分類
Information Security

新版ISO 27002:2022出爐,資安控制措施正式修訂為4大類93項

距離2013年版相隔已8年,新版ISO 27002:2022將控制措施集中於組織層與技術層,控制項目數量則有進一步的綜合整理歸納,並因應網路攻擊手法與樣態新增11項控制,同時提供屬性標籤能讓控制項目更容易使用。

去年底,傳出國際資安標準ISO 27002改版在即的消息,在2月15日,新版ISO 27002:2022悄悄發布。在國際標準組織(ISO)網站上,我們可看到此標準目前已邁入60.60修訂階段,這也是ISO27002推出後的第二度改版——在此之前,這套標準有最初發布的2005年版,以及後續改進的2013年版。

同時,ISO 27001的改版動向也備受關注,雖然ISO官網上未顯示2022版資訊,但根據英國標準協會臺灣BSI表示,後續新版將進行部分修訂,改版時間不會太長,目前預估是今年下半就會發布。

新版管控項目將結構精簡,聚焦讓組織採用更容易

基本上,ISO 27002是資訊安全管理系統(ISMS)的實務指導文件,並作為ISO/IEC 27001國際標準附錄A的詳細參考資訊,提供控制措施選擇的具體參考。

這次ISO 27002改版計畫,從2018年開始啟動,直到去年草案版本發布,開始受到各界關注,畢竟距離上一版本的推出相隔8年,如今ISO 27002:2022版修訂完成,正式發布。

關於新版的變化,BSI表示,首先,標準名稱改為「資訊安全、網路安全及隱私保護-資訊安全控制措施」,以更符合現代的資安管理需求。

其次,在內容的修訂上,ISO 27002:2022的修訂目標,聚焦於讓組織更容易採用,並確保必要控制措施不會忽略。

簡單來說,新版簡化控制措施架構,從原有的14條款類別,重新調整為4大類別,分別是組織控制、人員控制、實體控制與技術控制,而整體控制項目則從114個減到93個,藉此強化資安管控有效性,並將不適合當前環境的內容刪除,當中更新58個控制項目,並將多個控制項目併為24個控制項目,並新增11個控制項目。

這些新增項目,主要是為對應當前的網路攻擊手法與樣態,控制項目包含了威脅情資、雲端服務使用的資安、資通訊技術營運持續整備、實體安全監控、組態管理、資訊刪除、資料遮罩、資料外洩防護、活動檢視、網站過濾與安全程式碼撰寫,以確保組織能持續具有能力,控制自身的資訊安全。

新版現在也增加屬性標籤,包括控制類型(預防、偵測與矯正)、資安特性(機密性、完整性、可用性,CIA)、網路安全概念(識別、保護、偵測、回應、復原,NIST CSF)、執行能力,以及安全領域。讓企業組織可從不同角度,快速過濾相關控制措施,以及執行排序呈現,讓組織更方便找出相關控制要求。

目前看來,新版正式發布內容與草案版本大致相當,不過我們發現,在這93項控制措施中,8.22 Segregation in networks,與8.23 Web filtering,兩者的順序對調,與草案版本不同。BSI表示,其實在最終草案版本時,條文順序就已變動。

另一個標準ISO 27001改版時程終於明朗

至於各界關注的ISO 27001改版時程,BSI表示,目前獲知的時間在2022年第三季到第四季,可能與後續投票時程有關,若有進展會再更新。

至於ISO 27001預估將修訂的內容,主要依據ISO/IEC 27002:2022修訂部分,反映於ISO/IEC 27001的附件A,也將涵蓋2014年與2015年發布的2個小勘誤。

由於ISO 27002:2022已經發布,新版ISO 27001也預期會在今年修訂完成,對於已取得ISO 27001驗證的企業組織而言,除了可準備轉版認證審查,確保企業驗證範圍的控制措施與資訊安全管理系統符合新版的標準,也應朝向全公司驗證範圍目標邁進;而正在導入實施ISMS或進行ISO/IEC 27001驗證的企業,現在也可選擇參考ISO/IEC 27002:2022。

BSI表示,由於每個標準改版的幅度不同,根據過往經驗,新標準正式公布後,企業組織都會有2到3年的時間來進行改版;若組織能力與預算可行,先以新版ISO 27002:2022的指引來著手接下來的資安工作,是可以這麼做。

關於ISO 27001的相關消息,後續我們在ISO官方網站找到相關資訊,目前ISO 27001:2013版已有增修1草案(DAMD 1),目前進度是2022年2月3日的40.20階段,目前正進行草案(DIS)版本投票。

