• 企業安全防護方案與威脅模型

    Image result for attack defense

    這篇文章主要從整個威脅的循環說明安全防護的手段與方法,

    • 網路威脅(病毒, 駭客攻擊, APT)如何在企業環境中產生危害?
    • 整個循環中有什麼相對應的安全防護措施?
    • 業界有哪些參考的模型與方案?

    APT攻擊模型

    APT的攻擊模型主要是透過許多社交工程的方式潛入惡意程式

    經過一段時間的潛伏期再無聲無息的進行竊取資料

    整個攻擊的過程, 攻擊的環節可以有哪些防護措施? 參考下圖

    cyber-kill-chain-APT

    http://www.lockheedmartin.com/us/what-we-do/aerospace-defense/cyber/cyber-kill-chain.html

    cyber-kill-chain-v3

    killchaintable

    Making the Mandiant APT1 Report Actionable

    MITRE 威脅防護矩陣

    MITRE防護威脅矩陣, 主要是針對病毒的生命週期, 提出相對應的技術措施

    https://attack.mitre.org/wiki/Main_Page

    MITRE威脅技術矩陣

    這個矩陣怎麼使用呢? 藍色上面這橫行主要說明幾種惡意程式的攻擊技術類別,

    下面紅色, 綠色, 黃色等分別為各攻擊類別的技術手段

    為什麼要區分顏色呢?

    主要用來評估, 現有的安全防護是否可以阻擋或是偵測該惡意攻擊

    如果可以就標成綠色, (下圖範例),

    整體就會知道還有哪些紅色部分是目前技術手段無法控制的

    MITRE ATT&CK Matrix Example Use for Defensive Gap Analysis

     

    NIST CyberSecurity Framework

    另外, NIST 也提出 Cyber Security Framework,

    這個安全模型主要提出的是”安全流程”

    分別為 Identify, Protect, Detect, Respond, Recover 等五階段.

    Image result for nist cybersecurity framework

    Image result for nist cybersecurity framework

     

    CIS Security Controls

    SANS提出 20 安全控制點

    Image result for sans 20 critical controls

    舉安全事件分析工具 Splunk 為例子, 如何將安全防護對應到這 20控制點

    Image result for CIS security controls

    整體企業防護架構與 20安全控制的關係

    Image result for CIS security controls

    針對這20控制點, 相對應的安全解決方案與廠商有哪些?

     

    https://www.sans.org/media/critical-security-controls/critical-controls-poster-2016.pdf

    https://resources.trendmicro.com/rs/945-CXD-062/images/sans_top20_csc_trendmicro2016.pdf

    威脅攻擊庫

    https://capec.mitre.org/data/definitions/1000.html

    https://cwe.mitre.org/data/index.html

    https://www.owasp.org/index.php/OWASP_WASC_Web_Hacking_Incidents_Database_Project

     

