A. 红队最喜欢的18 种优秀的网络安全渗透工具
Bishop labs用了两期博客,前后各总结了9个红队工具,共计18个红队使用的优秀渗透工具,其博客文章也提及,这份清单不是决定性的,也仅用于参考。
创建者: @IAmMandatory
用途:允许 谷歌 Chrome 浏览器将受害者的浏览器变成测试代理。
优点: CursedChrome 可以很容易地在红队参与期间模拟恶意浏览器扩展。用来劫持 Chrome 浏览器,绕过大多数 2FA 或其他可能存在的安全保护,并利用 cookie 来访问任何基于网络的目标。
创建者: @symbolcrash1
用途: Universal Loader 是一个 Golang 库,可以跨多个平台(Linux、Windows 和 OSX)从内存中加载共享库,而无需CGO。
优点: Universal Loader 可以用在新的 Apple M1 芯片上,值得一提的是,这个 Golang 库没有使用 memfd,这使它成为第一个这样做的 Golang Linux 加载器。由于这两个原因,Universal Loader 是一个相当令人印象深刻的红队工具。
创建者: QSecure Labs
用途: Overlord 是一个基于 Python 的控制台命令行界面,用于自动化红队基础设施。
优点: 在红队参与期间能够根据需要快速启动安全基础设施非常重要,该工具可以节省大量时间,然后可以将这些时间用于进行一些实际的黑客攻击。
创作者: @LittleJoeTables和@rkervell
用途: Sliver是一个用 Golang 编写的跨平台通用植入框架。
优点: 这个工具是两位 Bishop Fox 研究人员的创意,所以我们的偏见可能会表现出来。类似于商业工具Cobalt Strike。使 Sliver 值得注意的是诸如使用每个二进制混淆的动态代码生成、多个和可扩展的出口协议以及支持多个操作员同时控制植入物等功能。此外,它易于使用且运行速度快。
创作者: @tillson_
用途: 使用 Githound 来定位暴露的 API 密钥和其他围绕 GitHub 浮动的敏感信息。该工具通过模式匹配、提交 历史 搜索和“独特的结果评分系统”工作。
优点: 像 Githound 这样的秘密窃取工具并不少见,但这并没有使这个工具(或其他类似工具)的价值降低。Githound 的一些可能用例包括检测暴露的客户 API 密钥以及员工 API 令牌。如果您进行漏洞赏金,此工具可用于添加书签 - 有些人报告说,由于它,因此获得了数千美元的赏金。
创作者: @browninfosecguy
用途: 这个工具的名字说明了一切,在 PowerShell 中轻松地为 Microsoft Active Directory 设置实验室。
优点: 速度很快,效果很好。可以使用此工具来确保您针对 Active Directory 使用的任何漏洞利用都已完善,然后再将其引入客户端环境。对于只想更轻松地测试 Active Directory 的渗透测试员来说非常有用。
创建者: Microsoft Azure 红队
用途: 可以使用 Stormspotter 更好地可视化 Azure 攻击面;此工具可帮助您绘制 Azure 和 Azure Active Directory 对象。
优点: 类似渗透测试工具BloodHound概念类似,只是该工具是为 Azure 环境设计的。对于任何蓝色或紫色团队成员来说,从防御的角度来看,Stormspotter 也非常有用。
创建者: @Void_Sec
用途: ECG 实际上是一种商业工具。该工具是静态源代码扫描器,能够分析和检测 TCL/ADP 源代码中真实和复杂的安全漏洞。
优点: ECG是一种强大的工具,可以填补令人惊讶的空白。正如 VoidSec 在他们的官方文章中所指出的,TCL代码相当普遍;所以能够彻底分析漏洞可能会非常有帮助。没有很多其他工具可以满足这种独特的需求,无论是商业的还是其他的。
创建者: @TryCatchHCF
用途: 可以使用 DumpsterFire 构建“时间触发的分布式”安全事件来测试红队进攻和蓝队防守。
优点: DumpsterFire 将传统桌面练习提升到一个新的水平,它还使用自动化来在参与期间有效地进行多任务处理(并避开一些更乏味的事情)。DumpsterFire 允许的定制程度令人印象深刻;可以真正定制模拟安全事件来满足独一无二的情况。
10.GhostPack
创建者: SpecterOps ( @SpecterOps )
用途: 借助强大的后开发工具集 GhostPack,可以做各种事情;可以攻击 KeePass 2.X 数据库、复制锁定的文件、篡改 Active Directory 证书等。
优点: GhostPack 是一种满足黑客需求的“一站式商店”。包含的 13 个工具包括非常有用的 Rubeus、Seatbelt 和 SharpUp。Rubeus 是一个 C# 工具集,直接与 Active Directory 环境中的 Kerberos 协议交互,允许直接与 Kerberos 属性(例如票证和常规身份验证)进行通信,然后可以利用这些属性在网络中移动。Seatbelt 是一个 C# 项目,可用于面向安全的主机“安全检查”,而 SharpUp 是一个 C# 工具,可识别本地权限提升路径。这些工具被无数红队和网络渗透测试员使用。
创作者: Benjamin Delpy ( @gentilkiwi )
用途: Mimikatz 可以从 Windows 环境中提取密码和其他凭据。是一种非常流行的渗透测试工具,已经存在了十多年。但 Mimikatz 会定期维护和更新,以确保仍然是最前沿的工具
优点: 将 Mimikatz 视为网络渗透测试的瑞士军刀。带有几个内置工具,对 Kerberoasting、密码转储很有用,你能想到的,Mimikatz 都可以做到。而且 Mimikatz 不仅适用于那里的进攻性安全专业人员——防御性安全团队也可以从中受益(如果你发现自己处于紫色团队场景中,这也是个好兆头)。
创建者: Metasploit 项目 ( @metasploit ),由 Rapid7 与开源社区合作运营
用途: Metasploit 可以说是世界领先的渗透测试框架,由 HD Moore 于 2003 年创建。Metasploit 包括用于渗透测试几乎每个阶段的模块,这有助于其普及。包括约 250 个后利用模块,可用于捕获击键、收集网络信息、显示操作系统环境变量等。
优点: Metasploit 后开发模块非常庞大,有一个模块最突出——Meterpreter 有效载荷。Meterpreter 允许 探索 目标系统并执行代码,并且由于它通过内存 DLL 注入工作,因此不必冒险留下任何操作证据。Metasploit 后开发功能也非常通用,具有适用于 Windows、Linux 和 OS X 的模块。
创作者: 阿德里安·沃尔默( @mr_mitm )
用途: 此后利用工具旨在绕过端点检测和应用程序阻止列表。
优点: 可以使用 PowerHub 传输文件,而不会在测试环境中发出任何安全保护警报,这将使下一次渗透测试更加顺畅和轻松。使用此工具领先于 Windows Defender。
创建者: LOLBAS 项目和亚利桑那州安全工程与研究小组
用途: LOLBAS 是一个字典,用于在 Windows 机器上使用二进制文件查找可能的权限提升路径。LLOLBAS 是与 LOLBAS 协同工作的摄取器。摄取器会在 Windows 机器上的 LOLBAS 列表中查找所有二进制文件,因此无需猜测或对列表进行排序以查找它们(这可能很乏味)。
优点: LOLBAS 项目可搜索机器上可能的权限提升路径,而 LLOLBAS 允许针对特定机器定制这些路径。结合这两个工具,(几乎)在参与中势不可挡。作为一个额外的好处,如果出现需要它们的情况,可以方便地使用离线工具。
创作者: @nil0x42
用途: PHPSploit 充当功能齐全的 C2 框架,通过单行 PHP 后门在 Web 服务器上静默地持久化。
优点: PHPSploit 是非安全参与时手头上的一项了不起的工具——高效、用户友好且运行安静。正如其 GitHub 描述所述,PHPSploit 是“由偏执狂,为偏执狂设计的”。
创作者: 塞瓦加斯
