• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于Cyber Kill Chain的鐵路信息網(wǎng)絡(luò)安全防御研究

      2021-12-09 04:28:34楊鈺杰霍云龍
      鐵路計算機應(yīng)用 2021年11期
      關(guān)鍵詞:技術(shù)手段投遞攻擊者

      楊鈺杰,霍云龍

      (中國鐵路濟南局集團有限公司 信息技術(shù)所,濟南 250001)

      隨著信息化技術(shù)的發(fā)展,企業(yè)面臨的網(wǎng)絡(luò)安全威脅日益增加[1]。近年來,各類網(wǎng)絡(luò)安全事件造成的破壞和損失,讓政府、企業(yè)和個人愈發(fā)重視網(wǎng)絡(luò)安全。我國于2017年實行《中華人民共和國網(wǎng)絡(luò)安全法》,2019年實施網(wǎng)絡(luò)安全等級保護2.0系列標準,增加了個人信息保護、云計算擴展等要求[2],從法律法規(guī)層面對網(wǎng)絡(luò)安全保護給予支撐。但各企業(yè)因行業(yè)特點和規(guī)模需求的不同,面臨的網(wǎng)絡(luò)安全威脅不同,導致所需的防護措施也不盡相同[3]。

      作為國民經(jīng)濟大動脈,鐵路的重要性和特殊性決定了其對安全有更高的需求。鐵路信息系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施支撐了鐵路業(yè)務(wù)的高效運轉(zhuǎn)。大數(shù)據(jù)、云計算等新技術(shù)的應(yīng)用,對鐵路信息系統(tǒng)的網(wǎng)絡(luò)安全防護提出了更高的要求。在網(wǎng)絡(luò)安全防護過程中,鐵路領(lǐng)域傾向依賴既有安全設(shè)備,對網(wǎng)絡(luò)攻擊認識不夠深入、全面,導致在網(wǎng)絡(luò)安全規(guī)劃中處于被動地位。

      Cyber Kill Chain是一種網(wǎng)絡(luò)攻擊模型,它將攻擊者的任務(wù)劃分為7個階段,增強了攻擊的可見性,豐富了對攻擊戰(zhàn)術(shù)、技術(shù)和程序的理解,也可用于識別和預防網(wǎng)絡(luò)入侵活動。本文圍繞Cyber Kill Chain模型的7個階段,提出相應(yīng)的網(wǎng)絡(luò)安全防御措施,以實現(xiàn)全方位、深層次的網(wǎng)絡(luò)安全防御體系。

      1 鐵路信息網(wǎng)絡(luò)安全風險現(xiàn)狀

      目前,鐵路企業(yè)信息網(wǎng)絡(luò)由外部服務(wù)網(wǎng)和內(nèi)部服務(wù)網(wǎng)構(gòu)成,外部服務(wù)網(wǎng)對外連接互聯(lián)網(wǎng),對內(nèi)通過安全平臺及網(wǎng)閘連接內(nèi)部服務(wù)網(wǎng),形成了層次分明的網(wǎng)絡(luò)安全縱深防御結(jié)構(gòu),對內(nèi)部信息起到了必要的防護作用。但隨著網(wǎng)絡(luò)攻擊技術(shù)手段的發(fā)展,鐵路企業(yè)網(wǎng)絡(luò)安全仍面臨諸多風險。

      1.1 網(wǎng)絡(luò)安全意識

      牢固的網(wǎng)絡(luò)安全意識是做好網(wǎng)絡(luò)安全防護的基礎(chǔ)條件。本文分別從非信息類和信息類工作人員角度分析。

      (1)非信息類工作人員。鐵路企業(yè)組織龐大、分工復雜,各專業(yè)工作內(nèi)容差異較大,崗位信息化程度各不相同,職工的網(wǎng)絡(luò)安全風險意識也不同,部分職工存在網(wǎng)絡(luò)安全意識不足的情況。

      (2)信息類工作人員。在用信息系統(tǒng)的某些網(wǎng)絡(luò)安全問題的修復會影響其高效運轉(zhuǎn),甚至造成系統(tǒng)不可用,導致信息類工作人員有時為保證鐵路業(yè)務(wù)高效運轉(zhuǎn)而忽略網(wǎng)絡(luò)安全問題,或寄希望于其他手段來規(guī)避問題,而不是從根源上解決。

