任何未遂的网络入侵

任何未遂的拒绝服务攻击。

对恶意软件的任何检测。

对数据的任何未经授权的访问。

安全策略的任何违背行为。

IT 环境中有许多方法可用来检测潜在事件

检测潜在事件的一些常用方法

检测并证实事件后，下一步是响应。响应因事件严重程度而各异

许多组织设有专门的事件响应团队一一有时也叫计算机事件响应团队(CIRT) ，或计算机安全事件响应团队(CSIRT)

团队成员通常对事件开展调查、评估损害、收集证据、报告事件和执行恢复程序

组织对事件响应的速度越快，把损害控制在有限范围的机会越大

调查结束后，管理层可能会决定起诉事件责任人。出于这一原因，务必在调查过程中保 护好可以充当证据的所有数据

抑制措施旨在遏制事件的发展。有效事件管理的主要目的之一是限制事件的影响或范围。

例如，如果一台受感染的计算机试图通过它的网络适配器向外发送数据，技术人员可以禁用 网络适配器或断开连接计算机的电缆，可以把问题遏制在一个网络内

有时，响应人员会在不让攻击者知道攻击已被发现的情况下采取措施抑制事件

报告是指在组织内通报事件并将情况上报给组织外的相关部门和个人，组织高管需要对严重安全破坏事件知情。

对于组织外发生的一些事件，组织往往也有合法的报告要求

许多司法辖区为保护个人身份信息(PII)而制定了专门的法律。

组织在响应严重安全事件的过程中应该考虑把事件报告给执法部门

接下来的一步是恢复系统或使其返回正常运行状态。

需要仔细检查的事项包括：

如果训查人员怀疑攻击者篡改了系统代码，重建系统或许是一个不错的选择。

在补救阶段，安全人员首先查看事件，查明事件发生的原因，然后采取措施防止事件再次发生。此阶段需要进行一次根本原因分析。

根本原因分析通过剖析事件来判断事件起因

如果 Web 服务器没有打上最新补丁，使攻击者得以远程控制服务器，那么补救措施可包 括执行补丁管理方案

在总结教训阶段，安全人员查验事件发生和响应的整个过程以确定是否要总结经验教训

安全人员在查验事件响应时寻找响应行动中需要改进的方面。例如，如果响应团队耗费 很长时间来遏制事件，则检查时要查明原因

事件响应团队总结了经验教训后，通常要编写一份报告

僵尸网如今已很常见。僵尸网中的计算机就像是机器人（阪称作愧偶，有时也叫僵尸）。

僵尸牧人通常是一个犯罪分子，他通过一台或多台命令和控制(command-and-control, C&C 或 C2)服务器操控僵尸网中的所有计算机

计算机往往会在感染了某种恶意代码或恶意软件之后被拉进僵尸网

拒绝服务(denial-of-service, DoS)：攻击阻止系统处理或响应对资源和对象的合法访问或请求。

DoS 攻击的一种常见形式是向服务器传送大量数据包，致使服务器因不堪处理重负而瘫痪。

分布式拒绝服务(distributed denial-of-service, DDoS)攻击：DoS 攻击的另一种形式。当多个系统同时攻击一个系统时，发生的就是 DDoS 攻击

分布式反射型拒绝服务(distributed reflective denial-of-service, DRDoS)攻击：是 DoS 的一种变体。它将反射方法用于攻击。换旬话说，它并不直接攻击受害者，而是操纵通信流或网络服务，使攻击从其他来源反射回受害者。域名系统(DNS) 中毒攻击（详见第 12 章）、 smurf 攻击和 fraggle 攻击（稍后介绍）就是例子。

SYN 洪水攻击(SYN flood attack)：是一种常见的 DoS 攻击形式。它会中断被传输控制协议(TCP)用来发起通信会话的标准三次握手

在 SYN 洪水攻击中，攻击者发出多个 SYN 包，但又绝不用 ACK 包完成连接，服务器在等待 ACK 包的过程中为每次清求都保留了系统资源。服务器通常最长等待 ACK包 3 分钟，然后才会放弃尝试中的会话 不过管理员可以调整这个时间。

