经修复。如果漏洞在目前的技术条件下确实无法修复,提交系统负责进行风险确认,采取其他规避风险的措施,如调整访控策略、下线等。
漏洞修复周期,包括漏洞的验证、评估、分发、复验、修复和关闭的各个环节。漏洞的修复周期,会根据漏洞等级确定。
参考如下:
| 漏洞等级 | 漏洞确认时间 | 漏洞修复时间 |
|---|---|---|
| 超危(严重) | 12小时 | 24小时 |
| 高危 | 24小时 | 3*24小时 |
| 中危 | 36小时 | 7*24小时 |
| 低危 | 72小时 | 14*24小时 |
对于漏洞管理整个流程来说,漏洞缓解或已解决后,关闭工单不是最终的目的,需要对漏洞数据进行分析,持续运营,可以从以下几个方面考虑:
1)统计一段时间内,外网系统出现的次数最多的Top10漏洞排名,分析漏洞出现的原因;
如外网系统中出现多次SQL注入漏洞,可以检查WAF的规则库是否及时更新?规则是否生效?此外网系统是否在WAF的防护之内?对外的系统为何不做严格的字符过滤机制等。
2)统计一段时间内,自主开发系统中漏洞数量最多的Top10系统排名,分析造成的原因;
如弱口令次数过多,是安全意识宣传不够?研发人员不重视?
3)哪些供应商的开发的系统漏洞数量最多?分析存在的原因;
是否需要约谈供应商沟通,是安全开发能力的问题,还是研发安全意识不够?
4)哪些框架被利用造成的漏洞过多?
是情报问题?还是应急响应机制的原因?是否可以替换为其他框架?
参考资料
信息安全技术 安全漏洞分类 GBT 33561-2017
信息安全技术 安全漏洞标识与描述规范 GB∕T 28458-2012
信息安全技术 安全漏洞等级划分指南 GB∕T 30279-2013
信息安全技术 信息安全漏洞管理规范 GB/T 30276-2013
安惞《浅谈企业内部安全漏洞的运营(一):规范化》
基于时间的安全模型是基于”任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破的“这样的前提。该模型主要给出了信息系统的攻防时间表。攻击时间指的是在系统采取某种防守措施,通过不同的攻击手段来计算攻破该防守措施所需要的时间。防守时间指的是,对于某种固定攻击手法,通过采取不同的安全防护措施,来计算该防护措施所能坚守的时间。
基于时间的安全模型主要包括PDR和后来改进的PPDR模型,PDR模型是源自美国国际互联网安全系统公司ISS提出的自适应网络安全模型ANSM(AdaptiveNetwork Security Model),是一个可量化、可数学证明、基于时间的安全模型。美国ISS公司(后被IBM收购)提出的。PPDR模型是PDR的模型上发展起来的,也称P2DR,加入的P是Policy策略。
保护-检测-响应( Protection-Detection-Response, PDR )模型是信息安全保障工作中常用的模型,是最早体现主动防御思想的一种网络安全模型,其思想是承认信息系统中漏洞的存在,正视信息系统面临的威胁,通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
模型图如下图所示:
P-protection,保护就是采用一切可能的措施来保护网络、系统以及信息的安全。通常采用的技术及方法主要包括加密、认证、访问控制、防火墙及防病毒等。
D-detect,检测可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据。常用的检测技术主要包括入侵检测、漏洞检测及网络扫描等技术。
R-response,应急响应在安全模型中占有重要地位,是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题,因此,建立应急响应机制,形成快速安全响应的能力,对网络和系统至关重要。
PDR模型直观、实用,建立了一个所谓的基于时间的可证明的安全模型,定义了防护时间Pt(攻击者发起攻击时,保护系统不被攻破的时间)、检测时间Dt(从发起攻击到检测到攻击的时间)和响应时间Rt(从发现攻击到做出有效响应的时间)3个概念,并给出了评定系统安全的计算方式,当Pt>Dt+Rt时,即认为系统是安全的,也就是说,如果在攻击者攻破系统之前发现并阻止了攻击的行为,那么系统就是安全的。
局限性:系统的Pt、Dt、Rt 很难准确定义,面对不同攻击者和不同种类的攻击,这些时间都是变化的,其实还是不能有效证明-一个系统是否安全。并且该模型对系统的安全隐患和安全措施采取相对固定的前提假设,难于适应网络安全环境的快速变化。
策略-保护检测-响应模型( Policy-Protection-Detection-Response, PPDR )是在PDR模型的基础_上发展出来的模型,也称为P2DR模型。模型的核心思想是所有的防护、检测、响应都是依据安全策略实施的,模型包括4个主要部分: Policy (策略)、Protection ( 保护)、Detection(检测)和Response(响应)。
模型图如下图所示:
策略(Policy):模型的核心,所有的防护、检测和响应都是依据安全策略实施的。安全策略一般由总体安全策略和具体安全策略两部分组成。
保护(Protection):保护是根据系统可能出现的安全问题而采取的预防措施,这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
检测(Detection):当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。检测是动态响应的依据。
响应(Response):系统一旦检测到人侵,响应系统就开始工作,进行事件处理。响应包括应急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
PPDR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、人侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。保护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