用途: 可以使用 swap_digger 在后期开发或取证期间自动进行 Linux 交换分析。
优点: 在 Linux 交换空间中可以找到各种各样的好东西,从密码和电子邮件地址到 GPG 私钥。Swap_digger 可以梳理这些交换空间并找到高影响力的奖杯,这将使评估更加成功。
创建者: RedCode 实验室
用途: Bashark 是一个后开发工具包,顾名思义,是用编程语言 Bash 编写的。这是一个可以产生巨大结果的简单脚本。
优点: Bashark 工作快速而隐蔽,允许通过创建 Bash 函数来添加新命令,并清除在目标环境中使用脚本后可能留下的任何痕迹。
创作者: AlessandroZ
用途: 使用 BeRoot 项目查找可用于在 Windows、Linux 和 OS X 环境中提升权限的常见错误配置。
优点: 识别常见的错误配置是在网络中立足的最可靠方法之一,因此找到这些错误配置的速度越快越好。BeRoot 项目在这方面提供了极大的帮助。
本文,旨在介绍一些红队工具,供大家了解和参考研究之用,不建议任何人利用网络技术从事非法工作,破坏他人计算机等行为。渗透有风险,入坑需谨慎。法网恢恢,疏而不漏。请正确理解渗透含义,正确利用渗透技术,做网络安全服务的践行者。
B. 以如何在数字化中保护为题
如今,科技界最热门的流行术语是“数字化转型”,指的是企业希望迅速摆脱传统办公模式,同时转向数字化商业实践。在新冠疫情发生之后,数字化转型的速度开始加快。
预计到2023年,经过数字化改造的企业预计将贡献全球GDP的一半以上,达到53.3万亿美元。预计今年,全球65%的GDP将来自数字化,70%的企业在三年前已经或正在规划数字化转型战略。
DevOps和数字化转型:理想的合作伙伴
在过去几年中,当数字化转型开始从想法发展到实践时,DevOps早已在软件开发环境中流行起来。DevOps是一个用于自动化和管理数字化转型的包罗万象的术语,它通过改变企业的文化思维方式、打破孤岛并为持续流程铺平道路,帮助企业在数字化转型中取得成功。
当人们想到DevOps时,这是一种文化转变,需要愿景、规划、高管支持和紧密协作,以成功建立一种更集成的开发和交付应用程序的方式。有了它,团队可以提高效率,更深入地了解他们的工作流程、工具集和流程,并增强下一代软件,加强管理和安全性。
碰巧的是,数字化转型也需要愿景和规划,也需要企业的文化变革。可以看到这两个概念非常适合彼此的原因。
确保企业的数字化转型和DevOps流程是安全的
在对网络攻击保持高度警惕之际,企业正朝着所有这些转型(以及更快的产品交付)迈进。
2021年是数据泄露事件数量破纪录的一年。美国身份盗窃资源中心对去年的全球网络攻击事件进行了调查,截至2021年9月30日的数据泄露事件总数比2020年的事件总数高出17%,2021年为1291起,2020年为1108起。
虽然数字化转型不一定需要安全和受信任的端点,但鉴于围绕网络安全的风险增加,自动化公钥基础设施(PKI)解决方案是一种理想的方法。从证书颁发机构(CA)请求证书、接收证书、将其绑定到端点以及管理它的过程通常很慢,并且如果没有实现自动化,可能会变得很难处理。这造成了遵守监管公钥基础设施(PKI)要求和满足企业政策的困难。借助DevOps的PKI的数字化转型可以实现自动化,帮助企业管理当今充满挑战的网络安全环境。
使用DevOps,企业可以展示自己在与人员、流程和不同技术合作以不断优化客户的开发操作、基础设施和部署方面的熟练程度。该愿景是一个精简集成的组织,有助于加快、安全地启用公钥基础设施(PKI)的应用程序生命周期。
据说DevOps只是指采用自动化工具。许多企业声称自己在实施DevOps,只是因为他们的一些团队拥有软件交付管道的自动化元素。自动化是一个组成部分,尽管它是一个重要元素,但企业还需要确保文化和流程(例如固有的安全实践)得到同等的采用,以确保所有阶段的连续性。
数字证书对DevOps和数字化转型的重要性
从证书颁发机构(CA)请求证书、接收证书、人工将其绑定到端点以及自行管理证书的过程可能很慢并且缺乏可见性。有时,DevOps团队通过使用不太安全的密码学方法或从自行创建的不合规公钥基础设施(PKI)环境中颁发自己的证书来避免既定的质量核验,从而使他们的企业面临风险。来自经过认证和认可的全球信任证书颁发机构(CA)的公钥基础设施(PKI)证书为工程师提供了确保其容器和存储在其中的代码的安全性、身份和合规性的最佳方式。
为扩展和管理大量PKI证书而构建的证书管理平台非常适合DevOps环境。企业现在可以在持续集成(CI)/持续部署(CD)管道和应用程序中自动请求和安装合规证书,以保护DevOps实践并支持数字化转型。
将企业的公钥基础设施(PKI)外包给证书颁发机构(CA)意味着开发人员可以通过单一来源来满足所有证书需求,并且可以自由地专注于核心竞争力。用户还可以利用证书颁发机构(CA)的公钥基础设施(PKI)产品来确保最佳实践和满足审计要求。
无论企业与哪个证书颁发机构(CA)合作,企业的DevOps团队都应该期望:
符合标准的外包证书颁发机构(CA),可以满足所有证书需求(例如,私有、公共、灵活的证书模板、短期证书)。降低证书管理的复杂性,使满足信息安全团队设定的企业政策变得容易。企业的证书和公钥基础设施(PKI)组件将与最佳实践保持同步,并符合PCI-DSS、HIPAA和NIST等监管框架。
如果企业正在寻找一种更好的方式来管理证书,需要寻找一个可以扩展和管理大量公钥基础设施(PKI)证书的平台。这对于DevOps其环境来说是理想的,因为它使企业能够在持续集成(CI)/持续部署(CD)管道和应用程序中自动请求和安装合规证书,以保护DevOps实践并支持数字化转型。开发人员不再需要担心公钥基础设施(PKI)。他们可以满怀信心地自由地转移到其他任务上,其结果不仅是高效交付,而且是安全的平台。
C. 网络安全资质证书有哪些
网络安全资格证书有:CISP国家注册信息人员、CISP-PTE国家注册渗透工程师、CISP-A国家注册系统审计师、CISSP国际注册信息安全专家、CISA国际注册系统审计师、CSIM国际注册信息安全经理、Security+信息安全技术专家、ISO27001Foundation认证、DevOpsMaster开发和运维、Prince2受控环境下的项目管理。
1、CISP国家注册信息人员
CISP是国内权威认证,如果想在政府、国企和重点行业从业,这个认证都是非常重要的。
9、DevOps Master开发和运维
DevOps Master的发证机构是EXIN,这是一套最佳实践方法理论,主要是为了让在应用和服务的生命周期中促进I专业人员开发人员、运维人员和支持人员之间的协作和交流,适合做敏捷开发、运维、项目经理等职位的人去学习,提高工作效率。
10、Prince2受控环境下的项目管理
Prince2的发证机构是AXELOSPrince2在国内的知名度虽然不如PMP,但同样都是项目管理,两者的区别在于理论与实践,PMP相对来说比较偏向于理论。且持有PMP证书的人想获得更高级别的认证也是要考Prince2的专业级认证。
D. 几个专业名词:有关网络的
英文原义:The Internet Gopher Protocol
中文释义:(RFC-1436)网际Gopher协议
注解:这是一种互联网没有发展起来之前的一种从远程服务器上获取数据的协议。Gopher协议目前已经很少使用,它几乎已经完全被HTTP协议取代了。
IETF
1、概述
IETF(互联网工程任务组—The Internet Engineering Task Force)是松散的、自律的、志愿的民间学术组织,成立于1985年底, 其主要任务是负责互联网相关技术规范的研发和制定。
IETF是一个由为互联网技术工程及发展做出贡献的专家自发参与和管理的国际民间机构。它汇集了与互联网架构演化和互联网稳定运作等业务相关的网络设计者、运营者和研究人员,并向所有对该行业感兴趣的人士开放。任何人都可以注册参加IETF的会议。IETF大会每年举行三次,规模均在千人以上。
IETF大量的技术性工作均由其内部的各类工作组协作完成。这些工作组按不同类别,如路由、传输、安全等专项课题而分别组建。IETF的交流工作主要是在各个工作组所设立的邮件组中进行,这也是IETF的主要工作方式。
