精华内容
下载资源
问答
  • 2021-04-09 12:00:07

    培训采取现场与视频培训相结合的方式,通过重大信息泄露案件案例警示,网络安全法及个人信息保护规范等法律法规讲解,手机信息及个人隐私安全防护,复杂密码设置技巧及维修电脑注意事项,人脸识别便利背后暗藏的风险等方面,多层次多角度对做好信息安全工作进行了深入浅出的讲解培训。

    国外案例

    1.牙科病历泄露事件:

    根据DataBreaches.net网站报道,暗网黑客组织TheDarkOvrlord(下简称“TDO”)通过三次非法侵入,盗取并公布了18万份患者病历,其中包括3400余份纽约地区牙科美容诊所Aesthetic Dentistry的病历,3.41万份加州的牙科护理诊所OC Gastrocare的病历,以及14.2万分佛罗里达州坦帕湾地区Tampa Bay Surgery Center病历。TDO通过推特账号公布了可供任何人下载病人资料库的网页链接。

    2

    Children health records 儿童病历泄露事件:

    根据黑客Skyscraper4月26日向DataBreaches.net透露,在暗网上有超过50万份儿童病历可供人下载。这些病历包含了儿童及其父母的姓名、社会保险号、电话号码以及住址。DataBreaches.net网站并未点名被黑客攻击的机构名称,但提到另有数所小学系统被黑客攻击,超过20万份学生档案被泄露。而卫生部民权办公室接到儿科医生上报被盗的病历数量与所报道数量并不一致。这意味着许多医务人员还未觉察病历信息已被泄露。

    3

    华盛顿大学医学院泄露事件:

    一位华盛顿大学医学院员工于12月2日遭到钓鱼攻击,8万余份病历可能遭到泄露。而医学院表示,官方是在攻击七周后,即1月24日才获悉此信息。据此员工回应,当时他回复了伪装成合法请求的钓鱼邮件,导致未经授权的黑客获取入侵其邮箱账户的权限。这些邮箱账户中包含了相关患者信息。

    4

    血液肿瘤中心泄露事件:

    2016年8月,密歇根Singh and Arora血液肿瘤中心遭到黑客攻击。该中心随后在2月通知了2.2万名患者,其信息可能会遭到泄露。根据当地ABC12电台报道,黑客入侵了包含2016年2-7月数据的服务器,可能遭泄露的数据包括患者姓名、社保号、家庭住址、电话号码、出生日期、CPT代码和保险信息等。

    5

    圣何塞医疗集团泄漏事件:

    作为加利佛尼亚Verity医疗系统的成员,Verity医疗基金-圣何塞医疗集团的网站遭受黑客攻击,1万余名病人可能遭到泄露。Verity集团在加州运营有6家综合医院、Verity医疗基金及Verity医生网络。2016年,一名未经授权的用户通过集团网站入侵,直到2017年1月6号才被发现。

    6

    小红门癌症服务中心泄露事件:

    1月11日,印第安纳州小红门癌症服务中心的服务器和备份硬盘被非法侵入,其数据被解密并被黑客组织TDO勒索绑架,要求缴纳50比特币(约合4.3万美元)赎金。据中心官方称,TDO先给机构高层的手机发送短信,后寄送了一封正式信函和几封邮件,恐吓会联系癌症患者、捐助方及其社区合作伙伴。

    0x00 前言
       当前信息技术持续高速发展的大背景下,互联网对全球政治、经济、社会和文化的影响愈发深远,保障信息安全成为世界范围的重要议题。纵观历史,细想驱动安全发展的几点因素:

    1、信息风险隐患驱动信息安全发展:科技脆弱性、缺乏安全管理、不规范的配置等;

    2、企业安全事件频发聚焦社会关注:内鬼勾结外泄、离职员工泄露、黑客攻击资历被盗等

    3、政策法律驱动网络安全行业发展:国家网络安全法、国家等级保护、GDPR等;

    4、IT 技术革新为安全行业注入动力:AI人工智能、大数据分析、威胁情报、物联网、区块链等;

    原图链接:https://github.com/ym2011/SecurityMind/tree/master/企业安全威胁

    0x02 企业数据泄漏事件频发
    1、国内主要安全事件概述:
    2017年3月,京东内鬼泄露50亿条公民信息

    2017年4月,一千万条优酷用户账户信息在暗网出售

    2017年3月,58同城曝重大个人信息泄密 :700元可看所有人简历

    2018年8月,5亿条华住旗下酒店开房数据泄露,37万元在暗网售卖

    2018年8月,今日头条前员工离职后面复活旧账号非法牟利两百万

    2018年8月,温州乐清滴滴顺风车命案引发对私隐的警醒

    2、国际主要安全事件概述:
    顶级防务公司BoozAllen amilton 泄露了60000 份文件,包括员工的安全凭证和美国政府系统中的密码

    美国电信巨头Verizon先后发生两起数据泄漏事件

    投票选举公司的软件系统(ES& S)泄漏180万芝加哥选民的个人信息

    华尔街日报的母公司道琼斯 泄露了220万客户的个人资料

    2017年10月,埃森哲被曝出数据泄漏问题,137GB的数据,40000个密码

    2017年9月,安全咨询德勤被黑,244000万员工与客户之间的往来邮件

    2017年9月,美国征信机构Equifax泄露事件泄漏了1.45 亿美国公民个人敏感信息

    2018年6月28日,阿迪达斯美国网站窃取数百万客户的数据

    2018年6月13日,AcFun泄露数千万条用户信息, GitHub已公布数据和密码

    2018年9月11日,英国航空十几万条数据被盗,38万笔订单受影响

    0x03 信息风险隐患驱动信息安全发展
    1、勒索软件席卷全球
    2017年5年12日, Wannacry蠕虫勒索软件席卷全球(MS17-010漏洞修复补丁)