資料來源:https://www.ithome.com.tw/news/149520?fbclid=IwAR23_hQ6I4xKJc27rbFDFHMyf5DGCA4hdGmT3j7P5zTZbGOJOTFesaI05IM

分類
CISSP

X.509 標準中未定義可分辨編碼規則(Distinguished encoding rules)

PKI 證書編碼(PKI Certificate Encoding)
X.509 標準中未定義的一個值得注意的元素是證書內容應如何編碼以存儲在文件中。但是,通常有兩種編碼模式用於將數字證書存儲在文件中:
可分辨編碼規則 (Distinguished Encoding Rules:DER) – 最常見,因為架構處理大多數數據對象。DER 編碼的證書是二進製文件,不能被文本編輯器讀取,但可以被 Web 瀏覽器和許多客戶端應用程序處理。
隱私增強郵件 (Privacy Enhanced Mail:PEM) – 一種加密的電子郵件編碼模式,可用於將 DER 編碼的證書轉換為文本文件。
資料來源:Sectigo

參考
什麼是 X.509 證書及其工作原理?
SSL 證書文件擴展名說明:PEM、PKCS7、DER 和 PKCS#12
數字證書

資料來源:Wentz Wu QOTD-20211009

分類
CISSP

配置管理(Configuration management)是編排器(orchestrator )管理容器化(containerized)應用程序的最關鍵推動力

在部署基於容器的應用程序時,我們可以使用容器編排器來配置和管理容器。這意味著變更請求已獲批准和實施,集成和測試已完成,並且已授予操作授權 (ATO)。使用編排器有效地部署基於容器的應用程序依賴於良好的配置管理。
當您使用容器編排工具時,例如 Kubernetes 或 Docker Swarm(稍後會詳細介紹),您通常會在 YAML 或 JSON 文件中描述應用程序的配置,具體取決於編排工具。
這些配置文件(例如 docker-compose.yml)是您告訴編排工具在哪裡收集容器鏡像(例如,從 Docker Hub)、如何在容器之間建立網絡、如何掛載存儲卷以及在哪裡收集容器鏡像的地方。存儲該容器的日誌。
通常,團隊將對這些配置文件進行分支和版本控制,以便他們可以在不同的開發和測試環境中部署相同的應用程序,然後再將它們部署到生產集群。
資料來源:艾薩克·埃爾德里奇(Isaac Eldridge)

基礎設施即代碼 (Infrastructure as Code :IaC)
不可變的基礎設施是可編程的,可以實現自動化。基礎設施即代碼 (IaC) 是現代基礎設施的關鍵屬性之一,其中應用程序可以以編程方式提供、配置和利用基礎設施來運行自己。
資料來源:新堆棧(thenewstack)

參考
什麼是容器編排?
什麼是容器編排?(虛擬機)
什麼是容器編排?(IBM)

資料來源: Wentz Wu QOTD-20211008
My Blog: https://choson.lifenet.com.tw/

分類
Information Security

駭客終結者 2.0 登場!打破舊有資安概念,零信任架構 (ZTA) 引領資安新風潮

現今,人們對於網路的依賴性大,尤其是疫情影響下的社會,各家企業紛紛採取居家辦公,此外,日常中的網路銀行轉帳、購買日用品、電子信箱等功能均需利用網路。但網路便利的同時,伴隨而來的就是,個資外洩、網路上的購賣身分遭到惡意人士盜用,魔鬼藏匿於網路的角落,緊盯著各個使用者的活動,看看誰是下一個受害者。為了層層把關網路上的潛在危機,零信任架構 (Zero Trust Architecture,ZTA) 出現了!ZTA 是一種資安防護的新概念,打破了傳統以邊界(例如防火牆)區分內網及外網的資安型態。今天,想長點 ZTA 的新知識嗎?跟著查士朝教授的腳步來探索一下這個酷東西吧!

