本文相关的TryHackMe实验房间链接:https://tryhackme.com/room/principlesofsecurity
本文相关内容:了解保护数据和保护系统免受滥用的信息安全原则。
简介
本文将概述信息安全的一些基本原则,相关的框架能用于保护数据和系统,以确保网络安全。
本文所讨论的措施、框架和协议在“纵深防御”中发挥了很小的作用,纵深防御是指对企业(或其他组织)的系统和数据使用多个不同的安全层,以希望多层防御能够在企业(或其他组织)的安全周界中提供冗余。
CIA三合一安全模型
CIA三合一是一种信息安全模型,在创建安全策略的过程中会用到该模型。CIA模型有广泛的背景,从1998年就开始被使用,这是因为信息安全并不始于或者结束于网络安全,而是首先适用于数据归档、记录存储等场景。
该模型由三个部分组成:机密性(Confidentiality)、完整性(Integrity )和可用性(Availability ),如今已迅速成为行业标准。这个模型能够帮助确定所应用的数据的价值,以及业务对数据的关注程度。
CIA三合一模型不同于传统安全模式,传统安全模式分为多个独立的部门,而CIA模型所表示的是一个连续的循环。虽然CIA模型的三个要素 在某种程度上可以说是重叠的,但如果其中有一个要素不满足,那么其他两个要素也会表现得很差劲(类似于火灾三角形)。如果一个安全策略不能满足CIA三要素,那么它就不是一个有效的安全策略。
虽然CIA模型的三个要素是不言自明的,但让我们探讨一下这些要素,并将其置于网络安全的背景下进行分析。
Confidentiality(机密性;保密性)
该元素指的是:要保护敏感数据不被未经授权者访问、滥用。企业(或其他组织)总会在其系统中存储某种形式的敏感数据,而机密性的含义 就是要保护这些敏感数据不受未经授权者的影响。
现实世界中有很多这样的例子:
例如,员工记录和会计文档可能都会被认为是敏感的,我们应该限制只有人力资源管理人员才能访问员工记录,并且我们还需要进行严格的审查和访问控制,从而确保员工记录的机密性,而会计记录可能不那么有价值(因此也不那么敏感),因此对会计文档的访问控制不需要太严格。
例如,政府使用敏感性分类评级系统(绝密,机密,非机密)来评估数据信息的敏感等级。
Integrity(完整性)
CIA模型的完整性要素是指数据信息要保持准确和一致,除非经过授权对数据进行了更改。如果有人不小心访问、使用系统中的错误配置或者在未经授权的情况下访问和使用系统,那么系统中的数据信息就可能会发生更改。
在CIA模型中,完整性要素将会要求信息在存储、传输和使用过程中保持不变,并且不能对信息做任意修改,这就要求我们必须采取措施来确保数据不会被未经授权的人更改。
许多确保信息完整性的防御措施可以落实到位:严格的访问控制和严格的身份验证将有助于防止用户进行未经授权的更改操作;哈希验证和数字签名可以帮助确保网络交易的真实性,并且能确保文件没有损坏或者被修改。
Availability(可用性)
在CIA模型中,可用性要素是指要保证当授权用户需要访问某些数据时,相关的数据信息必须具有可用性;数据具有可用性,意味着数据必须可供用户使用和访问。
可用性通常是一个企业(或其他组织)运行的关键基准,例如,企业的网站或系统应该要具有99.99%的正常运行时间(这在服务水平协议中有规定);当一个系统变得不可用时,通常会导致企业声誉受损以及造成企业财务损失。确保可用性可通过许多因素的组合来实现,包括:
- 为信息技术服务器提供可靠和经过良好测试的硬件(即使用信誉良好的服务器产品)
- 在主站故障的情况下,有冗余技术和服务能够提供备用。
- 采用完善的安全协议,以保护技术和服务不受攻击。
答题
特权原则
管理和正确定义个人所需的 对信息技术系统的各种级别的访问是至关重要的。
给予个人的访问级别 取决于两个主要因素:
- 个人在组织中的角色/职能
- 存储在系统上的信息的敏感性
有两个关键概念可用于分配和管理个人的访问权限:
