信息安全 - 运营安全

一、安全运营

安全运营的目的是保护组织资产

实现安全运营的管理手段

1. 岗位轮换 - Job rotation

    轮换员工的职责来实现威慑和监测作用，防止和发现员工的欺诈行为

2. 强制休假 

    要求员工强制休假一周或两周，通过让其他员工来接管其工作，起到对欺诈活动的威慑和监测作用

3. 特权账号管理 - PAM

    对特权账号及其活动进行监控和审核

    特权账号：管理员账号，服务账号

    特权活动： 访问审计日志，修改系统时间，配置接口，管理账户，备份/恢复系统，配置安全控制机制...

    定期账号审核时，一定要优先覆盖特权账号，然后再是普通账号或普通账号的随机抽样

4. 关注人员安全

    1）使用胁迫警报系统 - duress

    2）关注员工出差安全： 避免使用免费WiFi，推荐使用VPN创建安全连接，避免携带敏感数据

    3）应急管理计划： 帮助应对灾难发生后的人员安全

    4）安全培训与意识

漏洞管理

1. 系统管理

    需要将所有运行操作系统的设备，包括IoT，移动设备等都统一纳入管理

2. 补丁管理

    管理程序： 评估补丁 --> 测试补丁 --> 审批补丁 -->  部署补丁--> 验证补丁 

    Service Pack：将之前发布的补丁打包在一起

3. 漏洞管理

    管理过程： 漏洞检测 --> 漏洞评估 --> 漏洞补救

发现零日漏洞，优先连续供应商获取修复补丁

漏洞批露标准ISO/IEC 29147： 供应商应该有明确的方式来接收漏洞报告； 供应商应在7个日历日内确认收到漏报报告； 供应商应与发现者沟通协调（了解发现者的期望和详细的漏洞信息）； 供应商应发布包含有用信息的建议

二、事件预防与响应

计算机安全事件-Security Incident的定义：违背或即将违背计算机安全策略、可接受使用策略或标准安全实践规范的情况--来自NIST SP 800-63。 

它可以包括：任何未遂的网络入侵；任何未遂的拒绝服务攻击；对恶意软件的任何检测发现；对数据的未授权访问；对安全策略的任何违背行为。

事件响应

1. 事件响应步骤

    1）检测： 包括 检测(通过自动报警，用户报告等) + IT人员调查是否真实事件

    2）响应：基于事件的严重程度来启用不同的响应计划。 响应小组 - CIRT/CSIRT

    3）缓解-mitigation： 遏制事件的发展，限制事件的影响和范围

    4）报告：组织内通报，基于合规要求上报监管机构

    5）恢复：执行恢复步骤的前提是调查人员已经完成证据收集。系统恢复的目标是恢复系统，使其完全回到正常运作情况，如果启用了备用站点，那在主站恢复业务操作是目标。

    6）补救-remediation：对事件进行根本原因分析RCA，并采取措施防止问题再次发生。

    7）经验总结：安全人员回顾事件发生和响应的整个过程，以确定是否可以从中总结出针对安全控制措施，管理流程及安全策略的建议，并提交管理层。管理层决定采纳哪些建议，并为此承担风险。经验总结会议的最佳主持人是外部顾问。

2. SOAR-安全编排自动化与响应

      是SOA+SIRP+TIP三种技术和工具的融合

    1）SOA-安全编排与自动化

         将不同系统或者系统内不同组件安全能力，按照一定的逻辑关系组合到一起，形成剧本(playbook), 用于完整特定安全操作

        例子：可疑邮件的自动化响应 - 把一系列分析过程通过动作机制组合到一起。

    2）SIRP-安全事件响应平台

        针对安全事件提供告警管理、工单管理、案件管理等功能，实现团队协同化进行安全事件处置和响应。

    3）TIP-威胁情报平台

        对多源威胁情报的收集、关联、分类、共享和集成，以及和其他系统整合，实现对攻击的检测、阻断和响应。

事件预防与检测

1. 基础安全预防措施

        1）保持系统和应用程序及时更新

        2）移除和禁用不必要的服务和协议

        3）使用入侵检测和预防系统

        4）使用最新版本的反恶意软件程序

        5）使用防火墙

        6）执行配置管理和系统管理流程

   2. 了解攻击

            1）僵尸网络 - 控制手段：纵深防御 + 用户教育

            2）DoS - SYN洪水攻击：不完成TCP握手过程消耗服务器资源

            3）DoS - Smurf攻击： 将受害者的IP作为源IP进行广播ping请求，利用大批量回复淹没受害者。                                                  控制手段 - 禁用ICMP

