四：安全运营

1 应用安全运营的概念

• 安全运营实践的主要目的是保障系统中信息资产的安全性，这些实践有助于确定威胁和漏洞，并实施控制来降低整个组织资产的风险

1.1 知其所需和最小特权

• 1、 知其所需访问
  • 知其所需原则利用需求来给用户授权，仅仅根据为完成所分配任务而授权访问需要操作的数据或资源，目的是位了保持秘密信息的机密性，基于知其所需的访问限制有助于抵御未授权访问导致的机密性丧失
• 2、最小特权原则
  • 最小特权原则表明主体仅仅被授予执行已分配工作任务的特权，不会拥有超出其工作任务的特权。
  • 最小特权确保用户的特权是受到约束的
• 3、 其他的概念
  • 授予：授予特权涉及一系列用户获取的特权，当管理与创建用户账户时，应该确保账户被分配了适量的资源，并且包括特权
  • 聚合：最小特权环境下的聚合设计用户随着时间而收集到的一系列特权
  • 传递信任: 传递信任扩展了两个安全域以及他们的所有子域之间的信任关系，非传递信任实施了最小特权原则并在某一时刻授予信任给单个域

1.2 职责和责任分离

• 职责和责任分离确保没有单个人能控制某个关键功能或整个系统，职责分离策略建立了一个相互制约和平衡的系统，使得恶意的、欺诈的犯罪或其他未授权的活动变得更加困难
• 另一种职责分离是通过在多个可信客体中划分安全职责或管理能力来实施，当组织在许多用户间划分管理和安全职责时，个人不可能有足够的访问权限来规避或禁用安全机制
• 1、特权分离
  • 特权分离类似于任务和职责分离的概念，建立在最小特权原则之上并应用到应用程序和进程中，特权分离策略要求使用颗粒状的权限和许可
• 2、职责划分
  • 职责划分类似于任务和职责分离策略，但也结合了最小特权原则，职责划分的目标是确保个人没有可能导致利益冲突的额外系统访问，组织内部实施职责划分是确保安全职责从其他职责中分离出来
• 3、双人控制
  • 双人控制列斯与职责划分，需要两个人认同关键任务，确保了并行互审并减少了共谋和欺骗的可能性

1.3 岗位轮换

- 使用岗位轮换来执行进一步控制和限制特权能力，使用岗位轮换作为安全控制可以提供并行审查，减少欺骗并促进交叉培训
- 岗位轮换技能作为威慑，也能作为检测机制

1.4 强制休假

• 强制休假作用类似于岗位轮换，技能作为威慑，也能作为检测机制

1.5 监控特殊的特权

• 特殊的特权操作是一项需要特殊访问或较高的权限来执行许多管理员和敏感工作任务的活动，拥有这些特权角色的雇员常常是可信雇员，通过监控特殊特权的使用，组织能够防止雇员滥用特权，并检测可新雇员是否存在滥用行为

1.6 管理信息生命周期

• 安全控制保护了整个生命周期内的信息，通用方法包括标记、处理、存储和恰当销毁数据
  • 标记数据：确保用户能很容易的识别数据的价值，用户应该创建数据后不久就标记他们
  • 处理数据：数据处理主要涉及数据的传输，并且关键是在传输过程中提供了数据存储时相同级别的保护
  • 存储数据：数据存储的位置需要得到保护以防止丢失，物理安全机制防止这些备份被偷盗，有关环境的安全控制能防止数据由于腐蚀而丢失
  • 销毁数据： 当数据不再需要时销毁数据，并且以一种数据不可读的方式来销毁

1.7 服务级别协议

• 服务级别协议是组织和外部实体之间的一份协议，SLA保证对性能的期望被满足，也包含供应商不能满足这些期望受到的处罚

1.8 关注人员安全

• 人员安全是安全运营中非常重要的因素
• 安全系统常常包括密语或人们用来确定一切事物都OK的短语
• 安全需要关注雇员出差时的安全问题

2 提供和管理资源

2.1 管理硬件和软件资产

• 1、硬件清单
  • 贯穿设备的整个生命周期，许多组织使用数据库和库存应用程序来清点库存和跟踪硬件资产
  • 在设备进行处理之前要进行人工净化，清楚设备中的所有数据
  • 保存敏感数据的便携式介质设备也被视为一种资源
• 2、软件许可
  • 组织购买软件，并经常使用许可证秘钥来激活软件

