安全运营

一.运营基础概念
1.关键主题
1)维护运营弹性
关键业务有弹性,保持连续性,制订有应急预案,实时监控和响应
2)保护有价值的资产
提供各种资产的日常维护
保护资产不被破坏
3)控制系统账号
对各种帐号(尤其是特权帐号)的检查,平衡用途
4)有效管理安全服务
  • IT服务的变更、配置和问题管理
  • 安全配置流程控制,如用户配置和服务台程序
  • 关注报告和服务持续改进实践
2.行政管理
2.1.职责分离
定义:将一个关键任务分成不同的部分,每个部分由不同的人来执行。
一种防御性措施;减少故意破坏的机率,实现互相制约;减少无意的疏漏和错误的机率,实现互补
1)系统管理员
系统日常管理
2)操作员
工作职责:进行主机的日常操作,确保预定的工作有效进行和解决可能出现的问题 。
权限说明:操作员具有很高的权限,但低于系统管理员,这些权限可以规避系统的安全策略,应监控这些特权使用并进行日志审计。
3)安全管理员
作用:定义系统安全设置并协同管理员进行相关配置,提供一种权利制衡,为系统管理员提供审计和审查活动
主要职责
  • 账号管理
  • 敏感标签的分配
  • 系统安全设置
  • 审计数据的评审
  • 帮助/服务台人员
  • 提供一线支持
  • 在需要时重置用户密码
  • 进行监控和背景调查
4)普通用户
需要访问信息技术资源
2.2.岗位轮换
解决单点故障,检测性控制,当岗位轮换后,可以有时间和空间检测上一任的情况,是减少合谋的最佳方法。
2.3.最小特权和“知其所需”
2.4.强制休假
2.5.人员管理
1)运营人员的要求负责、谨慎、明智和有能力的人
2)安全管理员与网络管理员:
  • 关注方向不同
  • 实现和维护安全设备与软件
  • 执行安全评估
  • 创建和维护用户资料,实现和维护访问控制机制
  • 配置和维护强制访问控制措施(MAC)环境中的安全标签
  • 管理口令策略
  • 检查审计日志
 
2.6.特权帐号
1)Root or内置管理员帐号
用于管理设备和系统全能默认账号
安全控制
  • 更名尽可能的严格
  • 默认密码要修改
  • Logs记录个人使用 root账号的行为
使用root帐号远程登录时
  • 会话应执行强加密和监控
  • 使用多因子的身份验证方法
2)服务帐号
由系统服务和核心应用所使用的特权访问
3)管理员帐号
  • 被分配给需要系统特权访问来执行维护任务的指定个人
  • 应与用户的普通账号分开
  • 账号密码应安全可靠的分发给个人
  • 管理员应书面承认接收账号并遵守组织规则
  • 账号不再使用应立即去除
  • 所有的活动应该被审计
  • 部署额外的日志系统
  • 多因素认证
4)超级用户
  • 账号权限由于工作所需授予超过普通用户权限但是不需要管理员权限的
  • 超级用户可以在自己的桌面上安装软件
  • 应书面承认接收账号并遵守组织规则,如签署安全协议书
2.7.特权账号管理
1)控制特权账号
  • 对帐号的数量和类型进行严格控制
  • 监控系统的帐号管理权限
  • 实施身份和访问管理(IAM)
  • 知所必需和最小特权(互为补充)
    • need to know 知所必需
    • Least privilege 最小特权
2)监控特权
  • 许可、适用性和背景调查
  • 帐户验证(Account Validation)
  • 岗位轮换(Job rotations)
  • 双人操作(two man rule)
  • 强制休假(Mandatory vacations )
2.8.可问责性
 
