ASP 安全方面的沟通与培训
引言
没有适当的沟通,安全方法和安全过程无疑将会失败。安全沟通指的是与客户、与 ASP 的内部人员、与供应商以及与其他第三方(如与 Forum for Incident Response and Security Teams(事件响应和安全小组论坛),FIRST)的沟通。在安全方法和策略的设计中以及执行过程中,沟通都是很重要的。
与客户进行安全方面的沟通
就安全方面采取的措施进行沟通是必不可少的。正如已经谈到的,CRM 和“服务等级管理”过程是沟通的关键过程。他们将与客户沟通安全方面的问题。他们将确保 SLA 中包含了安全性。当出现安全问题时,正是由他们来通知客户。
在执行过程中,沟通更加重要。当出现安全事件时,ASP 确保使用正确的沟通渠道非常重要,这样可以使事件不造成更多不必要的损失,而且也不会在 ASP 或客户组织中引起不必要的恐慌。最起码安全管理员、事件管理员和服务级别管理员必须具有沟通计划(谁和谁、关于什么方面以及何时进行沟通)。其中每一个角色都将有自己关注的领域。
与供应商进行安全方面的沟通
某些安全措施必须在供应商的参与下执行。在没有确信与供应商团体之间订立(或将要订立)必要合同的情况下,绝对不要对客户作出承诺。
通报安全事件的时候,必须使用与供应商之间清楚的、确定的沟通渠道。这意味着与供应商的合同中也要包括一个安全部分,其中明确定义了沟通步骤。
与其他第三方进行安全方面的沟通
出现安全事件时,攻击者通常进行多方位的进攻。与一些组织(如 Computer Emergency Response Team/Coordination Center (CERT/CC) 或 FIRST)进行信息沟通可使其它 ASP 和公司预先采取措施来应付这些攻击。
CERT Coordination Center 研究 Internet 安全弱点、对已经成为攻击对象的站点提供事件响应服务、发布各种各样的安全警报、研究在广域网计算中的安全性及生存性,并且开发可帮助改进站点安全性的信息。
FIRST 是一个会员组织,促进安全事件响应小组之间进行合作与协调,这些小组分布在供应商、服务提供商、用户、政府和学术组织中。
有关 CERT/CC 的详细信息,请参见: http://www.cert.org/
有关 FIRST 的详细信息,请参见: http://www.first.org/about/first-description.html
内部的安全沟通和培训
必须和所有 ASP 人员进行安全策略和步骤方面的沟通,并使他们充分理解。为了确保每个人都能明白出现破坏时如何去做,必须进行不断的培训和训练。通过培训让员工了解攻击。对于市场上安全问题的进展,必须不断监视,并且能立即针对世界范围内的攻击警报采取措施。
沟通和升级
每当在事件过程中感觉时限不够时,必须执行升级过程。举例来说,解决某个事件可能需要用四个小时;在两小时后,必须确定 ASP 是否能在给定的四个小时之内解决。如果不能,事件管理员将必须利用他的授权来求助其它的资源以满足四个小时的要求。当解决安全事件超过 ASP 权限时,也需要进行升级。例如,拔掉网络插座可能对客户造成严重的后果。有关如何以及何时升级的规则必须清楚,而且过程中涉及的每个人都可以使用它。
ASP 的安全威胁、攻击和易受攻击性
引言
本节概述了 ASP 可能遇到的不同威胁、攻击和易受攻击性,以及对 ASP 的影响。
内部和外部安全威胁
内部或恶意以及不满的雇员
这种内部的攻击可影响到计算机安全的所有部分。通过浏览整个系统,雇员可进入保密的数据库。与计算机有关的雇员进行恶意破坏一般包括:
更改数据
删除数据
用逻辑炸弹破坏数据或程序