2.2 保护物理资产

• 物理资产在IT硬件之外，包括所有的物理设施，如办公建筑以及内部设施

2.3 管理虚拟资产

• 虚拟机（VM）：
• 软件定义网络（SDN）：能够将控制平面从数据平面分离出来
• 虚拟存储区域网络（VSAN）：通过虚拟化绕过复杂的硬件要求

2.4 管理基于云的资产

• 基于云的资产包括组织使用云计算访问的任何资源
• 云模式：
  • 软件即服务（SAAS）：通过WEB浏览器提供全功能的应用程序，消费者不管理或控制任何基于云的资产
  • 平台即服务（PAAS）：为消费者提供了一个计算平台，包括硬件、操作系统和应用程序
  • 基础设施即服务（IaaS）:为消费者提供基本的计算资源，如服务器、存储和某些情况下的网络资源
• 云模型：
  • 公共云模型包括可用于任何消费者租用的资产并由外部CSP管理，服务水平协议可以有效的保证CSP提供组织科接受水平的云服务
  • 私有云部署模型包括组织的基于云计算的资产，组织可以使用自己的资源，也可以从第三方租赁资源并按照服务模型分割维护要求
  • 社区云：为两个或多个组织提供云基础资产，维护责任根据对资产和服务模型的管理来分配
  • 混合云： 包括两个或两个以上的 云组合，

2.5 介质管理

• 介质是指可以保存数据的任何事物，当介质包含敏感信息时，信息应被存储在安全的位置，加以严格的访问控制，以防止由于未经授权的访问造成损失
• 介质管理还可以包括使用技术控制来限制来自于计算机系统的设备访问
• 正确管理介质可保持信息的机密性、完整性和可用性，正确标记、处理、存储介质信息能够防止未经授权的披露、未经授权的修改和未经授权的破坏
• 1、磁带介质设备
  • 组织通常将备份存储在磁带上，但磁带常因腐蚀而很容易损坏，最佳的方法就是保存至少两份备份
• 2、移动设备
  • 组织使用的控制手段包括手机加密、屏幕锁、全球定位系统和远程擦除

2.6 管理介质的声明周期

• 所有介质设备都有平均故障时间，一旦备份介质设备已达到其寿命，就要进行销毁

3 配置管理

• 配置管理有助于确保系统处于一致安全的状态，并在其整个生命周期维护这种状态

3.1 基线

• 当系统被部署在有安全基线的状态下时，系统会更安全，适用于组织具备有效的执行变更管理计划
• 基线可与检查列表同时产生，但需要人工确认系统以特定的方式或配置部署

3.2 用镜像创建基线

• 用镜像创建基线减少了部署和维护系统所需的时间，从而降低了整体维护成本

4 变更管理

• 变更管理的主要目标是确保变更不会导致中断的副作用，变更管理流程要求适当的人员在实施变更前审查和批准变更，并做详细记录

4.1 安全影响分析

• 生产环境中，专家对变更进行评估并识别安全影响之后，工作人员才开始实施变更，变更管理控制提供一个过程来控制、文档化、跟踪和审计所有系统的变化，其中包括系统任何一方面的变更，包括硬件和软件配置
• 变更管理过程
  • 请求变更
  • 审查变更
  • 批准/拒绝变更
  • 计划和实施变更
  • 记录变更

4.2 版本控制

• 版本控制通常是指配置管理中使用的版本控制，标签或编号系统将多台机器上或处于不同时间点的软件与配置在一台机器上区分出来

4.3 配置文档

• 配置文档确定当前系统的配置，定义了系统负责人及系统目标，并且列出了所有应用于基线的变更

5 补丁管理和减少漏洞

• 补丁管理和漏洞管理同时用于保护企业的系统免受威胁，

5.1 补丁管理

• 补丁是用于任何类型代码编写的笼统术语，补丁能够纠正错误或修复漏洞，或提高现有软件的性能
  ，补丁有时被称为更新、快速修复或热修复
• 有效的补丁管理步骤
  • 评估补丁： 当供应商发布补丁后，管理员会进行评估，以确定补丁适用于他们的系统
  • 测试补丁： 管理员随时都要测试单一系统的补丁，以确保该补丁不会带来其他副作用
  • 批准补丁： 管理员测试补丁并确定其`安全性后，就会批准补丁的部署
  • 部署补丁：经过测试和批准，管理员部署补丁
  • 确认补丁已部署： 管理员定期测试和审计系统，以确保系统补丁仍然有效

