简介
定义身份验证
身份验证是验证一个人是否为其所声称的身份的过程
强身份验证方法:对于维护良好的网络安全至关重要,并可确保只有经过授权的用户才能访问机密数据和资源
身份验证方法:已知内容,已有内容,自身特性
- 已知内容包括:密码,PIN 号码,安全性问题
- 已有内容包括:身份证,USB 密钥,计算机,手机
- 自身特性包括:指纹,面部识别,视网膜扫描,其他形式的生物识别 ID
单重身份验证:是一种仅使用一种身份验证类型的系统,这使其成为最不安全但最方便的方法
多重身份验证:是一种使用两种甚至三种身份验证类型的系统,安全但最不方便的方法
基于身份验证的攻击
暴力攻击
在暴力攻击中,通过枚举法将尝试直接通过不同的用户名和密码组合来获取访问权限
- 通常,攻击者的工具可以使用数百万个用户名和密码组合来自动执行此过程
- 单因素身份验证的简单密码容易遭到暴力攻击
字典攻击
字典攻击是暴力攻击的一种形式,其中应用了常用词字典
- 为防范字典攻击,需要在密码中使用符号、数字和多个单词的组合
凭据填充
凭据填充是一种攻击方法,它利用了许多人在不同站点上使用相同的用户名和密码这一事实
- 攻击者将使用窃取的凭据(通常是在一个站点发生数据泄露后获得)来尝试访问其他区域
- 攻击者通常使用软件工具来自动执行此过程
- 防范凭据填充,请务必不要重复使用密码,并定期更改密码,尤其是在安全漏洞之后
键盘记录
键盘记录涉及记录键击的恶意软件,使用键盘记录器记录(窃取)用户名和密码组合,然后将其用于凭据填充攻击
- 这是在网吧或使用共享计算机进行访问的任何场所的常见攻击
- 为防范键盘记录,请勿安装不受信任的软件,并使用信誉良好的病毒扫描软件
- 键盘记录不仅限于计算机,比如在 ATM 的读卡器和键盘上
社会工程
社会工程涉及到试图使用户泄露信息或完成操作以发动攻击,社会工程攻击的不同之处在于它们利用了人类的漏洞,攻击者尝试获得合法用户的信任
- 网络钓鱼是指攻击者发送看似合法的电子邮件,目的是让用户泄露其身份验证凭据
- 假托是攻击者获得受害者信任并说服他们泄露安全信息的方法,这可以用来窃取他们的身份
- 利诱是一种攻击形式,其中犯罪分子提供虚假的奖励或奖品,以鼓励受害者泄露安全信息
其他基于身份验证的攻击方法
总是有可能出现新的攻击类型,但可以通过教育人们和使用多重身份验证来防范此处列出的所有攻击类型
授权安全技术
条件性访问
最小特权访问
隔离环境
零信任
三个原则
- 显式验证
- 使用最小特权访问
- 假定存在安全漏洞
加密的概念
加密一词源自希腊语“Kryptos”,意思是隐藏或秘密,它是发送方和接收方之间以任何形式进行安全通信的应用
- 加密是一种机制,可将纯文本消息转变为不可读的已加密文本
- 解密是一种机制,已加密文本消息的接收方可以将其转回可读的纯文本
- 对称密钥:即发送和接收数据的双方必使用相同的密钥对明文进行加密和解密运算
- 非对称加密:加密和解密使用不同运算逻辑
经典加密
- 数据加密标准 (DES) 和三重 DES,这是最早使用的对称加密标准之一
- 高级加密标准 (AES),AES 取代了 DES 和三重 DES 至今仍被广泛使用
- RSA,这是最早的非对称加密标准之一,至今仍在使用各种变体
哈希算法及其在数字签名
- 哈希使用算法(也称为哈希函数)将原始文本转换为固定长度的唯一值
- 常用的(可能会在与安全专家进行讨论时听到)是安全哈希算法 (SHA),更常用的 SHA 之一是 SHA-256
- 哈希通常应用于数字签名中,数字签名可以验证文档上是否带有实际上来自签名者的签名
- 许多公司都提供此功能,最常用的两种是 Docu Sign 和 Adobe Sign
数字证书
- 证书处理了在数字通信中可能发生的不道德人员拦截、改变或伪造消息的可能性
- 数字证书是由“证书颁发机构”颁发的凭据 (CA),可用于验证颁发证书的个人或实体的身份,称为使用者
- 数字证书类似于由受信任的机构或政府机构颁发的护照或其他标识凭据,用于验证身份
- 若要获取数字证书,个人或实体将认证请求提交到信誉良好的 CA