该理论的最基本原理就是信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间,因此可以用时间来衡量一个体系的安全性和安全能力。假设系统的防护、检测和反应时间分别是Pt、Dt和Rt。系统被对手成功攻击后的时间为暴露时间(Et),那么PPDR模型就可以用典型的数学公式来表达安全的要求:如果Pt>Dt+Rt,那么系统是安全的。
P2DR模型中的数学法则:
假设S系统的防护、检测和反应的时间分别是
• Pt(防护时间、有效防御攻击的时间)
• Dt(检测时间、发起攻击到检测到的时间)
• Rt(反应时间、检测到攻击到处理完成时间)
假设系统被对手成功攻击后的时间为
• Et(暴露时间)
则该系统防护、检测和反应的时间关系如下:
• 如果Pt>Dt+Rt,那么S是安全的;
• 如果Pt<Dt+Rt,那么Et=(Dt+Rt)-Pt。
PPDR给出了安全的全新定义:“及时的检测和响应就是安全”,”及时的检测和恢复就是安全”。这样的定义给出了解决安全问题的明确方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
与PDR模型相比,PPDR模型更强调控制和对抗,即强调系统安全的动态性,并且以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全。值得指出的是,在PPDR模型中,考虑了管理因素,它强调安全管理的持续性、安全策略的动态性,以实时监视网络活动、发现威胁和弱点来调整和填补网络漏洞。另外,该模型强调检测的重要性,通过经常对信息系统的评估把握系统风险点,及时弱化甚至消除系统的安全漏洞。但该模型忽略了内在的变化因素,如人员的流动、人员的素质和策略贯彻的不稳定性。系统本身安全能力的增强、系统和整个网络的优化,以及人员在系统中最重要角色的素质提升,都是该安全系统没有考虑到的问题。
| PDR | PPDR | |
|---|---|---|
| 意义 | 最早体现主动防御思想的一种网络安全模型 | 是动态网络是安全体系的代表模型,动态安全模型的雏形。 |
| 组成 | 保护-检测-响应( Protection-Detection-Response, PDR ) | 策略-保护检测-响应模型( Policy-Protection-Detection-Response, PPDR ) |
| 特点 | PDR模型建立了一个所谓的基于时间的可证明的安全模型,定义了:防护时间Pt (黑客发起攻击时,保护系统不被攻破的时间)、检测时间Dt (从发起攻击到检测到攻击的时间)和响应时间Rt (从发现攻击到作出有效响应的时间)。当Pt>Dt+Rt时,即认为系统是安全的,也就是说,如果在黑客攻破系统之前发现并阻止了黑客的行为,那么系统就是安全的。 | 给出了安全一个全新的定义:“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间Pt,降低检测时间.Dt和响应时间Rt。 |
| 局限性 | 系统的Pt、Dt、Rt 很难准确定义,面对不同攻击者和不同种类的攻击,这些时间都是变化的,其实还是不能有效证明一个系统是否安全。并且该模型对系统的安全隐患和安全措施采取相对固定的前提假设,难于适应网络安全环境的快速变化 | 忽略了内在的变化因素,如人员的流动、人员的素质和策略贯彻的不稳定性。系统本身安全能力的增强、系统和整个网络的优化,以及人员在系统中最重要角色的素质提升,都是该安全系统没有考虑到的问题。 |
不管是PDR还是PPDR,总体来说还是局限于从技术上考虑信息安全问题。随着信息化的发展,人们越来越意识到信息安全涉及面非常广,除了技术,管理、制度、人员和法律等方面也是信息安全必须考虑的因素,就像一个由多块木块构成的“木桶”,木桶的容量由最短的那块板决定。在处理信息安全问题时,必须全面考虑各方面的因素,任何一个方面的遗漏都有可能形成“短板”。
对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。在边界安全理念中网络位置决定了信任程度,在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制;安全区域内的用户默认都是可信的(安全的),对边界内用户的操作不再做过多的行为监测,但是这就在每个安全区域内部存在过度信任(认为是安全的,给予的权限过大)的问题。同时由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的,因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网(互联网),这种风险就更为明显。
另外,随着云计算、物联网以及移动办公等新技术新应用的兴起,企业的业务架构和网络环境也随之发生了重大的变化,这给传统边界安全理念带来了新的挑战。比如云计算技术的普及带来了物理安全边界模糊的挑战,远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险,各种设备(BYOD、合作伙伴设备)、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险,高级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来了边界安全防护机制被突破的风险,这些都对传统的边界安全理念和防护手段,如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战,亟需有更好的安全防护理念和解决思路。