- 特权身份管理 (PIM-Privileged Identity Management)
- 特权访问管理(PAM-Privileged Access Management)
这两个概念(PIM和PAM)看起来似乎有所重叠,但是实际上它们是彼此不同的。PIM主要用于将组织内的用户角色转换为系统上的访问角色,而PAM则主要是对系统访问角色所拥有的特权进行管理。
在讨论特权和访问控制时,最基本的原则是最小特权原则。简而言之,就是应该给用户最少的特权,只需要给他们用以履行职责绝对必要的特权即可。
tips:PAM不仅仅包含分配访问权限,它还包括执行安全策略,如密码管理、审计策略和减少系统面临的攻击面等。
答题
安全模型(续)
在进一步讨论安全模型之前,让我们回顾一下CIA安全模型的三个要素:机密性、完整性和可用性。我们之前已经概述了CIA三要素是什么以及它们的重要性,然而,还有更正式的方式可实现这些要素。
基于安全模型的概念,任何存储信息的系统或技术都将被称为信息系统,这也是我们在小节中引用系统和设备的方式。
接下来,我们将探索一些流行和有效的安全模型,这些模型可用于实现CIA三要素。
贝尔-拉帕杜拉模型(The Bell-Lapadula model)
采用Bell-La Padula模型能够实现保密性,这个模型有一些假设,例如企业(或其他组织)应该使用一个“每个人的职责/角色都明确界定的”层次结构。
该模型的工作原理是在严格需知的基础上授予对数据块(也被称为对象)的访问权限,此模型的规则是“no write down, no read up”(不写下,不读上)。
Bell-La Padula模型的优缺点:
- 优点:该模型中的策略可以复制到真实的组织层次结构中(反之亦然);易于实现和理解,并已被证明是成功的。
- 缺点:即使用户可能无法访问某个对象,用户也能知道该对象的存在——所以在这方面对象不是机密的;这种模式依赖于组织内部的大量信任。
贝尔-拉帕杜拉模型在政府和军队等组织中很受欢迎,这是因为这些组织的成员被认为已经通过了一个叫做“审查”的过程。审查是一个筛选过程,主要指审查申请人的背景,以确定他们对组织构成的风险程度;因此,成功通过审查的申请人将被认为是值得信赖的——这也是 贝尔-拉帕杜拉模型 确保被成功适用的前提条件。
毕巴模型(Biba Model)
对于CIA中的完整性要素而言,Biba模型可以说相当于贝尔-拉帕杜拉模型。
该模型能够将规则应用于对象(数据)和主体(用户),此规则可以总结为“no write up, no read down”,这意味着主体可以创建或写入与其级别相同或低于其级别的对象的内容,同时只能读取高于其级别的对象的内容。(不写上,不读下)
Biba Model的优缺点:
- 优点:这个模型很容易实现;通过解决机密性和数据完整性问题,弥补了Bell-La Padula模型的局限性。
- 缺点:将有许多级别的访问和对象,在应用安全控制时,一些事情很容易被忽略;通常会导致业务的延误,例如,在使用这种模型的医院里,医生将无权直接阅读护士所做的笔记。
毕巴模型主要用于诚信度比保密性更重要的组织或情况中;例如,在软件开发中,开发人员可能只能访问其工作所需的代码,他们可能不需要访问其他关键信息,如数据库信息等。
答题
威胁建模和事件响应
威胁建模(Threat Modelling)
威胁建模是审查、改进和测试企业(或其他组织)信息技术基础设施和服务中的安全协议的过程。
威胁建模过程的一个关键阶段是识别应用程序或系统可能面临的威胁,以及系统或应用程序可能面临的漏洞。
威胁建模过程非常类似于在工作场所为员工和客户进行风险评估:
- 准备(Preparation)
- 识别(Identification)
- 给出缓解措施(Mitigations)
- 审查(Review)
威胁建模是一个复杂的过程,需要一个专门的团队来不断审查和讨论,一个有效的 威胁模型 包括:
- 威胁情报
- 资产识别
- 缓解能力