查士朝教授小簡介

查教授是台灣大學資訊管理博士,曾任職於意藍科技資深技術顧問,於資誠企業擔任資深經理。現為台灣科技大學資訊管理系教授,同時也身兼資通安全研究與教學中心主任。查教授獲得許多國際資安認證,近年致力於資訊安全相關研究,參與多項產學合作計畫,並協助政府建立資訊安全管理制度,並發掘系統資安漏洞以研擬推動智慧型手機應用程式安全與物聯網裝置安全檢測標準。查士朝教授

查士朝教授近幾年於資訊安全制度訂定及設計發想貢獻良多。圖/查士朗教授提供

ZTA 的誕生與發展

2003 及 2004 年間,傑里科論壇 (Jericho Forum) 為了達到網路資源於企業間共享的目的,因此想出了消除企業與企業間的網路邊界,但這個做法也造成了網路安全的漏洞,而解決這個漏洞的技術性方案就是 ZTA 的最初架構。可以說是無心插柳,柳成 ZTA 阿!但是,這個論壇當初提及的 ZTA 概念還是滿抽象的,因此,Forrester Research 前副總裁 John Kindervag 於 2010 年提出了具體的概念,他提出了三大核心理念:(一)裝置不再有信賴與不信賴的邊界 ,(二)不再有信賴與不信賴的網路,(三)不再有信賴與不信賴的使用者。而實際上的做法需要四大核心元件:

  1. 網路分區閘道 (Network Segmentation Gateway):當前的網路需要透過許多安全設備來保護其整體環境及數據,例如我們最常見的就是防火牆,還有為取得公司或機構內部存取權所需要用到的工具 VPN 。而 John Kindervag 想要開發出一個結合所有安全設備特性及功能的網路分區閘道(最強守衛者的概念),並將安全性構建到網路的架構當中,以安全的方式正確分割網路資源。
  2. 創建平行且安全的網路分區:打破以往防火牆只一分為二,阻隔外界及保護內部的功能。這裡運用的是微核心邊界 (Microcore and perimeter, MCAP) (圖二),你可以把它想像為「保護套」,將你想保護的資料都個別套起來,像是使用者端、網路應用、資料獲取網路都自己有一層保護套。如此一來,將資安防護不再單單只靠一層防火牆,而是個個資料、系統都有盾牌可以做自我保護。
  3. 網路後臺集中管理:承第 2 點提及的「保護套」,網路後臺是擔任管理這些微核心邊界 (MCAP) 的角色,增加操作上的便利性。
  4. 建立數據蒐集網路以掌控網路整體狀況:對於修繕故障網路的人來說,要能有效取得數據包是件非常困難的事,但在零信任網路中採用數據蒐集網路 (data acquisition network, DAN),此種方法結合網路分區閘道,能有效採集各個微核心的數據,加速數據取得以便日後故障修繕。

微核心邊界

微核心邊界 (Microcore and perimeter, MCAP) 使整體網路環境又多一層保障。圖/查士朝教授提供

此外,美國國家標準技術研究院 (NIST) 也量身打造 ZTA 的標準指南 SP 800-207,時至今年美國政府所公布的網路安全策略中也包含了零信任架構,甚至要求美國聯邦政府網路導入零信任架構的網路安全策略,足見零信任網路架構在整體資安領域上佔有一席之地。當中,SP 800-207 講究七大原則:(1) 識別可存取資源;(2) 確保連線安全;(3)妥善存取控制;(4)考量存取者狀態;(5)了解資源狀態;(6)監控裝置與資源風險;(7)持續收集資訊與改善。

現今資訊安全防護存在什麼樣的漏洞?ZTA 如何防範的資安危機?

新聞報導資安危機事件層出不窮,於個人,個人資料被盜用、信用卡被盜刷;於企業,美國淨水廠系統及最大燃油管系統、銀行 ATM、國內科技大廠都曾遭受駭客及勒索軟體襲擊;於國家,國安危機更是重大事件。查教授講道過去的資安架構,往往只是透過防火牆等相關架構,將安全與不安全網域劃清界線,並且只注重防範邊界,無法防止內部橫向擴散。然現今惡意駭客早已能夠輕鬆越過此界線,橫行於安全網域之中。駭客盜取企業內部資源

疫情下的遠距辦公,使駭客能趁機憑藉多種管道盜取企業內部資源。圖/查士朗教授提供

因此,ZTA 雖說是打破邊界,更貼近的說法則是將邊界切得更細。舉個具體的例子,即便使用者可以憑藉身分認證進入一家企業內,使用這家企業的信任網域做任何活動,而 ZTA 就像監視器一樣,會監視著使用者在網域上的一舉一動。除了監視,要防範惡意者,也必須判斷其活動並及時阻止惡意行為,因此查教授特別講解了 ZTA 的「大腦」和「手」,政策落實點 (Policy Enforcement Point,PEP) 是 ZTA 的手,當使用者發出存取公司內網資源的要求時,PEP 會先接收到這個訊息,並將此訊息傳遞給政策決策點 (Policy decision point,PDP) (也就是 ZTA 的大腦)決定是否允許這位使用者的要求,在 PDP 下達決定後,PEP 便會聽從這個決定做出相應的舉動。而 PDP 內部則是仰賴所謂的信賴演算法,它會考慮存取要求、主體資料庫及歷史、資產資料庫、資源政策要求、威脅情資與紀錄來做訓練,當然現今的 ZTA 架構會依照各個企業或機關的需求而有客製化的調整。政策落實點 (PEP)及政策決策點 (PDP)