目前,IETF已成为全球互联网界最具权威的大型技术研究组织。但是它有别于像国际电联(ITU-International Telecommunication Union)这样的传统意义上的标准制定组织。IETF的参与者都是志愿人员,他们大多是通过IETF每年召开的三次会议来完成该组织的如下使命:
1.鉴定互联网的运行和技术问题,并提出解决方案;
2.详细说明互联网协议的发展或用途,解决相应问题;
3.向IESG提出针对互联网协议标准及用途的建议;
4.促进互联网研究任务组(IRTF)的技术研究成果向互联网社区推广;
5.为包括互联网用户、研究人员、行销商、制造商及管理者等提供信息交流的论坛。
2、IETF相关组织机构
(1)互联网协会(ISCO -Internet Society)
ISCO是一个国际的,非盈利性的会员制组织,其作用是促进互联网在全球范围的应用。实现方式之一便是对各类互联网组织提供财政和法律支持,特别是对IAB管理下的IETF提供资助。
(2)互联网架构委员会(IAB-Internet Architecture Board)
IAB是ISOC的技术咨询团体,承担ISCO技术顾问组的角色;IAB负责定义整个互联网的架构和长期发展规划,通过IESG向IETF提供指导并协调各个IETF工作组的活动,在新的IETF工作组设立之前IAB负责审查此工作组的章程,从而保证其设置的合理性,因此可以认为IAB是IETF的最高技术决策机构。
另外,IAB还是IRTF的组织和管理者,负责召集特别工作组对互联网结构问题进行深入的研讨。
(3)互联网工程指导组(IESG-Internet Engineering Steering Group)
IETF的工作组被分为8个重要的研究领域,每个研究领域均有1-3名领域管理者(Ads—Area Directors),这些领域管理者ADs均是IESG的成员。
IESG负责IETF活动和标准制定程序的技术管理工作,核准或纠正IETF各工作组的研究成果,有对工作组的设立终结权,确保非工作组草案在成为请求注解文件(RFC)时的准确性。
作为ISOC(Internet协会)的一部分,它依据ISOC理事会认可的条例规程进行管理。可以认为IESG是IETF的实施决策机构。
IESG的成员也由任命委员会(Nomcom-Nominations Committee)选举产生,任期两年。
(4)互联网编号分配机构(IANA-Internet Assigned Numbers Authority)
IANA在ICANN的管理下负责分配与互联网协议有关的参数(IP地址、端口号、域名以及其它协议参数等)。IAB指定IANA在某互联网协议发布后对其另增条款进行说明协议参数的分配与使用情况。
IANA的活动由ICANN资助。IANA与IAB是合作的关系。
(5)RFC编辑者(RFC Editors)
主要职责是与IESG协同工作,编辑、排版和发表RFC。RFC一旦发表就不能更改。如果标准在叙述上有变,则必须重新发表新的RFC并替换掉原先版本。该机构的组成和实施的政策由IAB掌控。
(6)IETF秘书处(RFC Secretariat)
在IETF中进行有偿服务的工作人员很少。IETF秘书处负责会务及一些特殊邮件组的维护,并负责更新和规整官方互联网草案目录,维护IETF网站,辅助IESG的日常工作。
(7)互联网研究任务组(IRTF-The Internet Research Task Force)
IRTF由众多专业研究小组构成,研究互联网协议、应用、架构和技术。其中多数是长期运作的小组,也存在少量临时的短期研究小组。各成员均为个人代表,并不代表任何组织的利益。
3、IETF标准的种类
IETF产生两种文件,一个叫做Internet Draft,即“互联网草案”,第二个是叫RFC,它的名字来源是历史原因的,原来是叫意见征求书或请求注解文件,现在它的名字实际上和它的内容并不一致。互联网草案任何人都可以提交,没有任何特殊限制,而且其他的成员也可以对它采取一个无所谓的态度,而IETF的一些很多重要的文件都是从这个互联网草案开始。
RFC更为正式,而且它历史上都是存档的,它的存在一般来讲,被批准出台以后,它的内容不做改变。RFC也有好多种:第一个就是它是一种标准;第二个它是一种试验性的,RFC无非是说我们在一起想做这样一件事情,尝试一下;还一个就是文献历史性的,这个是记录了我们曾经做过一件事情是错误的,或者是不工作的;再有一种就是叫做介绍性信息,其实里边什么内容都有。
作为标准的RFC又分为几种:
第一种是提议性的,就是说建议采用这个作为一个方案而列出。
还有一种就是完全被认可的标准,这种是大家都在用,而且是不应该改变的。
还有一种就是现在的最佳实践法,它相当于一种介绍。
这些文件产生的过程是一种从下往上的过程,而不是从上往下,也就是说不是一个由主席,或者由工作组负责人的给一个指令,说是要做什么,要做什么,而是有下边自发的提出,然后在工作组里边讨论,讨论了以后再交给刚才说的工程指导委员会进行审查。但是工程指导委员会只做审查不做修改,修改还是要打回到工作组来做。IETF工作组文件的产生就是任何人都可以来参加会议,任何人都可以提议,然后他和别人进行讨论,大家形成了一个共识就可以产出这样的文件。
4、IETF的研究领域
IETF的实际工作大部分是在其工作组(Working Group)中完成的。这些工作组又根据主题的不同划分到若干个领域(Area),如路由、传输和网络安全等。每个领域由一到两名主管(Area Directors)负责管理,所有的领域主管组成了互联网工程组指导组(Internet Engineering Steering Group - IESG)。IETF工作组的许多工作是通过邮件列表(Mailing List)进行的。IETF每年召开三次会议。
目前,IETF共包括八个研究领域,132个处于活动状态的工作组。
(1)应用研究领域(app— Applications Area),含20个工作组(Work Group)
(2)通用研究领域(gen—General Area),含5个工作组
(3)网际互联研究领域(int—Internet Area),含21个工作组
(4)操作与管理研究领域(ops—Operations and Management Area),含24个工作组
(5)路由研究领域(rtg—Routing Area),含14个工作组
(6)安全研究领域(sec—Security Area),含21个工作组
(7)传输研究领域(tsv—Transport Area),含1个工作组
(8)临时研究领域(sub—Sub-IP Area),含27个工作组
5.1) 应用研究领域(app— Applications Area)
虽然IETF的研究范围划定为“Above the wire, Below the application”,即IETF并不关注于应用领域的研究,但是对于与互联网的运营密切相关的应用还是受到了重视,并成立的专门的工作组。
目前应用研究领域共包括20个处于活动状态的工作组。随着互联网的发展,这个研究领域的工作组数目还要增长。
Calendaring and Scheling (calsch) ――日历与时间规划工作组
Cross Registry Information Service Protocol (crisp) ――交叉注册信息服务协议工作组
Electronic Data Interchange-Internet Integration (ediint) ――EDI与互联网集成工作组
Internet Fax (fax) ――互联网传真工作组
Geographic Location/Privacy (geopriv) ――地理位置工作组
Internet Message Access Protocol Extension (imapext) ――互联网消息访问扩展工作组
Instant Messaging and Presence Protocol (impp) ――及时消息协议工作组
Internet Printing Protocol (ipp) ――互联网打印协议工作组
LDAP (v3) Revision (ldapbis) ――LDAP修订工作组
Enhancements to Internet email to support diverse service
