搜索
1ComputerSecurityRiskAssessment2012.9信息安全风险评估董开坤2ComputerSecurityRiskAssessment2012.9课程内容1.信息安全风险评估概述2.信息安全风险管理与风险评估标准3.信息安全风险评估的基本过程4.信息安全风险评估技术5.信息安全风险分析理论和方法6.信息安全风险评估工具7.信息安全风险评估实例3ComputerSecurityRiskAssessment2012.9第五章安全风险分析理论和方法5.1弱点描述技术5.2弱点数据库5.3特权提升5.4安全故障树理论与分析方法5.5网络攻击图理论与分析方法4ComputerSecurityRiskAssessment2012.95.1弱点描述技术计算机弱点的3个研究方向5ComputerSecurityRiskAssessment2012.9计算机弱点3个研究方向的关系弱点描述技术是弱点检测及弱点评估技术的基础;弱点检测技术是弱点评估的工具,为弱点评估提供了必要的弱点信息;弱点评估技术服务于最终的用户,体现了弱点研究的根本目的,即减少甚至消除弱点;弱点描述与检测技术也为入侵检测、病毒传播等安全领域提供有效的信息支持。6ComputerSecurityRiskAssessment2012.9多维量化属性的弱点分类与描述属性类别所属相关攻击相关因果相关时间相关其它属性属性名称生产厂商OS种类应用程序组件种类出现位置消息来源易攻击性攻击复杂性攻击来源攻击手段攻击所需权限起源成因后果影响安全性威胁引入时间时间影响力发布时间更新时间弱点标识号弱点名称修复操作对象和影响速度弱点的分类属性7ComputerSecurityRiskAssessment2012.9所属相关类属性所属相关类属性描述了弱点所处的载体、位置等空间方面的性质,这类属性可以用来分析弱点空间性质与时间、危害程度、发生概率等其它性质的关系。8ComputerSecurityRiskAssessment2012.9所属相关类属性(2)生产厂商:Sun、Microsoft、RedHat、SGI等;OS种类:Solaris、WindowsNT/2000、Linux、UnixWare、NetBSDUnix、FreeBSD、IBMAIX、SGIIRIX、HPUnix、DigitalOSF等;应用程序:Web浏览器、httpd服务器等各种应用程序;9ComputerSecurityRiskAssessment2012.9所属相关类属性(3)组件种类:系统软件、系统例程、日志软件、邮件软件、加密软件等;出现位置:系统初始化、内存管理、文件管理、设备管理、身份认证和进程管理调度等;消息来源:公开发布到Internet上的信息(新闻组、公开邮递列表、个人邮件)、在印刷品中出现的信息、交换的信息等。10ComputerSecurityRiskAssessment2012.9攻击相关类属性攻击相关类属性描述了针对弱点的攻击行为和成功率等方面的性质,这类属性为弱点检测、验证以及评估弱点被利用的可能性提供了依据。11ComputerSecurityRiskAssessment2012.9攻击相关类属性(2)易攻击性:可用工具包、要求专家知识、普通用户才可采取的动作、管理员方可采取的动作等;攻击复杂性:攻击该弱点的复杂程度,分为简单的命令序列、复杂的命令或指令集、需定时和同步等;攻击来源:也称攻击利用方式,通常分为本地攻击和远程攻击;12ComputerSecurityRiskAssessment2012.9攻击相关类属性(3)攻击手段:如病毒和蠕虫、Dos攻击、欺骗、盗取密钥、网络和系统信息收集、远程服务的非授权访问等;攻击所需权限:使用某通用服务远程访问、通过可信系统访问、使用用户帐号访问、物理访问、特权访问等。13ComputerSecurityRiskAssessment2012.9因果相关类属性因果相关类属性描述了弱点的起源成因和后果影响等性质,通过对这类属性的分析,我们可以揭示弱点是如何产生的,以及弱点的危害程度,从而消除弱点或评估弱点的安全风险。14ComputerSecurityRiskAssessment2012.9因果相关类属性(2)起源成因:缺乏安全训练、未遵循安全过程、重新引入问题、未普遍修复Bug、不一致的说明、未移去调试代码、错误的假设或误导等;15ComputerSecurityRiskAssessment2012.9因果相关类属性(3)后果影响:访问数据(系统数据、用户数据)、命令执行(执行系统命令、执行用户命令)、代码执行(以系统特权执行机器码、以用户权限执行机器码、以系统特权执行脚本、以用户特权执行脚本)、DoS等;安全性威胁:对计算机系统可用性、可鉴别性(主要包括真实性和完整性)、机密性的威胁。16ComputerSecurityRiskAssessment2012.9时间相关类属性时间相关类属性描述了弱点的引入、发布和更新时间等性质,它们为分析弱点的生命周期以及研究时间对弱点其它性质的影响提供了帮助。17ComputerSecurityRiskAssessment2012.9时间相关类属性(2)引入时间:在软件生命周期内弱点被引入的时间,如运转期、维护期、开发期等;时间影响力:在与弱点生存周期相对应的弱点利用周期中,不同的阶段对弱点利用产生不同的影响,所以可以按照弱点利用周期中的时间阶段对弱点进行分类;发布及更新时间:具体时间。18ComputerSecurityRiskAssessment2012.9其它属性弱点标识号:唯一标识一个弱点的符号;弱点名称;修复:按照修复操作分类,分为伪造实体(Spur-iousentity)、遗漏实体、错放实体和错误实体;对象和影响速度:分为社会工程、策略疏忽、逻辑错误和漏洞四种类型。