传统边界安全理念先天能力存在不足,新技术新应用又带来了全新的安全挑战,在这样的背景下,零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任;美国国防信息系统局(DISA)为了解决GIG(全球信息栅格,是美军信息化作战规划中极其重要且宏大的基础设施)中,如何实时、动态地对网络进行规划和重构的问题,发起了BlackCore项目,将基于边界的安全模型转换为基于单个事物安全性的模型,并提出了SDP(Software Defined Perimeter)的概念,该概念后来被云安全联盟(Cloud Security Alliance)采纳。2010年,由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任(Zero Trust)的概念,并由Google在BeyondCorp项目中率先得到了应用,很好的解决了边界安全理念难以应对的安全问题。
根据NIST《零信任架构标准》中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
零信任代表了新一代的网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。
在零信任理念下,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证,并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。
零信任理念的基本假设、基本原则如下:
1、零信任理念的基本假设
a) 内部威胁不可避免;
b) 从空间上,资源访问的过程中涉及到的所有对象(用户、终端设备、应用、网络、资源等)默认都不信任,其安全不再由网络位置决定;
c) 从时间上,每个对象的安全性是动态变化的(非全时段不变的)。
2、零信任的基本原则
a)任何访问主体(人/设备/应用等),在访问被允许之前,都必须要经过身份认证和授权,避免过度的信任;
b)访问主体对资源的访问权限是动态的(非静止不变的);
c)分配访问权限时应遵循最小权限原则;
d)尽可能减少资源非必要的网络暴露,以减少攻击面;
e)尽可能确保所有的访问主体、资源、通信链路处于最安全状态;
f)尽可能多的和及时的获取可能影响授权的所有信息,并根据这些信息进行持续的信任评估和安全响应。
零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定。
目前零信任主要有三大技术体系,分别是SDP(软件定义安全)、IAM(增强身份管理)和MSG(微隔离)。
SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP仅允许在设备验证和身份验证后访问企业应用程序基础架构。SDP的体系结构由两部分组成:SDP主机和SDP控制器。SDP主机可以发起连接或接受连接。这些操作通过安全控制通道与SDP 控制器交互来管理。
SDP安全优势:
1.SDP最大限度地减少攻击面,降低安全风险;
2.SDP通过分离访问控制和数据通道来保护关键资产和基础设施,从而防止潜在的基于网络的攻击;
3.SDP提供了现有安全设备难以实现的整体集成安全架构。
4.SDP提供了一种基于连接的安全体系结构,而不是基于IP的替代方案。由于整个IT环境的爆炸式增长,云环境中缺乏边界使得基于IP的安全性变得脆弱。
5.SDP允许对所有连接进行预检查和控制,从这些连接可以连接设备、服务和设施,因此其整体安全性比传统架构更有利。
增强身份管理IAM是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。身份管理为所有用户,应用程序和数据启用并保护数字身份。
身份管理可以帮助组织有效解决复杂业务带来的挑战,并平衡四个关键目标:
1.加强安全,降低风险。
2.提高合规性和审计绩效。
3.提供快速有效的业务访问。
4.降低运营成本。
微隔离是一种网络安全技术,它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。
微隔离是在数据中心和云部署中创建安全区域的一种方法。这种方法使企业组织能够分离工作负载并分别保护它们,从而使网络安全更加完善,从而更加有效。
以下是微隔离的一些优点:
1.减少攻击面
2.提高横向运动的安全性
3.安全关键应用
4.提高合规性
零信任的覆盖范围很广,根据企业的实际情况,可参考如下过程执行逐步建立零信任安全体系。
1、建立统一的认证平台,提升基础安全及执行能力
建立统一的认证能力平台,为所有业务系统提供认证能力。所有业务平台对接认证能力平台以获得中级及以上认证能力,大幅降低因认证方式带来的风险。
可结合已经建立的 4A 系统,升级 4A 系统认证体系。使用多因素认证提高安全等级。收集并绑定设备指纹,将每台设备(PC 端或移动 端)与账户关联绑定。通过账号与设备的绑定,实现用 户、账号、设备三位一体的认证体系。建立以零信任网关为核心的控制体系,该方式将大大提高对用户访问行为的控制,弥补现有业务系统在访 控制方面的安全短板。建立采集系统,在用户使用业务系统时,采集行为和环境信息。零信任网关体系可以与 4A 系统和其它业务系统结合,通过代理技术隐藏所有被代理系统的 IP 和端口,并对用户的访问行为进行鉴权检测。
2、升级或部署EDR,加强终端管控和行为风险发现能力
加强客户端监管,可通过升级资产与基线管理平台或部署EDR终端控制接入软件,对终端环境进行基线扫描和检查预警。对于不符合要求的终端,通过统一身份认证平台禁止其接入,同时,给出修复建议。
建立大数据处理系统,并通过该系统将上一阶段收集的用户行为信息进行统计和分析,结合电信内部管理规章制度,制定一套有针对性的基础专家规则。同时,建立规则引擎,规则引擎根据专家规则判断用户当前环境和行为风险。如果在规则中缺少必要信息指标,通过调整采集指标达到目标。
在基础规则基础上,根据不同的业务系统特点,深入挖掘与业务系统紧密相关的规则。结合认证方式在各个接入了认证能力平台的业务系统中实现自适应处置,使用户体会到初级智能化安全。规则引擎与身份认证系统对接,对接完成后,可以通过对用户访问各个业务系统的检测评估发现潜在风险,主要包括冒名访问和违规操作。
3、引入智能工具,从传统安全向智慧安全转变