            4）DoS - Fraggle攻击： 将受害者IP作为源IP在UDP的7和19端口进行广播

            5）DDoS - Ping洪水：向受害人发送海量ping请求。

                                                控制手段：IDS拦截ICMP通信流

            6）DDoS - 死亡Ping：使用超大的ping数据包造成对方系统崩溃。已不能使用

           7）DDoS - 泪滴： 将通信流分割成碎片，接收方无法成功组合。已不能使用

            8）DDoS - LAND攻击：将受害者IP同时作为源和目标IP，发送SYN包

            9）零日利用： 控制措施-删除不必要服务；使用防火墙；使用IDS/IPS；使用蜜罐

            10）恶意代码 - 偷渡式下载Drive-by download

            11）中间人攻击： 控制手段-及时更新系统补丁 + 使用VPN

            12）蓄意破坏：来自于内部员工

                                        控制手段： 加强审计 + 检测异常行为 + 及时禁用离职员工账户

    3. IDS(入侵检测)/IPS(入侵预防)系统

        1）检测方式

            基于知识的检测：基于签名检测或叫模式匹配检测，使用供应商的已知攻击数据库匹配

            基于行为的检测：先在系统上基于有限时段建立基线，然后对比网络行为与基线，识别异常行为并报警。 综合使用基线，活动统计数据和启发式评估技术。优势-有可能检车出零日利用。 劣势-有大量的误报情况。

        2）SIEM整合： IDS/IPS数据发送到SIEM做关联聚合，并提供分析及告警

        3）IDS响应机制

                被动响应：通过通知方式告警管理员

                主动响应：主动修改环境，比如修改ACL拦截通信流。起的作用类似IPS

        4）HIDS和NIDS  

                HIDS部署在主机上，监测单台主机的活动，包括系统，应用和控制措施情况以及主机防火墙日志。它对事件的检查详细程度超过NIDS，能精确定位攻击者用过的进程和被破坏的文件。能检测到NIDS发现不了的主机异常情况。因为成本以及对系统资源的消耗，一般只对关键服务器使用HIDS

                NIDS监测一个网络内的通信活动，通过在关键网络位置上的传感器收集信息，并发送到中央控制台或者SIEM。TLS加密后的数据需要使用TLS解密器先解密再发送到IDS进行分析。TLS解密器解开数据后，会重新发起一个TLS会话，机制类似于中间人攻击。中央控制台通常安装在一个经过强化的专用计算机上，减少NIDS的漏洞

        5）IPS-入侵预防系统

            IPS是一种特殊类型的主动响应IDS，它可以在攻击到达目标系统之前将其检测出来并加以拦截。

            IPS和IDS的一个重要区别是，IPS是串型安装在网络上，即所有的通信流量需要经过IPS才能到达网络服务器，所以它能主动拦截异常流量。而IDS是并行接入，攻击达到目标后才会被发现。

4. 其他预防措施

        1）蜜罐/蜜网

                蜜罐：充当陷阱引诱入侵者的单个主机

                蜜网：多个连接在一起的蜜罐

        2）警示：向用户和入侵者展示安全方针政策

        3）反恶意软件： 使用包含最新签名文件和具备启发式能力的反恶意软件程序

        4）白名单和黑名单

                    白名单：得到授权可以在系统上安装的程序列表

                    黑名单：不可以在系统安装和运行的程序列表

        5）沙箱：隔离环境，防止被测试程序与其他程序的交互。

5. 日志监测与审计

        日志记录+监测+审计 构成了一个全面的问责体系

    1）日志类型

            安全日志：记录对资源的访问活动

            系统日志：记录系统事件，比如系统启动或关闭

            应用日志：记录具体应用程序的信息

            防火墙日志： 记录到达防火墙的任何通信流事件，保护IP和端口，不包含数据包内容

            代理日志：用户访问哪些网站

            变更日志：系统的变更请求，批准和实际执行的变更

            网络设备，linux和unix用的日志格式都是syslog；windows系统不支持syslog需要额外插件

    2）监测

          Audit Trail-审计跟踪-是将系统活动的完整记录，安全人员可以用来提取安全事件的信息，对内起到威慑作用，预防内部用户滥用权限，对外能检查事件，为犯罪事件提供证据。

