终端作为网络行为的发起者和执行者,终端安全问题是信息安全领域的重要组成部分。终端安全已经成为制约信息安全的瓶颈,尽管在安全技术和培训中已经投入了大量人力和资金,但终端安全问题仍频频发生。终端所发生的安全问题可简单归结为3类。......
2023-11-23
终端安全风险分析建模
【摘要】:终端安全风险的深度分析需要建立在对终端相关的安全事件的认识与理解的基础之上。以上两类安全事件分析模型都是用于确认安全事件是否会对终端的风险造成影响。如IDS发现了一个针对某一终端的DDOS攻击,并报告了一个安全事件。可以直接借鉴这类模型来对安全事件进行分析建模。在充分了解了终端的部署环境后,根据所知的安全知识提出一个共知的安全问题,如IDS在报告DDOS攻击时有较大的信噪比。
所谓终端安全风险的深度分析实质上是对终端安全风险进行的由浅入深、由表及里的全方位分析。结合终端的安全现状,如补丁情况、有无脆弱性等,与不断发生的、终端相关的安全事件一起来评价终端的整体风险情况。终端安全风险的深度分析需要建立在对终端相关的安全事件的认识与理解的基础之上。在有了上一小节对安全事件的准备之后,读者应该已经对每种安全事件的含义有了初步的认识。下面需要结合安全知识的理解、终端安全的现状以及安全事件的认知三者来构建终端安全风险的分析模型。
下面以安全事件为主视角,分别对单一安全事件、多个相关安全事件及海量安全事件进行分析建模。
(1)单一安全事件
在安全事件知识的认知体系中,除了如IDS、IPS等报出的具有明确安全意义的,可能造成具体终端风险上升的单一安全事件需要关注外,其他还有很多级别较低的,容易被忽视的,却存在一定安全隐患的单一安全事件需要关注。如一个在午夜的登录某一业务系统的安全事件,这个安全事件本身属于一个正常的业务登录事件,其级别并不高,但由于它是午夜的发生的,而这个时间段不属于正常的业务系统访问时间,也就是该事件反映了一个非常态的登录行为,那么这个安全事件就必须引起关注。即使经过最终确认,这是一个合法用户临时加夜班时的合理登录行为。
另外,即便是如IDS、IPS等报出的具有明确安全意义的安全事件,但由于终端当前的安全状态是已经修补了系统,打上了补丁或有其他安全产品防护。则该安全事件所反映的问题根本无法影响到终端,不会造成终端风险的上升。此时应该忽略掉这个安全事件,从而节省处理安全事件所需的成本。
以上两类安全事件分析模型都是用于确认安全事件是否会对终端的风险造成影响。下面描述如何对两类安全模型进行建模。
第一类模型的建模需要根据预先掌握的安全知识或实际应用情况(如真实应用系统的应用环境)设定一个正常或异常的模型描述。然后确认应用此模型安全事件需要具备的安全特征,如安全事件中必须有时间信息且它必须是登录事件才能应用到“异常时间段访问”的分析模型中。最后需要确认模型的应用范围,如指明究竟是哪些系统的登录安全事件应用到这个分析模型。
第二类模型的建模需要首先根据安全知识对安全事件类型与补丁、漏洞等的信息关系进行模型描述。然后确认哪些具体的安全事件属于该安全事件类型。最后需要明确该安全模型应用于哪些终端。(www.chuimin.cn)
(2)多个相关安全事件
在安全事件知识体系中,很多时候,单个安全事件本身所体现的安全行为不值得关注,但将多个安全事件串在一起分析就很值得关注了。如一个外部地址在一个时间段内频繁访问一个主机的不同端口,而外部地址与该主机间的防火墙记录了所有这些访问事件。这里的每一个访问事件都是正常的事件,且事件本身被标记的级别也不高。但将这一段时间内发生的所有访问事件关联在一起分析时,就会发现这是一个外部地址扫描内部主机端口的扫描行为,是一个值得密切注意的安全行为。
另外,如IDS这样的安全设备,其在产生安全事件时有很多情况下会误报,信噪比比较高。这将加大终端安全事件的处理成本及干扰终端安全风险的正确评估。针对这种情况也可以通过关联多个安全事件来确认该安全事件是否真的发生,是否值得关注。如IDS发现了一个针对某一终端的DDOS攻击,并报告了一个安全事件。在这一段时间内防火墙也报告了很多源地址不同而目标地址皆为某一终端的通信事件。且终端上的CPU利用率已超过80%。此时可以确认IDS报的安全事件是一个真实的安全事件;否则这个安全事件不值得关注。
