黑客大挑戰--用20個案例測試你的事件回響能力 內容簡介
全書分為兩部分,第1部分包括20個挑戰,其中囊括了安全領域中的重要專題,包括拒絕服務攻擊、無線技術、Web攻擊、惡意代碼。每個挑戰包括一個詳細的事件描述――入侵是如何檢測到的、證據和可疑的線索(諸如日誌檔案和網路圖等),以及要解決的一系列問題。然後,在第2部分,將給出針對每個挑戰的解決方案,從中你將看到專家級的事件分析、問題解答,以及預防和緩解措施。本書適合於安全管理員和網路管理員,企業及組織的政策制定者也會從中受益。黑客大挑戰--用20個案例測試你的事件回響能力 本書前言
“《黑客大挑戰》以它的對“從重點入手”事件回響的場景,的確向那些即使是技術上最精明的IT安全高手挑戰。這些源於現實的案例,是從許多領域最有經驗的從業者的許多故事中精選出來的;成堆的原始日誌數據,可以測試人的分析技巧;書中的分析技巧非常犀利,以至於能分析至這些煩人的日誌的最後一行。” ――Joel Scambray,Foundstone公司的管理負責人,暢銷書《黑客大曝光》和《Windows 2000黑客大曝光》的作者(這兩本書已由清華大學出版社出版) “《黑客大挑戰》讀起來就像是充滿挑戰的神奇小說,它提供了實際的例子和方便的提示,而這對於學習怎樣去調查計算機的安全事件是至關重要的。”――Kevin Mandia,Foundstone公司計算機法律事務的主管/////////知彼知己,百戰不殆――孫子黑客大挑戰--用20個案例測試你的事件回響能力 本書目錄
引言第1部分 挑戰
1 來自法國的連線――其實只要系統管理員能夠及時升級並安裝系統最新的安全補丁,就可以給入侵者製造很大的麻煩。在真正發生入侵事件時,首先就要做到“不要驚慌”;同樣重要的,在事後不要僅僅恢復了事,應當進行全面的檢查和審計。所有暴露出來的事件實際上都是冰山上的一角,既然水上的冰山已經發現,那么要繼續將水下的巨大冰山挖掘出來。
行業: 軟體工程
攻擊難度: 低
預防難度: 低
緩解難度: 低
2 內部攻擊者――不得不承認,在利用網路和計算機的攻擊和損害中大部分是內部人員造成。內部人員了解內部的系統、內部業務流程,擁有一定的訪問許可權,有機會利用非技術手段獲取其他情報。可以說,內部人員比所謂的黑客更加危險。在這個案例的分析中,發現日誌的審計發揮了主要的作用。日誌不僅僅包括系統中的日誌(比如郵件伺服器日誌、VPN日誌),物理訪問日誌也同樣發揮巨大的作用。從現在開始,就將日誌記錄和審計變成一個日常的常規活動吧。
行業: 軟體工程
攻擊難度: 中等
預防難度: 中等
緩解難度: 困難
3 停車場――無線網路在給我們帶來新的溝通方式的同時,也為我們帶來了新的安全問題。網路帶來的遠程訪問使得安全環境變得非常複雜,而無線網路更是使“現場”對當前的信息安全問題來說變得沒有意義。當然,不管怎么說,將沒有加固的系統放置在網上永遠是非常危險的。
行業: 商業線上零售商
攻擊難度: 中等
預防難度: 中等
緩解難度: 中等
4 關鍵因素――到底哪個是關鍵因素?防火牆配置、系統的補丁和最新版本、網路IDS、日誌監控等等,其他都做得好,如果只有一個做得不到位,這個地方就會成為“關鍵因素”。這么說來,追究到根兒上,看來關鍵因素還是整體的安全策略、安全管理。
行業: 軟體工程
攻擊難度: 低
預防難度: 低
緩解難度: 中等
5 Maggie的經歷――當部署和安排一個安全措施,可以消除很多風險,但是同時還帶來一些新的風險,如果對新的風險沒有認識,則是非常危險。就像《Maggie的經歷》中,通過尋呼系統通知管理員一些必要的警報和相關信息,本來是安全措施的一部分,但是就是這個措施帶來了新的被監聽的問題。另外,在防火牆的前後都安裝NIDS來進行安全評估非常有幫助。
行業: 計算機工程
攻擊難度: 極高
預防難度: 中等
緩解難度: 中等
6 基因植入―― 如果二樓防護嚴密,你可以選擇從三樓過去。而有價值的東西可能正好就在三樓。資料庫系統和套用系統常常是關鍵業務價值所在;而設計資料庫、開發引用系統的人員的安全技能常常不足;這方面的專業安全人才和工具也不足;三樓的安全問題已經成為攻防雙方共同關注的新大陸。
行業: 基因研究
攻擊難度: 困難
預防難度: 低
緩解難度: 困難
7 懸案――我們已經多次感到無線網路的安全隱患。嗅探和監聽也是比較難於發現的攻擊方法。而脆弱的密碼策略也為這種嗅探提供了很多的有用信息,特別是明文傳輸的密碼。在網路中多布置一些IDS,可能對我們提早發現可以情況提供幫助。
行業: 軟體工程
攻擊難度: 極難
預防難度: 中等