使系统崩溃
控制数据作为抵押
毁坏硬件或设备
错误地输入数据
外部非法闯入者和黑客
侵入系统的常用方法包括密码破解、利用已知的安全弱点和网络欺骗。一些攻击的目的是入侵和删除、复制、修改或偷窃敏感的数据信息以及破坏正常的 ASP 操作。攻击者最常用来进入、破坏、和/或从系统偷窃信息的方法有:
电子邮件攻击 ? 最常用的电子邮件传输协议(SMTP、POP3、IMAP4)的核心协议一般都不包含可靠的身份验证,致使电子邮件可被轻易地伪造。这些协议也不要求使用加密技术来确保电子邮件的隐私和保密性。尽管存在对这些基本协议的扩展,但是决定是否使用它们还应当作为邮件服务器管理策略的一部分来确立。一些扩展使用以前建立的身份验证方法,而另一些则允许客户和服务器协商使用一种两端都支持的身份验证方法。
入侵攻击 ? 攻击者使用众所周知的技法侵入到许多 ASP 网络中。这种情况的发生通常是攻击者利用 ASP 网络中已知的弱点。在可更新的系统中,管理员可能没有时间或没有花时间在大量的 ASP 主机上安装所有必要的修补程序。另外,一般不可能将计算机使用方面的 ASP 安全策略完美地映射到它的访问控制机制,于是授权的用户经常可以执行非授权的操作。
拒绝服务 (DoS) 攻击 ? DoS 攻击的目的在于阻止对服务的合法使用。攻击者通过在网络上充斥超过其处理能力的通信量来达到此目的。这样的示例包括:
使网络资源饱和,进而妨碍 ASP 客户和 ASP 用户使用网络资源
破坏两台计算机之间的连接,妨碍 ASP 与其客户之间的通讯
阻止特定的个人访问服务某个访问
破坏对特定系统或客户的服务
DoS 攻击中有一种是利用巨大数量的协议包充斥 ASP 网络。路由器和服务器由于试图路由或处理每个包而最终过载。在几分钟之内,网络活动呈指数上升,网络停止响应正常通信和来自客户的服务请求。这也称为网络饱和攻击或带宽消耗攻击。
邮件炸弹/垃圾邮件杀手 ? 邮件炸弹是一种基于电子邮件的攻击。电子邮件充斥被攻击的系统直到它停机。根据服务器的类型以及它的配置情况的不同,系统将以不同的方式停机。此处是一些典型的停机模式:
电子邮件服务器接受电子邮件,直到存储电子邮件的磁盘充满为止。后面的电子邮件将无法接受。如果该电子邮件磁盘也是主系统磁盘,则可能致使系统崩溃。
传入队列中充满等待转发的邮件,直到该队列达到其极限为止。后面的邮件将无法排队。
可能超过特定客户服务器的磁盘限额。这妨碍后续邮件的接收,而且可能使客户无法完成工作。恢复起来可能很困难,因为客户只是为删除电子邮件就可能需要用更多的磁盘空间。
病毒攻击 ? 计算机病毒是附带在其它代码条上的自我复制代码。该代码可能是无害的 ? 例如,它可能显示一条消息或播放一段乐曲。也可能有害并进一步删除和修改文件。病毒代码搜索客户和/或内部文件,寻找未感染的可执行程序(客户或用户对该程序具有写入的安全权限)。病毒通过在所选的程序文件中放入一条代码来感染此文件。当执行感染了病毒的文件时,该病毒立即开始工作,寻找和感染其它程序和文件。
特洛伊木马攻击 ? 特洛伊木马是隐藏在某个程序(如游戏或电子数据表)中的代码,该程序看起来可安全运行,但实际隐藏着负面影响。当运行该程序时,表面上似乎运行正常,但实际上它正在后台破坏、摧毁或修改信息。它本身是一个程序,不需要将自己嵌入到宿主程序中。
蠕虫攻击 ? 蠕虫是一种设计用来复制的程序。该程序也可以执行任何其它类的任务。第一只网络蠕虫的设计目的是执行有用的网络管理功能。它们利用系统属性来执行有用的操作。但是,恶意的蠕虫利用了同样的系统属性。允许这种程序进行复制的设备并不总能区分恶意的和好的代码。蠕虫利用操作系统中的缺陷(即错误)或不完备的系统管理来进行复制。释放蠕虫通常会导致在短时间内迅速蔓延,使整个网络停机。
