Professional Documents
Culture Documents
魔法師、英雄和犯罪分子的
世界
第 1 章 - 章節和目標
1.1 網路安全世界的特徵
說明構成網路安全世界的常見特徵
1.2 犯罪分子與網路安全專家
區分網路犯罪分子與英雄的特徵
1.3 比較網路安全威脅
比較網路安全威脅如何影響個人、企業和組織
1.4 網路犯罪增長因素
分析致力於擴大網路安全人員隊伍的組織和所做的工作
網路王國
網路王國概述
網站和資料力量
• 許多卓越的企業都是透過收集資料並利用資料和資料
分析的力量創造的
• 這些企業有責任保護此類資料免遭濫用和未經授權的
存取
• 數據的增長為網路安全專家創造了巨大的機會
網路王國
• 無論是大企業,還是小企業,都已認識到巨量資料和
資料分析的力量
• Google、LinkedIn、Amazon 等組織為其客戶提供重
要的服務和機會
• 如果不採取預防措施來保護敏感性資料免受犯罪分子
或其他蓄意破壞的不良之徒利用,則資料收集和分析
的增長會給個人和現代生活帶來巨大風險
1.2 網路犯罪分子與網路專業
人員
網路犯罪分子與網路英雄
網路安全犯罪分子(續)
世界上有形形色色的犯罪分子。每種犯罪分子都有自己的動機:
腳本小子 - 青少年或業餘愛好者,其行為主要限於惡作劇和故意破壞,
沒有多少技能或根本沒有技能,通常使用在網際網路上發現的現有工具
或指令來發起攻擊。
漏洞經紀人 - 灰帽駭客,他們試圖發現漏洞並將其報告給供應商,有時
他們是為了獲得獎品或獎勵。
黑客行動主義者 - 嘲弄或抗議不同的政治或社會理念的灰帽駭客。駭客
行動主義者透過釋出文章和視訊、洩漏敏感資訊以及進行分散式阻斷服
務 (DDoS) 攻擊公開抗議組織或政府。
網路犯罪分子與網路英雄
網路安全專家
阻止網路犯罪分子是一項艱巨的任務,公司、政府和國際組織已開始採
取協同行動來限制或抵禦網路犯罪分子。這些協同行動包括:
• 漏洞資料庫:國家常見漏洞與風險 (CVE) 資料庫是開發國家資料庫的
一個例子。開發 CVE 國家資料庫,提供一個囊括所有已知漏洞的資料
庫並向公眾開放。http://www.cvedetails.com/
• 預警系統:Honeynet 專案是新增預警系統的一個例子。該專案提供即
時顯示攻擊分佈的 HoneyMap。https://www.honeynet.org/node/960
• 共用網路情報:InfraGard 是廣泛分享網路情報的一個例子。InfraGard
計畫是公共部門與私營部門之間的一個合作計畫。參與者致力於共用
資訊和情報以防止惡意網路攻擊。https://www.infragard.org/
1.3 網路王國面臨的威脅
網路王國面臨的威脅
威脅環境(續)
以下範例只是一些可能來自知名組織的資料來源:
個人資訊
病曆
教育記錄
工作經歷和財務記錄
網路王國面臨的威脅
威脅環境(續)
網路王國的行業包括:
制造業
工業控制
自動化
SCADA
能源生產和分銷
配電和智慧電網
石油和天然氣
通訊
電話
郵件
訊息傳送
運輸系統
航空旅行
鐵路
公路
1.4 網路安全的黑暗勢力
網路安全的黑暗勢力
黑暗勢力的擴散(續)
行動裝置漏洞 - 過去,員工通常使用公司分配的電腦連線到公司區域網路。
如今,iPhone、智慧手機、平板電腦等行動裝置以及數千種其他裝置正逐漸