    2017年6月27日,NotPetya勒索病毒乌袭击克兰等多国的政府、银行等重要系统

    2018年8月21日,GlobeImposter 勒索攻击,高价值业务文件被加密

    2017年6月,比亚迪工控系统中勒索病毒

    2018年8月3日,台积电电脑病毒感染事件影响预估损失78亿元

    2018年9月11日, 删库跑路加勒索,Redis勒索事件爆发

    2、重大安全漏洞
    2018年3月,WannaMine  再升级 摇身一变成为军火商

    2018年3月8日,微软语音助手小娜被指易被黑客操控

    2018年7月24日,微信支付 Java SDK XXE 漏洞

    2018年7月18日,WebLogic 多个远程代码执行漏洞

    2018年8月23日,Struts2 S2-057 远程代码执行漏洞安全预警通告

    0x04、IT 技术革新为安全行业注入动力
           据Gartner预测,到2020年,基于深度学习的智能机器将进行10%的渗透测试,而在2016年这一比例为0%。另一方面,也有人提出警告:AI可能可以助于保护网络安全,但绝非银弹。如果机器学习如果能够学会检测恶意程序,那么它也可以被黑客用来躲避检测。其次AI在面对攻击时的表现依旧不稳定,在数据处理上的部分阶段也还有很多人工依赖。
    ————————————————
    版权声明:本文为CSDN博主「煜铭2011」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/qq_29277155/article/details/82711700

    更多相关内容
  • 1某大学信息安全案例 5访问权限难以控制 互联网上充斥了许多...数据的丢失损坏和泄露给学校带来不可估量 的损失 案例简介 精选文档 * 1某大学信息安全案例 7异常网络事件的审计和追查 当异常网络事件发生后如何尽快的
  • 信息安全案例

    2012-08-25 16:14:13
    该文档收集了近几年来的信息安全案例,可作为信息安全培训之用。
  • (案例)信息安全风险评估报告&风险处理计划.pdf
  • 2016年下半年信息安全工程师案例分析真题试题与答案
  • 在传输过程中能够保值信息的保密性、完整性、、不可否认性,设计了一个安全通信模型: 流程图如下: 解析: M:指Message代表数据; H:指对Message进行的Hash摘要算法; H(M):指生成的摘要; .

    恶意代码具有如下共同特征:

    ①恶意的目的;

    ②本身是计算机程序;

    ③通过执行发生作用。


    完整性验证:通过对明文M生成摘要信息,然后加密摘要信息附到明文后发送给对方,对方收到后将明文M运用同样的hash函数生成摘要信息,与解密得到的摘要信息对比,可以实现完整的验证。

    在传输过程中能够保值信息的保密性、完整性、、不可否认性,设计了一个安全通信模型:

    流程图如下:

     

    解析:

    M:指Message代表数据;

    H:指对Message进行的Hash摘要算法;

    H(M):指生成的摘要;

    E:加密;

    SKA:使用私钥加密(非对称加密密钥);

    K:对称加密密钥;

    PKA:使用公钥解密(非对称加密密钥)。


    Linux系统将用户名存在/etc/passwd文件中,将口令保存在/etc/shadow中。

    /etc/passwd权限:rw-r--r--

    /etc/shadow权限:r--------

    Linux系统的用户名文件包含如下内容:

    root:x:0:0:root:root:/bin/bash
    bin:x:1:1:bin:/bin:/sbin/nologin
    hujw:x:500:500:hujianwei:/home/hujw:/bin/bash

    用冒号分割:

    第一列:root、bin、hujw:代表用户名;

    第二列:x:代表对应的帐号的口令都放到了/etc/shadow这个文件中;

    第三列:0、1、500:代表用户标识号(userId),取值范围是0~65536,0代表超级用户,1~499代表管理帐号、500以上代表是普通用户;

    第四列:0、1、500:代表组标识号(groupId);

    第五列:root、bin、huijianwei:代表注释说明,记录用户的属性,如名称,电话地址等等;

    第六列:root、/bin、/home/hujw:代表用户家目录,当用户登录就会出现在这个用户中;

    第七列:/bin/bash、/sbin/nologin、/bin/bash:代表用户的shell;


    心跳包格式如下:

    心跳包类型(1字节)心跳包数据长度(2字节)数据/负载

    如下代码:

    p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字

    void process_heartbeat(unsigned char *p, SOCKET s){
    
        unsigned short hbtype;
        unsigned int payload;
        hbtype = *p++;				//心跳包数据类型
        n2s(p, payload);			//心跳包数据长度
        pl = p;
        if(hbyte == HB_REQUEST){
        	
            unsigned char *buffer, *bp;
            buffer = malloc(1 + 2 + payload);
            bp = buffer;			//bp指向刚分配的内存
            *bp++ = HB_RESPONSE;	//填充1byte的心跳类型
            s2n(payload, bp);		//填充2byte的数据长度
            memcpy(bp, pl, payload);
            /*将构造好的心跳响应包通过socket s返回客户端*/
            r = write_byte(s, buffer, 3 + payload);
        }
    }

    代码想实现的功能:

    获得了心跳包后,将类型,长度,和数据分别获取后,构造一个响应包,其中长度和数据不变,将请求中的数据原封不动的回过去。

    但是有个问题,如果数据长度是65535,而真实的数据中就只有HelloWorld,这样会有其他6万个字节的莫名其妙的数据,这些数据可能会带有tcp缓存区其他数据包的数据。

    存在的漏洞:

    HeartBleed漏洞。由于没有对实际数据载荷长度进行检测,导致攻击者可读出内存中其他重要数据内容

    模糊测试:介于手动测试和自动化测试之间的一种测试方式,通过测试工具,随机或半随机生成大量的数据,将这些数据发送给要测试的系统,然后测试工具检测被测系统的状态(能否相应,或者响应结果是否正确)分析出是否存在安全漏洞。

    模糊测试属于黑盒测试,模糊测试是自动化的动态的漏洞挖掘技术,不存在误报。

    通过模糊测试可以测试出上述代码存在安全漏洞。

    通过测试发送请求数据包大小、内容、响应数据包大小、内容,进行比较分析,可以发现上述代码存在漏洞。


    IDS(入侵检测系统):网络安全状态的监管,属于被动防护;

    IPS(入侵防护系统):对入侵行为的控制,属于主动防护;

    入侵检测是动态安全模型P2DR的重要组成部分,P2DR模型的4个主要组成部分:Protection保护、Response响应、Detection检测、Policy策略;

    如果通过抓包可以看到,大量的主机与我们的服务发送SYN数据包,如seq=0、win=512、len=0,这个异常的数据包。这就是拒绝服务攻击(DDOS),具体名称为SYN flood。

    异常检测:入侵者的活动异常于正常的主体活动。

    误用检测:通过攻击行为的特征库,采用特征匹配的方式,确定攻击事件。误报率低,检测快,但不能发现特征库中没有的攻击行为。

    snort是一款开源的网络入侵检测系统,他能实时流量分析和IP协议网络数据包记录。

    snort的三种工作模式:嗅探器模式、包记录模式、网络入侵检测模式。

    展开全文
  • 最新最全信息安全工程师历年真题(含综合知识、案例分析)试题和答案解析
  • 常见信息安全威胁与经典案例

    万次阅读 多人点赞 2020-04-15 18:35:05
    文章目录震网病毒威胁发展历程安全威胁分类网络安全威胁应用安全威胁数据传输与终端安全威胁 震网病毒 威胁发展历程 安全威胁分类 网络安全威胁 应用安全威胁 数据传输与终端安全威胁 ...

    信息及信息系统由于具备脆弱性、敏感性、机密性、可传播等多种特性,其遭受到的威胁也可以来自各种场景和手段。

    信息安全威胁现状

    目前由于互联网越来越发达,信息的重要程度越来越高,信息安全的事件也层出不穷,如:

    1. 2017年5 月 12 日晚8 时左右,WannaCry勒索软件全球爆发,存在漏洞的电脑开机上网就可被攻击
    2. 2017年国内多款软件在升级更新时,遭遇网络流量劫持攻击,用户以为在升级,实际却把病毒安装到电脑上
    3. 电信网络诈骗案件 90% 以上是违法分子靠掌握公民详细信息进行的精准诈骗
    4. 2018年2月,人气网游《最终幻想XIV》遭遇持续长达3小时的DDoS攻击
    5. 2016年11月10日,俄罗斯五家主流大型银行遭遇长达两天的DDoS攻

    网络战争的开端:“震网”病毒

    震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒。
    作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。

    震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。
    “震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。
    据全球最大网络保安公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%), 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。
    由于“震网”感染的重灾区集中在伊朗境内。美国和以色列因此被怀疑是“震网”的发明人。
    这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。(在当时工控电脑的信息安全还未被注意到)

    发现历史:

    1. 2010年6月,“震网”病毒首次被发现,它被称为有史以来最复杂的网络武器,因为它悄然袭击伊朗核设施的手法极其阴险。
    2. 2010年9月,瑞星公司监测到这个席卷全球工业界的病毒已经入侵中国。瑞星反病毒专家警告说,我国许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。
    3. 2010年12月15日,一位德国计算机高级顾问表示,“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软件2010年一再以伊朗核设施为目标,通过渗透进“视窗”(Windows)操作系统,并对其进行重新编程而造成破坏。
    4. 2011年1月26日,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。
    5. 2011年2月,伊朗突然宣布暂时卸载首座核电站。此前业界表示伊朗只需一年就能拥有快速制造核武器的能力。而在遭受“震网”病毒攻击后,1/5的离心机报废。导致此项研究至少延迟两年。
    6. 2012年6月1日的美国《纽约时报》报道,揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。2008年,奥巴马上任后下令加速该计划。
    7. 2013年3月,中国解放军报报道,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。 这种病毒可能是新时期电子战争中的一种武器。震网病毒,截止2011年,感染了全球超过45000个网络,60%的个人电脑感染了这种病毒。