5.2 漏洞管理

• 漏洞管理是指定期检测漏洞，评估并采取相应措施来减少相关风险，漏洞管理常见的两个要素是例行漏洞扫描和定期脆弱性评估

5.3 漏洞扫描

• 漏洞扫描是用来测试系统和网络有无已知安全问题的软件工具，攻击者利用漏洞扫描器来检测系统和网络中的漏洞

5.4 漏洞评估

• 漏洞评估通常包含漏洞扫描结果，但真正的评估将涵盖更多的东西，漏洞评估是风险分析和风险评估的一部分

5.5 常见漏洞披露

• 通用漏洞披露列表（CVE），提供了一个标注的公约，用来找出漏洞

6 管理事件响应

• 任何安全程序的主要目标之一就是防止安全事件发生，当安全事件发生后，事件响应的主要目标是尽量减少事件对组织的影响

6.1 事件界定

• 事件是任何对组织资产的保密性、完整性或可用性有负面影响的事故

6.2 事件响应步骤

• 事件响应步骤： 检测、响应、缓解、报告、恢复、修复、经验教训
• 事件响应不包括对攻击者的反击

6.3 检测

• 检测的常用方法：
  • 匹配的事项发生是，入侵检测和防御系统会发送警告给管理员
  • 当检测到恶意软件时，反恶意软件往往会显示弹出窗口来加以提示
  • 自动化工具定期扫描审计日志，寻找预定义的事件
  • 用户发现不规则的活动，并联系技术人员或管理员寻求帮助
• 许多IT专家被归类为事件的第一响应者

6.4 响应

• 响应程度取决于时间的严重程度，响应过程中会有协助调查、评估损害、收集证据、报告事件和恢复程序，调查过程中保护所有的数据作为证据

6.5 缓解

• 有效的事件响应的主要目标之一就是限制时间的影响或范围

6.6 报告

• 报告是指向组织内部，同事向组织外部报告事件，针对严重的安全事故，组织应考虑报告事件给官方机构

6.7 恢复

• 调查人员从系统收集所有证据后，恢复系统将系统恢复至正常状态，当受损的系统重建时，重要的是确保配置正确

6.8 恢复

• 修复阶段，人员观察事件并确定什么原因导致时间发生，然后才去措施防止再次发生
• 执行根本原因分析是为了确定什么原因导致事件发生

6.9 经验教训

• 吸取经验教训后，通常需要事件响应团队编写一份报告

7 部署预防措施

7.1 基本的预防措施

• 保持系统和应用程序最新
• 删除和禁用不必要的服务和协议
• 使用入侵检测和防御系统
• 使用最新的反恶意软件
• 使用防火墙

7.2 理解攻击

• 1、拒绝服务攻击： 组织系统处理或响应来自资源和客体的合法数据或请求
  -SYN泛洪攻击： 通过破坏TCP/IP启动通信会话的三步握手标准俩实施攻击
• 2、smurf和fraggle攻击：
  • smurf:使用受害者的IP地址作为源地址伪造广播Ping
  • fraggle:通过路由器发送定向广播，然后广播上的所有系统对受害者发起攻击
• 3、ping 泛洪攻击：攻击通过受害者发送洪水般的请求达到攻击的目的
• 4、 僵尸网络：僵尸牧人通过僵尸网络中的计算机来发送大范围攻击，发送垃圾邮件或钓鱼软件或向其他罪犯租用僵尸网络
• 5、 死亡ping: 攻击采用一个超大的ping数据包，现在死亡Ping很少能够成功，因为补丁或更新改善了系统的脆弱性
• 6、泪滴攻击：泪滴以一种系统无法将文件还原在一起的方式分割数据包，旧的系统无法处理这种情况，并且会崩溃
• 7、land攻击：使用受害者的IP地址作为源IP地址和目的IP地址，并发送伪造的SYN数据包给受害者
• 8、零日攻击：利用他人未知的系统漏洞对系统发起攻击
• 9、恶意代码：计算机系统上执行不必要的、未授权的或未知活动的脚本或程序，代码包括病毒、蠕虫、特洛伊木马、破坏性的宏文件和逻辑炸弹
• 10 、 中间人攻击：当恶意用户能够逻辑上获得正在通信的两个端点之间的位置时，中间人攻击就发生了
• 11、战争拨号：一种通过调制解调器搜索接受入栈连接尝试的系统行为
• 12、破坏：员工对组织的破坏行为，员工被解雇后应立即终止或禁用其账号
• 13、间谍：一种收集专用的、秘密的、私人的、敏感或机密信息的恶意行为

7.3 入侵检测和防御系统

• 入侵检测系统（IDS）通过自动检测日志和实时系统事件以检测入侵和系统故障，入侵检测系统的目标是提供能够及时和准确应对入侵的方法
• 入侵防御系统（IPS）具有入侵检测系统的所有功能，还可以采取额外的措施来组织或防止入侵
• 1、基于知识和基于行为的检测