用户访问资源的权限必须给予适当控制,以避免授予过多权限导致对公司及其资源造成损害。
应当对用户访问和操作资源的行为进行监控审计和日志记录。用户ID应包含在日志中
 
3.日常运营
1)运营责任
操作安全目标:降低可能由非授权访问或滥用造成损失的可能性。
管理层负责雇员的行为和职责。
操作部门的人员负责确保系统受到保护并在预期的方法下运行。
操作部门的目标:防止反复发生问题,将硬件和软件故障降低到可接受的级别以减少事故或破坏的影响。
2)关注内容
  • 查看不寻常或无法解释的事件:例如不断出现计算机断网。
  • 偏离标准:与原有的标准设计(负载特高、特低),进行偏差评估,推动是否被攻击。
  • 不定期的初始程序加载/重启:例如计算机频繁重启。
  • 资产表示和管理:了硬件、固件、操作系统、语言运行时环境、应用程序以及不同的库。
  • 系统控制:确保指令在正确的上下文中执行。
  • 可信恢复:确保故障和操作中断不会破坏系统安全运行所需的机制和规程。
  • 输入和输出控制:应用程序的输入和输出有直接的关联关系,需要监控输入中的任务错误和可以行为。
  • 系统强化:禁用不需要的组件和服务。
  • 系统安全配置加固。
  • 远程访问安全:不得以明文方式传送命令和数据,尽量本地管理,控制范围。
3)保证级别
a)操作保障
关注产品的体系结构、嵌入的特征和功能。在产品评估中, 产品具有使用户持续获得所需安全的产品特性;
操作系统保障示例:访问控制机制、 特权和用户程序代码分离、审核和监视能力、 隐蔽通道分析、可信恢复;
b)生命周期保障
关注产品如何开发和维护, 全生命周期各阶段满足标准规范
示例:涉及规范、限制级别配置、 单元和集成测试、配置管理以及可信分发
4)软件许可控制
授权软件安装,禁止安装盗版软件 ,控制授权。
5)人身安全
Privacy 隐私
Travel 出行
Duress 胁迫 (属于社会工程)
6)错误警报门限(Clipping levels) 
定义:应设定某种错误发生次数的门限, 超过此门限后相关行为将受到怀疑或禁止。
作用:设置错误警报门限的目的是使用门限值、 监控和审计的方式,及时发现问题防止更大损失发生
二.物理安全
1.基本概念
设施防护的第一道屏障
 
 
2.设施访问控制/出入控制
1)访问控制机制
  • 锁和钥匙:提供的延迟时间应与周围设备的防入侵能力保持一致
  • 电子卡访问系统
  • 人员配置
2)物理屏障
  • 栅栏
高度
  • 3-4英尺:仅能阻止无意进入者
  • 6-7英尺 :被认为是不可能爬上去
  • 8英尺:顶端带刺的铁丝,往内防止内部逃脱;向外防止外部进入

双栅栏是比较高的防护级别。

边界入侵检测和评估系统(PIDAS栅栏):由栅栏和传感器组成
  • 门:防盗
  • 墙:防火普通1小时,纸质介质的位置2小时
  • 窗户:防盗
  • 受保护的通风口
  • 车辆障碍
  • 护柱:能防止建筑物最直接的威胁
3)入侵检测
周界探测器
  • 机电系统:检测到电路的变化或中断
  • 光电系统:检测光束的变化
  • 被动红外系统:热波变化
  • 声学检测系统
  • 波形检测系统
红外传感器(Infrared Sensors )
  • 主动红外探测:设备会发出红外线
  • 被动红外探测:感测人的温度,如果环境温度会变化, 需要能够自动温度调节补偿
微波(Microwave 
同轴应变敏感电缆(Coaxial Strain-Sensitive Cable 
时间域反射器(TDR)系统(Time Domain Reflectometry (TDR) Systems 
视频内容分析和运动路径分析(Video Content Analysis and Motion Path Analysis):使用复杂算法允许CCTV系统来检测入侵
4)评估
安保人员
视频监控系统
5)响应
入口安保检查
  • 物理保护措施最终都需要人员介入响应报警
  • 安全人员可以对建筑物进行足部巡逻,或驻足于某一固定位置
  • 通过检查员工的身份识别卡控制访问
  • 威慑力强,但成本高
执法机构
6)威胁
警示标识
照明
  • 起到威慑作用,对攻击人员产生不安全感
  • 重要区域,照明灯柱局里不超过8英尺,强度不超过2英尺烛光
  • 照明灯光应该朝向外侧,使安全人员处于相对黑暗中
  • 为某个区域提供一组灯光称为连续照明
  • 在停电情况下需要考虑应急照明
7)环境设计
通过环境设计让攻击者感到不适
自然加固、自然访问控制、自然监视
8)人员管理
避免尾随
 