    在这里插入图片描述

    信息安全攻击事件的演变

    1. 攻击方式变化小

      攻击的方式仍然是我们所能看到的病毒、漏洞、钓鱼等,看起来似乎形式并无太大变化
      
    2. 攻击的手段由单一变得复杂

      一次重大攻击往往需要精密的部署,长期的潜伏,以及多种攻击手段相结合以达到最终目的
      
    3. 攻击目的多样化

      攻击的目标从个人电脑攻击到经济、政治、战争、能源,甚至影响着世界格局
      

    安全威胁分类

    • 网络安全威胁

       1. DDoS攻击
       2. 网络入侵等
      
    • 应用安全威胁

       1. 操作系统漏洞
       2. 2. 病毒、木马、蠕虫
       3. 钓鱼网站
       4. 数据泄露等
      
    • 数据传输与终端安全威胁

        1. 通信流量挟持
        2. 中间人攻击
        3. 未授权身份人员登录系统
        4. 无线网络安全薄弱等
      

    网络安全威胁

    案例

    美国Dyn DNS服务遭受DDoS攻击

    Dyn是DNS SaaS提供商,其核心业务就是为其用户管理托管DNS服务。DDoS攻击严重影响其DNS业务,导致客户网站无法访问。因其服务众多公司,造成的损害如星火燎原一般,影响极其恶劣。导致近半个美国陷入断网,涉及超过百家网站出现无法访问的情况,严重断网长达3小时,仅亚马逊一家损失就已达千万美元以上。

    攻击的“肉鸡”主要是网络摄像机、数字硬盘录像机和智能路由器 (主要由物联网设备组成)。Mirai僵尸网络感染设备上百万 ,而在此次攻击中仅十分之一设备参与。
    目前,互联网中存在着大量的僵尸主机和僵尸网络,在商业利益的驱使下,DDoS攻击已经成为互联网面临的重要安全威胁。

    为什么使用物联网设备发动攻击?

    1. 物联网设备一般没有密码或者密码简单,容易暴力破解
    2. 目前物联网设备数量众多,数量大概在几十亿上百亿的水平,对攻击者来说是非常好的资源
    3. 物联网设备难以检测是否被入侵

    Mirai病毒发动攻击过程(DDos攻击过程)

    在这里插入图片描述

    • 寻找肉鸡:物联网设备通常默认开启telnet远程登录功能,方便管理员进行远程管理。攻击者可以通过IP地址扫描来发现存活的物联网设备,通过端口扫描来进一步判断物联网设备是否开启telnet服务。

    • 组建僵尸网络:部分物联网设备使用者,会直接使用出厂密码,或者设置简单的密码(类似admin/123456的简单用户名/密码组合),这些密码很容易被攻击者暴力破解。当攻击者成功破解物联网设备的密码,并通过telnet登录成功后,接着在物联网设备上进行远程植入恶意软件Mirai,从而获得设备的绝对控制权。

      • 恶意软件对感染的设备拥有绝对控制权,除了利用设备发起DDoS攻击以外,还能够对设备本身的系统、业务、数据造成严重危害,比如能够篡改数据、窃取隐私、修改配置、删除文件等,并可能以此为跳板攻击核心业务系统。
    • 加载攻击模块:攻击者在物联网设备上加载DNS DDoS攻击模块。

    • 发起攻击:攻击者通过僵尸网络向美国Dyn DNS服务发起DDoS攻击,导致上百家网站出现无法访问的情况。

    扫描

    扫描是一种潜在的攻击行为,本身并不具有直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。

    扫描可以分为地址扫描和端口扫描:

    • 地址扫描

      攻击者运用ICMP报文探测目标地址,或者使用TCP/UDP报文对一定地址发起连接,通过判断是否有应答报文,以确定哪些目标系统确实存活着并且连接在目标网络上。(如ping目的主机,若是能ping通则说明改目的地址主机存活在目标网络上)

    • 端口扫描
      攻击者通过对端口进行扫描探寻被攻击对象目前开放的端口,以确定攻击方式。在端口扫描攻击中,攻击者通常使用Port Scan攻击软件,发起一系列TCP/UDP连接,根据应答报文判断主机是否使用这些端口提供服务。

    获取控制权限
    1. 攻击者可以通过密码暴力破解方式来获取控制权限

    2. 也可以通过各种欺骗攻击来获取访问和控制权限,如IP欺骗攻击:

      攻击者通过向目标主机发送源IP地址伪造的报文,欺骗目标主机,从而获取更高的访问和控制权限。

    IP欺骗是利用了主机之间的正常信任关系来发动的。基于IP地址的信任关系的主机之间将允许以IP地址为基础的验证,允许或者拒绝以IP地址为基础的存取服务。信任主机之间无需输入口令验证就可以直接登录。

    lP欺骗攻击的整个步骤:

    1. 首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰(若是想要获取B的权限,则需要先攻瘫B信任的主机A,如下图)
    2. 然后连接到目标主机的某个端口来猜测序列号和增加规律
    3. 接下来把源地址伪装成被信任主机,发送带有SYN标志的数据段请求连接
    4. 然后等待目标机发送SYN+ACK包给已经瘫痪的主机
    5. 最后再次伪装成被信任主机向目标机发送的ACK,此时发送的数据段带有预测的目标机的序列号+1
    6. 连接建立,发送命令请求

    在这里插入图片描述

    发起DDoS攻击

    在这里插入图片描述

    DDos(Distributed Denial of Service)即分布式拒绝服务攻击,是典型的流量型攻击。

    DDoS攻击是指攻击者通过各种手段,取得了网络上大量在线主机的控制权限。这些被控制的主机称为僵尸主机,攻击者和僵尸主机构成的网络称为僵尸网络。当被攻击目标确定后,攻击者控制僵尸主机向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。

    根据采用的攻击报文类型的不同,网络中目前存在多种DDoS攻击类型,主要有以下这几种常见的DDoS攻击:SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood等。

    DDoS的目的:
    - 耗尽网络带宽
    - 耗尽服务器资源
    - 使得服务器无法正常提供服务(瘫痪)

    网络类攻击的防御手段

    部署专业的防护设备:

    • 防火墙:通过在大中型企业、数据中心等网络的内网出口处部署防火墙,可以防范各种常见的DDoS攻击,而且还可以对传统单包攻击进行有效地防范。

    • AntiDDoS设备:Anti-DDoS解决方案,面向运营商、企业、数据中心、门户网站、在线游戏、在线视频、DNS域名服务等提供专业DDoS攻击防护。

    应用安全威胁

    案例

    微博网站曾遭遇到一次蠕虫攻击侵袭,在不到一个小时的时间,超过3万用户受到该蠕虫的攻击。攻击过程如下:
    在这里插入图片描述

    漏洞

    漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。

    漏洞带来的威胁:

    • 注入攻击(如SQL注入攻击)
    • 跨站脚本攻击(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)
    • 恶意代码传播
    • 数据泄露

    常见攻击手段

    钓鱼攻击

    “钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。

    钓鱼网站的设计通常有两种方式:

    1. 第一种以“中奖”等名义为诱饵,诱骗用户填写身份证号码、银行帐户等信息;
    2. 第二种模仿银行在线支付、电子交易网站,骗取用户的银行卡信息或者在线支付账号密码。

    整个过程如同钓鱼一般,这样的恶意网站也就被称作“钓鱼网站”。这样的钓鱼手法技术含量并不高,或者利用人们贪图便宜的心理上当受骗,或者利用部分网民防范欺诈意识的薄弱。人们一旦上当,或者个人隐私信息泄露并被贩卖,或者因为在网站上填写了银行账号信息,相应的资产会被立刻转走,追悔莫及。

    恶意代码

    病毒

    攻击者利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,能够破坏计算机系统,纂改、损坏业务数据。(简单的来说就是依附于其他程序的恶意代码)

    特点:

    • 需要宿主程序

    木马

    伪装成系统程序的恶意代码。通过一段特定的程序(木马程序)来控制另一台计算机。

    特点:

    • 很难发现,很难杀死。最好的方法就是重装系统
    • 目的:获得目的主机的控制权限
    • 木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客不仅可以窃取计算机上的重要信息,还可以对内网计算机破坏。

    蠕虫

    一种能够利用系统漏洞通过网络进行自我传播的恶意程序.

    特点:

    • 利用网络能够进行自我复制和自我传播,传染途径是通过网络和电子邮件。
    • 主要危害:消耗主机资源,甚至破坏主机系统,造成主机拒绝服务;蠕虫传播造成的流量导致网络拥塞,甚至导致整个互联网瘫痪、失控。(威胁很大,大到能破坏一个国家的网络如:永恒之蓝Wanna Cry)

    后门

    指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。

    特点:

    • 一般在系统前期搭建或者维护的时候后门程序被安装
    • 主要目的:窃取信息

    间谍软件

    一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件,搜集、使用、并散播企业员工的敏感信息,严重干扰企业的正常业务的恶意软件

    特点:

    • 伪装成终端信任的文件
    • 悄无声息的安装在你的终端设备上

    应用类攻击防御手段

    • 定期修复漏洞

       1. 漏洞扫描
       2. 安装补丁
      
    • 提高安全意识

        1. 对可疑网站、链接保持警觉
      
    • 专业设备防护

        1. 防火墙(防火墙作为边界设备,可对用户的上网行为、网页及邮件病毒、非法应用程序等进行阻断,从而达到保护内网的作用)
        2. WAF(Web Application Firewall,Web应用防火墙。它是通过执行一系列针对HTTP/HTTPS的安全策略专门为Web应用提供保护的一款防护设备)
        3. 杀毒软件
      

