附录B(资料性附录)信息安全事件及其起因示例

附录B(资料性附录)信息安全事件及其起因示例

A.1.1 拒绝服务

拒绝服务(DoS)和分布式拒绝服务(DDoS)是事件的一个大类,具有共同点。这类事件导致系统、服务或网络失败,不能按其预期能力持续运行,经常导致合法用户完全不能访问。技术手段导致的DoS/DDoS事件类型主要有两种:资源消除和资源耗尽。

故意的技术型DoS/DDoS事件的典型例子包括:

— 侦测网络广播地址,用响应流量占满网络带宽;

— 向系统、服务或网络发送意外格式的数据,试图至其崩溃或扰乱其正常运行;

— 开启特定系统、服务或网络的多个授权会话,试图耗尽其资源(即,至其慢速、锁定或崩溃)。

这种攻击经常通过僵尸工具来进行,即一个运行了恶意软件受僵尸网络控制的计算机系统。僵尸网络是受人集中控制的僵尸命令和控制网络。僵尸网络的规模可从数百台到数百万台受感染的计算机。

某些技术型DoS事件可能是意外造成的,例如,操作员的错误配置或应用软件的不兼容,但多数时候是故意的。某些技术型DoS事件是被有意发起的,目的在于导致系统、服务或网络崩溃,而其他那些仅是其他恶意活动的副产品。例如,某些较常见的隐形扫描和识别技术可能会导致旧的或错误配置的系统或服务在扫描时崩溃。值得注意的是,许多故意的技术型DoS事件往往是匿名执行的(即攻击源是“伪造的”),因为它们通常不需要攻击者从受攻击的网络或系统接收任何反馈信息。

非技术手段导致的DoS事件,造成信息、服务和(或)设施损失,可能由如下示例引起:

— 违反物理安全规定,造成设备的失窃或故意损坏和破坏;

— 由火灾或水灾导致的对硬件(和(或)其位置)的意外损坏;

— 极端的环境条件,例如,高运行温度(如因空调故障);

— 系统故障或过载;

— 不受控的系统变更;

— 软件或硬件故障。

A.1.2 未授权访问

通常,这类事件包括在实际未授权的情况下尝试访问或误用系统、服务或网络。技术型未授权访问事件的一些例子包括:

— 试图找回密码文件;

— 缓冲区溢出攻击,试图获得对目标的特权(例如,系统管理员)访问;

— 利用协议漏洞,劫持或误导合法的网络连接;

— 试图提升对资源或信息的访问特权,以致超出一个用户或管理员已经合法所拥有的。

非技术手段导致的未授权访问事件,造成直接或间接的信息泄露或篡改、责任违约或信息系统误用,可能由如下示例引起:

— 违反物理安全规定,造成对信息的未经授权访问;

— 由于系统变更不受控或者软件或硬件故障,致使操作系统配置不当和(或)错误。

A.1.3 恶意软件

恶意软件是指一个程序或一个程序的部分被插入另外一个程序中,意在修改原来的行为,通常进行恶意活动,诸如盗用信息和身份、破坏信息和资源、拒绝服务,发送垃圾邮件等。恶意软件攻击可分为五类:病毒、蠕虫、特洛伊木马、移动代码和混合攻击。其中,病毒旨在植入任何易受感染的系统,而其他恶意软件被用于针对特定目标进行攻击。这有时通过修改现有的恶意软件,生成不易被恶意软件检测技术认出的变体的方式进行。

A.1.4 滥用

这类事件通常是因用户违背组织信息系统安全策略造成的。严格来说,这种事件并不是攻击,但通常作为事件来报告且宜由IRT管理。不当使用可包括:

— 下载并安装黑客工具;

— 利用企业电子邮件发送垃圾邮件或推广个人业务;

— 利用公司资源建立未经授权的网站;

— 利用对等网络(P2P)获取或发布盗版文件(音乐、视频、软件)。

A.2 信息收集

通常,信息收集类事件包括识别潜在目标,了解这些目标上运行的服务等相关活动。这类事件涉及以识别如下信息为目标的侦测:

— 存在的目标及其周边的网络拓扑结构和与其日常通信的对象;

— 目标或其即时网络环境中可能被利用的潜在脆弱性。

通过技术手段进行信息收集攻击的典型例子如下:

— 镜像目标互联网域的域名系统(DNS)记录(DNS区域传输);

— 侦测网络地址以发现活跃的系统;

— 探测系统以识别(例如,采集痕迹)主操作系统;

— 扫描系统上的可用的网络端口来识别网络服务(例如,电子邮件、文件传输协议(FTP),网页等),以及这些服务的软件版本;

— 在网络地址范围中扫描一个或多个已知的易受攻击的服务(水平扫描)。

在某些情况下,技术型的信息收集可能会导致未授权访问。例如,攻击者在搜索脆弱性时还会试图获得未授权访问。这通常发生在使用自动化工具。自动化工具不仅搜索脆弱性,还自动地试图发现并利用系统、服务或网络中的脆弱性。

非技术手段导致的信息收集事件,会造成如下后果:

— 直接或间接的信息泄露或篡改;

— 电子化存储的知识产权的被盗;

— 责任违约,例如,在帐户记录中的责任违约;

— 信息系统滥用(例如,违反法律或组织策略)。

信息收集事件可能由如下原因(示例)导致:

— 违反物理安全规定,造成对信息的非授权访问,以及含有重要数据(例如,密钥)的数据存储设备失窃;

— 由于系统变更不受控或者软件或硬件故障,致使操作系统配置不当和(或)错误,进而导致内部或外部人员获得额外的信息访问权限;

— 社会工程,一种操纵人们行动或泄露机密信息的行为,例如,网络钓鱼。

本文章首发在 网安wangan.com 网站上。

上一篇 下一篇
讨论数量: 0
只看当前版本


暂无话题~