分類
CISSP

什麼是零信任(What is Zero Trust)?

零信任是一種網絡安全範式,用於支持可見性的細粒度,動態和以數據為中心的訪問控制。
(訪問控制基於需要了解和最小特權的原則,通過身份驗證,授權和計費來中介資源的使用。)
零信任網絡安全範例
下圖總結了我對“零信任”的研究,該研究綜合了各種來源,例如Jericho論壇,DoD GIG / Black Core,Forrester的零信任網絡,Google的BeyondCorp,CSA的SDP和NIST SP 800-207。
https://ithelp.ithome.com.tw/upload/images/20210326/20132160tXcIEIl6p4.jpg

零信任概念(Zero Trust Concepts)
. 以數據為中心的訪問控制
. 沒有固有的信任(信任是特權;它是獲得和給予的)
. 訪問前和連續驗證
. 細粒度的規則和動態策略
. 檢查,記錄,監視和可見性

零信任架構(Zero Trust Architecture)
. 主題和數據,服務,設備和基礎架構
. 控制平面和數據平面
. 政策執行點
. 策略決策點(策略管理員和策略引擎)
. 信任算法及其輸入(基於屬性和風險)
https://ithelp.ithome.com.tw/upload/images/20210326/20132160ODksWoUILN.jpg

約翰·金德瓦格(John Kindervag)和零信任(Zero Trust)
約翰·金德瓦格(John Kindervag)在2010年創造了零信任(Zero Trust),以消除依賴周邊安全性的“信任”概念。他主張邊界安全性已被破壞並且不再足夠,並且將對網絡位置的盲目信任稱為“破壞性信任”。我相信“固有授權”是他的“零信任”網絡模型中“信任”的核心思想,並總結出他的“零信任”的主要思想如下:
不要依賴網絡位置(粗粒度的邊界),而要使用集成的分段網關(NGFW,下一代防火牆)將數據和相關資源(他稱為MCAP或微核和邊界)分組為較小的部分。

零信任神話(Zero Trust Myths)
他現在是Palo Alto Networks的現場CTO。該公司介紹了“零信任神話”:

  1. 零信任的目標是使系統可信。
  2. 這是複雜,昂貴且費時的。
  3. 零信任與身份有關。
  4. 您可以在第3層進行零信任。
    除第一個神話外,我都同意,第一個神話將“信任”視為“固有授權”的同義詞。我們不會構建依賴於固有授權(即上面所謂的“信任”)的系統,但我寧願將信任定義為對安全性或信任度的信任。因此,我們確實希望消除固有的授權(盲目/破碎的信任),以使系統可信(安全和可信),即交付安全可靠的系統並提供保證。

參考
NIST SP 800-207
約翰·金德瓦格
零信任的真相(Palo Alto)
將安全性構建到網絡的DNA中:零信任網絡架構(Forrester)
國防部全球信息網格(GIG)建築願景
BeyondCorp –企業安全性的新方法(Google)
軟件定義的邊界(SDP)體系結構指南(CSA))
零信任架構和解決方案(Gartner)

資料來源:Wentz Wu 網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

惡意程式-伴侶病毒( malicious program-Companion virus)

https://ithelp.ithome.com.tw/upload/images/20210325/20132160oWCj90z0HE.png
-主引導記錄(MBR)和引導扇區(來源:Syed Fahad
. 該多態病毒沉思修改整個系統,這樣的散列值變化比較簽名來躲避殺毒軟件的檢測其代碼。通過加密其代碼,加密病毒是一種多態病毒。
. 在多方病毒感染不僅文件,而且主引導記錄(MBR)。
. 該隱形病毒通常攻擊的主引導記錄(MBR)或操作系統(OS)文件要引導儘早和主宰整個系統,包括操作系統,所以它不能被殺毒軟件檢測到。
. 該伴侶病毒使用相同的文件名,但與具有如果在一個命令行界面(CLI)未指定的文件擴展名被執行更高優先級的不同的文件擴展名。在DOS或舊的Windows系統上使用的一種舊技術是.com程序優先於.exe可執行文件。

參考
主引導記錄
正在啟動
開機自檢

資料來源: Wentz Wu QOTD-2021013

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

會話劫持( session hijacking )