政策落實點 (PEP)及政策決策點 (PDP)是 ZTA 的核心機制之一。圖/查士朗教授提供

ZTA的迷思

迷思一:零信任架構=完全不信任任何使用者?

ZTA 是為了防止有心人士在進入企業內網後就能肆意做出任何惡意行動,但如果你是一個正常的使用者,只要通過認證,ZTA 還是會信任你的。

迷思二:ZTA 真的方便用嗎?會不會一直需要驗證?

查教授回答道 ZTA 通常會以連線為基礎做出行動,若是新建立連線必然要經過一次驗證,之後便會自動存取使用者驗證,並依照各家企業規定設定間隔多久需再驗證一次,所以不見得都要一直驗證。

迷思三:ZTA 在驗證、授權的過程中,均需要取得使用者和其使用裝置的相關資訊,是否會引發隱私權益問題?

查教授仔細講道,若是疫情下在家工作,使用自己的私人電腦連線公司內網,ZTA 確實有可能會看見私人電腦上的隱私資料。但是最簡單的解決方法,就是使用公發電腦或設備,這樣就不怕自己電腦的東西被看光光囉!

迷思四:ZTA 可以完全取代 VPN?

查教授表示 VPN 在零信任架構中是連線工具而非安全工具,VPN 固然是遠端連線的常用工具,但它的存取權限非常有限(通常不會讓使用者從外部透過 VPN 碰到公司重要資源)。因此,ZTA 和 VPN 的作用其實是各司其職,VPN 負責連線,ZTA 則是負責公司內部重要資源保護與防範安全。

ZTA 的未來展望及挑戰

查教授認為目前主要有兩項挑戰:一、要達到零信任架構的整合,以現在的設備發展,不太可能把所有的設備都換掉,因此如何將既有設備整合到零信任架構、達到相關要求是一個重點。二、上述所提及的信賴演算法訓練程度也是一大重點,它是 ZTA 的核心,假使訓練得宜,安全防護加倍,反之,問題可就大囉~另外,ZTA 在台灣可說是百家廠商爭鳴的主推架構,但查教授認為更重要的是,普及 ZTA 的概念宣導讓社會大眾理解其運作模式,如此,對於個人,能免於受到財務或個資損失;對於企業,能成為永續運作的一環,免於資安問題而殃及利害關係人權益;對於國家,不但能領先於資訊戰,更能提供民眾穩定、信賴的服務,維護公有設施系統的穩定性。ZTA 是新型態的保護概念,不單單只局限於個人研發上的努力,更需整體社會、企業、政府的致力推動方能共創榮景。

查教授給有志投入資安產業者的勉勵

查教授真切地說道資安的領域很廣,涵蓋了技術、管理、稽核層面,當然甲方和乙方的需求也不一樣,若想知道自己適合哪個領域、哪個職位,首先必須清楚自己的個性,究竟是穩定型,還是喜歡探索開發型。但無論如何,做資安產業的人個性都要正直,並把基本功打好。

結語

很榮幸這次邀請到查士朝教授探討關於 ZTA 的概念,透過教授清楚仔細的講解,想必讀到這邊的讀者們已經收穫滿滿,ZTA 雖然起初設計的基礎是建立在企業上,但查教授認為未來也可能透過多因素身分認證 (Multi-factor authentication, MFA) 廣泛運用於個人資訊系統。ZTA 的發展指日可待! 資料來源

資料來源:https://scitechvista.nat.gov.tw/Article/C000003/detail?ID=5ad7a015-9e9a-4268-aa32-2ade792e7440

分類
Information Security

EDR與NDR是可以相輔相成

市場上已有EDR或MDR的方案了,為什麼還需要NDR呢?

其實EDR與NDR是可以相輔相成的而不全然是彼此競爭的態勢,為何如此說?因為EDR的方案是要在端點上佈放Agent/Token,由這個Agent常駐在記憶體上去偵測有什麼惡意程式執行了開啟不該開的底部BIOS或某個異常通道等動作時,即時產生告警並通知中心管理平台,去比對還有哪些端點發生類似情形,進而阻擋mailto:惡意程式的蔓延感染達成有效防制的功用!