      1.2 準入管控

      準入管控[4]是鐵路企業(yè)信息網(wǎng)絡(luò)中最易受到網(wǎng)絡(luò)安全威脅的突破口。準入管控的風險主要包括以下幾個方面。

      (1)終端、網(wǎng)絡(luò)相關(guān)設(shè)備的各種端口的使用。目前,鐵路企業(yè)對大部分終端的USB、藍牙等接入端口的使用僅從規(guī)章制度層面進行約束,并未從根源上有效切斷非法接入途徑,導致未經(jīng)授權(quán)的U盤、手機等移動設(shè)備能夠接入的概率顯著增加。例如,近年來發(fā)生的“一機兩網(wǎng)”操作,導致計算機木馬病毒的傳播。

      (2)接入終端的安全審查。鐵路企業(yè)信息網(wǎng)絡(luò)終端、服務(wù)器數(shù)量眾多,所搭載的操作系統(tǒng)、預裝軟件情況各有不同,安全情況也存在差異,如果在入網(wǎng)時未進行安全審查,易導致網(wǎng)絡(luò)安全隱患。

      (3)用戶弱口令。為方便記憶,用戶往往會把用戶名及密碼設(shè)置成有規(guī)律、易猜測的簡單密碼,給網(wǎng)絡(luò)攻擊留下可乘之機,造成信息泄露。

      1.3 技術(shù)手段應(yīng)用

      技術(shù)手段的應(yīng)用是做好網(wǎng)絡(luò)安全防護工作的重要保障,合理的技術(shù)手段應(yīng)用能起到事半功倍的作用。

      (1)技術(shù)手段缺失或失效。網(wǎng)絡(luò)安全威脅種類繁多,組合多樣,針對不同的網(wǎng)絡(luò)安全威脅,需要使用有針對性的技術(shù)手段進行防護,若相應(yīng)的技術(shù)手段缺失,就難以形成有效的網(wǎng)絡(luò)安全防護體系;網(wǎng)絡(luò)威脅是不斷變化、發(fā)展的,若技術(shù)手段升級不及時,面對新的網(wǎng)絡(luò)攻擊手段,則無法起到作用。

      (2)技術(shù)手段應(yīng)用不合理。網(wǎng)絡(luò)安全防護工作要根據(jù)實際需求來選擇相應(yīng)的技術(shù)手段,合理規(guī)劃各種技術(shù)手段間的配合應(yīng)用,還應(yīng)在相應(yīng)技術(shù)手段應(yīng)用后進行相關(guān)安全防護的檢驗測試,避免脫離實際網(wǎng)絡(luò)環(huán)境情況生搬硬套技術(shù)手段。

      2 Cyber Kill Chain概述

      Cyber Kill Chain[5]網(wǎng)絡(luò)攻擊模型將攻擊者為實現(xiàn)其目標而必須完成的任務(wù)劃分為偵察跟蹤、武器構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標達成7個階段。學習理解這7個攻擊階段對識別和預防網(wǎng)絡(luò)入侵活動有較大幫助。

      2.1 偵察跟蹤

      攻擊者在該階段搜尋目標的弱點,搜集信息包括硬件、軟件、網(wǎng)絡(luò)拓撲等信息。偵察跟蹤主要分為主動和被動2種方式。主動方式包括主動掃描、探測等,主動掃描可以掃描到目標開放的端口和服務(wù);被動方式包括從企業(yè)泄露的合同、文件中獲取信息。

      社會工程學也是偵察跟蹤的一種手段。攻擊者通過虛假的網(wǎng)絡(luò)社交賬號與受害者建立聯(lián)系,刺探內(nèi)部信息和服務(wù),誘使目標點開惡意鏈接或附件[6]。

      2.2 武器構(gòu)建

      攻擊者通過發(fā)現(xiàn)的漏洞制作一個可以發(fā)送的武器載體,即惡意文件,還可針對性地提升惡意文件的隱匿性,使其在投遞時減少被發(fā)現(xiàn)和被攔截的可能性。

      2.3 載荷投遞

      向目標投遞載荷,可針對對方開放的服務(wù)進行,也可配合社會工程學進行,例如惡意電子郵件附件、USB移動設(shè)備、水坑攻擊等。

      2.4 漏洞利用

      載荷投遞并成功運行后,攻擊者將通過這個載荷中利用的一個或一組漏洞獲取目標機器權(quán)限。

      2.5 安裝植入

      攻擊者得手后,為持久化控制,在目標機器上安裝、植入一些帶有持續(xù)性質(zhì)的后門或惡意軟件。通過計劃任務(wù)、開機自啟動、感染常用文件的方式,讓后門看起來就是目標本身熟悉的一部分。