會話劫持經常通過XSS(跨站點腳本)或嗅探發生。這個問題主要集中在中間人的嗅探上。輸入驗證可防止攻擊者提交惡意代碼以通過XSS劫持用戶的會話。
. 使用TLS的端到端加密可保護郵件免受嗅探攻擊。它減少了中間人劫持會話的可能性。
. 如果會話cookie被盜並重播,則自動註銷將使會話cookie失效或使會話cookie無效,並減少影響。
. 較長且隨機的會話ID使得攻擊者更難以猜測或欺騙會話cookie,從而降低了可能性。

參考
什麼是會話劫持以及如何防止它?
會話劫持攻擊:了解和預防

資料來源: Wentz Wu QOTD-20210212

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

什麼是會話劫持?如何預防?(WHAT IS SESSION HIJACKING AND HOW TO PREVENT IT?)

會話是Internet通訊的重要組成部分,大部分都是基於Web的。會話劫持是通過利用活動的Web會話進行的Web攻擊。會話是兩個計算機系統之間進行通信的時間段。Web服務器需要身份驗證,因為通過網站進行的每個用戶通信都使用多個TCP / IP通道。

身份驗證的一種常見形式始終是使用用戶名和密碼,它們通常是預定義的。身份驗證成功後,Web服務器將會話令牌發送給用戶,然後將其存儲在啟用會話的用戶計算機中。會話ID可以作為cookie存儲在HTTP標頭或URL中。

會話劫持如何工作?

當入侵者通​​過劫持或竊取用於在大多數網站上維護會話的HTTP cookie來利用受到威脅的活動會話時,就會發生會話劫持。另一種方法是通過預測活動會話,以在未經檢測的情況下獲得對遠程Web服務器中信息的未授權訪問,因為入侵者使用了特定用戶的憑據。會話令牌或HTTP標頭可以通過多種方式進行洩露和操縱,包括:

  • 會話嗅探:當Web服務器和用戶之間存在未加密的通信,並且會話ID以純文本形式發送時,嗅探可用於劫持會話。因此,如果入侵者正在監視網絡,則他或她可以獲取會話ID,然後他們可以使用該會話ID自動向Web服務器進行身份驗證。在監視網絡時,可以使用符合道德規範的黑客工具(例如Wireshark和Kismet)從網絡捕獲敏感數據包(例如會話ID)。
  • 跨站點腳本(XSS):OWASP將跨站點腳本命名為十大Web應用程序安全風險之一。服務器可能容易受到跨站點腳本攻擊的攻擊,從而使攻擊者能夠從用戶端執行惡意代碼,從而收集會話信息。攻擊者可以鎖定受害者的瀏覽器為目標,並發送腳本化的JavaScript鏈接,該鏈接在用戶打開後會在瀏覽器劫持會話中運行惡意代碼。

會話劫持對策

使用安全的HTTP或SSL在用戶瀏覽器和Web服務器之間進行端到端加密,以防止未經授權訪問會話ID。VPN也可以用於加密所有內容,而不僅僅是使用個人VPN解決方案工具對網絡服務器的流量進行加密。

Web服務器可以生成長而隨機的會話cookie,從而減少了對手猜測或預測會話cookie可能是什麼的機會。

會話ID監視器還可以用於監視是否正在使用這些ID,並且可以使用諸如Blacksheep之類的實用程序將偽造的會話ID發送到網絡並監視入侵者是否正在嘗試使用該會話ID。

如果會話終止使用,應該自動註銷,並且應該要求客戶端使用其他會話ID重新進行身份驗證。另外,可以指示服務器從客戶端計算機中刪除會話cookie,以最大程度地減少會話cookie在網絡中暴露的時間。

如何成為一名道德黑客

成為一名合格的道德黑客(CEH)當然不是一件容易的事。本課程將使您沉浸在Hacker Mindset中,以便您能夠防禦將來的攻擊。在完成“道德認證黑客”培訓後,您將已掃描,測試,黑客攻擊並保護了自己的網絡和系統。有了這些知識,您就可以使組織放心,因為他們知道當今最大和最嚴峻的網絡犯罪分子的網絡更加安全。