- 风险评估
为了帮助进行威胁建模,有一些可用框架能够参考,如STRIDE (欺骗身份、篡改数据、抵赖威胁、信息披露、拒绝服务和权限提升-Spoofing identity, Tampering with data, Repudiation threats, Information disclosure, Denial of Service and Elevation of privileges) 和 PASTA (攻击模拟和威胁分析过程-Process for Attack Simulation and Threat Analysis);下面让我们详细介绍STRIDE,STRIDE包括六个主要原则:
- Snoofing(欺骗):欺骗是指恶意方将自己伪装为其他用户(冒充他人身份),对应的安全属性是“认证”;该原则要求我们针对访问系统的请求和用户进行身份验证,使用密钥(如API密钥)或者使用通过加密的签名有助于消除这种威胁。
- Tampering(篡改):篡改是指修改数据或代码,对应的安全属性是“完整性”;我们可以通过为系统或应用程序提供防篡改措施,从而帮助保护数据的完整性,可类比为--商店对食品使用密封条。
- Repudiation(抵赖):抵赖是指否认做过的事情,对应的安全属性是“不可抵赖性”;这一原则规定了服务的相关使用要求,例如,我们应该跟踪系统或应用程序的活动情况并进行记录。
- Information disclosure(信息披露):信息披露是指机密信息泄露,对应的安全属性是“机密性”;这一原则要求我们对处理多个用户信息的应用程序或服务进行适当配置,以只显示与所有者相关的信息。
- Denial of Service(拒绝服务):拒绝服务即DoS,对应的安全属性是“可用性”;应用程序和服务会消耗系统资源,所以应该有适当的措施,以防止因为滥用应用程序/服务而导致整个系统瘫痪。
- Elevation of Privilege(权限提升):权限提升是指未经授权获得许可,对应的安全属性是“授权”;对于应用程序或服务来说,发生提权是最糟糕的情况,这意味着恶意用户能够将授权升级到更高级别,即管理员级别权限,这通常会导致进一步的渗透利用或者信息泄露。
tips:不可抵赖性--用户无法在执行某操作后否认执行了该操作。
参考文章:https://www.secrss.com/articles/3298
事件响应(Incident Response)
破坏安全性的行为在网络安全领域被称为事件,尽管有严格的威胁模型和安全的系统设计,安全事件还是有可能发生。为了解决和补救安全威胁而采取的行动被称为事件响应(IR-Incident Response),事件响应人员是网络安全的职业角色之一。
事件能够根据紧急程度和影响程度进行分类,紧急程度将由企业(或者其他组织)所面临的攻击类型决定,而影响程度将由安全事件对系统的影响以及对业务操作的影响决定。
tips:Urgency- 紧急程度;Impact- 影响程度。
计算机安全事件响应小组(CSIRT-Computer Security Incident Response Team)将会对具体的事件进行响应,该小组由预先安排的具有相关技术知识(指了解目标系统或者当前安全事件)的员工组成。
为了成功解决安全事件,事件响应过程通常会包含以下六个阶段:
- 准备(Preparation):我们是否有适当的资源和计划来处理安全事件?
- 识别(Identification):威胁和威胁行为者是否被正确识别以便我们做出响应?
- 控制(Containment):能否控制威胁/安全事件,以防止其他系统或用户受到影响?
- 根除(Eradication):移除正在活动的安全威胁。
- 恢复(Recovery ):对受影响的系统进行全面检查,以恢复正常业务。
- 经验教训:我们能从这起事件中学到什么?例如,如果是由于钓鱼电子邮件而导致安全事件发生,那么员工就应该接受相关的培训,学会识别钓鱼邮件。
答题