  • Amazon 安全白皮書大全

    安全性和合規

    • Introduction to AWS Security (2015 年 7 月)    PDF | Kindle
      • 介紹 AWS 對安全性採取的方法以及客戶可用的基礎工具。
    • Overview of Security Processes (2016 年 10 月)    PDF | Kindle
      • AWS 管理下的網路和基礎設施實體和操作安全程序。
    • AWS Security Best Practices (2016 年 8 月)    PDF | Kindle
      • 使用 AWS 服務的安全權威指導。
    • Introduction to AWS Security Processes (2016 年 6 月)    PDF
      • AWS 管理下的網路和基礎設施實體和操作安全程序。
    • Overview of AWS Security – Analytics, Mobile, and Applications Services (2016 年 6 月)    PDF
      • Amazon EMR、Amazon Kinesis、AWS Data Pipeline、AWS IAM、Amazon CloudWatch、AWS CloudHSM 等產品的安全觀點。
    • Overview of AWS Security – Application Services (2016 年 6 月)   PDF
      • Amazon CloudSearch、Amazon SES、Amazon SNS、Amazon SQS、Amazon SWF 等產品的安全觀點。
    • Overview of AWS Security – Compute Services (2016 年 6 月)    PDF
      • Hypervisor 用量、執行個體隔離和自動擴展的安全觀點。
    • Overview of AWS Security – Database Services (2016 年 6 月)    PDF
      • Amazon DynamoDB、Amazon RDS、加密和網路隔離的安全觀點。
    • Overview of AWS Security – Network Security (2016 年 8 月)    PDF
      • 網路架構、存取點、傳輸保護和容錯設計的安全觀點。
    • Overview of AWS Security – Storage Services (2016 年 6 月)    PDF
      • 儲存的安全觀點,包含資料存取、資料傳輸、耐用性和存取記錄。
    • Security at Scale: Governance in AWS (2015 年 10 月)    PDF
      • 以啟用管控的功能來大幅提高安全性。
    • Security at Scale: Logging in AWS (2015 年 10 月)    PDF
      • 與記錄相關的常見合規要求概觀。
    • Cross-Domain Solutions on AWS (2016 年 12 月)    PDF
      • 使用 AWS 服務部署跨網域解決方案的最佳實務。
    • Whitepaper on EU Data Protection (2016 年 12 月)    PDF
      • 使用 AWS 服務時符合 EU 合規要求。
    • Secure Content Delivery with Amazon Cloudfront (2016 年 11 月)   PDF
      • 使用 Amazon CDN 同時保持安全性。
    • AWS Risk and Compliance (2016 年 10 月)    PDF | Kindle
      • 將 AWS 整合到您的現有控制架構。
    • Architecting for HIPAA Security and Compliance on AWS (2016 年 10 月)    PDF | Kindle
      • 使用 AWS 服務的 HIPAA 合規解決方案。
    • AWS Key Management Service Cryptographic Details (2016 年 8 月)    PDF
      • 使用 AWS Key Management Service 進行加密操作的詳細說明。
    • AWS Best Practices for DDoS Resiliency (2016 年 6 月)    PDF |Kindle
      • 降低分散式拒絕服務攻擊的技術。
    • Introduction to Auditing the Use of AWS (2015 年 10 月)    PDF
      • 稽核安全的共享安全模型、工具和方法。
    • Family Educational Rights and Privacy Act (FERPA) Compliance on AWS (2015 年 5 月)    PDF
      • 在 FERPA 合規環境中使用 AWS 服務的各項考量。
    • Single Sign-On: Integrating AWS, OpenLDAP, and Shibboleth (2015 年 4 月)    PDF
      • 針對單一登入解決方案整合 AWS IAM 和 LDAP。
    • Architecting for Genomic Data Security and Compliance in AWS(2014 年 12 月)    執行概要 | PDF
      • 在基因體研究庫中使用存取受到控制的資料集。
    • Encrypting Data at Rest (2014 年 11 月)    PDF | Kindle
      • 加密靜態資料的選項概觀。
    • Using Windows Active Directory Federation Services (ADFS) for Single Sign-On to EC2 (2010 年 3 月)    PDF
      • 混合環境的單一登入。
    • Introduction to AWS Security (July 2015)    PDF | Kindle
      • Introduction to AWS’ approach to security and foundational tools available to customers.
    • Overview of Security Processes (October 2016)    PDF | Kindle
      • Physical and operational security processes for network and infrastructure under AWS’ management.
    • AWS Security Best Practices (August 2016)    PDF | Kindle
      • Authoritative guidance for security when using AWS services.
    • Introduction to AWS Security Processes (June 2016)    PDF
      • Physical and operational security processes for network and infrastructure under AWS’ management.
    • Overview of AWS Security – Analytics, Mobile, and Applications Services (June 2016)    PDF
      • Security aspects of Amazon EMR, Amazon Kinesis, AWS Data Pipeline, AWS IAM, Amazon CloudWatch, AWS CloudHSM, and more.
    • Overview of AWS Security – Application Services (June 2016)    PDF
      • Security aspects of Amazon CloudSearch, Amazon SES, Amazon SNS, Amazon SQS, Amazon SWF, and more.
    • Overview of AWS Security – Compute Services (June 2016)    PDF
      • Security aspects of the hypervisor usage, instance isolation, and auto scaling.
    • Overview of AWS Security – Database Services (June 2016)    PDF
      • Security aspects of Amazon DynamoDB, Amazon RDS, encryption, and network isolation.
    • Overview of AWS Security – Network Security (August 2016)    PDF
      • Security aspects of the network architecture, access points, transmission protection, and fault-tolerant design.
    • Overview of AWS Security – Storage Services (June 2016)    PDF
      • Security aspects of storage, including data access, data transfer, durability, and access logs.
    • Security at Scale: Governance in AWS (October 2015)    PDF
      • Using governance-enabling features to drive greater security.
    • Security at Scale: Logging in AWS (October 2015)    PDF
      • Overview of common compliance requirements related to logging.
    • Cross-Domain Solutions on AWS (December 2016)    PDF
      • Best practices for deploying a cross-domain solution using AWS services.
    • Whitepaper on EU Data Protection (December 2016)    PDF
      • Meeting EU compliance requirements when using AWS services.
    • Secure Content Delivery with Amazon Cloudfront (November 2016)    PDF
      • Maintaining security while using the Amazon CDN.
    • AWS Risk and Compliance (October 2016)    PDF | Kindle
      • Integrating AWS into your existing control framework.
    • Architecting for HIPAA Security and Compliance on AWS (October 2016)    PDF |Kindle
      • HIPAA-compliant solutions using AWS services.
    • AWS Key Management Service Cryptographic Details (August 2016)    PDF
      • Detailed description of cryptographic operations when using AWS Key Management Service.
    • AWS Best Practices for DDoS Resiliency (June 2016)    PDF | Kindle
      • Techniques to mitigate Distributed Denial of Service attacks.
    • Introduction to Auditing the Use of AWS (October 2015)    PDF
      • Shared security model, tools, and appoaches for auditing security.
    • Family Educational Rights and Privacy Act (FERPA) Compliance on AWS (May 2015)    PDF
      • Considerations when using AWS services in FERPA compliance environments.
    • Single Sign-On: Integrating AWS, OpenLDAP, and Shibboleth (April 2015)    PDF
      • Integrating AWS IAM and LDAP for single sign-on solution.
    • Architecting for Genomic Data Security and Compliance in AWS(December 2014)   Executive Overview | PDF
      • Working with controlled-access datasets for genomic research repositories.
    • Encrypting Data at Rest (November 2014)    PDF | Kindle
      • Overview of options for encrypting data at rest.
    • Using Windows Active Directory Federation Services (ADFS) for Single Sign-On to EC2 (March 2010)    PDF
      • Single sign-on for hybrid environment.
  • 防禦DDOS的Web services安全設計建議

