APT防御_简述对安全的理解

APT防御_简述对安全的理解在信息化的时代,很多业务都依赖于互联网,例如说网上银行、网络购物、网游等。大量的数据依赖于网络。无疑Web成为领导者。随着国家安全法的不断完善,企业及公司对用户隐私以及公司的重要信息逐渐加强重视。也使得暴露在网络上的Web面临更高的挑战。这种黑白交替的时代,黑白技术在对抗中也在不断的发展。也使得安全测试逐渐规范化。作为新人,浅谈一下Web安全观。浅谈从Web安全到APT防御。一、web系统存在的安全性复杂应用系统代码量大、开发人员出现疏忽;系统屡次升级、人员频繁变更,使得代码存在差别;新旧资源存在

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

在信息化的时代,很多业务都依赖于互联网,例如说网上银行、网络购物、网游等。大量的数据依赖于网络。无疑Web成为领导者。随着国家安全法的不断完善,企业及公司对用户隐私以及公司的重要信息逐渐加强重视。也使得暴露在网络上的Web面临更高的挑战。这种黑白交替的时代,黑白技术在对抗中也在不断的发展。也使得安全测试逐渐规范化。作为新人,浅谈一下Web安全观。浅谈从Web安全到APT防御。

一、web系统存在的安全性

  • 复杂应用系统代码量大、开发人员出现疏忽;
  • 系统屡次升级、人员频繁变更,使得代码存在差别;
  • 新旧资源存在于相同服务器;
  • 开发人员未经过安全意识培训;
  • 系统测试阶段未达到要求的合格范围;

在整个系统实现阶段。人,无疑成为做大的Bug。在开发者的关注角度呈现的思维方式:

  • 客户的满意程度;
  • 处理能力;
  • 界面的美观与操作简洁度;
  • 项目的开发进度以及所用成本;
  • 使用合理的架构,方便代码修改;
  • 模块(类)间关联程度的度量;

二、常见Web攻击维度

在这里插入图片描述
三、常见Web攻击动机

  • 炫技或存在报复心理;
  • 篡改网页,修改文字内容;
  • 窃取用户隐私信息、商业机密;
  • 关闭站点,影响正常访问;
  • 网站钓鱼,非法诈骗;
  • 用户权限进行非法操作;
  • 以此作为跳板攻击企业内网其他系统;

四、常见的 Web 攻击流程

  • 信息收集
  • 暴力猜解
  • Web漏洞扫描
  • 错误信息利用
  • 根据服务器版本寻找现有的攻击代码
  • 利用服务器配置漏洞
  • 文件上传下载
  • 构造恶意输入(SQL注入攻击、命令注入攻击、跨站脚本攻击)
  • HTTP协议攻击
  • 拒绝服务攻击
  • 其他攻击点利用(Web Services, Flash, Ajax, ActiveX, JavaApplet)
  • 业务逻辑测试

五、Web 漏洞 Top 10

你想怎样进入房间?
在这里插入图片描述

  1. (十)内部重要资料/文档外泄

无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。 企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信息外泄,将直接加重企业安全隐患发生的概率。

  1. (九)账户体系控制不严/越权操作

与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库,检索用户密码,或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验,攻击者可通过伪造请求,越权窃取所有业务系统的数据。

  1. (八)未授权访问/权限绕过

多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。

  1. (七)XSS跨站脚本攻击/CSRF

属于代码注入的一种,XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。

  1. (六)SQL注入漏洞

注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。

  1. (五)应用错误配置/默认配置

多数应用程序、中间件、服务端程序在部署前,未针对安全基线缺乏严格的安全配置定义和部署,将为攻击者实施进一步攻击带来便利。常见风险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器、数据库服务器自带管理功能默认后台和管理口令。

  1. (四)敏感信息/配置信息泄露

由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。

  1. (三)系统错误/逻辑缺陷带来的暴力猜解

由于应用系统自身的业务特性,会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。 随着模块化的自动化攻击工具包越来越趋向完善,将给应用带来最大的威胁。

  1. (二)引用不安全的第三方应用

第三方开源应用、组件、库、框架和其他软件模块; 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。

  1. (一)互联网泄密事件/撞库攻击

以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。

六、什么是APT?

