淺談常見的防禦

現在我們可以做什麼

• 盤點系統

  掌握目前使用的系統或服務有沒有漏洞是很重要的一件事

  • 要去哪裡搜尋系統或服務在哪些版本有什麼漏洞

    • CVE

      • Common Vulnerabilities and Exposures
      • 收集所有公開紕漏的電腦軟體漏洞，簡短收錄漏洞的漏洞的編號與風險名稱，目的是將已知漏洞與安全風險名稱標準化

    • CVSS

      • Common Vulnerability Scoring System
      • 標準化漏洞的評分
        • 風險低~風險高
        • Low(0.1-3.9) -> Medium(4.0-6.9) -> High(7.0-8.9) -> Critical(9.0-10.0)
      • CVSS vendor
        • AV(Attack Vector)
          • 攻擊途徑
          • 該如何利用此漏洞
            • Local
            • Adjacent Network
            • Network
        • AC(Attack Complexity)
          • 攻擊複雜度
            • High
            • Medium
            • Low
        • PR(Privileges Required)
          • 身份認證
            • Mulitple
            • Single
            • None
        • UI(User Interaction)
          • 代表用戶交互
          • None
            • 不需與user互動
          • Required
            • user須做出某些行為
            • EX: 以管理員下載軟體
        • S(Scope)
          • 代表作用域、影響範圍、授權範圍
          • Unchanged
            • 漏洞只能影響同樣的授權範圍
          • Changed
            • 漏洞可影響未被授權的範圍
        • C(Confidentiality Impact)
          • 代表機密性影響，指信息訪問限於授權用戶，以及防止未授權的用戶訪問
            • None
              • 不影響系統機密性
            • Partial
              • 可以訪問某些系統文件，但無法控制取得的內容
            • Complete
              • 可取得所有數據
        • I(Integrity Impact)
          • 代表完整性影響，完整性指的是訊息的可依賴性與準確性
          • None
            • 不影響系統完整性
          • Partial
            • 可以修改某些系統文件，或是修改的內容有限
          • Complete
            • 可修改系統上所有文件內容，整個系統已失去保護
        • A(Availability Impact)
          • 代表可用性影響，指的是訊息的可訪問性
          • None
            • 不影響系統可使用性
          • Partial
            • 性能降低或資源中斷
              • EX: DDOS，只有有限數量可成功連到互聯網
          • Complete
            • 完全不可使用，攻擊方以使資源完全不可用

    • NVD

      • National Vulnerability Database
      • NIST維護基於標準的漏洞管理數據資料庫
        • 實現漏洞管理、安全測量及正規化
        • 儲存漏洞、配置檔錯誤、影響向量(CVSS vendor)
        • 
• 提升員工資安意識

  病毒與惡意程式，十之八九來自於企業內部人員

  • 再怎麼嚴密的防範，只要內部人員沒有足夠的資安認知，不需有高超的技巧也可以穿過重重障礙竊取到機密資料
    • 定時掃毒
    • https安全性更高於http，使用http時須小心
    • 使用盜版軟體，盜版軟體可能存在惡意程式
    • 釣魚郵件
      • 郵件地址可能會裝成跟真實郵件地址很像，如果發現郵件地址有異樣，那封郵件可能就是釣魚郵件
      • 突如其來的改帳號密碼需求或是下方提供登入連結並進入系統更改資料，最好還是跟真正的網址進行交叉比對
    • 注意電腦異常流量、異常日誌量或不在盤點系統內的服務突然開啟
      • Dos或DDoS會帶來異常的網路流量
      • 暴力破解密碼時，linux的/var/log/auth.log會記錄攻擊方使用了哪些IP，出現甚麼錯誤信息。由於是暴力破解，log會比往常多出相當多的數據