environments (lemonade) ――互联网电子邮件在不同服务环境下的增强
MTA Authorization Records in DNS (marid) ――DNS中的MTA认证记录工作组
Message Tracking Protocol (msgtrk) ――消息跟踪协议工作组
NNTP Extensions (nntpext) ――NNTP扩展工作组
Open Pluggable Edge Services (opes) ――开放式可插接服务工作组
SIP for Instant Messaging and Presence Leveraging Extensions
(simple) ――SIP在及时消息应用中的扩展
Internet Open Trading Protocol (trade) ――互联网开发交易协议工作组
Usenet Article Standard Update (usefor)
Voice Profile for Internet Mail (vpim) ――互联网邮件的语音附件工作组
WWW Distributed Authoring and Versioning (webdav)
Extensible Messaging and Presence Protocol (xmpp) ――消息扩展协议工作组
5.2)通用研究领域(gen—General Area)
在IETF中,不能放在其它研究领域的研究内容,就放置在通用研究领域中,因此这个领域的研究内容的内在联系性并不强。目前在这个研究领域共包括5个处于活动状态的工作组。
Improved Cross-Area Review (icar) ――增强跨域工作组
Intellectual Property Rights (ipr) ――知识产权工作组
New IETF Standards Track Discussion (newtrk)
Operation of the IESG/IAB Nominating and Recall Committees (nomcom) ――IESG/IAB选举委员会运作程序
Problem Statement (problem) ――问题陈述工作组
5.3)网际互联研究领域(int—Internet Area)
网际互联研究领域主要研究IP包如何在不同的网络环境中进行传输,同时也涉及DNS信息的传递方式的研究。
这个研究领域在IETF中占据着重要的地位,TCP/IP协议族和IPv6协议族的核心协议均在由这个领域来研究并制订。
Dynamic Host Configuration (dhc) ――动态主机配置工作组
Detecting Network Attachment (dna) ――网络附属设施监测工作组
DNS Extensions (dnsext) ――DNS扩展工作组
Extensible Authentication Protocol (eap) ――可扩展的鉴权协议工作组
Host Identity Protocol (hip) ――主机标识协议工作组
IP over DVB (ipdvb)
IP over InfiniBand (ipoib)
IP over Resilient Packet Rings (iporpr) ――IP OVER RPR工作组
IP Version 6 Working Group (ipv6) ――IPv6工作组
Layer Two Tunneling Protocol Extensions (l2tpext) ――二层隧道协议扩展工作组
Layer 2 Virtual Private Networks (l2vpn) ――二层虚拟专用网工作组
Layer 3 Virtual Private Networks (l3vpn) ――三层虚拟专用网工作组
Multicast & Anycast Group Membership (magma) ――组播与任播工作组
Mobility for IPv4 (mip4) ――移动IPv4工作组
Mobility for IPv6 (mip6) ――移动IPv6工作组
MIPv6 Signaling and Handoff Optimization (mipshop) ――移动IPv6信令与漫游优化工作组
Network Mobility (nemo) ――网络移动性工作组
Protocol for carrying Authentication for Network Access (pana) ――接入网认证信息承载协议工作组
Point-to-Point Protocol Extensions (pppext) ――PPP协议扩展工作组
Securing Neighbor Discovery (send) ――安全邻居发现协议工作组
Zero Configuration Networking (zeroconf) ――零配置网络工作组
5.4)操作与管理研究领域(ops—Operations and Management Area)
这个研究领域主要涉及互联网的运作与管理方面的内容。目前共包含24个处于活动状态的工作组,工作组数目处于IETF所有研究领域的第二位。
现在随着互联网的快速发展与普及,对于网络的运营与管理提出了更高的要求,因此这个研究领域也越来越受到重视。这个领域的工作组数目还可能增加。
这个研究领域中比较重要的研究内容包括AAA(授权、认证、审计)、v6ops(IPv6运维)、rap(资源预留)、dnsop(DNS运维)以及各种MIB的研究。
Authentication, Authorization and Accounting (aaa) ――AAA工作组
ADSL MIB (adslmib) ――ADSL MIB库工作组
AToM MIB (atommib) ――ATOM MIB库工作组
Benchmarking Methodology (bmwg) ――计量方法工作组
Bridge MIB (bridge) ――网桥MIB库工作组
Control And Provisioning of Wireless Access Points (capwap) ――无线AP控制与配置协议工作组
Distributed Management (disman) ――分布式管理工作组
Domain Name System Operations (dnsop) ――域名操作工作组
Entity MIB (entmib) ――实体MIB工作组
Global Routing Operations (grow) ――全局路由运作工作组
Ethernet Interfaces and Hub MIB (hubmib) ――以太网接口与HUB MIB库工作组
Internet and Management Support for Storage (imss)
IP over Cable Data Network (ipcdn)
IP Flow Information Export (ipfix)
MBONE Deployment (mboned) ――MBONE布置工作组
Site Multihoming in IPv6 (multi6) ――IPv6多穴主机工作组
Network Configuration (netconf) ――网络配置工作组
Policy Framework (policy) ――策略框架工作组
Packet Sampling (psamp) ――数据包采样工作组
Prefix Taxonomy Ongoing Measurement & Inter Network Experiment (ptomaine)
Resource Allocation Protocol (rap) ――资源分配协议工作组
Remote Network Monitoring (rmonmib) ――网络远程监控工作组
Configuration Management with SNMP (snmpconf) ――基于SNMP的配置管理工作组
IPv6 Operations (v6ops) ――IPv6运维工作组
5.5)路由研究领域(rtg—Routing Area)