ASP 的安全弱点
弱点是安全中的薄弱点或漏洞,攻击者可利用它获得对 ASP 网络或对该网络上资源的访问。弱点不是攻击,而是可被利用的薄弱点。对于 ASP 而言,很重要的一点是明白常用网络访问协议和步骤非常容易受到攻击。
没有采取安全措施的 ASP 容易受到攻击的一些示例包括:
标识截取 ? 入侵者找到有效用户的用户名和密码。这种攻击产生的途径很多,既可通过社会获得,也可使用技术方法实现。
伪装 ? 非授权用户假装有效用户。例如,用户虚构一个可信系统的 IP 地址,然后使用该地址获取已授予的对被假冒的设备或系统的访问权限。
重放攻击 ? 入侵者记录下客户和服务器之间的一段网络交换,然后将它重放以模仿该客户。
数据截取 ? 如果跨网络移动纯文本形式的数据,那么未经授权的人员可以监视和获取该数据。
操纵 ? 入侵者造成网络数据被修改或毁坏。非加密的网络财务交易容易被操纵。病毒可以毁坏网络数据。
发件人匿名 ? 如果交易的接收方无法确定是谁发送的消息,则会危及基于网络的业务和财务交易的安全。
宏病毒 ? 针对特定应用程序的病毒可利用复杂文档和电子数据表的宏语言。
拒绝服务 ? 入侵者将消耗系统资源的请求充斥了服务器,使服务器崩溃或使有效的工作无法完成。 使服务器崩溃有时可提供入侵系统的机会。
恶意移动代码 ? 指的是恶意的代码,它在 Web 服务器上作为自动执行的 ActiveX® 控件或上传自 Internet 的 Java Applet 运行。
滥用权限 ? 计算机系统的管理员有意或错误地使用对操作系统的完全权限来获取私人数据。
社会工程攻击 ? 有时,侵占一个网络就象给一个新雇员打电话一样简单,告诉他们你是 ASP 组织中的人并让他们验证其密码。
物理攻击 ? 有时候带着设备走出大楼竟然容易得让人吃惊。
引言
没有适当的沟通,安全方法和安全过程无疑将会失败。安全沟通指的是与客户、与 ASP 的内部人员、与供应商以及与其他第三方(如与 Forum for Incident Response and Security Teams(事件响应和安全小组论坛),FIRST)的沟通。在安全方法和策略的设计中以及执行过程中,沟通都是很重要的。
与客户进行安全方面的沟通
就安全方面采取的措施进行沟通是必不可少的。正如已经谈到的,CRM 和“服务等级管理”过程是沟通的关键过程。他们将与客户沟通安全方面的问题。他们将确保 SLA 中包含了安全性。当出现安全问题时,正是由他们来通知客户。
在执行过程中,沟通更加重要。当出现安全事件时,ASP 确保使用正确的沟通渠道非常重要,这样可以使事件不造成更多不必要的损失,而且也不会在 ASP 或客户组织中引起不必要的恐慌。最起码安全管理员、事件管理员和服务级别管理员必须具有沟通计划(谁和谁、关于什么方面以及何时进行沟通)。其中每一个角色都将有自己关注的领域。
与供应商进行安全方面的沟通
某些安全措施必须在供应商的参与下执行。在没有确信与供应商团体之间订立(或将要订立)必要合同的情况下,绝对不要对客户作出承诺。
通报安全事件的时候,必须使用与供应商之间清楚的、确定的沟通渠道。这意味着与供应商的合同中也要包括一个安全部分,其中明确定义了沟通步骤。
与其他第三方进行安全方面的沟通
出现安全事件时,攻击者通常进行多方位的进攻。与一些组织(如 Computer Emergency Response Team/Coordination Center (CERT/CC) 或 FIRST)进行信息沟通可使其它 ASP 和公司预先采取措施来应付这些攻击。