        监测是为了确保活动主体为自己的行为和活动负责

        日志时间戳一致需要被重视，可以建立一台NTP服务器，各系统与NTP服务器同步。

3）日志分析 - 是一种系统化的监测形式

        SIEM - 安全信息和事件管理：使用关联引擎对各系统发送的日志数据进行聚合，找到共同属性，通过分析工具找到异常并进行示警

        抽样-Sampling： 统计抽样，从大量数据中随机抽取小部分样本进行分析

        剪切-Clipping：按照预定义的阈值进行筛选，超过阈值的事件才触发警报

4）出口监测 - 对外发的通信流进行监测，以防数据外泄

        DLP-数据丢失预防： 通过数据分级结果和关键词进行检测。 NDLP在网络边缘进行数据检测和拦截与告警。 HDLP在主机侧扫描外发的数据内容。DLP可以对压缩文件做深度检查，但无法做解密。

    水印-watermarking：识别数据泄露的源头。DLP可以基于水印做拦截

三、灾难恢复 - DR

所有影响IT正常运行的事件都能被称为灾难，可以是自然灾害（地震，洪水，火灾等），也可以是人为灾难（黑客事件，电力中断，恐怖主义，故意破坏等）

系统恢复与容错能力

系统恢复和容错能力的主要目标是消除单点故障。

1.  保护硬盘

        RAID-0 - 条带：使用两个磁盘提升性能，但不提供容错能力

        RAID-1 - 镜像： 两个磁盘相互镜像

        RAID-5 - 奇偶校验： 使用三个磁盘，其中一个磁盘做奇偶校验。最常见

        RAID-10 - 条带镜像： 使用RAID-0和RAID-1的组合，四个磁盘，为条带配置2个盘做镜像。

2. 保护服务器

        负载均衡 - 平衡负载的同时，提供容错能力

3. 保护电源

        尖峰(spike)是高电压的瞬时周期，浪涌(surge)是长时间的高电压。 电压骤降(Sag)是电压突然降低，低压(brownout)是电力长时间处于低压状态。     

        使用UPS应对短期电力不稳定和断电；使用发电机长时间为系统供电

4. 服务质量

    QoS控制能保护高负载下的数据网络完整性。几种网络传输问题

        延迟Latency是指分组从源地址到目的地址的发送延迟。 

        抖动Jitter是指不同分组的延迟往往会有所不同

        数据包丢失package loss：传送过程中包丢失，需要重发

        干扰interference：噪声或设备故障导致数据包内容损坏

恢复策略

1. 可替代站点

    冷站点：只有备用措施，没有软硬件，没有数据。恢复时间为几周或几月

    热站点：有完整的软硬件，主站点的数据定期同步到热站上。恢复时间为几分钟到几天

    温站点：有软硬件，没有数据，恢复时间需要12小时到1-2周。 是平衡成本与效率的选择。

    云计算：使用云厂商的IaaS服务作为备份站点，在云中存储镜像，需要时激活。

2. 数据库内容备份

    1）备份方式

    电子链接-electronic vaulting： 定期通过批量传送的方式备份到远端

    远程日志处理 - remote journaling： 每小时或更频繁的方式破了传输数据库日志的增量副本

    远程镜像 - remote mirroring： 所有数据库修改实时传送到远端

    2）备份类型

        完整备份： 备份整个数据副本

        增量备份：只复制自上次完整备份或增量备份之后修改过的文件。恢复过程中 需要 完整备份文件+自那以后所有的增量备份文件

        差异备份：复制自上次完整备份依赖修改过的所有文件。恢复过程中 需要 完整备份文件 + 最新的差异备份文件

灾难恢复计划测试

    1. 测试方法

            1）通读测试 - read-through test： 团队成员审查DRP的副本，定期复习

            2）结构化演练 - tabletop exercise： 团队聚集在一起，扮演不同角色进行讨论，演练具体的灾难场景

            3）模拟测试 - Simulation Test： 模拟灾难场景发生时，某些响应措施会被实际测试，只可能中断非关键业务