此研究领域主要负责制订如何在网络中确定传输路径以将IP包传送到目的地的相关标准。由于路由协议在网络中的重要地位,因此此研究领域也成为IETF的重要领域。BGP、ISIS、OSPF、MPLS等重要路由协议均属于这个研究领域的研究范围。
目前路由研究领域共有14个处于活动状态的工作组。
Border Gateway Multicast Protocol (bgmp) ――边界网关组播协议工作组
Common Control and Measurement Plane (ccamp) ――通用控制与测量平面工作组
Forwarding and Control Element Separation (forces) ――控制层与网络层的分离工作组
Inter-Domain Multicast Routing (idmr) ――域内组播路由工作组
Inter-Domain Routing (idr) ――域内路由工作组
IS-IS for IP Internets (isis) ――ISIS路由协议工作组
Mobile Ad-hoc Networks (manet)
Multiprotocol Label Switching (mpls) ――MPLS工作组
Open Shortest Path First IGP (ospf) ――OSPF工作组
Protocol Independent Multicast (pim) ――PIM工作组
Routing Protocol Security Requirements (rpsec) ――路由协议的安全需求工作组
Routing Area Working Group (rtgwg) ――路由域工作组
Source-Specific Multicast (ssm) ――指定源的组播工作组
Virtual Router Rendancy Protocol (vrrp) ――虚拟路由冗余协议工作组
5.6)安全研究领域(sec—Security Area)
此研究领域主要负责研究IP网络中的授权、认证、审计等与私密性保护有关的协议与标准。
互联网的安全性越来越受到人们的重视,同时AAA与业务的运维方式又有着密切的关系,因此这个领域也成为IETF中最为活跃的研究领域之一。
目前,这个研究领域共包括21个处于活动状态的工作组。
Credential and Provisioning (enroll) ――信任与配置工作组
Intrusion Detection Exchange Format (idwg) ――入侵监测信息交换格式工作组
Extended Incident Handling (inch) ――扩展的事件处理工作组
IP Security Protocol (ipsec) ――IPSEC工作组工作组
IPSEC KEYing information resource record (ipseckey)
IP Security Policy (ipsp) ――IP安全策略工作组
Kerberized Internet Negotiation of Keys (kink)
Kerberos WG (krbwg)
Long-Term Archive and Notary Services (ltans)
IKEv2 Mobility and Multihoming (mobike)
Multicast Security (msec) ――组播安全工作组
An Open Specification for Pretty Good Privacy (openpgp)
Profiling Use of PKI in IPSEC (pki4ipsec)
Public-Key Infrastructure (X.509) (pkix)
Securely Available Credentials (sacred)
Simple Authentication and Security Layer (sasl)
Secure Shell (secsh)
S/MIME Mail Security (smime)
Secure Network Time Protocol (stime) ――安全网络时间协议工作组
Security Issues in Network Event Logging (syslog)
Transport Layer Security (tls) ――传输层安全工作组
5.7)传输研究领域(tsv—Transport Area)
传输研究领域主要负责研究特殊类型或特殊用途的数据包在网络中的(特殊需求的)传输方式。包括音频/视频数据的传输、拥塞控制、IP性能测量、IP信令系统、IP电话业务、IP存储网络、ENUM、媒体网关、伪线仿真等重要研究方向。
目前这个研究领域共有27个处于活动状态的工作组,就工作组数目来讲,是IETF中最大的一个研究领域。
Audio/Video Transport (avt) ――语音/视频传输工作组
Datagram Congestion Control Protocol (dccp) ――数据报拥塞控制协议工作组
Telephone Number Mapping (enum) ――ENUM工作组工作组
Internet Emergency Preparedness (ieprep) ――互联网应急策略工作组
IP Performance Metrics (ippm) ――IP性能测量工作组
IP Storage (ips) ――IP存储网工作组
IP Telephony (iptel) ――IP电话工作组
Media Gateway Control (megaco) ――媒体控制网关工作组
Middlebox Communication (midcom)
Multiparty Multimedia Session Control (mmusic) ――多方多媒体会话控制工作组
Network File System Version 4 (nfsv4) ――网络文件系统工作组
Next Steps in Signaling (nsis) ――IP信令的发展工作组
Path MTU Discovery (pmtud) ――MTU发现协议工作组
Pseudo Wire Emulation Edge to Edge (pwe3) ――端到端伪线仿真工作组
Remote Direct Data Placement (rddp)
Reliable Multicast Transport (rmt) ――可靠的组播传输协议工作组
Robust Header Compression (rohc) ――可靠的头压缩工作组
Reliable Server Pooling (rserpool) ――可靠的服务器负载均摊工作组
Context Transfer, Handoff Candidate Discovery, and Dormant Mode Host Alerting (seamoby)
Signaling Transport (sigtran) ――信令传输工作组
Session Initiation Protocol (sip) ――SIP协议工作组
Session Initiation Proposal Investigation (sipping) ――SIP协议调研工作组
Speech Services Control (speechsc) ――语音服务控制工作组
Service in the PSTN/IN Requesting InTernet Service (spirits)
TCP Maintenance and Minor Extensions (tcpm)
Transport Area Working Group (tsvwg)――传输领域工作组
Centralized Conferencing (xcon)――集中控制式会议工作组
5.8)临时研究领域(sub—Sub-IP Area)
Sub-IP是IETF成立的一个临时技术区域,目前这个研究领域只有一个处于活动状态的工作组,这个工作组主要负责互联网流量工程的研究,已经形成四个RFC。
Internet Traffic Engineering (tewg)――互联网流量工程工作组
CATV
abbr.