以上两类多个安全事件相关的风险分析模型与单一安全事件的风险分析模型的目标一致,主要是用来确认安全事件对终端的风险是否有影响,借此评估终端安全的风险情况。多个安全事件的风险模型可以分为通用风险分析模型和专用风险分析模型。通用风险分析模型的普适性好,但建模周期长,需要经过长时间的知识积累。多数通用风险分析模型已被其他的安全产品提供,如IDS就提供了端口扫描的风险分析模型。可以直接借鉴这类模型来对安全事件进行分析建模。而专用风险分析模型对实际应用的环境有较高的依赖,这有别于通用的风险分析模型。但专用风险分析模型正因为对环境有较高的依赖,所以它的应用效果更好,安全事件分析准确率更高。下面描述如何对专用风险分析模型进行建模。
首先需要充分了解终端所处的环境。比如外网是否能访问到终端?终端能否访问到外网?外网到终端的网络通路上都部署了什么安全产品?是否已经部署了防火墙或IDS?二者的部署顺序是什么?终端能访问和被哪些内网访问?这些网络通路上都部署了什么等。在充分了解了终端的部署环境后,根据所知的安全知识提出一个共知的安全问题,如IDS在报告DDOS攻击时有较大的信噪比。针对此问题,结合实际环境设定一个模型描述(模型描述会根据环境中有无防火墙而不同)。然后确定满足这一模型的安全事件都应具备的特征。最后确认模型的应用范围,如指明该场景应用于哪些终端。
(3)海量安全事件
海量安全事件分析主要用于终端的风险统计分析。它可以分析一段时间以来的终端的总体风险趋势、终端中各类安全事件的比率及趋势、造成终端风险的安全事件来源的分布情况及全网终端风险趋势等等。这些分析模型一般基于数据库构建。
有关终端安全风险管理的文章
- 详细阅读
-
终端安全风险管理与分析详细阅读
通过终端安全防护平台和管理平台对管理范围内终端管理信息进行实时采集,统一汇总、级联、统计和分析,及时了解所管理范围内的终端状态,对终端管理数据进行安全评估,对终端安全进行分析。未部署终端系统的单位,要通过内部信息系统运行维护月报将本单位终端管理信息上报上级信息化工作部门,上级信息化工作部门将综合对各单位的终端管理信息采集情况和统计分析情况,形成整个信息内网终端安全有关通报进行发布。......
2023-11-23
-
终端安全管理揭秘-终端安全风险管理详细阅读
一系列安全事件后,在美国政府的资助下,卡内基·梅隆大学成立了全球第一个计算机应急安全响应组。因此,终端安全管理的实质就是识别终端安全风险,构建终端风险体系并对终端风险进行安全管理,从而避免终端安全风险事件的发生。......
2023-11-23
-
终端的环境及安全风险分析详细阅读
从单一终端出发分析终端的使用环境时,可分为其自身的运行环境和终端应用的网络环境。终端自身运行环境包括Windows类操作系统、非Windows类操作系统,通常被称为Windows类终端和非Windows类终端。Microsoft公司推出的Windows类操作系统以其友好易用的人机交互界面,在推动终端的普及过程中起到了决定性的作用,因此其在商务和家庭用户终端操作系统中占比最大。非Windows类操作系统的终端普及范围远远低于Windows类终端,其遭受的攻击也远远少于Windows类系统。......
2023-11-23
-
终端安全风险管理:终端安全应重视详细阅读
基于风险评估得出的终端所面临多类实际信息安全风险,其风险个数很大。由于不同类别的信息安全风险所采取管控措施的优先级,通常也有很大的差别,如何针对数量庞大的风险及管控措施进行合理的规划,是一个很大的难题,因此对于规模比较庞大的组织,如何对风险评估后的管控措施进行统一、合理的规划至关重要。......
2023-11-23
-
终端安全风险管理:揭示3.5终端安全管理未来详细阅读
有相应硬件支持,将很大程度上解决纯软件终端安全产品存在的问题。综合趋势终端安全产品要和网关及其他安全设施密切配合,分工协作,才有可能构架全面完整的安全防护保障体系。终端安全的重要组成部分是设置管理或针对安全规范符合程度的检查、隔离和矫正。综上所述,终端安全管理体系的构建实施过程需要依赖完善的方法论,对体系建设过程提供内部审核、管理评审、外部审核等管理活动支持,保障体系的有效实施。......
2023-11-23
-
终端安全风险管理:终端系统补丁风险的6个点详细阅读
因此终端系统的补丁是否及时打上,与终端的安全程度密切相关。相关风险点终端系统补丁风险点详见表A-9。表 A-9相关资产使用生命周期风险点(1-4):该类风险涉及入网前与运行阶段。......
2023-11-23
-
终端安全风险管理:基于风险来源详细阅读
针对不同的威胁来源的终端安全风险图谱见图6-7。其中终端安全技术平台自身的风险,暂不列在内。与基础安全风险相比,终端安全运行风险更具动态性,随着时间和相关环境条件的变化。3)信息安全风险指终端信息安全风险为终端中存储的信息,以及信息在传递过程中所面临的风险。......
2023-11-23
相关推荐