网络安全三要素
网络安全领域中,经常会说CIA三要素,即机密性、完整性、可用性。什么是机密性、完整性、可用性?
机密性 |
机密性,是指使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
完整性 |
完整性,是指保卫资产准确和完整的特性。用户、进程或者硬件组件具有能力,能够验证所发送或传送的东西的准确性,并且进程或硬件组件不会被以任何方式改变。
可用性 |
可用性,是指已授权实体一旦需要就可以访问和使用的数据或资源的特性。也是在某个考察时间内,系统能够正常运行的概率或时间占有率期望值。
什么是资产、威胁、脆弱性、风险?[4-7]
资产 |
资产,宽泛的理解是对组织具有价值的任何东西。在安全领域,通常说的保护信息资产,所指的更多是IT信息系统,也包括IT基础设施、网络、软硬件、数据等。
威胁 |
威胁,是指对资产或组织可能导致负面结果的一个事件的潜在源。威胁的分类方法很多,有直接威胁,如黑客攻击、员工破坏等;也有间接威胁,如无意识的错误、判断失误等。
脆弱性 |
脆弱性,是指资产中能被威胁所利用的弱点。在安全领域,大家一般说脆弱性是特指漏洞,可能是软硬件的漏洞,也可能是流程、设计等方面的漏洞。
风险 |
风险,是指一个给定的威胁,利用一项资产或多项资产的脆弱性,对组织造成损害的潜能。可通过事件的概率及其后果进行度量。在安全领域,更多是特指信息安全风险,由安全威胁、系统漏洞等导致的安全隐患。
什么是认证、授权、特权帐户、最小特权?[8-11]
认证 |
认证,在安全场景中一般指身份验证,是指通过一定的手段,完成对用户身份的确认,即验证你的凭据。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证,如登录口令、邮箱口令等;基于生物学特征的身份验证,如人脸、指纹等;基于公开密钥加密算法的身份验证,如SSL、数字签名。根据安全级别不同,也可分为单因素、双因素、多因素身份验证。
授权 |
授权,是指赋与某一主体可实施某些动作的权力的过程。在安全场景中一般指确定你是否有权访问资源。授权发生在系统成功验证你的身份后,最终会授予你访问资源(如信息,文件,数据库,资金,位置等等)的完全权限。简单来说,授权决定了你访问系统的能力以及达到的程度。
特权帐户 |
特权帐户,一般理解为具有系统最高权限的一类管理员帐户。由于特权帐户往往拥有很高的权限,如ROOT、ADMIN、DBA等,因此一旦失窃或被滥用,会给组织带来非常大的网络安全风险,所以特权账户管理(简称PAM)往往在显得十分重要。特权账户管理的原则一般包括:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能等。
最小特权 |
最小特权,是最小化特定权限的简称。一般理解为主体的访问权限的最低限度,即仅执行授权活动所必需的那些权利。最小特权是安全的基本原则之一,是安全实践中较为有效的降低安全风险的措施。
什么是访问控制、安全审计、安全度量?[12-14]
访问控制 |
访问控制,是指一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问手段。访问控制的应用措施很多,常见的网络中有路由交换实现的访问控制(列)表ACL;应用系统中主体以及主体对客体的访问权操作类型的设置或限制,如:读、写、执行、添加、修改、删除与创建。
安全审计 |
安全审计,可以理解为产品功能,是指对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动作。也可以理解为是一种检查措施,往往是事后的一种发现问题、促进优化、改进提升的手段。
安全度量 |
安全度量,是指为了完成对一个或几个安全属性的测量,所定义的测量形式(测量方法、计算函数或分析模型)和尺度。安全度量往往会设计很多不同的度量指标,来反映对应某些安全属性的情况。
什么是纵深防御、零信任、滑动标尺?[15-17]
纵深防御 |
纵深防御,英文为Defence-in-Depth,简称DiD,原本是军事领域术语,在战争学概念中,指防御地区或防御部署的纵向深度,分为战役纵深防御和战术纵深防御。在网络安全领域,理解为设置多层重叠或不同类型的安全防护措施而构成多道防线,即使某一防线失效也能被其他防线弥补或纠正,即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错发生。
零信任 |
零信任,英文为Zero Trust,是近年来新兴起的新一代网络安全防护理念。
零信任并不是不信任,而是作为一种新的身份认证和访问授权理念,不再以网络边界来划定可信或者不可信,而是默认不相信任何人、网络以及设备,采取动态认证和授权、持续监控验证的方式重新构建访问控制的信任基础,把访问者所带来的网络安全风险降到最低。
滑动标尺 |
滑动标尺,是网络安全滑动标尺模型的简称,英文全称为The Sliding Scale of Cyber Security。类似于信息安全CMMI能力成熟度模型,其将企业安全能力分五个阶段,分别是架构安全、被动防御、主动防御、威胁情报和反击威慑。
什么是PDR、PPDR、PDRR、PPDRR?[18-21]
PDR |
PDR,是Protection、Detction、Response的简写,中文为保护、检测、响应,是最早的安全模型之一,早期的PDR是直线型的,还没有动态、循环的理念。PDR模型简洁精炼,抓住了安全的三个核心要素,是安全在一个特定时代的特征缩影。
PPDR |
PPDR,它是在PDR基础上,前面加上了一个Policy,也写作P2DR,意思是围绕安全策略,开展保护、检测和响应等安全工作,是PDR模型的一个升级版,同时由直线型升级成循环型,可见在当时是一种安全理解的进步。
PDRR |
PDRR,它也是在PDR基础上的一个升级版,为了突出强调入侵响应中的恢复动作,所以把响应分成了Response和Recovery,于是形成PDRR模型,即保护、检测、响应、恢复。PDR由三要素优化为四要素,可以看出不仅从安全视角看问题,也更多考虑业务视角,是安全理念发展的又一进步。
PPDRR |