    這篇文章主要對於 Web Services 防護 DDOS的安全設計提出建議

    DDOS 攻擊的類型

    攻擊者利用許多被控制的電腦 (BOTS)對特定受害服務器發起大量的請求

    造成受害者服務暨服務癱瘓所造成的攻擊, 簡稱 DDOS (Distributed Denial of Service)

    常見的 DDOS攻擊分類如下:

    將 DDOS攻擊分類的主要原因是因為每種不同的攻擊會有不同的防護方案

    網路基礎層攻擊

    TCP Syn Flood與 User Datagram Protocol (UDP) reflection是最常見的攻擊方式

    藉由傳送大量的網絡封包造成目標受害者電腦癱瘓, 這樣的攻擊行為通常可以透過防火牆或是IPS識別

    另外,基於UDP協議的攻擊有 Domain Name System (DNS), Network Time Protocol (NTP), 與 Simple Service Discovery Protocol (SSDP)等, 這些攻擊善用受害者伺服器會回覆固定大小的封包造成網絡癱瘓

    應用層攻擊

    應用層的攻擊主要針對Web服務器, 多半基於HTTP協議的攻擊

    • HTTP Slow Attack: 讓伺服器等待每一個連結請求, 最終導致伺服器無法服務其他請求
    • HTTP Flood: 大量的 HTTP請求造成Web伺服器癱瘓
    • SSL renegotiation Attack: 透過大量SSL重協商造成伺服器癱瘓

    實務上常見的DDOS攻擊, 可能結合上述網絡層與應用層的攻擊, 防護方式介紹如下:

    多層次的防護

    整體來說DDOS的防護可分為三大層次

    • 網絡近源清洗
    • 網路層過濾
    • 應用層過濾

    Web服務防護設定建議

    一般來說 Web sercvices 都會有設定連線時間與數量等相關設定, 舉nginX例子如下:

    特別要提醒的是這樣的方法只能有部分的防禦效果, 還是必須靠網路流量清洗才可以完整的防禦.

    Mitigating Slow HTTP DoS Attack

     ## Timeouts definition ##
      client_body_timeout   10;
      client_header_timeout 10;
      keepalive_timeout     5 5;
      send_timeout          10;
     ## End ##
    
    • client_body_timeout: Defines a timeout for reading client request body. The timeout is set only for a period between two successive read operations, not for the transmission of the whole request body. If a client does not transmit anything within this time, the 408 (Request Time-out) error is returned to the client.
    • client_header_timeout: Defines a timeout for reading client request header. If a client does not transmit the entire header within this time, the 408 (Request Time-out) error is returned to the client.
    • keepalive_timeout: The first parameter sets a timeout during which a keep-alive client connection will stay open on the server side. The zero value disables keep-alive client connections. The optional second parameter sets a value in the “Keep-Alive: timeout=time” response header field. Two parameters may differ. The “Keep-Alive: timeout=time” header field is recognized by Mozilla and Konqueror. MSIE closes keep-alive connections by itself in about 60 seconds.
    • send_timeout: Sets a timeout for transmitting a response to the client. The timeout is set only between two successive write operations, not for the transmission of the whole response. If the client does not receive anything within this time, the connection is closed.

    參考

    SEC307 – Building a DDoS-Resilient Architecture with AWS

    SEC306 – Defending Against DDoS Attacks

    https://code.google.com/p/slowhttptest/