    数据传输与终端安全威胁

    案例

    用户通信遭监听

    美国国家安全局(NSA)在云端监听Google(包括Gmail)和Yahoo用户的加密通信。NSA利用谷歌前端服务器做加解密的特点,绕过该设备,直接监听后端明文数据。

    Tumblr用户信息遭泄露

    轻博客网站Tumblr上超过半数的账号密码被黑客盗取。
    黑客首先通过一定的方式侵入了Tumblr的服务器,获取了Tumblr用户信息。Tumblr曾发声因数据库信息加密,对用户不会造成影响。然而事实证明用户信息采用了较弱的算法,黑客获取到该加密的用户信息后,在较短时间内便破解了大量的用户信息。

    通信过程中的主要威胁

    1. 传输安全隐患

       1. 中间人攻击
       2. 数据传输未加密或加密程度不够
      
    2. 终端安全隐患

       1. 服务器存在漏洞
       2. 用户使用弱密码
       3. 用户身份未经验证
      

    中间人攻击

    中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。中间人攻击主要的威胁是信息篡改和信息窃取
    在这里插入图片描述

    主要防御手段

    1. 数字签名
    2. 信息存储必须加密
    3. 信息传输必须加密
    4. 采用强加密算法
    5. 安装正版杀毒软件
    6. 采用高强度密码
    7. 降低多密码之间的关联性
    展开全文
  • 2012年见诸媒体的信息泄密事件超过30起,而这仅是冰山一角,事件本身带来的损失、对行业及社会的负面影响等均让人不安加揪心。
  • 由于报告本身描述众多,中科信安选取了其中最后的部分——年度信息安全事件,进行解读、汇总,以供各位读者参考。 Verizon报告的事件来源:Verizon研究咨询中心(VTRAC)、合作伙伴、其它组织、互联网公开披露的事件...

    2008年以来,Verizon(中文“威瑞森”)作为美国最大的无线通信服务供应商,每年都会如期推出数据泄露调查报告,由于其业务广泛(在全球45个国家经营电信及无线业务),对数据泄露事件的分析较为深入,可以说每年的《数据泄露调查报告》都颇具参考意义,当之无愧成为数据安全从业者必读的报告之一。由于报告本身描述众多,中科信安选取了其中最后的部分——年度信息安全事件,进行解读、汇总,以供各位读者参考。
    Verizon报告的事件来源:Verizon研究咨询中心(VTRAC)、合作伙伴、其它组织、互联网公开披露的事件等。
    2019年重大信息安全事件解读,网络信息安全值得重视(上)

    一月重大信息安全事件:黑客冒充跨国集团总部首席执行官
    1月10日下午,北京时间,《印度经济时报》报道称,意大利工程集团Tecnimont Spa最近警告称,该公司被来自中国的黑客欺诈了13亿卢比(约合1845万美元),这些黑客甚至在欺诈活动中担任意大利工程公司的首席执行官。
    警方称,这名黑客利用一个与Tecnimont首席执行官相似的账户向该公司的印度同行发送了一封电子邮件,称他将组织一次电话会议,讨论在中国进行的“秘密”收购。
    然后,黑客说服印度首席执行官将收购资金从印度转移到香港的银行,分为三批。
    黑客们表示,由于监管原因,这些资金无法从意大利转移。
    在电话会议上,黑客组织中的许多人假装是Tecnimont的CEO和其他高管,以及来自瑞士的高级律师。
    Tecnimont已经对欺诈行为展开了法医调查,并与法律和信息安全公司进行了接触。Tecnimont并未将该事件视为“信息安全事件”,而是将其视为“欺诈事件”,但拒绝进一步评论。该公司已经解雇了其印度首席执行官,以及首席会计师和财务官。
    2019年重大信息安全事件解读,网络信息安全值得重视(上)

    二月重大信息安全事件:黑客试图从马耳他的瓦莱塔银行窃取1300万欧元
    2月13日,马耳他时报报道,瓦莱塔银行是历史最悠久的金融服务提供商,也是该国最大的金融服务提供商之一,在发生网络安全漏洞后关闭了所有业务。
    黑客设法闯入银行的系统,并向外国账户转移了1300万欧元。
    该银行的所有功能,包括ATM,分支机构,手机银行甚至其电子邮件服务都被暂停,而其网站则脱机。
    黑客攻击发生后,该国总理表示欺诈交易已被追查并正在被撤销。与此同时,该银行向客户保证,他们的账户不会受到损害。
    瓦莱塔银行是马耳他最古老的银行,也是最大的银行之一。马耳他政府官员周三密切关注该银行的业务,因为黑客破坏了小岛的经济,迫使大量公民和游客只进行现金交易。政府也是BOV的客户之一,其服务用于支付社会保障金。
    2019年重大信息安全事件解读,网络信息安全值得重视(上)