但是對不能安裝Agent/Token的端點如網路攝影機、IOT、各種感應器與Kiosk+ 設備,這些無法安裝Agent的設備也十分多,而且在企業數位轉型過程中會越來越多 IoT/IoMT等非電腦OS的設備,這類別的設備往往是没有像PC/Notebook OS具有防毒的功能,反而是最容易被殖入木馬程式成為駭客遙控的工具,這些流量在EDR方案中是無法監看的,因此NDR就是用來補足此空缺部分的資安偵測,當然,NDR所監看的範圍不受Agent佈放的限制,因此其應用比EDR來得更廣,而EDR則可即時阻絶惡意程的啟用,各自運作是有很大的不同,由此可知NDR與EDR是可以互相協同對抗駭客的!同時,坊間有許多與NDR可以協同防禦的資安廠家如Cisco、PA、Crowdstrike、Splunk、Arcsight等等,彼此分享資安訊息,進而增進資安判斷的精確性同時也擴大防禦的縱深。

資料來源:https://www.mtechpro.com.tw/6047/

分類
CISSP

Wifi

分類
Information Security

網路安全NTA技術基本分析

​本文章,主要參考資料為,《Market Guide for Network Traffic Analysis》by Gartner;《Network Traffic Analysis》 by awake;《NTA以及空間與時間的防禦——山石網科的安全理解》by 山石網科;2020年1月,與Gartner分析師的現場討論。如有不對及錯誤之處請及時提醒,以便本人修正。

2、NTA是什麼?

Gartner對NTA的定義

​NTA使用 機器學習 、 高階分析 和 特徵分析 來檢測企業網路上的可疑行為。NTA不斷地分析原始流量,以構建反映 正常網路行為的模型 。當NTA工具檢測到異常的流量模式時,它們會發出警報。除了監視跨越企業邊界的北/南通訊量之外,NTA解決方案還接入東西流量。

Gartner提出NTA的兩個結論

  • 在技術上,NTA使用行為分析技術,幫助企業檢測可疑流量,用以發現更多其他裝置不能發現的安全問題。
  • 在市場上,NTA市場門檻低,且市場很擁擠(原來傳統安全廠商很容易就進入)

山石關於NTA定義的解讀

​NTA是一種功能和能力,而非純粹的一個產品。NTA融合了傳統的基於規則的檢測技術,以及機器學習和其他高階分析技術,用以檢測企業網路中的可疑行為,尤其是失陷後的痕跡。NTA通過DFI和DPI技術來分析網路流量,通常部署在關鍵的網路區域對東西向和南北向的流量進行分析,而不會試圖對全網進行監測。

4、個人分析

個人對NTA的定義

首先,我先給出我對NTA的定義,大家可以先此有一些基本概念。

  1. NTA是一種功能和能力。
  2. NTA功能利用行為基線,進行安全問題分析。
  3. NTA功能某些方面與網路效能管理類似,具有對當前網路的可視性。
  4. NTA功能主流的分析方法是 對比 。
  5. NTA功能與入侵檢測功能邏輯等價,都會在邊界類盒子產品中出現。
  6. NTA功能要做的是定義網路行為,收集網路行為。
  7. NTA功能要在核心節點進行收集行為,有南北向流量、也有東西向流量。
  8. NTA功能要能有發現可疑流量的能力。
  9. NTA功能要能有展示入侵證據的能力。
  10. NTA功能要能有定義入侵事件的能力。
  11. 產品還要圍繞NTA功能提示客戶一些修復建議。

NTA定義解讀的角度一

​NTA與IDS的輸入是一致的(網路映象流量),輸出也是一致的(安全威脅事件),二者的區別在於發現威脅的方法不同。因此,我們可以理解為,NTA是補充邊界安全產品的一項技術能力,與入侵檢測能力在邏輯上是等價,兩者都是幫助企業發現威脅的技術能力。此外個人還認為,只要是在接入映象流量後,使用正常資料構建資料基線,然後以對比的方式進行安全分析,就可以算NTA能力。

  • 入侵檢測發現威脅的方式是利用特徵檢測判斷異常或者入侵行為。
  • NTA發現威脅的方式是利用多種技術構建正常行為模型,以資料基線的角度判斷異常或者入侵行為。