1. =community antenna television 共用天线电视
2. =cable television 有线电视
E. ops电脑是什么意思
Open Pluggable Specification(OPS)为一种计算模块插件格式,可用于为平板显示器增加计算能力。该格式于2010年由NEC,英特尔和微软首次公布。
OPS格式的计算模块可在基于Intel和ARM的CPU上运行,运行的操作系统包括Microsoft Windows和Google Android。
在数字标牌中使用OPS的主要好处是通过在发生故障时更换计算模块非常容易,从而减少停机时间和维护成本。
(5)网络安全ops扩展阅读
开放的可插拔的规范(OPS)有助于规范的设计和开发数字看板设备,并插入媒体播放器终端。Intel创造OPS致力于数字看板市场分化和简化设备安装、使用、维护和升级。OPS可以使数字看板制造商更快部署大量的交互系统,同时降低开发和实现的成本。
安装基于英特尔架构的数字标牌设备可以帮助您实现可伸缩的数字看板应用程序,并且很容易和其他设备一起工作。这简化了通过交互和升级的设计来满足个人客户的数字看板需求,同时有利于面向未来的技术投资。
F. ctf的国内外知名CTF战队
PPP –近几年崛起的超神明星战队,来自美国CMU,队内有Geohot神奇小子和Ricky两位国际最高水平黑客作为双子领军,2014年PPP包揽了GitS和CodeGate冠军,CTFTIME全球排名仅次于Dragon Sector排名第二,Geohot神奇小子的单人队tomcr00se(没错,他就自称网络空间的汤姆克鲁斯)在大满贯赛Boston Key Party和大奖赛Secuinside,击败其他多人战队拔得头筹。由Geohot神奇小子加盟2013年DEFCON CTF总决赛冠军阵容,PPP战队再度卫冕2014年总决赛冠军。
Blue-Lotus –来自中国大陆的安全宝·蓝莲花战队。2013年历史性地作为华人世界首次入围DEFCON CTF总决赛的队伍,并在决赛获得第11名,八支首次入围决赛战队中名次仅次于澳大利亚9447的较好成绩。2014年 在成功举办首届BCTF全国网络安全技术对抗赛后,连续第二次闯入DEFCON总决赛,并获得第五名的优秀成绩。2014年国际CTF战绩包括ASIS CTF资格赛第3名、PlaidCTF/CodeGate八强,在CTFTIME全球排名第16位,亚洲战队第2(仅次于韩国penthackon)。
Men in the Blackhats – 来自美国传统强队Hates Irony分拆的战队,Hates Irony战队先前在2011年和2012年资格赛中都位居第一,并在2011年总决赛中获得季军,2013年DEFCON总决赛亚军队伍,2014年DEFCON总决赛第六名,实力和经验都不容小觑的一支战队。
More Smoked Leet Chicken – 简称MSLC,俄罗斯的传统强队,由两支队伍Leet More和Smoked Chicken合并而成。2014年DEFCON以RuCTFe大满贯赛冠军入围总决赛,在已获得入围资格时也参加了资格赛,获得第7名。MSLC战队在2012年曾狂揽七项CTF赛冠军,但近两年被美国PPP和波兰Dragon Sector等强队压制,少有冠军战绩,2013年DEFCON总决赛获得第4名,2014年DEFCON总决赛下滑至第12名。2014年CTFTIME全球排名第3位。
Dragon Sector – 来自波兰Google Security Team的强队,今年狂揽六项CTF赛冠军,CTFTIME全球排名力压PPP(但是积分和没有PPP+Tomc00se高),占据积分榜首位。2014年DEFCON CTF总决赛获得季军。
StratumAuhuur – 来自德国的战队,由Stratum0和CCCAC联盟组成,以大满贯赛Boston Key Party亚军(冠军被神奇小子Geohot单人队Tomc00rse摘走)获得总决赛入场券。今年国际CTF赛事多次屈居亚军,全球CTFTIME排名第4位,首次入围DEFCON总决赛,并获得第8名的较好名次。
HITCON – 来自中国宝岛台湾的队伍,主力为台湾大学学生,在蓝莲花战队组织的首届BCTF全国网络安全技术对抗赛获得冠军,之后在DEFCON CTF资格赛最后时刻逆袭得分,突入DEFCON总决赛,成为台湾地区首次入围决赛的队伍。2014年获得ASIS CTF资格赛第一名,并在DEFCON总决赛中以大黑马姿态获得亚军。
Shellphish– 来自美国UCSB大学的传统强队,也是历史最悠久的全球高校CTF夺旗赛iCTF的组织者,曾于2005年在DEFCON CTF总决赛夺冠,2011年和2012年在CTF总决赛排名都是第9位,2013年第7名。
raon_ASRT – 2013年DEFCON CTF总决赛的季军队伍,来自韩国RAON公司安全研究院的团队,其中两位核心人员是由韩国Best of Best白帽计划培养的天才少年。2013年Codegate决赛冠军队,Secuinside决赛亚军,2014年Nuit Hack CTF季军。Raon_ASRT也是今年Secuinside大奖赛的组织者。2014年DEFCON CTF总决赛第7名。
9447– DEFCON CTF总决赛唯一一支来自南半球的队伍,源自澳大利亚UNSW大学,由IT安全讲师Fionnbharr Davies以一门课程9447为基础发展起来的新锐战队,2013年刚一成立便晋级DEFCON总决赛,并在总决赛中获得第10名的好成绩。今年更是以资格赛第3名的好成绩入围总决赛,并获得第9名。
KAIST GoN – 韩国传统的CTF强队,以韩国科学技术院(KAIST)学生为主力,在2013年缺席总决赛之后,2014以资格赛第8名回归。,DEFCON CTF总决赛获得第10名。
[SEWorks]penthackon – 以大满贯赛Olympic CTF亚军(冠军是Dragon Sector)身份获得2014年DEFCON CTF总决赛入场券,获得。目前CTFTIME全球排名第7位。SEWorks是韩国一家Mobile Security的公司,公司创始人也是五届入围DEFCON总决赛WOWHackers战队的创始人。
Binja – 队名含义为“二进制忍者”,以日本传统CTF强队Sutegoma2为班底,加上katagaitai和EpsilonDelta组建的一支新战队,2014年以大奖赛Secuinside第4名成绩(前三名分别为TomC00se单人队、CodeRed和MSLC)抓住了进军DEFCON总决赛最后的救命稻草,在总决赛排名第13名。Sutegoma2的队名含义为日本“将棋”中的一种常见手筋“退路舍驹”,成员也以安全公司技术人员为主,2011年DEFCON 19首次打入总决赛,已经是连续第四届入围总决赛,2013年总决赛排名第6名。
0ops – 上海交通大学信息网络安全协会组织的CTF战队,姜开达老师作为领队。队长Slipper、副队长Lovelydream曾是蓝莲花战队队员。2013年9月成立后即积极参与国际知名CTF赛事,曾在Hack.Lu在线夺旗赛中获得季军,成功组织过0CTF、ISG等国内知名的CTF赛事。