    三月重大信息安全事件:全球最大的铝制巨头造商挪威海德鲁,因勒索软件攻击而关门
    据外媒报道,全球最大铝生产商之一挪威海德鲁 ( Norsk Hydro ) 公司于3月 19 号遭到一款新型勒索软件 LockerGoga 攻击,企业 IT 系统遭到破环,被迫临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为 " 可以使用的 " 手动运营模式,以继续执行某些运营。
    安全专家Kevin Beaumont本月早些时候表示,该恶意软件上个月也曾用于法国巴黎咨询公司Altran。他表示,恶意软件不像其他勒索软件那样需要网络连接或命令和控制服务器。与恶意软件分析站点共享的勒索软件样本VirusTotal显示,只有少数反恶意软件产品可以检测并中和LockerGoga恶意软件。
    2019年重大信息安全事件解读,网络信息安全值得重视(上)

    四月重大信息安全事件:印度IT外包巨头Wipro IT系统遭入侵
    4月18日,FREEBUF报道,印度IT外包巨头Wipro 的IT系统遭到入侵,并被用于对其客户发动攻击。Wipro是印度第三大IT外包公司,匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。它的客户跟踪到了可疑的恶意网络侦查活动,攻击者被发现来自于 Wipro的网络。Wipro 的一家客户已经取消了与该公司的合同,但不清楚是否与网络入侵有关。Wipro 则发表声明声称其网络系统有多重安全保障,并已针对该次攻击事件进行调查。
    2019年重大信息安全事件解读,网络信息安全值得重视(上)

    五月重大信息安全事件:勒索软件凶猛:“罗宾汉”打瘫美国市政府
    美国海港城市、巴尔的摩市政府陷入瘫痪已经整整一个月。从5月7日开始,市政府的大约1万台电脑被病毒入侵,重要文件系统被加密锁定,所有政府雇员无法登陆电子邮件系统,房地产交易无法完成,甚至连工资都没办法发放。
    而这一切的根源,在于一个名为“Robbin Hood”的勒索软件病毒,Robbin Hood的中文译名,是“罗宾汉”。这个“侠盗”病毒,让巴尔的摩市政府的网络陷入瘫痪,攻击者索要13个比特币才肯交出密钥。巴尔的摩市政府估计,要想把被破坏的系统重新运行起来,需要至少10万美元的费用、以及大约几个月的时间。这么算来,13个比特币也大约价值10万美元,交出赎金似乎是个不错的主意。
    市政官员表示他们无意支付这部分赎金,因为“只要妥协过一次,无疑会鼓励别有用心者在未来发起更多类似的攻击。只是在此期间,巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行”。
    巴尔的摩市的技术力量,并不足以应对如此规模的电脑病毒攻击。
    在几天前的新闻稿中,巴尔的摩市市长 Bernard Young 指出,“我们已经将操作转换到了手动模式,并会通过其它方案来继续向公众提供服务。在恢复的过程中,我们还与 FBI 合作展开了调查,不过具体的细节还无法公开。”
    从公开信息来看,巴尔的摩市政府的重要系统,并未像国内的同类重要系统一样:与互联网物理隔绝,实行严格的安全等级保护,以及对重要系统和数据进行备份。
    2019年重大信息安全事件解读,网络信息安全值得重视(上)

    六月重大信息安全事件:这个最危险的黑客组织正在探测电网
    外媒报道,XENOTIME黑客组织将目标从石油和天然气扩大到电力公用事业领域,该组织以在安全仪表系统(SIS)中破坏性强而闻名。著名恶意软件TRITON就是由XENOTIME黑客组织使用,会造成设备物理破坏并停止运营。
    2017年 Trisis/Triton 恶意软件攻击的幕后威胁者 Xenotime 目前除了攻击石油和天然气组织机构以外,还在攻击位于美国和亚太地区的电力设施。
    Xenotime 至少活跃于2014年,但直到2017年攻击沙特阿拉伯的一家石油和和天然气工厂之时才为人所知。该组织使用名为 Trisis、Triton 或 HatMan 的恶意软件利用一个0day 漏洞攻击施耐德电气公司的安全联锁系统(SIS)。该攻击是在 SIS 触发某些工业系统关闭之后被发现的,专家认为这是黑客不慎造成的后果。
    Xenotime 最初仅攻击位于中东地区的石油和天然气行业,不过2018年5月,Dragos 机构指出,黑客开始攻击全球范围内的组织机构以及除了 Triconex 以外的安全系统。
    2019年重大信息安全事件解读,网络信息安全值得重视(上)

    纵观2020年度 Verizon 数据泄露报告,我们可以看到,在众多行业数据泄漏统计排名中,政府行业数据泄露排名超过医疗、金融行业,首次登居榜首。而往年排名第一的医疗行业虽已退居第二,金融行业虽继续排名第三,其形势依然严峻、不容忽视。
    其中政府行业数据泄漏日益增长的根本原因在于网络间谍和国家活动的活跃程度不断增强。