成為傳統 PC 強大的替代品或附加品。
越來越多的人使用這些裝置存取企業資訊。內建裝置 (BYOD) 呈現出不斷增
長的趨勢。
如果無法集中管理和更新行動裝置,便會給允許員工在網路上使用行動裝置
的組織造成越來越大的威脅。
網路安全的黑暗勢力
黑暗勢力的擴散(續)
巨量資料的影響 – 巨量資料是在傳統資料處理應用
難以應對大型複雜資料集的背景下產生的。巨量資
料在以下三個方面形成了挑戰,也帶來了機遇:
數據量
資料速度或速率
數據類型和資料來源的種類或範圍
大型公司遭到駭客攻擊的事例常常見諸媒體,層出
不窮。正因如此,企業系統需要在安全產品的設計
方面進行大刀闊斧的改革,並且大幅實質性改進技
術和實踐。此外,政府和各個行業需要引入更多的
法規和條例,要求提供更好的資料保護和安全控制
措施,以保護巨量資料的安全。
黑暗勢力的擴散
黑暗勢力的複雜性(續)
安全隱患
網路安全黑暗勢力會帶來許多相關安全隱患,包括美國的緊急呼叫中心都容易受
到可能關閉 911 網路的網路攻擊,進而危害公共安全。
電話拒絕服務 (TDoS) 攻擊利用針對目標電話網路的電話呼叫來繫結系統並阻止
合法呼叫。
下一代 911 呼叫中心易受攻擊,因為他們使用 IP 語音 (VoIP) 系統,而不是傳統
的固定電話。
對網路安全威脅的高度認識
網路時代開始時對網路攻擊的防禦力很低。聰明點的高中生或指令碼小子就可以
存取系統。
現在,世界各國對網路攻擊威脅的意識都有所提高。網路攻擊造成的威脅現已被
大多數國家/地區列入國家和經濟安全面臨的最大威脅。
打造更多英雄
網路安全的人才架構
解決網路安全專家的短缺問題
在美國,國家標準和技術研究所 (NIST) 為需要網路安全專業人員的公司和組織新增
了一個架構。借助該架構,公司能夠確定所需專業人員的主要職責類型、職稱和人
才技能。
七類網路安全魔法師
該人才架構將網路安全工作分為七個類別。
運營和維護包括提供確保 IT 系統性能和安全性所需的支援、管理和維護
保護和防禦包括識別、分析和緩解內部系統和網路面臨的威脅
調查包括調查涉及 IT 資源的網路事件和/或網路犯罪
收集和運營包括執行專門的阻斷服務和欺騙攻擊,以及收集網路安全資訊
打造更多英雄
線上網路安全社群
專業組織
網路安全專家必須經常與專業同事協作。國際技術組織經常主辦研討會及各種會議。
存取您所屬類別的每個網站,並探索可用資源。
打造更多英雄
網路安全認證
行業認證
在網路安全面臨威脅的環境下,非常需要熟練且知識淵博的資訊安全專業人員。IT 行業建立
起了面向網路安全專家的標準,他們必須獲得能提供技能和知識水準證明的專業認證。
CompTIA Security+ - Security + 是由 CompTIA 資助的測試計畫,用於認證 IT 管理者在
資訊保證方面的能力。
EC-Council 認證的道德駭客 (CEH) - CEH 是一個中級認證,用於證明持此證書的網路安
全專家擁有各種駭客行為的技能和知識。
SANS GIAC Security Essentials (GSEC) - GSEC 認證是一個不錯的網路安全專家入門
級證書選擇,該證書可以證明他們瞭解安全術語和概念,並具有擔任“實踐”安全角色所
需的技能和專業知識。SANS GIAC 計畫提供安全管理、調查分析和審計領域的一些額外
認證。
打造更多英雄