建立机器学习平台,引入齐全的人工智能模型和可视化工具,利用前期收集的用户数据,训练适配的模型,建立智能规则引擎,对用户请求的行为信息和环境信息进行自动化评估,关联前期部署的规则引擎,验证并改良智能规则和引擎。通过机器学习平台建立无感知认证模型,作为辅助认证方式进一步提高用户体验,从“有认证”升华至“无认证”。通过大数据和机器学习模型,结合深度挖掘技术建立用户画像库,识别用户行为习惯,践行“行为即指纹”理念,实现“零信任”的终极目标。
参考资料来源:
零信任产业标准工作组《零信任实战白皮书》
《零信任架构的3大核心技术》
《零信任网络安全》
《零信任技术系统规范》
在信息时代,信息已经成为第一战略资源,信息对组织使命的完成、组织目标的实现起着至关重要的作用,因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体,资产价值越高,面临的风险就越大。而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度,保护信息及其相关资产,最终保障组织能够完成其使命,实现其目标。
风险定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。风险经常通过引用潜在事态和后果或这些的组合来描述。影响,是对一个预期的偏离,正面的或负面的偏离。
风险是客观存在的,与不确定性紧密相连,但又不能完全等同。风险带来的影响,通常都是负面的(正面的影响通常不被称为风险)。风险强调的是损害的潜在可能性,而不是事实上的损害。风险不能消除殆尽,包括人为因素带来的风险,也一样不能消除殆尽。衡量风险的两个基本要素就是事件的概率和影响。
威胁利用脆弱性作用于资产产生影响,威胁增加了组织资产的风险,脆弱点能够暴露资产,脆弱性本身不会构成对资产的损害,但是脆弱性被威胁利用就会增加组织资产的风险。
根据《信息安全技术信息安全风险评估规范》(GB/T 20984-2007),对评估对象进行安全风险评估分析,风险分析中涉及评估对象的影响范围、威胁、脆弱性三个基本要素。
以下参考互联网新技术新业务安全风险评估可以分为确定影响范围->确定威胁->确定脆弱性->计算分险值->形成评估结论,通过定量和定性相结合的方式进行安全风险评估。
影响范围是指评估对象涉及的传播影响,按评估对象支持的用户数计。
对于运营于互联网上的应用系统,参考下表进行赋值。
| 范围 | 赋值 |
|---|---|
| 10万以内 | 1 |
| 10万-100万以内 | 2 |
| 100万-1000万以内 | 3 |
| 1000万-5000万以内 | 4 |
| 5000万及以上 | 5 |
威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险。如:下表为互联网新技术新业务安全评估涉及的威胁及发生可能性赋值。
| 威胁分类 | 威胁名称 | 赋值 | 威胁描述 |
|---|---|---|---|
| 假冒 | 假冒 | 4 | 通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 |
| 假冒 | 诱骗欺诈 | 1 | 通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式,诱骗用户,而达到不正当目的。 |
| 假冒 | 恶意扣费 | 5 | 在用户不知情或非授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,造成用户经济损失。 |
| 篡改 | 篡改 | 3 | 通过作伪的手段对应用程序的数据、进程、交互内容、发布内容进行修改。 |
| 拒绝服务 | 系统破坏 | 4 | 通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用,干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行。 |
| 拒绝服务 | 拒绝服务 | 5 | 对信息或其他资源的合法访问被无条件地阻止。 |
| 拒绝服务 | 资源消耗 | 4 | 在用户不知情或非授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,造成用户资费损失。 |
| 暴力破解 | 暴力破解 | 2 | 一种针对于用户账号和密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。 |
| 抵赖 | 抵赖 | 4 | 合法用户对自己操作行为否认的可能性。 |
| 越权(提升权限) | 非授权访问 | 3 | 某一资源被某个非授权的人,或以非授权的方式使用。 |
| 越权(提升权限) | 隐私窃取 | 4 | 在用户不知情或非授权的情况下,获取涉及用户个人信息。 |
| 越权(提升权限) | 窃听 | 3 | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 |
| 越权(提升权限) | 业务流分析 | 3 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 |
| 越权(提升权限) | 远程控制 | 4 | 在用户不知情或非授权的情况下,能够接受远程控制端指令并进行相关操作。 |
| 越权(提升权限) | 破坏信息的完整性/可用性 | 4 | 数据被非授权地进行增删、修改或破坏而受到损失/数据遗失。 |
| 越权(提升权限) | 授权侵犯(内部攻击) | 3 | 被授权以某一目的使用某一系统或资源的某个人,将此权限用于其他非授权的目的。 |
| 非法传播 | 恶意传播 | 5 | 自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行扩散的行为。 |
| 非法传播 | 信息泄露 | 5 | 信息被泄露或透露给某个非授权的实体。 |
| 非法传播 | 三涉 | 5 | 传播的内容与应用包含了非法的信息,如涉黄、涉非、涉政,含病毒等。 |
| 非法传播 | 非法应用 | 2 | 传播内容与应用的方式让用户无法接受,如垃圾短信的发送、骚扰电话等。 |