      2.6 命令與控制

      后門、惡意軟件安裝后,若沒有被及時發(fā)現(xiàn)、阻斷并清除,意味著攻擊者在較長時間內(nèi)擁有了目標機器的控制權(quán),惡意軟件將向攻擊者的服務(wù)器發(fā)起通信并建立信道,用來接收、執(zhí)行攻擊者的命令。

      2.7 目標達成

      為達成目的,攻擊者可在該階段或前期就通過提升權(quán)限來適配后續(xù)操作。攻擊者利用受控制的設(shè)備向企業(yè)內(nèi)部網(wǎng)絡(luò)發(fā)起偵察探測、橫向滲透、竊取信息等一系列操作。

      3 防護措施

      針對Cyber Kill Chain的不同階段,我們有著不同的防護措施。

      3.1 偵察跟蹤階段的防護措施

      在偵察跟蹤階段,攻擊方一般會采取主動探測的方式。

      (1)可通過防火墻、入侵預防系統(tǒng)(IPS,Intrusion Prevension System)等識別攻擊者特征并做出拒絕響應(yīng)的措施。

      (2)為限制被外部掃描探測,可通過配置相關(guān)網(wǎng)絡(luò)設(shè)備的訪問控制列表來限制允許訪問的地址,如果攻擊者使用的IP在互聯(lián)網(wǎng)環(huán)境中有多次對外掃描探測的記錄,可對其IP打上標簽,凡來自該IP的訪問都予以拒絕。

      (3)可部署蜜罐來引誘攻擊者進行攻擊,若引誘成功,將有機會對攻擊者進行行為分析并展開溯源工作。

      (4)對于社會工程攻擊,要提高鐵路職工的網(wǎng)絡(luò)安全意識,防止攻擊者得逞。

      3.2 武器構(gòu)建及載荷投遞階段的防護措施

      攻擊方在此階段開始嘗試使用已發(fā)現(xiàn)的漏洞制作武器并進行投遞,一般情況下使用構(gòu)建工具會有一定特征。這時特征檢測顯得尤為重要,布置一套和其他網(wǎng)絡(luò)安全設(shè)備進行聯(lián)動的威脅分析系統(tǒng),可實現(xiàn)特征匹配、記錄并自主進行阻斷等功能。

      3.3 漏洞利用和安裝植入階段的防護措施

      攻擊者進行漏洞利用時,防御側(cè)重點應(yīng)放在被攻擊的終端上,要對存在漏洞的系統(tǒng)、應(yīng)用及時進行修復,并利用防惡意軟件進行防護。內(nèi)網(wǎng)環(huán)境中基于特征的惡意軟件檢測效果一般,基于行為的惡意軟件檢測則比較適用,通過檢測應(yīng)用發(fā)起的行為可以推斷該應(yīng)用是否為惡意應(yīng)用。

      對攻擊者的惡意程序還可通過其安全證書進行判別,系統(tǒng)將拒絕安全證書不被認可的軟件的運行。供應(yīng)鏈安全的引入可有效解決這一問題,凡是不滿足安全要求的應(yīng)用一律不予以安裝許可。

      3.4 命令與控制和目標達成階段的防護措施

      基于網(wǎng)絡(luò)流量的威脅分析系統(tǒng)在這一階段作用較大,可對檢測到的異常流量進行分析,若存在異??蓤?zhí)行阻斷的策略動作。防火墻過濾也具有一定作用,可過濾掉不必要的發(fā)包、回包,阻止信息回顯?;谥鳈C的入侵防護系統(tǒng)、防惡意程序也可通過行為檢測、特征匹配來阻止其運行,查殺用來連接攻擊者服務(wù)器的進程。