三.安全资源配置
1.资产清单
跟踪硬件、软件变化
2.方法
应用白名单
使用母盘
执行最低权限原则
自动扫描
软件库和硬件库的安全作用
  • 安全专家能迅速找到和减少与硬件类型和版本相关的漏洞
  • 知道网络中硬件类型和位置能降低识别受影响设备的工作量
  • 可以经扫描发现网络中未经授权的设备
维护配置清单
  • 记录和追踪配置的变更能提供网络完整性和可用性的保障
  • 定期检查确保非授权变更
四.网络和资源可用性
1.保障可用性的手段
1)冗余硬件
2)容错技术
3)服务级别协定(SLA)
服务级别协议是指提供服务的企业与客户之间就服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约。
4)稳健的操作措施
2.单点故障的解决方法
  • RAID技术
  • 直连存储(DAS)
  • 大规模非活动磁盘阵列(MAID)
  • 独立冗余磁盘阵列
  • 存储区域网络(SAN)
  • 群集
3.备份
软件备份和硬件备份。
层次存储管理:热数据使用SSD,冷数据使用SATA。
4.应急计划
应急计划主要处理小型事件,例如电源中断、服务器故障等。
应急计划只有在测试后才能被信任。
5.预防措施
5.1.步骤
保护措施通用流程
1)识别和评估风险
2)选择恰当的控制措施
3)正确的使用控制措施
4)管理配置
5)评估操作
5.2.措施
1)防火墙
采用应用或软件解决方案代替传统防火墙功能的同时,还包含了其他重要功能
通过风险评估,确定防火墙部署位置、数量和具体策略
2)入侵检测系统
根据风险情况部署和调整入侵检测系统
3)邮件防护
通过白名单、黑名单和灰名单技术
4)沙盒、 反恶意软件、 蜜罐和蜜网 、第三方服务
蜜罐系统和蜜网 ( Honeypots and Honeynets):属于检测性控制,作为诱饵服务器收集攻击者或入侵者进行系统的相关信息。
沙盒(Sandboxing):软件虚拟化技术,让程序和进程在隔离的环境中运行,限制访问系统其他文件和系统。
反恶意软件(Anti-malware ):部署在单个主机和系统上,持续更新病毒库,环境监测
第三方服务(Third-party Security Services):   Dynamic application security testing (DAST),用于检测应用在运行状态中安全漏洞的状态,多数暴露的HTTP和HTML的问题,多基于WEB漏洞 ,有些为非Web协议和数据畸形。
5)补丁和漏洞管理
a)补丁管理的目的:建立持续配置环境保护操作系统和应用的已知漏洞
威胁:在补丁发布后,系统修复前,有空挡期,攻击者对补丁进行逆向工程发现漏洞,发起攻击。
b)补丁管理考虑的风险因素
  • 是否通过管理层批准
  • 是否遵从配置管理策略
  • 是否考虑带宽利用率
  • 是否考虑服务可用性
c)补丁集中管理:最佳实践,可自动更新。
自动更新的问题
  • 必须需要管理员权限,违反最低权限原则
  • 配置变更管难度加大
  • 会占用带宽,产生阻塞
  • 可能导致系统崩溃
d)补丁管理步骤
  • 判断是否是漏洞,是否需要升级补丁
  • 基于风险决策,是否会影响到业务
  • 补丁的重要程度
  • 确定是否更新补丁
  • 更新补丁已经被测试以及残余风险被解决 
  • 更新完成后需要在生产环境中验证
  • 部署完成后确保所有适当的机器都被更新 
  • 记录所有变更
 
e)补丁变更管理
  • 修补应用程序应包含应急和回退计划
  • 在变更管理方案中包含风险降低策略
  • 变更管理方案中包含监控和可接受计划
f) 补丁安装和部署
  • 补丁管理的部署阶段必须具有良好经验的管理员和工程师
  • 安装和部署意味着生产系统的补丁和更新会真实实施
  • 影响补丁部署的技术因素是工具的选择
 
6)漏洞管理系统
脆弱性扫描:识别这些弱点
漏洞类型
  • 系统缺陷
  • 配置错误
  • 策略错误
 
6.可信路径和故障安全机制
为特权用户功能提供可信接口

可信恢复
目的:可信恢复的目的是确保在故障和运作中断情况下维护系统的安全和职能功能。
为了实现上述目的,系统应该加入一系列机制使其在预先定义的故障或中断发生时能够保持安全状态。
类型
  • 系统重启:以受控方式关闭系统,重新引导前不一致的数据已得到矫正,数据结构实际上处于一致状态;
  • 紧急系统重启动:以非受控方式关闭系统,重启前数据仍然处于不一致状态,重启进入维护状态自动执行恢复,将系统带入到一致状态;
  • 系统冷启动:自动化恢复机制无法将系统带入到一致状态,由管理员人工介入将系统从维护模式恢复到一致状态; (用于挫败 defeat 攻击的启动方式)
系统崩溃后正确步骤
  • 进入单用户或安全模式
  • 修复问题并恢复文件
  • 确定关键的文件和操作
  • 系统恢复控制
 