| 溯源失效 | 溯源失效 | 4 | 无法准确追溯到传播违法有害信息或进行恶意攻击的责任主体。 |
| 管理失控 | 管理失控 | 4 | 用户、业务规模已超过企业最大安全监管能力范围;或企业安全保障能力无法满足针对业务实现方式或功能属性带来安全风险的管理。 |
为了便于对不同威胁发生的可能性概率数据进行类比、度量,依据经验或专家意见进行赋值,常用准则参照如下表。采用相对等级的方式进行度量,等级值为1-5,1为最低,5为最高。
表:威胁赋值准则
| 等级 | 标识 | 定义 |
|---|---|---|
| 5 | VH(很高) | 威胁发生的可能性很高,在大多数情况下几乎不可避免或者可以证实发生过的频率较高。 |
| 4 | H(高) | 威胁发生的可能性较高,在大多数情况下很有可能会发生或者可以证实曾发生过。 |
| 3 | M(中) | 威胁发生的可能性中等,在某种情况下可能会发生但未被证实发生过。 |
| 2 | L(低) | 威胁发生的可能性较小,一般不太可能发生,也没有被证实发生过。 |
| 1 | VL(很低) | 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 |
脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞,这些漏洞可能会被威胁所利用。脆弱性依据经验或专家意见进行赋值,常用准则参照如下表。采用相对等级的方式进行度量,等级值为1-3,1为最低,3为最高。
表:脆弱性赋值准则
| 类别 | 描述 | 对应等级 |
|---|---|---|
| 技术保障 | 技术方面是否存在低等级缺陷,从技术角度是否易被利用。 | 3 |
| 攻击利用 | 对于攻击者来说,该漏洞目前是否能被直接或者间接利用,或者利用的难度。 | 3 |
| 管理控制 | 运营管理环节是否有相关的薄弱环节,被利用难易程度。 | 3 |
| 防范控制 | 是否有规定,是否严格审核、是否有记录校验等。 | 2 |
脆弱性等级
| 等级 | 标识 | 定义 |
|---|---|---|
| 3 | H(高) | 如果被威胁利用,将造成完全损害。 |
| 2 | M(中) | 如果被威胁利用,将造成一般损害。 |
| 1 | L(低) | 如果被威胁利用,造成的损害可以忽略。 |
风险计算公式:
风险值=影响范围 * 威胁可能性 * 脆弱严重性
根据风险计算公式得出风险值后可以对应其风险等级,如风险值在55-75分,表示风险极高
评估报告以风险计算得分形式呈现,即:不仅呈现脆弱性问题,并且对于不符合评估标准的项,根据面临威胁赋值和脆弱性赋值,结合评估对象的影响范围计算出风险得分,依据得分给出风险等级(极高、高、中、低、极低)。 任一评估要点匹配对应的企业安全保障能力的脆弱性测算值>0时,须及时记录并反馈至本级信息安全部门进行报备。任一评估要点的风险值的对应等级为中及其以上程度时,必须纳入整改事项严格贯彻执行,并密切跟踪把握风险变化、持续健全更新与之匹配对应的信息安全管理措施和技术保障手段,根据业务上线后的经营发展情况适时开展安全评估,以确保将信息安全风险控制在中级以下范围内。评估管理部门应组织评估专家审查小组,对“评估结论”进行审核,通过后出具评审结论。
风险管理的目的是确保不确定性不会使企业的业务目标发生变化。风险管理是风险的识别、评估和优化,然后协调和经济地应用资源,以最小化监测和控制不良事件的可能性及影响,最大限度地实现业务。
风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡,并最终通过对支持其使命的信息系统及数据进行保护而提高其实现使命的能力。
一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施是有成本的,因此对信息安全的成本必须像其他管理决策一样进行全面检查。一套合理的风险管理方法,可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力,以有效实现其使命。
信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤中,如下图所示。
背景建立是信息安全风险管理的第一个步骤,是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,对信息安全风险管理项目进行规划和准备,保障后续的风险管理活动顺利进行。背景是建立在业务需求的基础上,通过有效的风险评估和国家、地区、行业相关法律法规及标准的约束下获得背景依据。
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在信息安全风险管理过程中,对象确立过程是一次信息安全风险管理主循环的起始,为风险评估提供输人。
风险评估确定信息资产的价值、识别适用的威胁和(存在或可能存在的)脆弱点、识别现有控制措施及其对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序,并按照风险范畴中设定的风险评价准则进行排名。
风险评估的目的是通过风险评估的结果,来获得信息安全需求,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择有合理成本效益的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,已被广泛应用于各个领域。
风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段。在信息安全风险管理过程中,风险评估活动接受背景建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输人。
风险处理是依据风险评估的结果,选择和实施合适的安全措施。风险处理的目的是为了将风险始终控制在可接受的范围内。风险处理的方式主要有降低、规避、转移和接受4种方式。
降低方式:
组织首先应该选择降低风险,通常通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5个方面( 即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。比如,采用法律的手段制裁计算机犯罪(包括窃取机密信息,攻击关键的信息系统基础设施,传播病毒、不健康信息和垃圾邮件等),发挥法律的威慑作用,从而有效遏制威胁源的动机;采取身份认证措施,从而抵制身份假冒这种威胁行为的能力;及时给系统打补丁(特别是针对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。
规避方式:
当风险不能被降低时,通过不使用面临风险的资产来避免风险。比如,在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。再如,对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害人侵和不良攻击。
转移方式:
只有在风险既不能被降低,又不能被规避时,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。比如,在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险。再如,通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。
接受方式:
是选择对风险不采取进一步的处理措施,接受风险可能带来的结果。接受风险的前提是确定了风险的等级,评估了风险发生的可能性以及带来的潜在破坏,分析了使用每种处理措施的可行性,并进行了较全面的成本效益分析,认定某些功能、服务、信息或资产不需要进一 步保护。
风险处理的过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段。
批准监督包括批准和持续监督两部分。
批准,是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。批准应由机构内部或更高层的主管机构的决策层来执行。
持续监督,是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新的安全隐患并影响到信息系统的安全保障级别。监督通常由机构内部管理层和执行层完成,必要时也可以委托支持层的外部专业机构提供支持,这主要取决于信息系统的性质和机构自身的专业能力。
对风险评估和风险处理的结果的批准和持续监督,不能仅依据相关标准进行僵化的对比,而是需要紧紧围绕信息系统所承载的业务,通过对业务的重要性和业务遭受损失后所带来的影响来开展相关工作。批准通过的依据( 原则)有两个:一是信息系统的残余风险是可接受的;二是安全措施能够满足信息系统当前业务的安全需求。
参考资料:
《CISP培训教材》
《信息安全工程师教程(第2版)》
《信息安全技术信息安全风险评估规范》
随着信息系统的发展,大家都在说网络安全要覆盖“云”、“管”、“端”,CWPP与EDR是目前非常火的产品,一个面向云端服务器的防护,一个是面向常规终端PC端的防护。
在介绍CWPP与EDR两个产品概念之前,先来简单说明一下主机、服务器、终端几个位置概念:
主机VS服务器。主机是一个统称,所有服务器(虚拟机)都是主机,但并非所有主机都是服务器,也就是主机覆盖服务器。主机和服务器的主要差别在于,主机是连接到网络的计算机或其他设备,而服务器是提供服务的软件或硬件设备,日常所说的服务器一般是指提供服务的主机。由此可见,主机安全并不是一个产品,而是对应一个需要被保护的位置,主机安全即主机侧的安全保护。
终端VS服务器。终端和服务器是两类东西。这里的终端指桌面电脑、笔记本、个人设备等用于访问网络、数据和应用的设备,而服务器则是提供服务、存储、计算的设备。当然,某种程度上来说,广义上的终端概念也可以包括服务器,但常规意义的终端不包括服务器。
对于一般的应用系统来说,服务器就是提供服务的主机如提供WEB、FTP、数据库等服务的服务器,终端就是访问服务的工作站、个人PC等。
现代数据中心支持运行在物理设备、虚拟机(VM)、容器以及私有云基础架构中的各种工作负载,并且几乎总是涉及一些在一个或多个公有云基础设施即服务(IaaS)提供商中运行的工作负载。
云工作保护平台(Cloud Workload Protection Platform)简称CWPP,市场定义为基于主机的解决方案,主要满足现代混合数据中心架构中,服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置。
可以理解成为基于代理(Agent)的底层技术方案,和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。采用服务端agent+远程控制台的部署模式,agent支持云、物理、混合环境部署,能有效安全加固服务器、抵御黑客攻击和恶意代码。
Gartner定义的产品能力(需求)的金子塔说明了对CWPP产品能力的定义,越是靠近基座的功能越重要,越是靠近塔尖的功能越次要。
CWPP的核心能力:
根据Gartner的定义,EDR端点检测与响应(Endpoint Detection and Response)简称EDR是一种集成的终端安全解决方案,它将终端数据的实时连续监控和收集与基于规则的自动响应和分析功能相结合。该术语由Gartner的Anton Chuvakin提出,用于描述新兴的安全系统,用于检测和调查终端上的可疑活动,采用高度自动化使安全团队能够快速识别和响应威胁。完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。
相比于传统端点安全防护采用预设安全策略的静态防御技术,EDR加强了威胁检测和响应取证能力,能够快速检测、识别、监控和处理端点事件,从而在威胁尚未造成危害前进行检测和阻止,帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示:
EDR与CWPP主机安全属于网络安全领域两个不同的方向,前者聚焦于常规的终端侧,后者聚焦于主机侧,两者作用于完全不同的位置。EDR的基因是根植于PC等常规终端的,它天然不适配于主机侧。