G. 如何构建网络安全战略体系
网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁(APT)的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全(例如应用安全和狭义的网络安全)至关重要。
安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。
安全培训
人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培训操作人员优先考虑强大的安全状况,培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之,网络安全始于意识。
然而,即便是有强大的网络安全控制措施,所有企业还是难逃遭遇某种网络攻击的威胁。攻击者总是利用最薄弱的环节,但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”,很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地,企业也有责任执行维护网络安全的基本要求,例如保持强大的身份验证实践,以及不将敏感数据存储在可以公开访问的地方。
然而,一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻击面——对于大多数企业而言,攻击者入侵系统的方式或“向量”数正在不断扩张。例如,随着信息和现实世界的日益融合,犯罪分子和国家间谍组织正在威胁物理网络系统的ICA,如汽车、发电厂、医疗设备,甚至你的物联网冰箱。同样地,云计算的普及应用趋势,自带设备办公(BYOD)以及物联网(IoT)的蓬勃发展也带来了新的安全挑战。对于这些系统的安全防御工作变得尤为重要。
网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》(GDPR)这样严格的监管框架还要求赋予新的角色,以确保组织能够满足GDPR和其他法规对于隐私和安全的合规要求。
如此一来,对于网络安全专业人才的需求开始进一步增长,招聘经理们正在努力挑选合适的候选人来填补职位空缺。但是,对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。
网络安全类型
网络安全的范围非常广,但其核心领域主要如下所述,对于这些核心领域任何企业都需要予以高度的重视,将其考虑到自身的网络安全战略之中:
1.关键基础设施
关键基础设施包括社会所依赖的物理网络系统,包括电网、净水系统、交通信号灯以及医院系统等。例如,发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查,以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施,在遭遇网络攻击后会对他们自身造成的影响进行评估,然后制定应急计划。
2.网络安全(狭义)
网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。例如,访问控制(如额外登录)对于安全而言可能是必要的,但它同时也会降低生产力。
用于监控网络安全的工具会生成大量的数据,但是由于生成的数据量太多导致经常会忽略有效的告警。为了更好地管理网络安全监控,安全团队越来越多地使用机器学习来标记异常流量,并实时生成威胁警告。
3.云安全
越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如,2017年几乎每周都会报道由于云实例配置不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具,以帮助企业用户能够更好地保护他们的数据,但是需要提醒大家的是:对于网络安全而言,迁移到云端并不是执行尽职调查的灵丹妙药。
4.应用安全
应用程序安全(AppSec),尤其是Web应用程序安全已经成为最薄弱的攻击技术点,但很少有组织能够充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始,并通过模糊和渗透测试来增强。
应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务需求置于安全之上,考虑到威胁的扩散,这个关注点可能会发生变化。
5.物联网(IoT)安全
物联网指的是各种关键和非关键的物理网络系统,例如家用电器、传感器、打印机以及安全摄像头等。物联网设备经常处于不安全的状态,且几乎不提供安全补丁,这样一来不仅会威胁到用户,还会威胁到互联网上的其他人,因为这些设备经常会被恶意行为者用来构建僵尸网络。这为家庭用户和社会带来了独特的安全挑战。
网络威胁类型
常见的网络威胁主要包括以下三类:
保密性攻击
很多网络攻击都是从窃取或复制目标的个人信息开始的,包括各种各样的犯罪攻击活动,如信用卡欺诈、身份盗窃、或盗取比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分,试图获取政治、军事或经济利益方面的机密信息。
完整性攻击
一般来说,完整性攻击是为了破坏、损坏、摧毁信息或系统,以及依赖这些信息或系统的人。完整性攻击可以是微妙的——小范围的篡改和破坏,也可以是灾难性的——大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。
可用性攻击
阻止目标访问数据是如今勒索软件和拒绝服务(DoS)攻击最常见的形式。勒索软件一般会加密目标设备的数据,并索要赎金进行解密。拒绝服务(DoS)攻击(通常以分布式拒绝服务攻击的形式)向目标发送大量的请求占用网络资源,使网络资源不可用。
这些攻击的实现方式:
1.社会工程学
如果攻击者能够直接从人类身上找到入口,就不能大费周章地入侵计算机设备了。社会工程恶意软件通常用于传播勒索软件,是排名第一的攻击手段(而不是缓冲区溢出、配置错误或高级漏洞利用)。通过社会工程手段能够诱骗最终用户运行木马程序,这些程序通常来自他们信任的和经常访问的网站。持续的用户安全意识培训是对抗此类攻击的最佳措施。
2.网络钓鱼攻击
有时候盗取别人密码最好的方法就是诱骗他们自己提供,这主要取决于网络钓鱼攻击的成功实践。即便是在安全方面训练有素的聪明用户也可能遭受网络钓鱼攻击。这就是双因素身份认证(2FA)成为最佳防护措施的原因——如果没有第二个因素(如硬件安全令牌或用户手机上的软件令牌认证程序),那么盗取到的密码对攻击者而言将毫无意义。
3.未修复的软件
如果攻击者对你发起零日漏洞攻击,你可能很难去责怪企业,但是,如果企业没有安装补丁就好比其没有执行尽职调查。如果漏洞已经披露了几个月甚至几年的时间,而企业仍旧没有安装安全补丁程序,那么就难免会被指控疏忽。所以,记得补丁、补丁、补丁,重要的事说三遍!