網路安全認證(續)
公司贊助認證 - 網路安全專家的另一個重要證書是公司贊助認證。這些認證可以衡量在安裝、
配置和維護供應商產品方面的知識與能力。例如,思科和微軟這兩家公司便提供關於自身產品
知識測試的認證。點選此處,檢視圖中所示的思科認證表。
思科認證網路關聯安全(CCNA 安全) - CCNA 安全認證用於證明網路安全專家具有確保思科
網路安全所需的知識和技能。
1.6 本章總結
第 2 章 - 章節和目標
數據狀態
網路世界是一個資料的世界;因此,網路魔法師十分注重資料的保
護。Cybersecurity Sorcery Cube 的第二個維度將重點放在保護網路
世界中各種狀態的資料的相關問題上。資料可能有三種狀態:
1) 靜止或儲存中的資料 2) 傳輸中的資料 3) 正在處理的資料
CIA 三要素
保密性(續)
控制存取
訪問控制定義了一系列用於防止電腦、網路、資料庫
或其他資料資源受到未經授權存取的保護方案。AAA
概念涉及三項安全服務:驗證、授權和記帳。身份驗
證驗證用戶的身份,以防止未經授權的存取。使用者
透過用戶名或 ID 證明其身份。
授權服務確定使用者可存取的資源和可執行的操作。
授權還可以控制使用者有權存取特定資源的時間。
記賬跟蹤使用者行為,包括使用者存取的內容、存取
資源的時間以及進行的任何更改。
CIA 三要素
完整性
資料完整性原則
完整性是指數據在整個生命週期內的準確性、一致性和可信度。
完整性的另一種說法是品質。
用於確保資料完整性的方法包括雜湊法、資料驗證檢查、資料一致性檢查和存取控制。
對數據完整性的需求
對資料完整性的需求根據組織使用資料的方式而有所不同。例如,Facebook 就不會檢驗使用
者在個人資料中釋出的資料。
銀行或金融組織對資料完整性的重視程度要高於 Facebook。交易和客戶帳戶必須準確無誤。
保護資料完整性是大多數組織經常面臨的挑戰。喪失資料完整性會致使整個資料資源不可靠或
不可用。
完整性檢查
完整性檢查是一種衡量資料集合(檔案、圖片或記錄)一致性的辦法。完整性檢查執行雜湊函
數過程,以獲得資料的即時快照。
2.3 資料狀態
資料狀態
靜止資料(續)
獨立磁碟容錯陣列 (RAID) 在一個陣列中使用多個硬碟驅動器,這種方法將多
個磁碟組合起來,令作業系統將其視為一個磁碟。RAID 可提供更高的效能和
容錯能力。
網路附加儲存 (NAS) 裝置是連線到網路的存放裝置,可以讓授權網路使用者
在一個集中位置儲存和檢索資料。NAS 裝置靈活又可延伸,這意味著管理者
可以根據需要增加容量。
存儲區域網 (SAN) 是基於網路的儲存系統。SAN 系統使用高速介面連線到網
路,可以實作更高的效能和將多台伺服器連線到集中式磁碟儲存庫的能力。
資料狀態
處理中的資料
資料的第三種狀態是正在處理中的資料。這是指初始輸入、修改、計算和輸出過程
中的資料。
保護資料完整性始於資料的初始輸入。
組織使用多種方法來收集資料,例如手動輸入資料、掃描表單、上傳檔案以及從
感應器收集資料。
上述每種方法對資料完整性都具有潛在威脅。
數據修改是指對原始資料的任何更改,例如使用者手動修改資料、程式處理和更
改資料,以及裝置故障導致資料修改。
例如,編碼/解碼、壓縮/解壓縮和加密/解密等過程都屬於資料修改。惡意程式碼
也會導致資料損壞。
網路安全對策
技術