​在安全場景上看,即使是APT攻擊,攻擊者依然會遵循一定的方式進行:前期對IT環境的偵查、對邊界的嘗試繞過、社會工程學與釣魚的針對人攻擊、內網的擴散、後門的植入等。而NTA的的價值就在於通過對實際流量進行分析、對比,發現威脅。

​在分析能力上看,基於行為模型分析的分析技術,行為模型的質量主要依賴於模型訓練的能力,模型訓練的質量主要依賴於安全大資料的量級與質量,這點也是小安全廠商無法建立技術壁壘的因素,也就是說由於這種依賴關係,小廠商的NTA能力大概率是不如大廠商。

​當然,隨著傳統邊界安全產品在處理效能上的提升,部署也可以覆蓋南北,東西向流量。這點不是NTA獨有。

NTA定義解讀的角度二

​在密碼學中,旁道攻擊又稱側通道攻擊、邊通道攻擊(英語:Side-channel attack)是一種攻擊方式,它基於從密碼系統的物理實現中獲取的資訊而非暴力破解法或是演算法中的理論性弱點(較之密碼分析)。例如:時間資訊、功率消耗、電磁洩露或甚是聲音可以提供額外的資訊來源,這可被利用於對系統的進一步破解。某些側通道攻擊還要求攻擊者有關於密碼系統內部操作的技術性資訊,不過,其他諸如差分電力分析的方法在黑盒攻擊中效果明顯。許多卓有成效的側通道攻擊基於由保羅·科切開拓的統計學方法。

​側通道攻擊帶給我們的知識,是讓我們懂得分析問題維度是多種多樣的。隨著我們對知識點了解的更深,尋找資訊的視野與寬度就會變得更加獨特。比如判斷一個人是否在跑步,首先我們可以從畫面的角度判斷,另外還可以從地面的震動,空氣的流動,這個人的心率等其他維度進行綜合判斷。此外,如果還有時間軸的資訊,那麼有時間標註的圖片,外加上位置資訊,也可以判斷。https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-1822891735294022&output=html&h=280&adk=2052652991&adf=1545348441&pi=t.aa~a.227032608~i.85~rp.4&w=710&fwrn=4&fwrnh=100&lmt=1644850278&num_ads=1&rafmt=1&armr=3&sem=mc&pwprc=2204832630&psa=1&ad_type=text_image&format=710×280&url=https%3A%2F%2Fwww.gushiciku.cn%2Fpl%2FpY5e%2Fzh-tw&flash=0&fwr=0&pra=3&rh=178&rw=710&rpe=1&resp_fmts=3&wgl=1&fa=27&uach=WyJtYWNPUyIsIjEyLjEuMCIsImFybSIsIiIsIjk4LjAuNDc1OC44MCIsW10sbnVsbCxudWxsLCI2NCIsW1siIE5vdCBBO0JyYW5kIiwiOTkuMC4wLjAiXSxbIkNocm9taXVtIiwiOTguMC40NzU4LjgwIl0sWyJHb29nbGUgQ2hyb21lIiwiOTguMC40NzU4LjgwIl1dXQ..&dt=1644849675680&bpp=1&bdt=290&idt=1&shv=r20220209&mjsv=m202202030101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D03817e540e91079b-2261bb309ed0001b%3AT%3D1644849641%3ART%3D1644849641%3AS%3DALNI_MZlnRqHBxGYLRvdz4GXS7Um_PX4gQ&prev_fmts=0x0%2C720x280%2C360x280%2C1005x124&nras=4&correlator=349663976246&frm=20&pv=1&ga_vid=1595495561.1644849641&ga_sid=1644849676&ga_hid=1071791596&ga_fc=1&u_tz=480&u_his=12&u_h=1080&u_w=1920&u_ah=1055&u_aw=1920&u_cd=24&u_sd=1&dmc=8&adx=126&ady=3931&biw=1351&bih=780&scr_x=0&scr_y=830&eid=42531397%2C21067496&oid=2&psts=AGkb-H9PyFk1IJ_jbm1OXuaFenjA75iQv2BS43ey_eDuSnjVMFMI4b2HMQ6LnZCkTyswDg5SdBuNCeZURgs%2CAGkb-H-bFKSiNz-LSBYsIKUxxXiDKflI4CEOLdx2prGErJj5teGX84P36RY8gQMGPTYRJLeJn_Qr9iophguNQyz2duyF5TQiPNf3GLhPF2sB&pvsid=3479824829917071&pem=52&tmod=715103767&uas=1&nvt=1&eae=0&fc=1408&brdim=-1564%2C165%2C-1564%2C165%2C1920%2C70%2C1366%2C891%2C1366%2C780&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=128&bc=31&ifi=4&uci=a!4&btvi=3&fsb=1&xpc=Kxh4vH2dPD&p=https%3A//www.gushiciku.cn&dtd=M