提供确保使用该路径的通信不会被拦截或破坏的方法
  • 故障保障(Fail-Safe )
    • 发生故障时自动开启(如电源中断)
    • 关注生命或系统安全
  • 故障财物安全(Fail-Secure )
    • 发生故障时自动锁闭(如电源中断)
    • 关注故障后以可控的方式阻止访问,当系统处于不一致状态时
五.事故管理
1.基本概念
一种对恶意技术威胁作出响应的恢复计划
目标:缓解事故所造成的破坏,并防止进一步破坏
通用做法:检测问题,确定原因,解决问题,记录过程
事故和事件的区别
  • 事件是一个可被观察、验证和记录在案的消极事情
  • 事故是给公司及其安全状态造成负面影响的一系列事件
2.步骤
1)检测
发现问题
2)响应
收集资料,找到问题根源
3)缓解
目的是阻止或减少事件造成进一步伤害,进而你可以开始恢复和修复。
先缓解主要资产,再缓解次要资产
措施应该根据攻击类型、被事件影响的资产及其重要性来确定
遏制策略:例如从网络中切断病毒源、控制受感染的主机
4)报告
报告的内容包括:
  • 事件摘要
  • 指示
  • 相关事件
  • 采取的行动
  • 所有的证据的监管链
  • 影响评估
  • 事件处理者的身份与评论
  • 接下来要采取的步骤
5)恢复
恢复系统可用
6)修复
配置永久的措施
7)学习
总结经验
问题管理
六.灾难恢复
1)预防性措施与恢复战略的区别:
  • 预防性是不仅降低公司经历灾难的可能性,同时减轻破坏程度,对灾难本身进行缓解
  • 恢复战略是灾难发生后用于保护公司的方法,利用提供备用场所,对灾难本身没有啥改变
业务流程恢复:是一组相互关联的步骤,它通过特定的决策活动完成具体的任务,可重复终点和起点
2)数据备份方案:完全备份、增量备份、差异备份
归档位:操作系统的文件系统通过设定归档位来跟踪发生变化的文件。
3)电子备份解决方案:
  • 磁盘映像(disk duplexing):基于磁盘
  • 电子传送(electronic vaulting):在文件发生改变时进行备份,再定期传送到另一个地点,不是实时
  • 电子链接:一种实时备份到异地设施批量传送方法
  • 远程日志处理(remote journaling):离线数据传输方法,只将日志或事务处理日志传送到异地,不传送实际文件,通过日志可重建丢失的数据,实际为数据被增删改的记录,实时发生
4)流程
  • 沟通
  • 评估
  • 恢复
  • 培训
  • 演练、评估和维护计划
5)恢复与还原计划
业务连续性计划通用结构
  • 起始阶段
    • 目标明确
    • 概念概述
    • 角色与团队定义
    • 任务定义
  • 启动阶段
    • 通告步骤
    • 收集评估
    • 计划启动
  • 恢复阶段
    • 转移到备份站点
    • 对于恢复的定义一般指转移到备份站点
    • 重建恢复
    • 恢复步骤
  • 再造阶段(reconstittution phase)
    • 当公司开始搬回原来的场所或搬进一个新设施时
    • 还原到原来
    • 测试环境
    • 转移操作
  • 附录
    • 联系方式
    • 其他计划类型
    • 图表
    • 系统需求
七.调查取证
1)动机、机会和方式(MOM)
动机:谁,为什么
机会:何时,何地
方式:罪犯需要获得成功的能力
2)调查人员进行的各种评估
  • 网络分析
  • 路径跟踪
  • 介质分析
  • 软件分析
3)步骤
  • 标识
  • 保存
  • 收集:应为原始数据创建两个副本:一个主镜像,保存在库中的控制镜像; 一个工作镜像,用于分析和证据收集。两个副本进行时间标记,以说明被收集的时间。为了确保原始数据不被更改,须为文件和目录创建消息摘要
  • 检查
  • 分析
  • 呈现
  • 决定
4)证据收集和处理
保管链
  • 一个历史记录,展示如何收集、分析传输及保持证据,证明证据的可信
  • 所有证据必须贴上信息标签,指出谁对其进行保护及确认
证据的价值依赖于来源的真实性和能力
证据须具有真实性、完整性、充足性和可靠性
访谈
  • 调查过程中最为微妙的部分,就是证人和嫌疑人的访谈;
  • 访谈前必须要审视策略、通知管理层以及联系公司法律顾问;
  • 访谈过程不要单独一人,如果可能,录下整个访谈过程作为佐证;
5)取证程序
a)证据分类
呈现方式分类
  • 书面的
  • 口头的
  • 计算机生成的
  • 视觉的或听觉的
按影响力分类
  • 最佳证据:原始合同
  • 辅助证据:口头证据、原始文件的复印件
  • 直接证据:证人的证词,基于证人五种感官收集的证据
  • 决定性证据
  • 间接证据:证实中间事实,中间事实可用于推论或认定另一事实的存在
  • 确定性证据:支持行证据,用来帮助提供一个想法或观点
  • 观点证据:专家证人提出的教育观点,一般证人只能对事实作证
  • 传闻证据:法庭上陈述的口头或书面证据,是二手的
b)证据特征
  • 真实性或相关性:必须与调查结果有着适度的和切合实际的关系
  • 完整性:证据必须呈现全部真相
  • 充分性或可信性:必须有充分的说服力来使一个讲道理的人相信调查的真实性,证据必须有力,不容易被怀疑
  • 可靠性或准确性:必须与事实一致。如果他是基于一个人的观点或是原始文件的复印件,那么证据就不是可靠的
 