攻击者常常让每个 SYN 包都带一个不同的源地址，以这样的方式假造源地址。这种做法使系统很难通过源 IP 地址来阻止攻击者，攻击者还协调行动，从一个僵尸网同时对一个受害者发难，形成 DDoS 攻击

预防措施

smurf 和 fraggle 攻击都属于 DoS 攻击

Smurf

fraggle

ping 洪水攻击用 ping 请求淹没受害者。当攻击者以 DDoS 攻击形式通过一个僵尸网内的 僵尸发起这种攻击时，攻击会非常奏效

上万个系统同时向一个系统发送 ping 请求，这个系统会在响应这些 ping 请求的过程中不堪重负。受害者将没有时间去响应合法请求

应对这种攻击的一种常用办法是拦截 ICMP 回声请求包

一些旧的攻击手段

零日利用(zero-day exploit)是指利用别人还不知道的漏洞的攻击

当一名恶意用户在进行通信的两个端点之间建立了一个位置，就意味若发生了中间人(man-in-the-middle,MITM)攻击（有时被称作路径攻击）

中间人攻击分两种类型

许多用户经常借助虚拟专用网(VPN)来规避这些攻击

员工蓄意破坏(sabotage)：是指员工对其组织实施破坏的一种犯罪行为

这从另一个重要的角度解释了为什么组织解聘员工时不能拖泥带水，而应尽快在其离职 后禁用该员工账号的访问权。

IDS 通过监测网络通信流和检查日志来主动监视可疑活动。

例如， IDS 可以让传感器或代理监测网络中的路由器和防火墙等重要设施。这些设施都设置了记录活动的日志，传感器可将这些日志条目转发给 IDS 进行分析

基于知识检测

基于行为检测

假阳性还是真阴性

许多 IDS 管理员都要面临一个挑战在允许 IDS 发出大量假警报与确保 IDS 报告真实攻击之间找到平衡点

尽管基于知识的 IDS 和基于行为的 IDS 以不同方式检测事件，但它们都使用警报系统

IDS 检测到一个事件后会触发警报或发出警示

被动响应

主动响应

NIST SP 800-94 建议把所有主动 IDS 都安放在承栽通信流的线路上，让它们发挥 IPS 的作用。

IDS 通常分为基于主机和基于网络两类

基于主机的 IDS

基于网络的 IDS

入侵预防系统(intrusion prevention system, IPS)：是一种特殊类型的主动响应 IDS, 可赶在攻击到达目标系统之前将其检测出来并加以拦截。

NIPS 是安放在承载通信流的内联线路上的，如图 17.4 所示，换句话说，所有通信流都必须从NIPS 经过，而 NIPS 可以选择转发哪些通信流，以及经分析后拦截哪些通信流。