            4）并行测试 - Parallel Test：在不中断主站点的运营情况下，启用恢复站点

            5）完全中断测试 - Full-Interruption Test: 关闭主站运营，切换到恢复站点

    2. 维护

         需要根据组织需求变化，对DRP进行修改适应变化

        需要为员工提供培训： 新员工做定向培训，对灾难恢复团队成员进行复习培训。 DRP是敏感文档，需要在知其所需的原则下提供给个人。

四、调查

安全事件发生后，安全专家需要对事件进行调查

支持调查

1. 调查类型

    1）行政调查：内部调查，对信息收集标准较宽松

    2） 犯罪调查：通常有执法机构实施，需要满足超越合理怀疑的证据标准，凭借事实而非逻辑推理来证明犯罪

    3）民事调查： 准备证据解决内外部纠纷。民事调查中实行优势证据证明标准，即如果全案证据显示某一待证事实存在的可能性明显大于其不存在的可能性，则可以认定这一事实。

    4）监管调查：政府机构执行，或行业机构委托第三方进行审计和调查    

2. 证据

1） 证据的四类

        1-实物证据Real Evidence也就是客观证据。2-文档证据Documentary Evidence用于证明事实的书面内容。3-言辞证据Testimonial Evidence即证人证据 4-演示证据

2）证据规则

    传闻证据规则 Hearsay rule：证人的证言必须在法庭上接受检验。系统日志可作为日志，但需是直接知情人在事发时制作的

    口头证据规则 parol evidence rule: 如果双方协议以书面形式提出，除非经过书面修改，否则要按照整个协议来执行

    最佳证据规则best evidence rule：如果原始文件可用，则文件副本是不可受理的

3）证据的标准

        （1） 必须与确定的事实相关 - relevant

        （2）正确确定的事实必须与本案相关  - material

            （3）正确必须是合法获得的 - competent

    4）证据收集与司法取证

            包括 介质分析， 网络取证分析， 软件分析， 硬件/嵌入式设备分析

3. 电子发现模型

        (1) 信息治理--确保信息系统针对将来的发现有良好的组织。

        (2) 识别--当组织相信起诉很有可能时，要指出电子发现请求信息的位置。

          (3) 保存--确保潜在的发现信息不会受到篡改或删除。

        (4) 收集--将敏感信息收集起来用于后续过程。

        (5) 处理--过滤收集到的信息并进行无关信息的“粗剪＂，减少需要详细检查的信息。

        (6) 检查--检查剩下的信息，确定哪些信息是敏感的请求，并移除律师与客户之间保护的信息。

        (7) 分析--对剩余的内容和文档执行更深层次的检查。

        (8) 产生--用需要分享他人的信息标准格式产生信息。

        (9) 呈现--向证人、法院和其他当事方展示信息。

        取证磁盘控制器的四个功能 1）写阻塞 2）返回读请求的数据 3）从设备返回访问有效信息 4）将设备报告的错误发送给取证主机

4. 理解计算机犯罪

        计算机犯罪类型

        1）军事与情报攻击 - APT高级持续性威胁

        2）商业攻击 - 获取机密信息

        3）财务攻击 - 非法获取钱财，比如勒索攻击

        4）恐怖攻击 - 针对社会领域，比如基础设施

        5）恶意攻击 - 纯粹为对组织和个人造成破坏。尤其要关注内部人员威胁

        6）兴奋攻击 - 有菜鸟发起，比如篡改页面。

道德规范

1. (ISC)2 道德规范

        保护社会｀公益、必需的公信与自信，保护基础设施 

        行为得体、诚实、公正、负责和遵守法律

        为委托人提供尽职的、胜任的服务

        发展和保护职业

    2. 其他

        IAB正确使用互联网声明

---

参考资料：

CISSP Official Study Guide - 第九版英文版 及 第八版中文版