4.社交媒体威胁
“Catfishing”一词一般指在网络环境中对自己的情况有所隐瞒,通过精心编造一个优质的网络身份,目的是为了给他人留下深刻印象,尤其是为了吸引某人与其发展恋爱关系。不过,Catfishing可不只适用于约会场景。可信的“马甲”账户能够通过你的LinkedIn网络传播蠕虫。如果有人非常了解你的职业联系方式,并发起与你工作有关的谈话,您会觉得奇怪吗?正所谓“口风不严战舰沉”,希望无论是企业还是国家都应该加强重视社会媒体间谍活动。
5.高级持续性威胁(APT)
其实国家间谍可不只存在于国家以及政府组织之间,企业中也存在此类攻击者。所以,如果有多个APT攻击在你的公司网络上玩起“捉迷藏”的游戏,请不要感到惊讶。如果贵公司从事的是对任何人或任何地区具有持久利益的业务,那么您就需要考虑自己公司的安全状况,以及如何应对复杂的APT攻击了。在科技领域,这种情况尤为显着,这个充斥着各种宝贵知识产权的行业一直令很多犯罪分子和国家间谍垂涎欲滴。
网络安全职业
执行强大的网络安全战略还需要有合适的人选。对于专业网络安全人员的需求从未像现在这样高过,包括C级管理人员和一线安全工程师。虽然公司对于数据保护意识的提升,安全部门领导人已经开始跻身C级管理层和董事会。现在,首席安全官(CSO)或首席信息安全官(CISO)已经成为任何正规组织都必须具备的核心管理职位。
此外,角色也变得更加专业化。通用安全分析师的时代正在走向衰落。如今,渗透测试人员可能会将重点放在应用程序安全、网络安全或是强化网络钓鱼用户的安全防范意识等方面。事件响应也开始普及全天制(724小时)。以下是安全团队中的一些基本角色:
1.首席信息安全官/首席安全官
首席信息安全官是C级管理人员,负责监督一个组织的IT安全部门和其他相关人员的操作行为。此外,首席信息安全官还负责指导和管理战略、运营以及预算,以确保组织的信息资产安全。
2.安全分析师
安全分析师也被称为网络安全分析师、数据安全分析师、信息系统安全分析师或IT安全分析师。这一角色通常具有以下职责:
计划、实施和升级安全措施和控制措施;
保护数字文件和信息系统免受未经授权的访问、修改或破坏;
维护数据和监控安全访问;
执行内/外部安全审计;
管理网络、入侵检测和防护系统;分析安全违规行为以确定其实现原理及根本原因;
定义、实施和维护企业安全策略;
与外部厂商协调安全计划;
3.安全架构师
一个好的信息安全架构师需要能够跨越业务和技术领域。虽然该角色在行业细节上会有所不同,但它也是一位高级职位,主要负责计划、分析、设计、配置、测试、实施、维护和支持组织的计算机和网络安全基础设施。这就需要安全架构师能够全面了解企业的业务,及其技术和信息需求。
4.安全工程师
安全工程师的工作是保护公司资产免受威胁的第一线。这项工作需要具备强大的技术、组织和沟通能力。IT安全工程师是一个相对较新的职位,其重点在于IT基础设施中的质量控制。这包括设计、构建和防护可扩展的、安全和强大的系统;运营数据中心系统和网络;帮助组织了解先进的网络威胁;并帮助企业制定网络安全战略来保护这些网络。
H. 云计算时代,网络安全技术有哪些
我们看到越来越多的数据泄漏事故、勒索软件和其他类型的网络攻击,这使得安全成为一个热门话题。而随着网络攻击者利用不同的方式入侵企业以及中断业务,并且,随着移动、云计算和IoT扩展企业网络以及增加端点,安全变得至关重要。根据Gartner表示,安全团队应该时刻保持警惕,他们还应该了解新技术以帮助保护其企业地域攻击。
“在2017年,企业IT面临的威胁仍然处于非常高的水平,每天都会看到媒体报道大量数据泄漏事故和攻击事件。随着攻击者提高其攻击能力,企业也必须提高其保护访问和防止攻击的能力,”Gartner副总裁、杰出分析师兼Gartner荣誉工作者Neil MacDonald表示,“安全和风险领导者必须评估并使用最新技术来抵御高级攻击,更好地实现数字业务转型以及拥抱新计算方式,例如云计算、移动和DevOps。”
下面是可帮助企业保护其数据和信息的顶级技术:
1.云计算工作负载保护平台
目前,企业有不同类型的工作负责、基础设施以及位置,其中包括物理/虚拟机和容器,除了公共/私有云之外。云计算工作负责保护平台允许企业从单个管理控制台管理其各种工作负载、基础设施以及位置,这样他们也可以跨所有位置部署共同的安全策略。
2. 云访问安全代理(CASB)
很多企业使用多个云服务和应用程序,所有这些应用程序从一个CASB监控,因此,企业可有效执行安全策略、解决云服务风险,并跨所有云服务(公共云和私有云)确保合规性。
3. 托管检测和响应(MDR)
通常企业没有资源或者没有人员来持续监控威胁时,才会考虑使用MDR服务。这些服务提供商使企业能够通过持续监控功能来改善其威胁检测和事件响应。
4. 微分区
这使企业能够在虚拟数据中心分隔和隔离应用程序和工作负责,它使用虚拟化仅软件安全模式向每个分区甚至每个工作负责分配精细调整的安全策略。
5. 容器安全解决方案
容器是软件中独立可执行的部分,其中还包括运行它所需的所有东西,包括代码、运行时、设置、系统工具以及系统库。容器通常共享操作系统,任何对操作系统的攻击都可能导致所有容器被感染。容器安全解决方案可在容器创建之前启用扫描,除了提供保护外,它们还监控运行时。
6. 欺骗技术
有时候恶意活动会渗透企业网络,而不会被企业部署的其他类型网络防御系统所检测。在这种情况下,欺骗技术可提供洞察力,可用于查找和检测此类恶意活动。它还会采取主动的安全姿态,并通过欺骗它们来击败攻击者。目前可用的欺骗技术解决方案可覆盖企业堆栈内的多个层次,并涵盖网络、数据、应用程序和端点。
7. 软件定义外围(SDP)
随着不同系统和参与这通过企业的同一网络连接,SDP允许企业定义谁需要知道什么,从而有效从公众眼中删除敏感信息。通过在允许设备访问应用基础设施之前检查设备的身份和状态,这可帮助减少攻击面。
8. 远程浏览器
程浏览器提供远程虚拟环境,其中可打开Web浏览器,并且,由于这种环境没有连接到企业网络,基于浏览器的恶意软件不可能渗透到企业网络来窃取数据。
9. 端点检测和响应(EDR)
这些安全解决方案可监控所有端点,查找任何异常/恶意行为。EDR专注于检测异常活动,并随后对异常活动进行调查,如果发现威胁,则会进行修复和缓解。根据Gartner表示,到2020念安,全球范围内80%的大型企业、25%的中型企业以及10%的小型企业将利用EDR功能。
10. 网络流量分析(NTA)
这些安全解决方案可监控网络流量、连接、流量和对象,以查看是否存在任何可疑威胁或恶意内容。当发现恶意内容时,恶意内容会被隔离以采取进一步行动。
希望可以帮到你,谢谢!