    展开全文
  • 有关信息安全的三个案例

    千次阅读 2022-03-25 15:28:05
    随着事件的升温,随后确定受到美国国安局信息监视项目“棱镜”监控的主要有10类信息:电子邮件、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节都
  • 机密性:维护对信息访问和公开经授权的限制,包括保护个人隐私和私有信息; 完整性:防止信息不适当的修改和毁坏,包括保证信息的不可抵赖和真实性; 可用性:保证信息及时且可靠的访问和使用; “不适用”只针对...
  • 作为某部门的防守队员的他进行了一次次的事件分析,从中分析过来的异常数据信息。 内容 某攻击事件 攻击时间:2021年 l攻击IP:2.1.4.1 l常用攻击手法:暴力破解、Fastjson反序列化漏洞攻击、致远OA漏洞攻击、...
  • 这里蚁坊软件有挑选了2020年上半年热议度高的教育舆情热点和新闻舆情热点事件,并汇总成了一份2020年上半年教育舆情新闻热点事件案例分析报告合集,供各位参考。 2020年上半年教育舆情热点案例分析报告合集 教育热点...
  • 网络安全事件收集,分析

    千次阅读 2022-04-20 20:00:59
    IT的安全问题,目前已经得到了ISO/IEC 27000信息安全管理标准的解决。针对OT的安全性,目前已经出现了ISA/IEC 62443标准。 CIM(计算机集成制造) level 4 主要负责生产规划,战略规划,公司管理 level 3主要负责优化...
  • 2011年原卫生部发布关于全面开展卫生行业信息安全等级保护工作的通知,要求重要的卫生信息安全等级保护原则上不低于三级的,其中和医院有关系的是三级甲等医院的核心业务系统,要求2015年12月30号之前完成所有的整改...
  • 保密性:确保信息只被合法的用户访问,不泄露给非授权用户; 完整性:所有的资源只能有授权的用户修改; 可用性:资源在适当的方式可以由他的授权方进行访问。 为了保证密钥的安全,密钥管理包括哪些技术? ...
  • 什么是网络与信息安全;面临的挑战-技术的发展;面临的挑战-威胁的变化;国内外重大安全事件综述;中国移动重大安全事件分析-外部入侵事件1;中国移动重大安全事件分析-外部入侵事件2;中国移动重大安全事件分析-内部人员...
  • 2019年十大物联网安全事件

    千次阅读 2022-03-29 10:54:11
    未来很长一段时间,物联网安全威胁都将是最大的安全威胁之一,物联网安全支出在信息安全整体市场的占比也将快速提升,根据赛迪顾问《2019中国网络安全发展白皮书》,2018年中国物联网安全市场规模达到88.2 亿,增速...
  • 网络工程师--网络安全与应用案例分析
  • 网络信息安全的保护 案例分析

    千次阅读 2012-12-21 10:57:16
    网络信息安全的保护 案例分析 大纲: 一、概述 1、网络信息安全的定义 ...文章下载:网络信息安全案例分析.pdf(1.29 MB) 原文地址:http://www.csna.cn/network-analyst-49811-1-1.html 还有...
  • 【金融安全头条】Clutch云安全调查:70%的上云企业愿把数据储存在云,而非传统环境中。 概要:Clutch云安全调查:70%的上云企业愿把数据储存在云,而非传统环境中。64%的企业愿意在数据加密上增加投资;超过50%...
  • 工程伦理案例分析

    万次阅读 多人点赞 2021-11-29 20:59:59
    工程伦理案例分析--课后作业
  • 这篇文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对...
  • 【软考信息系统项目管理师视频课程动态更新,付费学员可随时免费学习新内容,配套资料免费赠送,直至通过考试】 本课程紧跟信息系统项目管理师新考试大纲,按照新官方教程全新录制,对案例分析知识考点做了详细讲解...
  • 与每年一样,2021年也发生了影响许多组织的其他大数据泄露和安全事件。 根据身份盗窃资源中心(ITRC)的数据,截至9月30日,其公开报告了 1,291起违规事件。这一数字已经比2020年全年披露的1,108起违规事件高出...
  • 2021年全球十大数据安全事件

    千次阅读 2022-01-07 23:35:55
    据数据统计,共有近2.2亿人受到以下十大数据安全事件的影响,其中三起泄密事件发生在科技公司,四起涉及敏感记录的泄露。 1、OneMoreLead 影响人数:6300万 发现时间:2021年8月 事件概要:
  • 《车联网业务安全浅析》议题先从车联网信息安全需求、范围和内容出发,分析车联网安全体系和安全测试项。再从车端进一步分析威胁薄弱点,并结合研究案例和攻击案例,全面展示车联网业务安全的攻防技术。 议题简介 车...
  • 2021年度国内网络安全事件总结

    千次阅读 2022-02-10 22:12:01
    1月5日,国外安全研究团队Cyble发现多个帖子正在出售与中国公民有关的个人数据,经分析可能来自微博、QQ等多个社交媒体,本次发现的几个帖子中与中国公民有关的记录总数超过2亿。其中还发现了大量湖北省“公安县”的...
  • 信息安全管理体系;信息安全的演化;目录;案例分析;案例分析;案例分析;案例分析;案例分析 3;案例分析 3;案例分析 3;信息安全现状;目录;信息安全管理体系标准;标准发展的历史;Information信息;The elements of ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 109,390
精华内容 43,756
关键字:

信息安全事件案例分析