| 需求场景 | 需求求相同点 | 需求不同点 |
|---|---|---|
| 终端侧安全 | 资产梳理清点 统一集中管理 风险防护 |
安全需求>稳定需求,注重安全防护能力,重防御; 关注用户实体行为分析(UEBA),防止PC端成为威胁内网安全的导火索,防止敏感数据歪斜; 高危动作或安全风险尽可能自动化完成阻断动作,无需人工介入,确保整体网络的安全可靠。 |
| 主机侧安全 | 资产梳理清点 统一集中管理 风险防护 |
稳定需求>安全需求,注重安全检测能力,重检测; 更加关注主机上承载的业务应用和数据安全; 因业务连续性需要,安全加固工作需人工介入,要在确保业务连续稳定运行的基础上进行加固。 |
在安全的需求上,PC类的终端侧与主机侧的安全诉求差别很大。所以,面向终端的EDR产品与面向服务器/工作负载的主机安全产品CWPP,这两者之间有本质的区别,并不能混为一谈。主机侧的安全产品实现不了终端侧的安全防护,EDR也不能实现CWPP的防护效果。
两种产品的区别如下:
| 对比项 | CWPP | EDR |
|---|---|---|
| 产品定位 | 主机安全防护 | 终端安全防护 |
| 产品部署 | Agent不在内核安装驱动,稳定性高 | Agent安装需要在内核安装驱动,稳定性差,影响业务 |
| 资产清点 | 资产清点能力更全面,支持对业务层资产精准识别和动态感知 | 资产信息相对比较少,不够全面 |
| 风险发现 | 提供全面的风险检查,包括漏洞风险、弱密码、系统风险、应用风险、账号风险检查 | 支持漏洞风险检查,不具备其他风险检查能力 |
| 入侵检测与病毒查杀 | 不依赖特征库的检测方式,基于行为以及结合威胁情报、大数据、机器学习等方法,提供实时精准的入侵检测和响应能力 | 主要功能是病毒查杀,基于特征库或结合威胁情报,能够查杀绝大部分病毒,但仍属于被动防护 |
| 基线合规检查 | 提供等保或CIS国标标准的检查基线,支持对系统、应用、数据进行基线合规检查 | 通常不具备合基线合规检查能力,或提供少量的基线检查标准。 |
CWPP与EDR,一个面向服务器端的防护(CWPP),一个是面向常规终端PC端的防护(EDR)但是对于企业的整体安全防护来说,CWPP和EDR相互作为补充构建企业的云、端防护能力。
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击。
APT攻击是一种以商业或者政治目的为前提的特定攻击,其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息,特别是针对国家重要的基础设施和单位开展攻击,包括能源、电力、金融、国防等等。APT攻击常常采用多种攻击技术手段,包括一些最为先进的手段和社会工程学方法,并通过长时间持续性的网络渗透,一步步的获取内部网络权限,此后便长期潜伏在内部网络,不断地收集各种信息,直至窃取到重要情报。
对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。
(1)攻击者:拥有高水平专业知识和丰富资源的敌对方。
(2)攻击目的:破坏某组织的关键设施,或阻碍某项任务的正常进行。
(3)攻击手段:利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
(4)攻击过程:在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。
一般APT攻击过程可概括为3个阶段:攻击前准备阶段、攻击入侵阶段和持续攻击阶段,又可细分为5个步骤:情报收集、防线突破、通道建立、横向渗透、信息收集及外传。
在实施攻击之前,攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样,通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站,甚至通过某些渠道购买相关信息(如公司通讯录等)。攻击者通过对这些信息的分析,可以清晰地了解攻击目标所使用的应用、防御软件,组织内部架构和人员关系,核心资产存放情况等等。于是,攻击者针对特定目标(一般是内部员工)所使用的应用软件寻找漏洞,并结合特定目标所使用的杀毒软件、防火墙等设计特定木马/恶意代码以绕过防御。同时,攻击者搭建好入侵服务器,开展技术准备工作。
攻击者在完成情报收集和技术准备后,开始采用木马/恶意代码攻击特定员工的个人电脑,攻击方法主要有:①社会工程学方法,如电子邮件攻击,攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱,冒充发件人给该员工发送带有恶意代码附件的邮件,一旦该员 工打开附件,员工电脑便感染了恶意软件。②远程漏洞攻击方法,如网站挂马攻击,攻击者在员工常访问的网站上放置木马,当员工再次访问该网站时,个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理,因此现有的杀毒软件和防火墙均无法察觉,攻击者便能逐渐获取个人电脑权限,最后直至控制个人电脑。
攻击者在突破防线并控制员工电脑后,在员工电脑与入侵服务器之间开始建立命令控制通道。通常,命令控制通道采用HTTP/HTTPS等协议构建,以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立,攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀,并在恶意软件被安全软件检测到前,对恶意软件进行版本升级,以降低被发现的概率。
入侵和控制员工个人电脑并不是攻击者的最终目的,攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权。