基於軟體的技術保護措施
軟件保護措施包括保護作業系統、資料庫以及在工作
站、可攜式裝置和伺服器上執行的服務的程式和服務
。有多種基於軟體的技術可用於保護組織的資產。
基於硬體的技術保護措施
基於硬體的技術是安裝在網路設施內的裝置,包括:
防火牆裝置、入侵偵測系統 (IDS)、入侵防禦系統
(IPS) 和內容過濾系統。
網路安全對策
技術
基於雲的技術保護措施
技術對策現在還包括基於雲的技術。基於雲的技術將技
術部分從組織轉移到雲提供商。
軟件即服務 (SaaS) 允許使用者存取應用軟體和資料庫。
雲提供商管理基礎設施。使用者將資料儲存在雲提供商
的伺服器上。
基礎設施即服務 (IaaS) 透過網際網路提供虛擬計算資源
。提供商代管硬體、軟體、伺服器和儲存元件。
虛擬安全裝置在虛擬環境中執行,其中包含在虛擬硬體
上執行的預封裝強化作業系統。
網路安全對策
網路安全政策和程式
安全政策是公司的一系列安全目標,包括使用者和管理者的行為規則,並指定
系統要求。這些目標、規則和要求共同確保組織中的網路、資料和電腦系統的
安全。
標准幫助 IT 人員在運營網路時保持一致性。標準提供除組織必須遵循的任何
程式要求或標準之外特定使用者或程式需要的技術。
指南列出了有關如何提高工作效率和安全性的建議。它們與標準相似,但更加
靈活,而且通常並非強制性的。指南定義標準的制定方式並保證遵守總的安全
政策。
程式文檔比標準和指南更長、更詳細。程式文件包括實作詳情,通常包含分步
說明和圖解。
安全管理架構
ISO 模型
安全專業人員需要在組織中從頭至尾地保護資訊。這是一項艱巨的任務,指
望某一個人具備所有必備的知識顯然不切實際。
國際標准化組織 (ISO)/國際電子電機委員會 (IEC) 制定了指導資訊安全管理
的綜合架構。
ISO 網路安全模型之于網路安全專家就像 OSI 網路模型之于網路工程師。二
者都為理解和處理複雜的任務提供了架構。
安全管理架構
使用 ISO 網路安全模型
ISO 27000 是適合各類組織的通用架構。為了有效使用該架構,組織必須縮減應用於其
環境和運營的領域、控制目標和控制措施。
ISO 27001 控制目標可當作核對表。組織採取的第一步就是確定這些控制目標是否適合
組織。
安全管理架構
使用 ISO 網路安全模型(續)
ISO 網路安全模型和保護措施
ISO 27001 控制目標與組織的網路安全政策、程式和指南(由高級管理層決定)
直接相關。
ISO 27002 控制措施提供技術指導。例如,高級管理層制定了政策,規定對進出
組織的所有資料進行保護。不過,實作相應技術以實作政策目標則不會涉及高級
管理層。
IT 專業人員負責正確實作和配置用於實作高級管理層所設定的政策目標的裝置。
本章總結
小結
本章介紹 Cybersecurity Sorcery Cube 的三個維度。網路安全魔法師的主要職責是
保護組織的系統和資料。
本章說明三個維度分別對此項工作有何貢獻。
本章還介紹了 ISO 網路安全模型。該模型表現了用於實作資訊系統管理標準化的國
際架構。
本章對十二個領域進行了探討。該模型提供的控制目標為綜合資訊安全管理系統
(ISMS) 的概要設計和實作提供指導。
本章還介紹了安全專業人員如何使用控制措施來確定用於保護組織安全的技術、裝
置和產品。
如果您想進一步瞭解本章中的概念,請檢視“學生資源”中的“其他資源和練習”