​其實做入侵檢測也是如此,分析資訊的維度不光有當前資訊的內容,還可以有承載資訊的通道,也就是Tcp流的概念。NTA的概念從這個角度也可以解釋,NTA關注的點是行為。思考類比,比如生活中的運動手環,蘋果手錶,等一些可穿戴產品都是基於行為資料來作為資料分析的依據。

​因此以生活中的行為分析為基礎,類比網路安全的行為分析。那麼得出的結論是,能直接進行資訊判斷的還應該保持,併發揮其特長;當不能進行直接分析時,我們才會進行行為分析。因此DPI技術和NTA技術是對入侵檢測能力的相互補充,而不是替代。

NTA安全場景分析

​NTA在流量側解決的問題,一定是傳統裝置不能解決的,或者說是傳統手段解決不好的問題,也就是通過DPI不能解決的問題。

​NTA解決的是異常流量行為問題,我總結了一些安全場景,如下所示。

  1. 高頻攻擊產生的異常流量
  2. 黑客入侵產生的異常流量
  3. 終端病毒產生的異常流量
  4. 高階威脅產生的異常流量
  5. 資料外洩產生的異常流量
  6. 殭屍網路產生的異常流量
  7. 惡意挖礦產生的異常流量
  8. 網路蠕蟲產生的異常流量

NTA關鍵點分析

​由於NTA要解決的安全問題,以及解決問題使用的方法。因此,個人認為要想獲得強大的NTA能力,以及在NTA側建立領先優勢,需要在三個方面下功夫。

​第一,明確安全場景,對安全場景理解的越深入,就越能夠了解到解決這類問題的基本需求,還能夠幫助我們在研發上獲得更好的結構性。從另一個方面講,明確安全場景也是對“未知攻,焉知防”的最佳實踐。https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-1822891735294022&output=html&h=280&adk=2052652991&adf=3193967769&pi=t.aa~a.227032608~i.105~rp.4&w=710&fwrn=4&fwrnh=100&lmt=1644850286&num_ads=1&rafmt=1&armr=3&sem=mc&pwprc=2204832630&psa=1&ad_type=text_image&format=710×280&url=https%3A%2F%2Fwww.gushiciku.cn%2Fpl%2FpY5e%2Fzh-tw&flash=0&fwr=0&pra=3&rh=178&rw=710&rpe=1&resp_fmts=3&wgl=1&fa=27&uach=WyJtYWNPUyIsIjEyLjEuMCIsImFybSIsIiIsIjk4LjAuNDc1OC44MCIsW10sbnVsbCxudWxsLCI2NCIsW1siIE5vdCBBO0JyYW5kIiwiOTkuMC4wLjAiXSxbIkNocm9taXVtIiwiOTguMC40NzU4LjgwIl0sWyJHb29nbGUgQ2hyb21lIiwiOTguMC40NzU4LjgwIl1dXQ..&dt=1644849675682&bpp=1&bdt=292&idt=0&shv=r20220209&mjsv=m202202030101&ptt=9&saldr=aa&abxe=1&cookie=ID%3D03817e540e91079b-2261bb309ed0001b%3AT%3D1644849641%3ART%3D1644849641%3AS%3DALNI_MZlnRqHBxGYLRvdz4GXS7Um_PX4gQ&prev_fmts=0x0%2C720x280%2C360x280%2C1005x124%2C710x280&nras=5&correlator=349663976246&frm=20&pv=1&ga_vid=1595495561.1644849641&ga_sid=1644849676&ga_hid=1071791596&ga_fc=1&u_tz=480&u_his=12&u_h=1080&u_w=1920&u_ah=1055&u_aw=1920&u_cd=24&u_sd=1&dmc=8&adx=126&ady=4618&biw=1351&bih=780&scr_x=0&scr_y=1510&eid=42531397%2C21067496&oid=2&psts=AGkb-H9PyFk1IJ_jbm1OXuaFenjA75iQv2BS43ey_eDuSnjVMFMI4b2HMQ6LnZCkTyswDg5SdBuNCeZURgs%2CAGkb-H-bFKSiNz-LSBYsIKUxxXiDKflI4CEOLdx2prGErJj5teGX84P36RY8gQMGPTYRJLeJn_Qr9iophguNQyz2duyF5TQiPNf3GLhPF2sB&pvsid=3479824829917071&pem=52&tmod=715103767&uas=1&nvt=1&eae=0&fc=1408&brdim=-1564%2C165%2C-1564%2C165%2C1920%2C70%2C1366%2C891%2C1366%2C780&vis=1&rsz=%7C%7Cs%7C&abl=NS&fu=128&bc=31&ifi=5&uci=a!5&btvi=4&fsb=1&xpc=AckNLat2Qm&p=https%3A//www.gushiciku.cn&dtd=M