攻击者常常长期潜伏,并不断实行网络内部横向渗透,通过端口扫描等方式获取服务器或设备上有价值的信息,针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器,然后通过整理、压缩、加密、打包的方式,利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后,攻击者会对这些信息数据进行分析识别,并做出最终的判断,甚至实施网络攻击破坏。
APT攻击具有不同于传统网络攻击的5个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。
1.针对性强
APT攻击的目标明确,多数为拥有丰富数据/知识产权的目标,所获取的数据通常为商业机密、国家安全数据、知识产权等。
相对于传统攻击的盗取个人信息,APT攻击只关注预先指定的目标,所有的攻击方法都只针对特定目标和特定系统,针对性较强。
2.组织严密
APT攻击成功可带来巨大的商业利益,因此攻击者通常以组织形式存在,由熟练黑客形成团体,分工协作,长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源,具备长时间专注APT研究的条件和能力。
3.持续时间长
APT攻击具有较强的持续性,经过长期的准备与策划,攻击者通常在目标网络中潜伏几个月甚至几年,通过反复渗透,不断改进攻击路径和方法,发动持续攻击,如零日漏洞攻击等。
4.高隐蔽性
APT攻击根据目标的特点,能绕过目标所在网络的防御系统,极其隐藏地盗取数据或进行破坏。在信息收集阶段,攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透,使被攻击者很难察觉;在攻击阶段,基于对目标嗅探的结果,设计开发极具针对性的木马等恶意软件,绕过目标网络防御系统,隐蔽攻击。
5.间接攻击
APT攻击不同于传统网络攻击的直接攻击方式,通常利用第三方网站或服务器作跳板,布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中,可由攻击者在远端进行遥控攻击,也可由被攻击者无意触发启动攻击。
| 对比内容 | 传统攻击 | APT攻击 |
|---|---|---|
| 攻击者特征 | 个体或小组织网络犯罪分子 | 全球性、有组织、有纪律的不法团体、公司、敌对者 |
| 攻击目标 | 随机性选择攻击,通常以个体为主,以达到获取金钱、盗窃身份、欺诈等 | 特定攻击目标,通常针对国家安全信息、重要行业商业机密信息等 |
| 攻击手段 | 攻击手段比较单一,常基于已有的恶意软件展开攻击 | 攻击手段复杂,形式多样,结合0day攻击、特种木马攻击、社会工程学等展开攻击 |
| 攻击时间 | 攻击时间较短,以一次性、大范围攻击为主 | 攻击时间较长,长期潜伏、多次渗透攻击 |
| 攻击痕迹 | 攻击特性很强,容易在较短时间内被检测和捕获 | 攻击特征弱,比较隐蔽,缺少样本数据,很难被检测和捕获 |
随着人们对APT攻击的研究不断深入,已经出现一些有效的防御技术来对抗APT攻击,其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括:沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等等。
沙箱,又叫做沙盘,被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境,同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离,以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术,将测试过程中生成和修改的文件定向到特定文件夹中,避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时,可以及时地观察并分析其特征码,进一步防御其深入攻击。
安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术,通过建立信誉库,包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等,可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑,实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用,将进一步提高安全新品的安全防护能力。
针对横向移动与内部资料进行挖掘和探测的防御,可采用主机漏洞防护技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控,保护未套用修补程序的主机,防止已知和0day 漏洞攻击。
这是一种流量检测及分析技术,其采用旁路接入方式提取流量信息,可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测,并基于时间、拓扑、节点等多种统计分析手段,建立流量行为轮廓和学习模型来识别流量异常情况,进而判断并识别0Day漏洞攻击等。
针对资料外传的风险,一般可采用加密和资料外泄防护 (DLP)技术,将关键、敏感、机密的数据加密,是降低数据外泄风险的一种方法,DLP 可提供一层额外的防护来防止数据外泄。然而,这类工具通常很复杂,而且有些部署条件,例如:数据要分类,要定义政策和规则等。
APT攻击防御离不开大数据分析技术,无论是网络系统本身产生的大量日志数据,还是SOC安管平台产生的大量日志信息,均可以利用大数据分析技术进行大数据再分析,运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹,以弥补传统安全防御技术的不足。
我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御,目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节,未来发展的趋势,是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系,如态势感知平台等。