頁面。
第 3 章 - 章節和目標
3.1 惡意軟體和惡意程式碼
區分惡意軟體和惡意程式碼的類型。
3.2 欺詐
描述網路犯罪分子使用的戰術、技術和程式。
3.3 攻擊
比較社交工程中使用的不同方法。
比較不同類型的網路攻擊。
惡意軟體和惡意程式碼
惡意軟體類型
網路犯罪分子透過安裝惡意軟體來定位使用者的終端設備。
病毒 - 病毒是附加到其他可執行檔(如合法程式)的惡意可執行程
式碼。大多數病毒需要終端使用者啟動,並且可以在特定時間或日
期啟用。
蠕蟲 - 蠕蟲是透過單獨利用網路中的漏洞進行複製的惡意程式碼。
蠕蟲通常會減慢網路的執行速度。病毒需要主機程式才能執行,而
蠕蟲可以自己執行。除了最初的感染之外,蠕蟲不再需要使用者參
與。
特洛伊木馬 - 特洛伊木馬是以執行使用者期望的操作(如玩線上遊
戲)為幌子,但實際上執行惡意操作的惡意軟體。此惡意程式碼利
用執行它的使用者的權限。特洛伊木馬與病毒不同,因為特洛伊木
馬會將自身繫結到不可執行的檔案(如映像檔檔案、音訊檔案或遊
戲等)。
惡意軟體和惡意程式碼
郵件和瀏覽器攻擊(續)
郵件是全球數十億使用者使用的一種通用服務。作為最受
歡迎的服務之一,郵件已成為使用者和組織的主要漏洞。
垃圾郵件 - 垃圾郵件,也稱為垃圾電子郵件,是指未經索
取的郵件。在大多數情況下,垃圾郵件是一種廣告方式。
但是,垃圾郵件也可以發送有害的連結、惡意軟體或欺騙
內容。
間諜軟件 - 間諜軟體是使犯罪分子能夠獲取使用者電腦活
動資訊的軟體。間諜軟體通常包括活動跟蹤器、擊鍵收集
和資料擷取功能。為了攻破安全措施,間諜軟體通常會修
改安全設定。
惡意軟體和惡意程式碼
郵件和瀏覽器攻擊(續)
網路釣魚 - 網路釣魚是一種欺詐形式。網路犯罪分
子利用郵件、即時通訊或其他社交媒體方式,試圖
透過偽裝成信譽良好的實體或個人來收集登入憑證
或帳號資訊等資訊。網路釣魚是指惡意方發送偽裝
為來自合法可信來源的欺詐郵件。郵件的目的是欺
騙收件人在自己的裝置上安裝惡意軟體或者共用個
人資訊或財務資訊。
魚叉式網路釣魚 - 魚叉式網路釣魚是一種針對性較
強的網路釣魚攻擊。儘管網路釣魚和魚叉釣魚都使
用郵件來接觸受害者,但魚叉釣魚會向特定的物件
發送定制的郵件。
惡意軟體和惡意程式碼
郵件和瀏覽器攻擊(續)
外掛程式 - Adobe 的 Flash 和 Shockwave 外掛程式可以開發有趣的圖形和卡通動
畫,從而大大提升網頁的介面外觀。外掛程式顯示使用適當的軟體發展的內容。
SEO 中毒 - Google 等搜尋引擎透過對網頁進行排名並根據使用者的搜索查詢呈
現相關結果。根據網站內容的相關性,它可能顯示在搜索結果清單中較高或較低
的位置。SEO 的全稱是搜尋引擎最佳化,它是指一組用於提高網站的搜尋引擎排
名的技術。雖然許多合法公司專門從事網站最佳化以提高網站排名,但 SEO 中毒
也利用 SEO 提高惡意網站在搜索結果中的排名。
瀏覽器劫持程式 - 瀏覽器劫持程式是一種惡意軟體,它改變電腦的瀏覽器設定,
將使用者重定向至網路犯罪分子的客戶支付過費用的網站。瀏覽器劫持程式通常
在未經使用者許可的情況下安裝,並且通常是路過式下載的一部分。
欺詐
欺詐術
社交工程 - 社交工程是犯罪分子用於收集有關目標的資訊的零
技術含量手段。社交工程是一種企圖操縱個人,使之執行行動
