风险分析
- 最大可承受停机时间(MTD)是指在不引起无法恢复的业务故障的前提下,可以承受的最长业务中断时间。
- 平均故障时间(MTTF)是指设备或组件预计运行的平均时间。
- 平均修理/更换时间(MTTR)是指设备或组件从事件或故障中恢复所需的平均时间
- 平均故障间隔时间(MTBF)评估了设备或组件中发生故障的预计时间间隔。
- 恢复时间目标(RTO)是指事件发生后,恢复正常业务操作和活动的时间长度。
- 恢复点目标(RPO)是指阻止能承受的丢失数据不可恢复的最长时间。
- 隐私影响评估(PLA)确定并分析程序或系统生命周期中针对隐私的风险。
- 隐私阈值分析(PTA)通常包括描述系统的信息,收集或使用哪些PII,以及PII的来源
确定安全威胁
- 网络钓鱼(phishing)是一种基于电子邮件社交工程攻击的常见类型。
- 鱼叉式钓鱼(spear phishing)当攻击者选定特定个人或机构作为目标
- 捕鲸(Whaling)选择拥有巨额财富的个人或组织作为目标的一种鱼叉式钓鱼形式
- 网域嫁接(pharming)是指将一个网站的请求进行重定向,通常是将一个电子商务站点定向到一个看起来类似,但是虚假的网站
- 语音钓鱼(Vishing)
- 短息钓鱼(Smishing)
- 水坑式攻击(watering hole attack)攻击者选择特定团体或组织作为目标,找出他们经常访问的网站,在网站中注入恶意代码。
确定恶意软件
- 根程序病毒包(rookit)是指想要在最低层级对系统进行全部或部分控制的代码
- 加壳病毒(armored viruse)掩盖自己不被杀毒软件和安全专家发现,此病毒包括混淆代码,使安全研究员难以对他们进行合理的评估进行反向工程
- 多态恶意病毒(Polymorphic malware)使用相同的病毒加密,只有解密模块会在病毒每次感染文件时进行改变
- 蠕虫(worm)是一种恶意软件,和病毒一样,能在感染系统之间进行自我复制。和病毒不同的是,他不需要人的行为就能自我复制,也不需要附着在其他程序和文件中,病毒往往会干扰特定机器的功能,蠕虫会干扰网络功能,蠕虫不需要携带任何恶意的有效
负荷—-他的主要功能仅仅是传播 - 广告软件(Adware)
- 间谍软件(Spuware)是一种秘密安装的恶意软件,目的是为了跟踪并报告目标系统的使用情况,并收集攻击者希望获取的其他数据。
- 特洛伊木马(Trojan Horse)是一种隐藏恶意软件,会对系统造成破坏或为攻击者提供监控和控制系统的平台。与病毒不同,木马不会进行自我复制,也不会附着到其他文件中。
- 键盘记录器(keylogger)是一种用于识别并记录用户进行的每次击键行动的硬件设备或应用软件程序。键盘可以获取密码和其他敏感数据。
- 远程访问木马(rat)是一种专用的特洛伊木马,目标是为攻击者提供目标计算机的未授权访问与控制。(留后门)
- 僵尸网络(botnet)是指被一种叫机器人程序(bot)的控制程序感染的一组计算机,他能使攻击者集中利用这些计算机来发动攻击
- 勒索软件(Ransomware)
- 高级持续性攻击(APT)使用多个攻击向量来获取敏感资源的未授权访问,然后长时间内保留访问权限。
- 逻辑炸弹(logic bomb)是在目标计算机中保持休眠状态直到被某个特定事件激活的一种代码段。如特定的日期和时间,一旦代码被激活,炸弹就会爆炸
确定基于软件的威胁
- 暴力破解(Brute force attack)
- 彩虹表攻击(Rainbow table attack)彩虹表是相关明文密码及其散列的集合。根本原则手机把生成散列这项中央处理器(CPU)集中的工作做好,在攻击过程中,用节省下来的时间换取存储彩虹表的磁盘空间。
- 混合密码攻击(Hybrid password attack)
- 后门攻击(backdoor attack)指攻击者创建一个叫做后门的软件机制来获取计算机的访问权限
- 接管攻击(takeover)这种攻击会侵占系统的所有控制权。表现为在攻击下丧失系统的本地控制
