2020年3月3日,360安全大脑披露美国中央情报局攻击组织(APT-C-39)对我国大型互联网公司、政府部门及相关企业进行长达11年的网络攻击渗透,该组织所使用的网络武器和CIA“Vault7”项目中的网络武器完全吻合。如今随着互联网技术的蓬勃发展,网络攻击手段层出不穷,如何更好的保护企业机密信息不被非法泄露,成为全世界科研人员共同的话题。
在互联网设计初期,为了更好的对互联网进行管理,依照OSI标准,按照物理层、数据链路层、网络层、传输层、会话层、表示层和应用层对网络进行了划分,网络攻击行为的发生,也是针对其中一层或多层的弱点进行展开的。对此,我们可以分析网络各层不同的弱点分析存在的攻击行为,并总结防范手段,对于我们的防范工作会有很好的借鉴意义:
一、针对物理层的攻击
针对物理层的攻击方法就是比较暴力直接的攻击方式,一般是针对其网络硬件和基础设施来进行物理破坏或者是强行改变路由器,比如说要去攻击一个公司,就把他们公司的网线剪掉,让他们无法访问外网。
防范手段:保护物理线路的可靠性,对于物理设备的接入采用双线、双设备接入,保证物理线路和物理设备的可靠性,并处于监管的状态。
二、针对数据链路层的攻击
针对数据链路层的攻击常见的是对基于mac地址的伪装欺骗,在数据链路层有两个重要的协议ARP(地址解析协议)和RARP协议(反向地址解析协议),常见的攻击方式就是ARP欺骗(ARP伪装),其攻击原理为攻击者利用自己伪造的mac地址来告诉被攻击者自己是对方想要访问的身份,显而易见这个身份是攻击者自己伪造的,从而欺骗被攻击者将数据流量转发到自己伪造的身份地址上,进而获取数据,达到欺骗的目的。
防范手段:对于系统和通信网络中关键的设备进行ARP地址绑定,可以在Windows中输入arp-s gate-way-ip gate-way-mac固化ARP表,也可以通过安装ARP防护软件对ARP信息进行防护。
三、针对网络层的攻击
针对网络层的攻击也是目前互联网上常见的几种主要的攻击方式,如Smurf攻击(通过将回复地址设置为受害网络的广播地址,使用数据包淹没目标主机)、ICMP路由欺骗攻击、IP分片攻击、ping of death(死亡之ping)、IP欺骗伪造攻击,其通性都是通过制造大量的无用数据包,对目标服务器或者主机发动攻击,使得目标对外拒绝服务,可以理解为DDOS或者是类DDOS攻击。
防范手段:可以通过扩大带宽并部署DDOS防御系统来防御拒绝攻击,对于攻击发生过的IP和确认安全的IP,可以通过设置防火墙上IP白名单和黑名单对通信主机的地址进行限制、绑定,防止欺骗行为的发生。
四、针对传输层的攻击
针对传输层的攻击主要是利用TCP/UDP协议进行攻击,而利用TCP协议攻击主要是利用TCP协议的三次握手机制,向目标主机或者服务器发送大量连接请求但是不对其进行响应,使得占用大量目标服务器主机资源,造成瘫痪的攻击方式,常见的攻击方式由Flooding洪泛攻击、ACK flooding洪范攻击等,而利用UDP的攻击主要是利用流量攻击,使用UDP的不可靠性,大量发送数据包,造成目标拒绝服务的目的,常见的攻击方式有UDP flooding洪泛攻击。
防范手段:在这里也可以通过部署抗DDOS防御系统进行防护,并扩大带宽,对数据包进行筛选、防护。
五、针对会话层的攻击
针对会话层的攻击主要是利用或者窃取合法用户的cookie和session,然后冒用或者利用合法用户的身份,以达到非法授权访问的目的,其主要攻击目标为攻击cookie和token,常见的攻击方式有XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。
防范手段:针对会话层的攻击防范,主要是针对用户登录的cookie信息进行利用或盗取。为减少并防止该类攻击事件的发生。首先是应当在用户登录时,可采用双因子的认证方式,确认用户信息,并在cookice设置中启动httponle属性,并在代码层面添加随机产生的token认证,认证用户数据包信息,防止用户身份认证信息被窃取并盗用。
六、针对表示层的攻击
针对表示层的攻击主要是针对格式翻译和数据处理来进行的,攻击方式有Unicode攻击和计算溢出攻击。
防范手段:在系统设计层面,应考虑拥有足够充足的缓冲区,保证数据不会溢出被修改、覆盖。严格而控制服务器上文件和文件夹的权限,对登录用户和后台管理人员的权限进行合理的分配,防止服务器文件和文件夹被非法利用。
七、针对应用层的攻击