      4 其他網(wǎng)絡(luò)安全建議

      4.1 架構(gòu)記錄和審查

      為快速了解企業(yè)資產(chǎn)狀況,需對相關(guān)系統(tǒng)進行架構(gòu)記錄和審查,不但可為后續(xù)系統(tǒng)組件的查詢提供便利,且在獲得漏洞信息后可有針對性的進行整改。當系統(tǒng)中的任一組件出現(xiàn)供應(yīng)方終止服務(wù)等情況時,都需要對系統(tǒng)的安全性做出風險研判,做好應(yīng)對防護措施。當發(fā)現(xiàn)系統(tǒng)存在問題時,應(yīng)按系統(tǒng)重要性和問題嚴重性綜合判定系統(tǒng)風險等級,根據(jù)不同的等級來調(diào)整對應(yīng)的安全策略。

      4.2 自動化分析

      鐵路企業(yè)各類網(wǎng)絡(luò)設(shè)備每天都會產(chǎn)生大量的數(shù)據(jù)和日志信息,不可能單靠人為分析,自動化分析至關(guān)重要。自動化分析可進行初步的篩選,完成對絕大部分數(shù)據(jù)的判斷。態(tài)勢感知、威脅分析系統(tǒng)[7]具備此類功能,只需將鏡像流量和日志信息傳輸給審計服務(wù)器做匯聚,由其做出分析判斷。對審計服務(wù)器篩選后的流量和日志,還可進行進一步的人為判斷,為查看網(wǎng)絡(luò)中所有的流量與日志信息,企業(yè)人員需要精心布置探針的位置,用最少的探針和日志源達到最大的覆蓋效果。

      4.3 成立網(wǎng)絡(luò)安全實驗室

      因為鐵路行業(yè)的特殊性,一般的網(wǎng)絡(luò)安全架構(gòu)或工具可能不適配鐵路網(wǎng)絡(luò)環(huán)境。為此鐵路行業(yè)需要成立屬于自己的網(wǎng)絡(luò)安全實驗室,通過不斷訓練網(wǎng)絡(luò)攻擊能力和防御能力來保護自身不受侵害[8]。為保持受到攻擊時的發(fā)現(xiàn)防護能力和受到攻擊后的應(yīng)急處置能力,需要熟悉攻擊者可能用到的現(xiàn)成工具和鐵路企業(yè)內(nèi)部的系統(tǒng)種類。

      5 結(jié)束語

      在鐵路企業(yè)面臨日益嚴峻的網(wǎng)絡(luò)安全威脅背景下,本文結(jié)合Cyber Kill Chain模型,分析了當前網(wǎng)絡(luò)攻擊的主要步驟及手段,提出了相應(yīng)的防護措施,并針對鐵路企業(yè)的特殊性,提出了網(wǎng)絡(luò)安全相關(guān)建議,有效降低網(wǎng)絡(luò)安全風險,對構(gòu)建安全、穩(wěn)定、高效的網(wǎng)絡(luò)安全防御體系具有一定意義。

      猜你喜歡
      技術(shù)手段投遞攻擊者
      智能投遞箱
      傳統(tǒng)與文化的“投遞”
      中外文摘(2022年13期)2022-08-02 13:46:16
      基于微分博弈的追逃問題最優(yōu)策略設(shè)計
      自動化學報(2021年8期)2021-09-28 07:20:18
      圖書編輯出版中技術(shù)手段升級面臨的問題與對策探究
      科技傳播(2019年22期)2020-01-14 03:06:44
      正面迎接批判
      愛你(2018年16期)2018-06-21 03:28:44
      試析編輯出版技術(shù)手段的現(xiàn)代化
      視聽(2017年12期)2017-05-07 19:02:46
      創(chuàng)造性技術(shù)啟示中的技術(shù)動因論
      論環(huán)藝設(shè)計中材料性質(zhì)在公共藝術(shù)中的運用
      戲劇之家(2016年19期)2016-10-31 18:58:16
      有限次重復博弈下的網(wǎng)絡(luò)攻擊行為研究
      大迷宮
      赤峰市| 加查县| 北海市| 邢台市| 临颍县| 吴忠市| 曲靖市| 康保县| 宜丰县| 焦作市| 剑阁县| 札达县| 社会| 棋牌| 河西区| 新巴尔虎右旗| 郯城县| 定安县| 禄丰县| 皋兰县| 昂仁县| 达孜县| 苍梧县| 灵丘县| 任丘市| 观塘区| 色达县| 汤阴县| 长春市| 文安县| 南雄市| 舟山市| 手机| 台州市| 甘孜县| 宁国市| 木里| 丹江口市| 吉林市| 福建省| 西畴县|