19ComputerSecurityRiskAssessment2012.95.2弱点数据库为了收集、存储和组织弱点信息,人们越来越重视对弱点数据库的设计和开发。弱点数据库作为弱点描述技术的重要应用,同时也为进一步的弱点检测和分析提供了必要的信息支持。在弱点数据库的设计与实现中,人们常常用弱点的分类属性作为数据库表字段以便表达弱点的各方面性质。20ComputerSecurityRiskAssessment2012.9漏洞信息的公开错误的观念–知道漏洞的人越少,系统就越安全;–早期,很多人认为应该把发现的漏洞隐瞒起来;–事与愿违。漏洞的公开,受益最大的还是系统管理员–促使软硬件厂商更快地解决问题;–使管理员更有针对性对系统进行配置和管理。描述程度描述语言更新速度特点CERT/CC较完备英文较慢增加Metric属性Bugtraq较完备英文及时突出攻击脚本代码X-Force一般英文及时弱点数量最多SecurityBugware较少英文终止于2003年详尽的弱点细节CERIAS完备英文一般属性完备CNCERT/CC一般中文较慢增加CNCVE编号绿盟一般中文一般中文库Xfocus一般中文较慢中文库CVE较少英文一般标准化弱点命名eEye较完备英文较慢突出时间影响力SANS较少英文较慢最具威胁性软件厂商较少中英文——突出解决办法ICAT一般英文一般针对CVE弱点描述程度:完备:包含18个以上的分类属性较完备:15个左右一般:10个左右较少:8个以下描述语言中文/英文更新速度及时/一般/较慢主要的弱点数据库22ComputerSecurityRiskAssessment2012.9漏洞库信息一些权威的漏洞库站点http://.securityfocus.corn国外著名的漏洞发布站点,即Bugtraqhttp://.eve.mitre.org国际标准CVEhttp://ntsecurity.net关于Windows系统安全的综合性网站http://.cert.org美国计算机应急响应小组http://xforce.iss.net由ISS公司发布的漏洞库http://.bugnet.com漏洞修补网站http://icat.nist.gov/icat.cfmICAT漏洞发布及漏洞库搜索站点http://.nipc.org.cn国家计算机网络入侵防范中心http://.nsfocus.com绿盟科技http://.chinafirst.org.cn中国信息安全论坛http://.cert.org.cn中国计算机网络应急处理中心23ComputerSecurityRiskAssessment2012.95.3特权提升通过对目前Internet上比较普遍的攻击手法和大量计算机弱点信息的深入分析,发现众多计算机弱点具有这样的特征:属于某低用户级L的攻击者往往通过成功地利用某个(些)弱点,获得一定的特权提升,从而在非授权的情况下达到了一个高用户级H的目的,显然,攻击者的这种L→H用户级的非法提升严重地危害计算机系统的安全性。24ComputerSecurityRiskAssessment2012.9特权提升(2)在攻击过程中,攻击者常常扮演着一定的用户角色并拥有相应的用户特权集。从一般的访问者到普通用户,再到系统管理员,攻击者身份角色的变化,实际上反映出攻击者对目标系统拥有的资源量的变化,即权限的变化。25ComputerSecurityRiskAssessment2012.9主体(Subject)主体:发出访问操作、存取要求、起主动作用的实体,通常指用户或用户的某个进程,用户或用户进程不限于本地系统,可以扩展至整个计算机与网络系统;设全体主体的集合为S={s1,s2,…sn},其中si(i=1,2,…n)表示单个主体。26ComputerSecurityRiskAssessment2012.9客体(Object)客体:信息的载体、被调用的程序或欲存取的数据,即起被动作用的实体,如文件、存储器、接口等。这种实体的范围同样也扩展到整个计算机与网络系统;设全体客体的集合为O={o1,o2,…oo},其中oj(j=1,2,…o)表示单个客体。27ComputerSecurityRiskAssessment2012.9特权特权:对信息系统的一个访问单元,对一个对象的访问模式¾对象:系统中的文件、进程、设备等资源¾访问模式M={读,写,执行,setuid,setgid}28ComputerSecurityRiskAssessment2012.9特权提升原子利用一个漏洞的攻击描述,Bid,Cname,Elevel,Pr¾Bid:Bugtraq的id号;¾Cname:此弱点影响的程序名字;¾Elevel:利用此弱点的提升特权的容易程度;¾Pr:攻击者利用此弱点后获得的特权描述。29ComputerSecurityRiskAssessment2012.9特权提升路径攻击者利用多个弱点不断提高访问权限的过程。‗P:结点,所属特权层。‗弧:利用目标系统的一个弱点获得一次特权提升。‗V:特权提升原子。P0P1Pk。。。V1V2Vk例1:利用linux的pop2d缓冲区溢出弱点(BID=283)获得nobody用户的权限。P0P1P3V1V2V3P2¾P0:远程访问权限;¾V1:(0,nmap,E6,扫描获得操作系统类型linux)¾P1:远程访问权限,获得操作系统类型¾V2:(0,nmap,E6,获得目标系统运行pop2d)¾P2:远程访问权限,获得目标系统服务¾V3:(283,pop2d,E5,nobody)¾P3:nobody用户例1的特权提升图root用户权限P0P1P2P3V2某特权用户权限普通用户权限无shell用户权限V3获得系统服务获得操作系统类型V1远程访问权例2:Linux本地用户用xlock弱点(BID=1267)读取/etc/shadow文件,然后利用crack破解软件破解口令。P0P1