APT(Advanced Persistent Threat) 高持续性威胁,这个专业名词的源于09年Google退华事件中“极光攻击”这一安全事件,各国安全专家对这类攻击持续热议后总结而得。名词看着很新鲜,专业解释是指专门针对特定组织所实施的空前复杂且多方位的高级渗透攻击,也有很多人喜欢用我们中国的老话“不怕贼偷就怕贼惦记”来解释APT,但千万注意别把APT这个贼局限在网络攻击。

七、APT攻击的危害

  • 一是摧毁,例如摧毁工业SCADA系统,导致电力控制设备、油田勘探设备瘫痪,ATM机渠道、电视台播放系统停运等;
  • 二是窃取,例如偷取各类互联网数据支撑黑产,窃取油藏地质数据等国家重要军备物资数据;
  • 三是监控,针对关键目标人物的网络聊天、短信、语音通话、视频监控等;
  • 四是威慑,就像“核威慑”一样宣称可随时进行各种破坏力巨大的高危行为。

八、APT攻击的流程

  • 一阶段采用0Day漏洞技术植入恶意样本;
  • 二阶段是通过恶意代码进行远程监控;
  • 三阶段也是利用恶意代码对内网进行渗透攻击或破坏;

攻击者为了对特定目标进行攻击,而特别设计和定制研发的恶意程序
在这里插入图片描述

沙盒处理性能到底是多少?

在这里插入图片描述

九、在面对APT攻击时的四个弱点:

  1. 对未知攻击的检测能力严重不足;
  2. 对流量的深度分析能力不足;
  3. 对终端的强效监管能力不足;
  4. 对整体安全态势的管控手段不足。

攻防对抗的本质是“人与人”的对抗,以人为本是防御体系建设的根本!

十、用平台化和工具化来进行APT防护

1、Cloud – 云端

  • 汇聚各种线索事件
  • 智能的事件关联分析
  • 提供更全面的分析检测环境
  • 搭建人工分析基础

2、Network – 网络层

  • 识别网络流量中的脏数据,切断监控目标的黑手
  • 防护来自流量的攻击威胁,提高目标植入难度

3、Endpoint – 终端层(含移动端)

  • 识别目标植入的攻击行为
  • 拦截各种目标数据监控行为
  • 响应威胁处理任务,清理威胁文件并还原用户状态

4、Test tools – 检测工具

  • 检测攻击者驻留的各种软件后门
  • 深度检测各种硬件级后门
  • 为攻击溯源搜集分析线索
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/191596.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • 软件测试_笔记(完整版)[通俗易懂]

    软件测试_笔记(完整版)[通俗易懂]软件测试复习(部分)概述程序+文档+数据=软件狭义的软件测试定义:为发现软件缺陷而执行程序或系统的过程广义的软件测试定义:人工或自动地运行或测定某系统的过程,目的在于检验它是否满足规定的需求或弄清预期结果和实际结果间的差别为什么要做软件测试发现软件缺陷功能错功能遗漏超出需求部分(画蛇添足)性能不符合要求软件质量高低:是否符合用户习惯、符合用户需求测试…

  • Linux杀死进程命令:kill、killall、pkill

    Linux杀死进程命令:kill、killall、pkillkill命令:   1.格式:kill[信号]进程id   2..查看经常信号:kill-l   3.常用命令:          平滑重启进程:kill-1进程id          强制杀死进程:kill-9进程id#查看进程可用psaux命令killall命令:   1.格式:killall[信…

  • Linux的proc文件系统

    Linux的proc文件系统

  • 海量数据处理:算法

    海量数据处理:算法海量信息即大规模数据,随着互联网技术的发展,互联网上的信息越来越多,如何从海量信息中提取有用信息成为当前互联网技术发展必须面对的问题。在海量数据中提取信息,不同于常规量级数据中提取信息,在海量信息中提取有用数据,会存在以下几个方面的问题:(1)数据量过大,数据中什么情况都可能存在,如果信息数量只有20条,人工可以逐条进行查找、比对,可是当数据规模扩展到上百条、数千条、数亿条,甚至更多时,仅仅只通过手工已经无法解

  • ARMv9刷屏——号称十年最大变革,Realm机密计算技术有什么亮点?

    ARMv9刷屏——号称十年最大变革,Realm机密计算技术有什么亮点?作者/乾越编辑/芹菜出品/云巅论剑ARMv9的新闻刷屏了。ARMv9号称十年以来最重大变革,因此让我们看下ARMv9中机密计算相关的新特性Realm。(注:本文是对IntroducingtheConfidentialComputeArchitecture的部分翻译和个人注解,本文图均来自anandtech.com网站。)背景在过去的几年里,我们看到安全问题和硬件安全漏洞已经成为了新闻热点。许多处理器侧信道漏洞,如幽灵、熔毁以及与它们有关的侧通道攻击,都表明…

  • Java Jsoup 解析处理百度谷歌搜索结果的示例代码

    Java Jsoup 解析处理百度谷歌搜索结果的示例代码本文主要介绍Java中,通过Jsoup来解析百度和谷歌中的搜索结果,获取搜索到的链接url和标题title的方法,以及相关的示例代码。原文地址:JavaJsoup解析处理百度谷歌搜索结果的示例代码

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号