和其他任何 IDS 一样， NIPS 可以使用基于知识检测和I或基于行为检测。此外，它还可 以像 IDS 一样用日志祀录活动并向管理员发出通知

蜜罐(honeypot)：是为充当引诱入侵者或内部人员威胁的陷阱而创建的单个计算机

蜜网(honeynet)：则是两个或多个连接在一起以冒充网络的蜜罐

蜜罐和蜜网可安放在网络上的任何地方，但管理员经常把它们配备在虚拟系统中，因为这样更容易在它们遭受攻击后对其进行重建

管理员常常给蜜罐配上伪缺陷(pseudo-flaw) ，以模拟众所周知的操作系统漏洞

诱惑与诱捕

警示告知用户和入侵者基本的安全方针策略。警示通常指出，任何在线活动都会被审计和监测；警示通常会提醒人们注意受限制的活动。

以某种方式登录系统的未经授权者也会看到警示。对于这种情况，警示就是电子版的 “禁止入内“标志

反恶意软件程序供应商寻找这些变化并开发新的签名文件，以检测新的和经过修改的恶意软件

在每个系统上安装反恶意软件程序的多管齐下方式除了过滤互联网内容以外，还有助于 使系统免受任何来源的感染

用于控制哪些应用程序可以运行以及哪些应用程序不能运行的方法之一是白名单和黑名 单，尽管这两个词正在被弃用

如今，被使用得更普遍的是“允许列表”（用于取代白名单）和“拒绝列表”或“拦截列表”（用于取代黑名单）这些更直观的词

iPhone 和ipad上运行的苹果 iOS 是允许列表的一种极端体现。用户只能安装苹果应用商 店里的应用

如果管理员知道需要阻止哪些应用程序，拒绝列表是一个不错的选择

防火墙属于预防和技术控制。它们力求通过技术手段来防止安全事件发生

以下基本原则可以提供抵御攻击的保护

基本防火墙根据 IP 地址、端口和一些带协议编号的协议过滤通信流。防火墙通常被安放在网络的边界或边缘（互联网与内部网络之间）。这样能使防火墙监视所有进出通信流。

沙箱(sandboxing)：为应用程序提供安全边界，可防止应用程序和其他应用程序交互

沙箱技术可防止该应用程序感染其他应用程序或操作系统

应用程序开发人员常常用虚拟化技术测试应用程序。他们首先创建一个虚拟机，将其与主机和网络隔离开来。

有些组织将安全服务外包给第三方，即本组织以外的个人或组织

一些软件即服务(SaaS)供应商通过云提供安全服务，其中包含各种基于云的解决方案，如下一代防火墙、 UTM 设备以及过滤垃圾邮件和恶意软件的电子邮件网关。

军用模型

洛马七步杀（Cyber KillChain®）框架

MITRE ATT&CK 矩阵：（由 MITRE 创建）是内含已被识别的战术、技术和规程(TTP) 的知识库，可供攻击者在各种攻击中使用。

是网络杀伤链等模型的补充，不同的是，这些战术并不是一组有序的攻击手段。相反， ATT&CK 把 TTP 列在一个矩阵中。

攻击者还在不断修改他们的攻击方法，因此 ATT&CK 矩阵是一个活文档，每年至少更新两次

矩阵包含以下战术：

每种战术都包含攻击者使用的技术手段。例如，侦察战术由多项技术组成。单击其中任何一项技术，你都将进入另一个描述这项技术及其相关抑制和检测技术的页面

在互联网上，馈送(feed)是一种可供用户滚动浏览的稳定内容流。

如新闻报道、天气预报、博客内容等。

威胁馈送(threat feed)：是关于当前和潜在威胁的一种稳定原始数据流

以下是一份威胁情报馈送包含的部分信息

安全专家通过将威胁馈送中的数据与进出互联网的数据进行比较，可以从中识别出潜在的恶意通信流

威胁搜寻(threat hunting)：是指在网络中主动查找网络威胁的过程

威胁搜寻假定攻击者已经潜藏在网络中 即便还没有预防和检测性控制检测到他们并发出警报

许多年前，攻击者往往一进网络就立即造成破坏。现如今，许多攻击者试图尽可能长时 间地留在网络中。例如，高级持续威胁(APT)常常会在网络中潜伏数月而不被发现。

安全日志：安全日志记录对文件、文件夹、打印机等资源的访问，例如，它们可以记录 用户访问、修改或删除文件的时间

系统日志 ：系统日志记录系统事件，例如系统何时启动或关闭，服务何时启动或关闭， 或服务属性何时被修改

应用日志： 这些日志记录有关具体应用程序的信息，例如，数据库开发人员可选择记录任何人访问具体数据对象（如表格或视图）的时间

防火墙日志 ：防火墙日志可以记录与到达防火墙的任何通信流相关的事件，这些日志通常记录关键数据包信息，例如源和目标IP 地址，以及源和目标端口，但不记录数据包的实际内容。

代理日志：代理服务器可以提高用户访问互联网的效率，此外还能控制允许用户访问哪些网站，代理日志具备记录详细信息的能力，比如具体用户访问了哪些网站以及他们在这些网站逗留了多长时间。代理日志还可以记录用户何时试图访问已被禁止访问的站点

变更日志 ：变更日志记录系统的变更请求、批准和实际变更，这是变更管理总流程的一部分，如，灾难发生后，管理员和技术人员可根据变更日志把系统诙复到最后的已知状态，其中包括所有已经实施的变更。

