理解访问控制攻击方式
-
访问控制的一个目标是要阻止针对客体的未授权访问,包括访问任何系统信息(如网络、服务、通信连接、计算机和未授权访问数据等)。
-
除了控制访问,IT安全方法能够防止未授权的披露和变更,并提供一致的资源可用性。换句话说,IT安全方法试图防止机密性破坏、完整性破坏和可用性破坏。
风险元素
-
风险指的是某种潜在的威胁将利用某种漏洞造成某种损失(如对某项资产的损害)的可能性。威胁指的是某个事件发生的趋势,可能会产生某种不良的后果。
-
风险管理指的是通过执行控制和应对措施试图减少或消除漏洞或减少潜在威胁的影响。消除风险是不可能的,或者说是不可取的。相反,组织应将重点放在减少那些对其有极大损害的风险上。风险管理过程初期的重要步骤如下:
-
识别资产
-
识别威胁(外部的)
-
识别漏洞 (内部的)
识别资产
-
·资产评估指的是确定各种资产的实际价值并对它们进行目标优选,了解资产的价值也有助于成本效益分析,这样可以确定不同类型安全控制的成本效益。在发生访问控制攻击的情况下,评估数据的价值很重要。
识别威胁
-
识别对有价值系统的任何可能威胁。威胁建模指的是识别、理解和分类潜在威胁的过程。目标之一是识别对这些系统的威胁潜在列表和分析威胁。
-
威胁建模方法:
-
专注资产:使用资产估值结果,并试图识别对有价值资产的威胁。
-
专注攻击者:识别潜在的攻击者,并基于攻击者的目标识别他们代表的威胁。
-
专注软件:如果组织开发软件,那么可以考虑针对软件的潜在威胁。
高级持续性威胁
-
任何威胁模型都应该考虑已知威胁的存在,一种相对较新的威胁是高级持续性威胁(APT。APT指的是一起工作的一群攻击者,高度积极、熟练、有耐心。他们有先进的知识和各种技能,能够检测并利用漏洞。他们持之以恒,并专注于利用一个或多个特定目标而不是任何机会目标。
识别脆弱性
-
在识别有价值的资产和潜在威胁后,组织将执行漏洞分析。换句话说,试图发现这些系统在潜在威胁面前的弱点。在访问控制的情境下,漏洞分析试图识别不同访问控制机制的优缺点,以及利用了弱点的潜在威胁。
-
脆弱性分析是一个持续的过程,包括技术和管理措施。在较大的组织中,可能会有特定的人把脆弱性分析作为一项全职工作。他们定期进行漏洞扫描,寻找各种各样的漏洞并报告结果。在规模较小的组织中,网络管理员可以定期运行脆弱性扫描,如每周或每月一次。
-
风险分析通常会包括脆弱性分析,评价系统和环境的已知威胁和漏洞,然后就是利用漏洞的渗透测试。
访问聚合攻击
-
访问聚合是指收集多个非敏感信息块,并将它们结合起来获得敏感信息。换句话说,一个人或个组织可以收集有关系统的多个事实,然后使用这些事实发动袭击。
结合深度防御、“知其所需”和最小特权原则有助于防止聚合攻击。
![身份与访问控制4-2 理解访问控制攻击方式]( "身份与访问控制4-2 理解访问控制攻击方式")
密码攻击
-
密码是最弱形式的认证。如果攻击者成功发动密码攻击,攻击者可以访问账户和授权给账户的所有资源。如果攻击者发现根或管理员密码,攻击者可以访问任何其他账户及其资源。
-
字典攻击:通过使用预定义数据库或常见预定义密码列表中所有可能的密码来发现密码。
-
暴力攻击(又称蛮力攻击):试图通过系统尝试所有可能的字母、数字和符号组合来发现用户账户的密码。
生日攻击
-
生日攻击关注于寻找碰撞,其名称来自于一种称为生日论的统计现象。生日悖论认为,如果把23个人关在一个房间,那么任何两人同一天生日的可能性有50%。
-
这类似于发现具有相同散列的任何两个密码。如果一个散列函数只能创造366个不同的散列那么攻击者(他只有23个散列样本)有50%的机会发现两个密码有相同的散列。
彩虹表攻击
-
通过猜测、散列,然后与有效的密码散列进行比较来寻找密码需要很长时间。然而,彩虹表可以通过使用大型预先计算的散列数据库来减少时间。攻击者猜测密码(用字典攻击或暴力攻击)、对其进行散列,然后把猜到的密码和所猜到密码的散列放人彩虹表中。
-
密码破译器可以将彩虹表中的每个散列和被盗密码数据库文件的散列进行比较。传统的密码破解工具必须在对比散列之前猜测密码并对其进行散列。然而,当使用彩虹表时,密码破译器猜测和计算散列不会花费任何时间。只是在找到匹配之前对散列进行比较。这可以大大较少破解密码所花费的时间。
嗅探攻击
-
嗅探捕获通过网络发送的数据包,以便对数据包进行分析。嗅探器(也称为数据包分析器或协议分析器)是一个软件,通过网络捕获流量。管理员使用嗅探器来分析网络流量和排除故障。
-
当然,攻击者也可以使用嗅探器。嗅探攻击(也称为窥探攻击或窃听攻击)在攻击者使用嗅探器捕获通过网络传播的信息时发生。它们可以捕获和阅读任何在网络上以明文发送的数据,包括密码。
社会工程学攻击
-
有时候直接询回是得到别人密码的最简单方式,这也是社会工程学常用的一种方法。
-
社会工程学陷阱是指攻击者通过欺骗包括虚假奉承、假装或行为默许)尝试获取他人信任的行为。
-
通常社会工程学的目的是获得进入IT基础设施或物理设施的权限。
![身份与访问控制4-2 理解访问控制攻击方式]( "身份与访问控制4-2 理解访问控制攻击方式")
网络钓鱼
网络钓鱼它试图诱骗用户,使之掉以轻心,从而打开附件或链接。个人可通过以下简单规则来规避网络钓鱼等常见风险的发生
-
对未知邮件或匿名邮件保持怀疑态度、
-
千万不要打开未知邮件的附件。
-
千万不要通过邮件分享敏感信息
-
对邮件中的任何链接保持怀疑态度。
![身份与访问控制4-2 理解访问控制攻击方式]( "身份与访问控制4-2 理解访问控制攻击方式")
防护方法汇总
-
对系统的物理访问控制。
-
对文件的电子访问控制
-
加密密码文件。
-
创建强密码策略
-
使用密码掩码配置多因素身份认证
-
使用账户锁定控制。
-
使用最后一次登录通知
-
对用户进行安全教育
本文始发于微信公众号(网络安全等保测评):身份与访问控制4-2 理解访问控制攻击方式
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论