資料來源:https://blog.eccouncil.org/what-is-session-hijacking-and-how-to-prevent-it/

分類
CISSP

身份驗證,授權和會計(authentication, authorization, and accounting (AAA))Part II

通過審核(查看日誌)來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”,而身份驗證則標識並驗證“誰做了”。不管活動是否被授權,都應記錄或記錄該活動,如下圖/ OSG問題所示。
但是,懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰,而未經授權的行為將受到懲罰。
https://ithelp.ithome.com.tw/upload/images/20210322/20132160nbDFTCEet3.jpg
-圖片來源:CISSP官方學習指南(OSG)在線測試銀行

定義不一致(Inconsistent Definitions)
此問題旨在促使AAA,身份驗證,授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”,因為無法進行審計,並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較,官方學習指南(OSG)中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳(也稱為問責制)審核日誌文件以檢查合規性和違規性,以使主題對其行為負責

斯圖爾特(James M.)查普,邁克;吉布森,達里爾。CISSP(ISC)2認證的信息系統安全專業人士官方學習指南(Kindle位置1737-1739)。威利。Kindle版。

會計(Accounting)
在財務會計中,“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總,分析這些交易並將其報告給監督機構,監管機構和稅收實體。”(investopedia)
在IT中,記帳是“出於趨勢分析,審計,計費或成本分配目的而收集有關資源使用情況的信息的行為。” (RFC 3539)
簡而言之,會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合,或“按時間順序的記錄,用於重建和檢查與安全相關的事務(從開始到最終結果)中圍繞或導致特定操作,過程或事件的活動順序。” (CNSSI 4009)

稽核(Auditing)
稽核是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (CNSSI 4009)
問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (CNSSI 4009)

驗證(Authorization)
驗證請求的身份的行為,它是來自相互已知的名稱空間的預先存在的標籤形式的消息,它是消息的始發者(消息身份驗證)或通道的端點(實體身份驗證)。(RFC 3539)

授權(Authorization)
確定特定權利(例如對某些資源的訪問權)是否可以授予特定憑證的提交者。(RFC 3539)
參考
基於風險的稽核
什麼是會計?
RFC 3539:身份驗證,授權和會計(AAA)傳輸配置文件
RFC 2866:RADIUS記帳

資料來源: Wentz Wu QOTD-20210211

分類
CISSP

另一個AAA(Yet Another AAA)-AAA Part I

https://ithelp.ithome.com.tw/upload/images/20210322/20132160OMRGiJWT0v.jpg
訪問控制機制
通常通過三種機制來管理或控制訪問:身份驗證,授權和會計(AAA)。
. 身份驗證是“驗證用戶,進程或設備的身份的過程,通常將其作為允許訪問信息系統中的資源的先決條件”。(FIPS 200)
識別是主體聲明或聲稱具有身份以便身份驗證過程可以繼續進行的過程。
. 授權是“驗證請求的操作或服務是否已批准用於特定實體的過程。” (NIST SP 800-152)
. 會計是記錄主題和對象活動的條目或日誌的過程,就像保留財務會計日記帳一樣。

會計,審計和問責制(又是AAA)
日誌是會計的工作成果。可以通過查看或檢查(審核)一組相關日誌(審核記錄)以唯一地將活動跟踪到實體來實現問責制。
. 問責制是“安全性目標,它產生了將實體的操作唯一地追溯到該實體的要求。” (NIST SP 800-33)
. 審計是“獨立審查和檢查記錄和活動,以評估系統控制的充分性,以確保遵守既定的政策和操作程序。” (NIST SP 800-12 Rev.1)
. 審核跟踪是“按時間順序的記錄,用於重建和檢查與安全相關的事務中從開始到最終結果的周圍或導致特定操作,程序或事件的活動順序。” (NIST SP 800-53修訂版4)

定義不一致
我以與Sybex CISSP官方學習指南相反的方式對待會計和審計。它將審核定義為“記錄與系統和主題相關的事件和活動的日誌”,而將會計(也稱為問責制)定義為“查看日誌文件以檢查合規性和違規性,以使主體對其行為負責。”