c)取证原则
  • 调查的任何行动不得改变存储介质或数字装置中的数据;
  • 访问数据的人员必须有资格这么做并有能力解释他们的行为;
  • 适用于第三方审计并应用于流程的审计痕迹或其他记录应被生成和保护,并精确的记录每个调查步骤;
  • 负责调查的人必须完全对确保以上提到的层序负责并遵守政府法律;
  • 关于人员抓取数据的行为不得改变证据;
  • 当有必要人员访问原始证据时,这个必须具有法律资格;
  • 与数字证据的抓取、访问、存储或传输有关的行为必须小心的记录、保存并可用于审计;
  • 当数字证据为某人持有时,这个人必须为证据所采取的行动完全负责。
 
澳大利亚计算机取证通用指导原则
  • 对原始数据的处理或讹误保持最小化;
  • 记录所有动作并解释变化;
  • 遵循证据的5个原则(可接受、可靠、完整、准确、有说服力);
  • 处理和/或证据超出自己的知识、技能和能力时,寻求更有经验的人的帮助;
  • 遵循组织结构的安全策略,并获得管理支配取证调查的书面许可;
  • 尽可能快速、准确得捕获系统的一个镜像;
  • 为在法庭上作证准备;
  • 区分你的动作优先顺序,从易失证据直至永久证据;
  • 不要再可能成为证据的系统上运行任何程序;
  • 在管理取证调查时具备道德和诚意,并且不试图进行任何破化。
d)证据分析方式
介质分析:从信息介质中恢复信息或证据;
网络分析:从使用的网络日志和网络活动中分析和检查作为潜在的证据;
软件分析:分析和检查程序代码(包括源代码、编译代码和机器码)、 利用解码和逆向工程技术、包括作者鉴定和内容分析等;
硬件/嵌入式设备分析:应包含移动设备的分析;
e)计算机犯罪:计算机促进和协助的非法行为,不管计算机是犯罪目标、犯罪工具还是与犯罪有关的证据存储。
八.义务及其后果
1)定义
职责:通常指某一方的义务和预期的活动责任
义务:可以有一套规定好的动作或更广泛、开放的路径
可问责性:使一方对某些动作或非动作负责的能力
近因:自然而然和直接导致一个结果出现的行为或者疏忽,是导致一个事物出现的明显或表面的原因,是导致某一特定结果出现的直接的起决定作用的原因
2)应尽职责和应尽关注
适度勤勉/应尽职责(due diligence)
  • 指公司对所有可能的缺陷和脆弱性都进行了适当的调查
  • 收集必要信息以便做出最佳决策
  • 在日常管理中尽到责任

做了该做的工作,社会责任问题

适度谨慎/应尽关注(due care)
  • 采取了合理的防范保护措施
  • 公司应该做的、视图阻止安全违规的努力
  • 公司采取合理的步骤来确保在发生安全违规时通过适当的控制或对策减轻所受的破坏

对于发生的事件,采取了措施

只有实行了应尽职责(数据收集),才会有应尽关注(审慎的行动)的发生
例子:在涉及安全违约行为时会产生很多方面的花费: 业务损失、响应活动、顾客和合作伙伴告知等。需要通过履行应尽职责来了解这些成本,从而公司可以履行应尽关注
3)上游责任(downstream liability)
两家公司都应保证他们的活动不会影响任何一方
例子:例如A公司与B公司互联,A公司没有实施检查和处理病毒机制,A公司感染病毒后,影响到B公司,B公司可以起诉A公司
 
 
特别声明:
1.以上所有描述内容部分参考链接/文献未逐一列出,若有侵权,请及时告知,有则改之无则加勉。
2.以上仅是学习过程的总结,相信有很多理解偏差的地方,特别希望指出,给予帮助,更新知识体系,共同进步。


<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">





posted @ 2020-07-21 11:58  worter  阅读(1153)  评论(0编辑  收藏  举报