​第二,明確基礎資料。這裡的基礎資料可以是輸入到人工智慧模型裡的結構化資料,也可以是安全演算法需要的資料,我們要了解基礎資料能提供的資訊以及這些資訊背後的含義。其實這點也是對安全場景理解的基礎上,再進行深入理解。

​第三,分析演算法選擇。這裡我不建議非要用機器學習演算法,我們知道機器學習演算法目前在對結構化資料理想的情況下,會表現出不錯的能力。但是對於安全資料,結構化的程度,資訊量的提供,這些都會打一個問號。當然,如果有很好的安全能力和演算法能力,那這還是可以去嘗試的。個人認為使用正常資料模板和安全場景模板這兩種方式,會比較立竿見影。從攻擊者視角思考,利用工具進行高效的攻擊是一個好的選擇。而且絕大數的攻擊者並沒有具備改變安全工具行為模式的能力,因此我們構建安全工具行為模板可以有效的進行對抗。

軟體架構基本分析

​對於在企業級市場中,中大型企業一般都會對多個關鍵點的映象流量資料進行安全檢測,因此在這種情況下,使用探針和平臺的架構是非常合理的。在探針側進行獨立的資料採集、在平臺側進行資料彙總及管理,後期也能比較方便的和其他產品聯動。

​由於NTA功能的融入,平臺側需要很大的計算能力,因此平臺側選擇大資料架構是比較合適的,大資料架構提供的資訊儲存能力、資訊檢索能力、資訊計算能力,可以有效的提升我們的異常分析能力。

關於資料基線的引申

​對於NSFOCUS使用NetFlow構建資料基線是沒問題的,但其實也可以擴大一些概念。我們不妨把NSFOCUS使用的叫NetFlow資料基線,於此同時,不難可以聯想到其他資料基線,比如http訪問資料基線、dns訪問資料基線,資料庫行為資料基線,郵件行為資料基線,以此類推,我們可以構建更多味的的資料基線,當然怎麼進行資料基線的處理則是另一回事。

5、相關資訊

DFI和DPI技術介紹

​DPI全稱為“Deep Packet Inspection”,稱為“深度包檢測”。DPI技術在分析包頭的基礎上,增加了對應用層的分析,是一種基於應用層的流量檢測和控制技術,當IP資料包、TCP或UDP資料流經過基於DPI技術的頻寬管理系統時,該系統通過深入讀取IP包載荷的內容來對OSI7層協議中的應用層資訊進行重組,從而得到整個應用程式的內容,然後按照系統定義的管理策略對流量進行整形操作。

​DFI全稱為“Deep/Dynamic Flow Inspection“,稱為”深度/動態流檢測“,與DPI進行應用層的載荷匹配不同,採用的是一種基於流量行為的應用識別技術,即不同的應用型別體現在會話連線或資料流上的狀態各有不同。 DFI技術正是基於這一系列流量的行為特徵,建立流量特徵模型,通過分析會話連線流的包長、連線速率、傳輸位元組量、包與包之間的間隔等資訊來與流量模型對比,從而實現鑑別應用型別。

資料來源:https://www.gushiciku.cn/pl/pY5e/zh-tw

分類
CISSP

最有效的防止 SQL 注入攻擊的技術控制-參數化 SQL 查詢

https://ithelp.ithome.com.tw/upload/images/20220211/20132160PEJoDy9ZUJ.jpg
-層與層(Layer vs Tier)
前端輸入驗證和受限用戶界面是針對錶示層中的 SQL 注入的對策,這通常發生在客戶端。但是,攻擊者可能不會從表示層發起 SQL 注入,而是直接將帶有註入代碼的輸入提交到服務器端並繞過用戶界面。
輸入驗證應在客戶端和服務器端應用。參數化的 SQL 查詢可以在業務邏輯層或數據訪問層實現;這兩層都位於服務器端。
安全意識和培訓不是技術控制。

資料來源: Wentz Wu QOTD-20211006
My Blog: https://choson.lifenet.com.tw/