CERT Coordination Center 研究 Internet 安全弱点、对已经成为攻击对象的站点提供事件响应服务、发布各种各样的安全警报、研究在广域网计算中的安全性及生存性,并且开发可帮助改进站点安全性的信息。
FIRST 是一个会员组织,促进安全事件响应小组之间进行合作与协调,这些小组分布在供应商、服务提供商、用户、政府和学术组织中。
有关 CERT/CC 的详细信息,请参见: http://www.cert.org/
有关 FIRST 的详细信息,请参见: http://www.first.org/about/first-description.html
内部的安全沟通和培训
必须和所有 ASP 人员进行安全策略和步骤方面的沟通,并使他们充分理解。为了确保每个人都能明白出现破坏时如何去做,必须进行不断的培训和训练。通过培训让员工了解攻击。对于市场上安全问题的进展,必须不断监视,并且能立即针对世界范围内的攻击警报采取措施。
沟通和升级
每当在事件过程中感觉时限不够时,必须执行升级过程。举例来说,解决某个事件可能需要用四个小时;在两小时后,必须确定 ASP 是否能在给定的四个小时之内解决。如果不能,事件管理员将必须利用他的授权来求助其它的资源以满足四个小时的要求。当解决安全事件超过 ASP 权限时,也需要进行升级。例如,拔掉网络插座可能对客户造成严重的后果。有关如何以及何时升级的规则必须清楚,而且过程中涉及的每个人都可以使用它。
ASP 的安全威胁、攻击和易受攻击性
引言
本节概述了 ASP 可能遇到的不同威胁、攻击和易受攻击性,以及对 ASP 的影响。
内部和外部安全威胁
内部或恶意以及不满的雇员
这种内部的攻击可影响到计算机安全的所有部分。通过浏览整个系统,雇员可进入保密的数据库。与计算机有关的雇员进行恶意破坏一般包括:
更改数据
删除数据
用逻辑炸弹破坏数据或程序
使系统崩溃
控制数据作为抵押
毁坏硬件或设备
错误地输入数据
外部非法闯入者和黑客
侵入系统的常用方法包括密码破解、利用已知的安全弱点和网络欺骗。一些攻击的目的是入侵和删除、复制、修改或偷窃敏感的数据信息以及破坏正常的 ASP 操作。攻击者最常用来进入、破坏、和/或从系统偷窃信息的方法有:
电子邮件攻击 ? 最常用的电子邮件传输协议(SMTP、POP3、IMAP4)的核心协议一般都不包含可靠的身份验证,致使电子邮件可被轻易地伪造。这些协议也不要求使用加密技术来确保电子邮件的隐私和保密性。尽管存在对这些基本协议的扩展,但是决定是否使用它们还应当作为邮件服务器管理策略的一部分来确立。一些扩展使用以前建立的身份验证方法,而另一些则允许客户和服务器协商使用一种两端都支持的身份验证方法。
入侵攻击 ? 攻击者使用众所周知的技法侵入到许多 ASP 网络中。这种情况的发生通常是攻击者利用 ASP 网络中已知的弱点。在可更新的系统中,管理员可能没有时间或没有花时间在大量的 ASP 主机上安装所有必要的修补程序。另外,一般不可能将计算机使用方面的 ASP 安全策略完美地映射到它的访问控制机制,于是授权的用户经常可以执行非授权的操作。
拒绝服务 (DoS) 攻击 ? DoS 攻击的目的在于阻止对服务的合法使用。攻击者通过在网络上充斥超过其处理能力的通信量来达到此目的。这样的示例包括:
使网络资源饱和,进而妨碍 ASP 客户和 ASP 用户使用网络资源
破坏两台计算机之间的连接,妨碍 ASP 与其客户之间的通讯
阻止特定的个人访问服务某个访问
破坏对特定系统或客户的服务
DoS 攻击中有一种是利用巨大数量的协议包充斥 ASP 网络。路由器和服务器由于试图路由或处理每个包而最终过载。在几分钟之内,网络活动呈指数上升,网络停止响应正常通信和来自客户的服务请求。这也称为网络饱和攻击或带宽消耗攻击。