PPDRR,是PPDR和PDRR的融合,它是动态的、自适应的安全模型之一,也是指导安全工作的一个典型参考模型。它包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)五个主要部分。
什么是ASA、CARTA、NTCTF?[22-24]
ASA |
ASA,英文全称Adaptive Security Architecture,中文称自适应安全架构,是由Gartner在2014年提出的安全体系,以持续监控和分析为核心,将防御、检测、响应、预测四个方面结合起来提供更好的安全服务,实现持续的自我进化,自我调整来适应新型、不断变化的攻击类型。
CARTA |
CARTA,英文全称Continuous Adaptive Risk and Trust Assessment,中文称持续自适应风险和信任评估。2017年,Gartner创造性地提出了这一全新的战略方法,即CARTA,它是ASA的升级版,强调要持续地和自适应地对风险和信任两个要素进行评估。没有零风险,也没有100%信任,需要通过持续分析、动态适应来权衡风险和信任。
NTCTF |
NTCTF,英文全称NSA/CSS Technical Cyber Threat Framework,中文为美国国家安全局/中央安全局网络空间威胁框架,其中CTF是指网络威胁框架。它提供了一种通用语言,用于描述和交流有关网络威胁活动的信息。
什么是威胁情报、TTPs、IOC?[25-27]
威胁情报 |
威胁情报,是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内多数所说的威胁情报可认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
TTPs |
TTPs,英文全称Tactics Techniques Procedures,中文为战术、技术和程序。它反映了攻击者的行为。TTPs最早源于军方,David发表的痛苦金字塔模型中,将TTPs位于痛苦金字塔的最顶端,几篇关于TTPs的文章推荐Harlan Carvey的《TTPs》和《Follow up on TTPs post》,Ryan Stillions 的文章《On TTPs》。
IOC |
IOC,英文全称Indicators of Compromise,中文为失陷指标,Mandiant于2010年正式定义了失陷指标(IOCs)。IOC生成是以结构化的方式记录事件的特征和证物的过程。它包含从主机和网络角度的所有内容,而不仅仅是恶意软件。它可能是工作目录名、输出文件名、登录事件、持久性机制、IP地址、域名,甚至是恶意软件网络协议签名。
什么是钻石模型、Kill-Chain、ATT&CK?[28-30]
钻石模型 |
钻石模型,英文全称The Diamond Model,是一个针对单个安全事件分析的模型,核心就是用来描述攻击者的技战术和目的。模型建立的基本元素是入侵活动事件,每个事件都有四个核心特征:对手、能力、基础设施及受害者。这些功能通过连线来代表它们之间的关系,并布置成菱形,因此得名“钻石模型”。
Kill-Chain |
Kill-Chain,亦写作Cyber-Kill-Chain,中文为网络攻击杀伤链。杀伤链源自军事领域,它是一个描述攻击环节的模型,理论上也可以用来预防此类攻击(即反杀伤链)。网络攻击杀伤链由洛克希德-马丁公司提出,用来描述针对性的分阶段攻击。杀伤链共有发现-定位-跟踪-瞄准-打击-达成目标六个环节,每一环节都是对攻击做出侦测和反应的机会。
ATT&CK |
ATT&CK,英文全称Adversarial Tactics, Techniques, and Common Knowledge,中文为对抗性的策略、技巧和常识。
它是由美国MITRE机构2013首次提出的一套攻击行为知识库模型和框架,它将已知攻击者行为转换为结构化列表,汇总成战术和技术,并通过若干个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK Matrix for Enterprise中战术按照逻辑分布在多个矩阵中,以“初始访问”战术开始,经过“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露“、”影响“等共计12项战术。
什么是安全域、微隔离?[31-32]
安全域 |
安全域,是指一种具有相同安全策略的资产和资源的集合,通过区域的划分,对不同区域能更好的执行不同的、针对性的安全防护策略。在安全建设早期及传统网络里,安全域都是安全策略的主要控制措施之一,随着云计算、虚拟化等技术的兴起,网络边界的泛化、模糊和不确定性增加,安全域逐步被淡化,但其思想依然有一定的指导意义。
微隔离 |
微隔离,是安全域理念的升级版,顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向移动。
什么是OWASP、WASC?[33-34]
OWASP |
OWASP,英文全称The Open Web Application Security Project,中文称开放式Web应用程序安全项目,它是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP组织发布了一些列安全最佳实践的指南、手册、研究报告等,被业内耳熟能详的如OWASP Top10、OWASP Testing Guide、OWASP SAMM等。
WASC |
WASC,英文全称Web Application Security Consortium。是一个由安全专家、行业顾问和诸多组织的代表组成的国际团体。他们负责为WWW制定被广为接受的应用安全标准。WASC组织的关键项目之一是“Web安全威胁分类”,也就是将Web应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分类。
本文来自投稿,不代表首席安全官立场,如若转载,请注明出处:https://www.ciocso.com/article/4572.html