如果攻击者可以篡改日志，他们会抹掉自己的活动，让数据变得毫无价值。

通常的做法是将日志文件复制到一个中央系统（例如一个安全信息和事件管理系统）中保护起来。中央日志服务器

组织往往有严格策略，强制要求备份日 志文件，组织可能会将归档日志文件保留 1 年、 3 年或其他任何长度的时间

日志保护

FIPS 200 《联邦信息和信息系统最低安全要求》为审计数据规定了以下最低安全要求

审计踪迹(audit trail) ：是在将有关事件和事发情况的信息保存到一个或多个数据库或 日志文件中时创建的记录

它们提供系统活动的记录，可重建安全事件发生之前和事件 发展过程中的活动。

审计踪迹允许安全专业人员按正序或倒序检查和跟踪事件

使用审计踪迹是执行检测性安全控制的一种被动形式。它们有点儿像闭路电视监控系 统或保安人员，起着威慑作用

审计踪迹还是用于起诉犯罪分子的必不可少的证据。

可通过监测和检查审计踪迹日志来追究这些用户的责任

法律往往会对监测和问责的实施提出具体要求，其中包括 2002 年的萨班斯－奥克斯利法 案、健康保险流通与责任法案(HIPAA)和许多组织都必须遵守的欧盟隐私法律。

子主题

审计踪迹可使调查人员能在事件发生很久以后重建事件。审计踪迹可记录访问权滥用、 特权违规、未遂入侵和许多不同的攻击类型

一个重要的考虑因素是确保给日志打上准确的时间戳并确保这些时间戳在整个环境中保持一致

一种常见方法是建立一台内部网络时间协议(NTP)服务器，由该服务器与一个可信时间源（如一个公共 NTP 服务器）同步

审计踪迹可就所记录的事件为管理员提供有用的细节。

恶意攻击外，审计踪迹还记录系统故障、操作系统漏洞和软件错误。有些日志文件甚至可以在应用程序或系统崩溃时捕获内存内容

许多组织用一种中央应用程序来自动监测网络上的系统。

其中包括安全信息和事件管理(SIEM) 、安全事件管理(SEM)和安全信息管理(SIM)

SIEM

RFC 5424 syslog 协议：描述了用于发送事件通知消息的 syslog 协议。一台中央 syslog 服务器接收来自网络设备的 syslog 消息，协议规定了应该怎样格式化消息和怎样将它们发送给syslog 服务器，但没有规定应该怎样处理它们

syslog 以往曾被用在 UNIX 和 Linux 系统上

抽样(sampling)也叫数据提取(data extraction) ：是指从庞大数据体中提取特定元素以构建 有意义的概述或摘要的过程

统计抽样利用精确的数学函数从大量数据中提取有意义的信息

抽样始终存在着一个风险一抽样数据可能并不是整体数据的准确体现，但统计抽样可以标明误差范围

统计抽样比非统计抽样更可靠，在数学上更具有说服力

剪切：是一种非统计抽样。它只选择超过剪切级(clipping level) 的事件，而剪切级是预先定 义好的一个事件阙值

在事件达到这个阑值之前，系统忽略事件。

例如，失败的登录尝试在任何系统中都是常事，因为用户很容易输错一两次口令。剪切级不会在每次遇到失败的登录尝试时都发出警报，相反，可设置成：若 30 分钟内检测到 5次失败的登录尝试，便发出警报

剪切级广泛用于审计事件的过程，为常规系统或用户活动创建一条基线。监测系统只在基线被超出时才发出异常事件警报

闭路电视监控系统(CCTV)：可以自动将事件记录到磁带上以供日后查看

击键监测(keystroke monitoring)：是记录用户实体键盘击键动作的行为。这种监 测通常通过技术手段（例如一种硬件设备或一种名为键盘记录器的软件程序）完成

通信流分析(tra:ffic analysis)和趋势分析(trend analysis)：是检查数据包流动而非数据包实际内容的监测形式也叫网流监测(network flowmonitoring) ，可以推断出大最信息，例如主通信路由、备份通信路由、主服务器的位置、加密通信流的来源、网络支待的通信流流量、通信流的典型流向、通信频率等。比如当一名员工的账号向他人发送了大量电子邮件时。这可能表明，该员工的系统已成为被攻击者远程控制的僵尸网的一部分