或洩露機密資訊的攻擊。
社交工程攻擊者通常會利用人們樂於助人的心態,但同時也會
針對人性的弱點下手。社交工程攻擊包括以下類型:
冒名申請 - 這是指攻擊者給個人打電話並向其撒謊,以試圖獲
取對特權資料的存取權限。例如,攻擊者假裝需要個人或財務
資料才能確認收件人的身份。
3.3 攻擊
攻擊
網路攻擊的類型
中間人 - 犯罪分子透過攔截電腦之間的通訊來執行中間人 (MitM) 攻
擊,以竊取透過網路傳輸的資訊。犯罪分子還可以選擇操縱訊息並在
主機之間中繼假資訊,因為主機並不知道訊息已被修改。犯罪分子可
以透過中間人攻擊,在使用者不知情的情況下控制裝置。
零日攻擊 - 零日攻擊有時也稱為零日威脅,是一種嘗試利用軟體供應
商未知的或不明確的軟體漏洞的電腦攻擊。“零小時”一詞描述了有
人發現漏洞的時刻。
鍵盤記錄 - 鍵盤記錄是一種記錄系統使用者的按鍵的軟體程式。犯罪
分子可以透過安裝在電腦系統上的軟體或透過以實體方式連線到電腦
的硬體來實作擊鍵記錄器。犯罪分子將擊鍵記錄器軟體配置為透過郵
件發送日誌檔案。該日誌檔案中擷取的擊鍵操作會洩露用戶名、密碼、
使用者存取過的網站以及其他敏感資訊。
攻擊
無線和行動攻擊(續)
欺詐存取點 - 欺詐存取點是未經明確授權安裝在安全網路上的
無線存取點。可以透過兩種方式安裝欺詐存取點。
射頻干擾 - 無線信號易受電磁干擾 (EMI)、射頻干擾 (RFI) 的
影響,甚至可能受到雷擊或螢光燈干擾的影響。無線訊號也
容易受到故意干擾。射頻 (RF) 干擾會中斷無線電或衛星站的
傳輸,使得訊號無法到達接收站。
藍牙劫持和藍芽漏洞攻擊 - 藍牙劫持是指將未授權訊息發送到
其他藍芽裝置。藍芽漏洞攻擊是指攻擊者從受害者裝置複製
受害者的資訊。這些資訊可能包括郵件和連絡人列表。
攻擊
無線和行動攻擊(續)
防禦無線和行動裝置攻擊
要防禦無線和行動裝置攻擊,需採取幾個步驟。
大多數 WLAN 產品均使用預設設定。透過更改預設配置設定,充分利用驗證和加
密等基本無線安全功能。
通過將這些裝置放在防火牆之外或包含其他不受信任的裝置(如郵件和 Web 伺服
器)的隔離區 (DMZ) 內,限制網路中無線存取點的位置。
NetStumbler 等 WLAN 工具可能會發現欺詐存取點或未授權的工作站。制定訪客
政策,以應對合法訪客在存取時需要連線到網際網路的需求。授權員工可以使用
遠端存取虛擬私人網路 (VPN) 進行 WLAN 存取。
攻擊
應用攻擊
遠端程式碼執行漏洞允許網路犯罪分子執行惡意程式碼,並透過執行應用的使用者
的權限控制系統。犯罪分子可以透過遠端程式碼執行攻擊在目的機器上執行任何命
令。
ActiveX 控制和 Java 控制為 Internet Explorer 提供外掛程式的功能。
ActiveX 控制項是使用者安裝的軟體,用於提供延伸功能。協力廠商會編寫一些
ActiveX 控制項,而這些控制項可能是惡意的。它們可以監控瀏覽習慣、安裝惡
意軟體或記錄擊鍵操作。Active X 控制項也可以在其他 Microsoft 應用中使用。
Java 透過直譯器(Java 虛擬機器 [JVM])執行。JVM 可以支援 Java 程式的功能。
JVM 對不受信任的程式碼執行沙箱,也就是將它與作業系統的其餘部分隔離。不
受信任的程式碼可以利用有些漏洞繞過沙箱施加的限制。
3.4 本章總結