邮件炸弹/垃圾邮件杀手 ? 邮件炸弹是一种基于电子邮件的攻击。电子邮件充斥被攻击的系统直到它停机。根据服务器的类型以及它的配置情况的不同,系统将以不同的方式停机。此处是一些典型的停机模式:
电子邮件服务器接受电子邮件,直到存储电子邮件的磁盘充满为止。后面的电子邮件将无法接受。如果该电子邮件磁盘也是主系统磁盘,则可能致使系统崩溃。
传入队列中充满等待转发的邮件,直到该队列达到其极限为止。后面的邮件将无法排队。
可能超过特定客户服务器的磁盘限额。这妨碍后续邮件的接收,而且可能使客户无法完成工作。恢复起来可能很困难,因为客户只是为删除电子邮件就可能需要用更多的磁盘空间。
病毒攻击 ? 计算机病毒是附带在其它代码条上的自我复制代码。该代码可能是无害的 ? 例如,它可能显示一条消息或播放一段乐曲。也可能有害并进一步删除和修改文件。病毒代码搜索客户和/或内部文件,寻找未感染的可执行程序(客户或用户对该程序具有写入的安全权限)。病毒通过在所选的程序文件中放入一条代码来感染此文件。当执行感染了病毒的文件时,该病毒立即开始工作,寻找和感染其它程序和文件。
特洛伊木马攻击 ? 特洛伊木马是隐藏在某个程序(如游戏或电子数据表)中的代码,该程序看起来可安全运行,但实际隐藏着负面影响。当运行该程序时,表面上似乎运行正常,但实际上它正在后台破坏、摧毁或修改信息。它本身是一个程序,不需要将自己嵌入到宿主程序中。
蠕虫攻击 ? 蠕虫是一种设计用来复制的程序。该程序也可以执行任何其它类的任务。第一只网络蠕虫的设计目的是执行有用的网络管理功能。它们利用系统属性来执行有用的操作。但是,恶意的蠕虫利用了同样的系统属性。允许这种程序进行复制的设备并不总能区分恶意的和好的代码。蠕虫利用操作系统中的缺陷(即错误)或不完备的系统管理来进行复制。释放蠕虫通常会导致在短时间内迅速蔓延,使整个网络停机。
ASP 的安全弱点
弱点是安全中的薄弱点或漏洞,攻击者可利用它获得对 ASP 网络或对该网络上资源的访问。弱点不是攻击,而是可被利用的薄弱点。对于 ASP 而言,很重要的一点是明白常用网络访问协议和步骤非常容易受到攻击。
没有采取安全措施的 ASP 容易受到攻击的一些示例包括:
标识截取 ? 入侵者找到有效用户的用户名和密码。这种攻击产生的途径很多,既可通过社会获得,也可使用技术方法实现。
伪装 ? 非授权用户假装有效用户。例如,用户虚构一个可信系统的 IP 地址,然后使用该地址获取已授予的对被假冒的设备或系统的访问权限。
重放攻击 ? 入侵者记录下客户和服务器之间的一段网络交换,然后将它重放以模仿该客户。
数据截取 ? 如果跨网络移动纯文本形式的数据,那么未经授权的人员可以监视和获取该数据。
操纵 ? 入侵者造成网络数据被修改或毁坏。非加密的网络财务交易容易被操纵。病毒可以毁坏网络数据。
发件人匿名 ? 如果交易的接收方无法确定是谁发送的消息,则会危及基于网络的业务和财务交易的安全。
宏病毒 ? 针对特定应用程序的病毒可利用复杂文档和电子数据表的宏语言。
拒绝服务 ? 入侵者将消耗系统资源的请求充斥了服务器,使服务器崩溃或使有效的工作无法完成。 使服务器崩溃有时可提供入侵系统的机会。
恶意移动代码 ? 指的是恶意的代码,它在 Web 服务器上作为自动执行的 ActiveX® 控件或上传自 Internet 的 Java Applet 运行。
滥用权限 ? 计算机系统的管理员有意或错误地使用对操作系统的完全权限来获取私人数据。
社会工程攻击 ? 有时,侵占一个网络就象给一个新雇员打电话一样简单,告诉他们你是 ASP 组织中的人并让他们验证其密码。
物理攻击 ? 有时候带着设备走出大楼竟然容易得让人吃惊。