資料來源: Wentz Wu 網站

分類
CISSP

誤用/濫用測試(Misuse/Abuse testing)

https://ithelp.ithome.com.tw/upload/images/20210316/20132160WQIyTI0v0z.png
-HTTP請求(來源:Chua Hock-Chuan


測試人員在HTTP請求中操縱URL的查詢字符串是一個濫用案例,例如GET / customer / delete?country = all。甚至最終用戶也可以通過添加或修改瀏覽器地址欄中的URL和查詢參數來提交HTTP GET請求。在RESTful API流行之前,使用HTTP謂詞GET實現CRUD(創建,檢索,更新和刪除)數據操作並不罕見,該行為容易受到濫用/濫用攻擊。

誤用/濫用案例(Misuse/Abuse Case)
濫用案例可以定義為:
一種使用實現者不期望的功能的方法,允許攻擊者根據攻擊者的動作(或輸入)影響功能或使用功能的結果。
資料來源:OWASP

Synopsys定義了一個濫用案例,如下所示:
–濫用和濫用案例描述了用戶如何濫用或利用軟件功能控件的弱點來攻擊應用程序。
–當對業務功能的直接攻擊(可能帶來收入或提供積極的用戶體驗)受到攻擊時,這可能會導致切實的業務影響。
–濫用案例也可以成為提高安全性要求的有效方法,從而可以對這些關鍵業務用例提供適當的保護。
資料來源:OWASP

模糊測試(Fuzz Testing)
模糊測試用於通過提供隨機生成的測試數據來測試接受結構輸入的應用程序。我們沒有看到測試中使用了任何隨機數據。

壓力測試(Stress Testing)
壓力測試側重於性能和可伸縮性;網絡,CPU,內存的工作量逐漸增加,以一定程度的工作量和系統上限來觀察系統性能。測試中沒有關於性能和可伸縮性的任何提示。

綜合交易(Synthetic Transaction)
從嚴格意義上講,合成交易是一種主動的網站“監視”技術,通過在網絡瀏覽器中部署行為腳本來模擬真實客戶(或最終用戶)通過網站的路徑來完成。但是,合成交易對於高流量站點(例如電子商務)在發布之前進行測試至關重要。(monitis

參考
HTTP(超文本傳輸協議)基礎
代碼審查
模糊測試
回歸測試
什麼是綜合事務監控(誰需要它?…)
濫用案例備忘單

資料來源: Wentz Wu QOTD-20210209

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類
CISSP

費根檢查( Fagan inspection)

費根檢查是一種依靠組檢查方法的正式檢查,即使它可以針對有限的一組預先確定的常見軟件錯誤自動進行。

  • 模糊測試或模糊測試(Fuzzing or fuzz testing)是一種自動化的軟件測試技術,涉及將由模糊器生成的無效,意外或隨機數據作為輸入提供給計算機程序。然後監視程序是否存在異常,例如崩潰,內置代碼斷言失敗或潛在的內存洩漏。通常,模糊器用於測試採用結構化輸入的程序。(維基百科
  • 用戶界面測試(User interface testing)可以自動化。本文“ GUI測試工具的比較”中有詳細信息。
  • 代碼檢查(Code review)(有時稱為對等檢查)是一種軟體質量保證活動,其中一個或幾個人主要通過查看和讀取程序的部分源代碼來檢查程序,他們在實施後或中斷實施時進行檢查。在靜態代碼分析中(static code analysis,主要檢查由自動化程序執行。(維基百科


費根檢查(Fagan Inspection

費根檢查是試圖在軟體開發過程的各個階段中發現文檔中的缺陷(例如源代碼或正式規範)的過程。它以邁克爾·法根(Michael Fagan)的名字命名,後者被認為是正式軟體檢查的發明者。

儘管已證明費根檢查方法非常有效,但已有多個研究人員提出了改進建議。例如,Genuchten一直在研究電子會議系統(EMS的使用,以提高會議效率並取得積極成果。

其他研究人員提出了使用軟體的功能,該軟件可以保留檢測到的錯誤的數據庫,並自動掃描程序代碼以查找這些常見錯誤。這又將導致生產率的提高。

資料來源:維基百科

參考

資料來源: Wentz Wu QOTD-20210208

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文