- 应用程序攻击(Application attack)针对基于网页或其他客户端-服务器应用程序的软件攻击
- 客户侧攻击(client-side attacks)利用用户和服务器之间信任关系的应用程序攻击
- 跨站点脚本(XSS)通过将恶意脚本注入可信任网站中进行攻击
- 跨站点请求伪造攻击(CSRF)利用网站授权用户和网站本身之间已经建立起来的信任关系的网络应用程序攻击。
- LDAP注入攻击 一种针对网络应用程序的攻击,通过伪造轻型目录访问协议声明进行攻击,从用户输入中创建,如果应用程序无法合理过滤用户输入,则系统非常容易收到此类攻击。
- XML注入 通过注入有害的可扩展标记语言查询数据来进行的攻击,使攻击者能够获得XML数据结构的访问权限并在服务器中输入恶意代码或读取保存在其中的私密数据。
- 目录遍历 攻击者能够访问与网络文件根目标相关或无关的命令,文件,目录,会影响基于超文本传输协议(HTTP)的接口。
确定基于网络的攻击
互联网
IP
DHCP(动态主机配置协议)
ICMP(互联网控制消息协议)测试服务之间的通过并且在网络功能不可用时发送错误信息
传输
TCP(传输控制协议):一种面向连接的,确保传输的协议,这表示这种协议不仅发送数据,还会等待确认(ACK),并尽可能地修复错误
UDP(用户数据报协议)通过绕过错误检查来确保数据包(数据报)的一致传输,这可能会倒是延迟和处理要求的增加
应用
NetBIOS(网络基本输入/输出系统)一种简单的,基于广播的命名服务
FTP(文本传输协议)通过一个TCP网络,实现了用户工作站和远程主机之间的文件传输。
HTTP和HTTPS实现web内容的传输
SMTP(简单邮件传输协议)实现了电子邮件消息的交换
安全shell(SSH)实现了远程主机的安全连接
欺骗攻击
IP地址欺骗
媒介访问控制(MAC)地址欺骗
ARP中毒
DNS中毒
端口对应:21–FTP 53–DNS 80–HTTP 110–POP3 119–NNTP 443–HTTPS
DOS攻击(拒绝服务式攻击)
使用数据淹没网络链路,消耗所有的可用带宽
发送能够利用应用程序中已知缺陷的数据
发送多个服务请求,消耗系统的资源
用垃圾邮件消息塞满用户的电子邮件收件箱,使真正的消息被退回发送者
几乎任何会中断或禁用系统的事情都会导致DOS攻击。如拉掉服务器插头
DDOS攻击(分布式拒绝服务攻击)使不同网络上的计算机多源同步地发动攻击。攻击者引入未经授权的软件将计算机变成一个僵尸
Dos攻击表现方式
来自网络外部主机的突然且巨量的服务请求
可用互联网带宽的数量突然且原因不明的下降
系统中特定资源突然且大量地被耗尽,引起不寻常的行为或冻结
劫持
点击劫持(Clickjacking)隐藏链接
DNS劫持(DNS hijacking)流氓DNS服务器,使用恶意的网站IP地址响应合法请求,互联网服务供应商(ISP)会应用DNS劫持来为想要导航到不存在域名中的用户显示广告
域名劫持(Domain hijacking)通过修改注册信息盗取域名
会话劫持(Session hijacking)利用一个合法会话来获取组织网络或服务的未授权访问权限
URL劫持(typo squatting)利用在浏览器中输入域名拼写错误的可能性
确定无线威胁
- 双面恶魔(evil twin)
- 干扰(jamming)指无线电波扰乱802.11无线信号的一种攻击。
- 蓝牙劫持(Bluejacking)攻击者从智能手机等设备向他启动蓝牙的设备中发送不想要的蓝牙信号的方式
- 蓝牙窃听(Bluesnarfing)会导致私密信息被信息被利用
- 近场通讯(NFC)
- 有线等效保密(WEP)保护无线网络最早算法,后来被弃用
- 无线保护访问(WPA)为每个被发送的数据包生成一个128位的密钥,防止加密信息被轻易破解。
- WPA2被认为是最安全的无线加密协议
- 无线保护设置(WPS)通过添加更多方法来验证密钥生成,实现无线加密安全性的增强,防止用户选择弱密码。