緩解難度: 中等
8 冰山一角――現在很多黑客攻擊手法和後門都與病毒和蠕蟲相結合,這樣可以擴大攻擊的影響範圍和感染速度。作為防護一方,就要盡力發揮防病毒軟體在防入侵中的作用。當然,不管怎么說,將一個沒有足夠防護的機器放在防火牆外面都是非常愚蠢的。
行業: 金融服務
攻擊難度: 中等
預防難度: 低
緩解難度: 中等
9 不可靠的銀行――作為一個網上銀行的系統僅僅採用Windows作業系統作為業務平台是非常冒險的決策。作為如此重要的系統要比較徹底地解決安全問題還是應當採用B1級(CC EAL4)以上的系統比較恰當。即使採用C級的系統,也一定要配備IDS系統,而且應當結合採用基於網路和基於主機的IDS。
行業: 線上銀行
攻擊難度: 中等
預防難度: 低
緩解難度: 困難
10 Jack和Jill――作為一個小型公司的網上業務系統,可能不值得花費大量的資源來做安全,但是用一些小型的、廉價的或者免費的個人安全產品還是可以考慮的。或者乾脆考慮託管給能夠提供相應安全服務的IDC。
行業: 線上零售
攻擊難度: 中等
預防難度: 低
緩解難度: 低
11 意外的觀光客――
意外的觀光客 又是“無線”給我們帶來的麻煩。看來我們將來真的要認真對待這個問題。
行業: 半導體製造商
攻擊難度: 低
預防難度: 困難
緩解難度: 中等
12 邊緣地帶――口令是網路和系統安全中永恆的問題。許多攻擊和防護技術都是圍繞口令的爭奪展開的。一次性口令機制是從體制上解決口令安全問題的非常好的辦法。同時基於主機的IDS可以幫助我們提早發現針對口令的強力破解攻擊。
行業: 銀行業和金融服務
攻擊難度: 極難
預防難度: 中等
緩解難度: 低
13 玩忽職守――在網路中儘量採用交換機而不是基線器,可以減少網路被嗅探和監聽的幾率。可以考慮將這條寫到企業的安全策略中
行業: 衛生保健
攻擊難度: 中等
預防難度: 低
緩解難度: 中等
14 收穫的日子――黑客為什麼老是糾纏用戶賬戶和口令?要解決這個問題,我們至少要做到每人一個賬號(不要共享賬號),口令中至少要有大小寫的字母、數字和特殊字元。另外一個重要的方法就是備份。有了備份,真有意外發生時,可以減少很多的損失。
行業: 高校/社區大學網路
攻擊難度: 中等
預防難度: 低
緩解難度: 中等
15 尖峰時刻――拒絕服務攻擊(DoS)是永遠無法徹底解決的攻擊現象。其根本原理就是使用一些貌似合法的訪問,通過超強度、超範圍、超常規等方式,使得網路和系統的資源耗盡或者崩潰。比較好地解決DoS需要上下游的機構協調配合。
行業: 政府承包商
攻擊難度: 低
預防難度: 困難
緩解難度: 困難
16 多級跳 ――頻繁地採用跳板是攻擊者最基本的隱藏自己的方法。能夠順著跳板反向偵查幾乎是不可能的,因為這些跳板可能涉及多個機構,甚至多個國家。指望別人將系統保護好是不切實際的,我們只能保證自己的系統不被攻擊,並且不被濫用來攻擊別人。
行業: 市政工程
攻擊難度: 低
預防難度: 低
緩解難度: 困難
17 貪婪 ――又是拒絕服務攻擊……
行業: 網路工程/銷售
攻擊難度: 低
預防難度: 低
緩解難度: 低
18 利器――沒有安全策略、安全組織使得這個企業的安全處於無序和無助的狀態;沒有緊急回響流程,使得事件的處理也比較凌亂。這家公司如果不從整體安全管理上有所改進的話,將來還要出問題。
行業: 醫療診斷設備工程
攻擊難度: 中等
預防難度: 低
緩解難度: 困難
19 拒絕作證 ――打最新的補丁、保護好日誌、採用IDS……這些都是百試不爽的好方法。
行業: 大學
攻擊難度: 極難
預防難度: 低
緩解難度: 中等
20 鄉愁――如果確認一個機器已經被攻破,對其上的所有東西都不能被完全信任。如果你沒有分散式日誌系統或者網路IDS系統的話,就只能寄希望於攻擊者的“幼稚”,並從蛛絲馬跡中查找線索了。
行業: 製藥/網頁託管
攻擊難度: 中等
預防難度: 低
緩解難度: 低
第2部分 解決方案
1 來自法國的連線 安氏點評
2 內部攻擊者 安氏點評
3 停車場 安氏點評
4 關鍵因素 安氏點評
5 Maggie的經歷 安氏點評
6 基因植入 安氏點評
7 懸案 安氏點評
8 冰山一角 安氏點評
9 不可靠的銀行 安氏點評
10 Jack和Jill 安氏點評
11 意外的觀光客 安氏點評
12 邊緣地帶 安氏點評
13 玩忽職守 安氏點評
14 收穫的日子 安氏點評
15 尖峰時刻 安氏點評
16 多級跳 安氏點評
17 貪婪 安氏點評
18 利器 安氏點評
19 拒絕作證 安氏點評
20 鄉愁 安氏點評