针对应用层的攻击主要是针对应用程序的设计漏洞进行的对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。其方法包括未经审查的WEB方式的信息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞、弹出漏洞、错误处理不当、不安全存储、拒绝服务、不安全配置管理等。
防范手段:针对服务器的访问控制权限进行严格划分分配,防止管理员权限过大,可以采用基于角色的访问控制策略,保证用户的最小特权化。对服务器系统及时修补补丁,保证信息系统的一个安全状态,并对系统内用户行为和安全事件进行审计记录。
除此之外,WAAP全站防护也是非常符合osi七层网络攻击的防护,全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。全站防护的特性在于:
1.全周期风险管理
基于事前-事中-事后全流程,通过资产发现→策略布防→体系化运营,实现风险管理闭环
2.全方位防护
聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块,实现覆盖L3-L7层的全站防护
3.简化安全运营
统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛,大幅降低安全运营复杂度和人力成本
4.防护效果卓越
多模块数据联动,秒级识别低频DDoS、业务欺诈等隐藏恶意行为;主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁
体系化防护架构:引擎融合+风险闭环,并且拥有四大功能:云端部署、风险管理、全站防护以及安全运营。
一、云端部署
一键接入,无需改造现有架构,专家7*24小时在线支撑,实时解决问题
二、风险管理
在事前阶段,结合安全专家服务,帮助企业发现并收敛Web业务安全风险
1.漏洞扫描
通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等);
2.渗透测试
派出安全专家,以黑客视角对目标系统进行非破坏性漏洞挖掘,清查目标系统潜在的安全隐患;
3.智能化防护策略
平台基于客户业务的智能化分析,可自动适配防护策略,实现开箱即用;
4.API资产盘点
基于流量分析,帮助企业从流量数据中发现尚未掌握的API业务,形成API资产清单,为后续的防护工作做好资产盘点;
5.互联网暴露面资产发现
通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;
三、全站防护
在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环
1.DDoS防护
秒级检测专利技术,在边缘实时清洗网络层DDoS攻击;
2.CC防护
基于AI的流量行为分析技术,实现对应用层CC攻击的秒级检测及防御;
3.业务安全
针对业务层面,提供轻量化的信息防爬和场景化风控能力;
4.API安全
针对API应用进行精细化的管理和防护,规避API滥用行为、防止数据泄露;
5.Web攻击防护
覆盖OWASP Top10的各类Web攻击防护,基于CDN的分布式算力提供弹性防护和海量IP封禁,同时支持与源站本地防护联合决策提高防御精度;
6.全站隔离
基于远程浏览器隔离技术使网站源代码不可见,从而主动隐藏网站攻击面,同时结合混淆访问路径、加密交互内容等技术,实现对0day漏洞攻击的有效屏蔽;
7.协同防护
通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。
四、安全运营
在事后阶段,以降低风险为目标,全站防护管理平台提供体系化的安全运营能力,帮助企业夯实全周期风险管理闭环
1.全面的安全态势
聚合各防护模块数据,以简洁、贴近业务的形式呈现,用户可总览web安全态势,主动感知和响应已知安全事件;
2.持续优化的托管策略
结合平台实战对抗经验和持续的攻防研究成果,管理平台持续提供推送更高质量的防护规则和策略建议,对业务防护策略进行优化,与黑产持续对抗;
3.安全专家运营
资深安全专家提供策略优化、应急响应、重保等专项安全服务,同时对客户风险的持续监测与防护管理。
以上是针对OSI网络七层的攻击方式和防范方法的总结,构建信息安全防御体系,不仅需要从安全技术角度进行挖掘,还需要针对管理体系进行建设。只有这样,才会有一个绿色安全的网络环境。