网络
不同类型的网络
网络是一组互连的物理组件,它们协同工作,为所有设备提供无缝的主干网进行通信【最长使用的部件是路由器、交换机、防火墙、接入点和中心】
- 交换机:现代网络的基本构建基块,它使多个设备可以相互通信
- 路由器:它允许不同的网络之间相互通信
你可能听说过不同类型的网络,例如无线网络和局域网,但是基本上它们全都属于以下两个类别之一
- 专用网络,需要进行一定级别的身份验证和授权才可访问设备和资源(你可能会在工作场所发现)
- 公用网络(如 Internet),对任何用户开放
无论使用哪种类型的网络,都可以通过几种不同的方式连接到它
- 有线或以太网连接仍然是连接到办公室网络的最常见方式
- 无线连接使设备能够使用 Wi-Fi 连接到网络
- 蓝牙连接是一种将设备连接到设备的短距离通信方法
客户端-服务器拓扑
- 客户端:可以是一个或多个设备或是设备上要执行某些操作的应用程序
- 服务器:负责处理每个客户端请求并发送回响应
数据如何围绕网络移动
跨网络数据传输由一套通信协议(通常称为 TCP/IP)实现
- 传输控制协议 (TCP),用于处理两个设备之间的连接
- Internet 协议 (IP),负责在整个网络中路由信息
数据报或数据包: 无论数据大小如何,都需要分解为统一的小区块,这些区块称为数据报或数据包
IP 地址:Internet (IP) 协议的主要功能是确保可以唯一标识网络上的每个设备
有两个 IP 地址标准:IPv4 和 IPv6
DNS:域名映射到其相应的 IP 地址
路由:将一种网络连接到另一种网络的物理设备
常见网络攻击
较为常见的攻击方式:
中间人或窃听攻击:当网络犯罪分子损害或模拟网络中的路由时,这种类型的攻击可以让他们拦截信息数据包
- 可将其视为一种电话窃听的形式
- 这使得攻击者不仅能盗取数据,而且还会危及数据的完整性
分布式拒绝服务 (DDoS) 攻击:DDoS 攻击的目标是损害目标网络或服务的可用性
- 攻击者通过向目标网络或服务同时提交上百万次的请求进行持续攻击,从分布在网络中的各个源攻击目标网络并使其崩溃
DNS 攻击
- 利用 DNS 服务器的弱点,因为 DNS 服务器旨在提高效率和可用性,而不考虑安全性
- DNS 污染:这是指攻击者更改 DNS 查找表中的 IP 地址,以将流量从合法站点转移到可能包含恶意链接或其他恶意软件的不良站点
常见的无线攻击
无线网络允许智能手机和始终可用的 IoT 设备连接到 Internet,这些网络的广泛可用性使其成为网络犯罪分子的完美目标
- 驾驶攻击
- 电子欺骗 Wi-Fi 热点
- 蓝牙攻击
保护网络
防火墙通常是网络中的第一道防线
- 位于 Internet 和你的网络之间的设备
- 用于筛选传入和传出的所有流量
- 防火墙可以基于软件也可以基于硬件
使用防病毒软件维护正常网络
使用网络访问控制改进身份验证
网络访问控制 (NAC)
将网络隔离
使用虚拟专用网络进行安全连接
虚拟专用网络或 VPN 在设备与服务器之间充当跨 Internet 的专用安全连接
对无线网络进行加密
Wi-Fi 安全访问 2 (WPA2) 是最常使用的 Wi-Fi 加密方法
设备
听到“设备”时,首先想到的是什么? 你可能会想到自己熟悉的东西,例如手机、笔记本电脑或平板电脑。 设备包含的远不止这些。 例如:
- USB 驱动器
- 连接到家庭网络的所有设备,包括常年开启的家庭辅助设备、打印机、电视、家用电器、门镜摄像头等
- 汽车仪表板(包括导航系统和语音控制)
- Wi-Fi 热点
为何设备是生活不可或缺的一部分? 这在很大程度上是由于它们会收集和存储信息,让我们保持连接到其他设备和服务
设备作为威胁攻击途径
- 电话、笔记本电脑或平板电脑:下载恶意应用可能会导致设备受到恶意软件的侵害,这些恶意软件可能会外泄存储在本地的敏感数据(在用户不知情的情况下)
- USB 驱动器:网络罪犯可以将恶意软件或文件放在 USB 驱动器上并将它插入设备(如笔记本电脑)
- 常年开启的家庭辅助设备:这些设备始终在侦听或监视,网络罪犯可以将恶意软件置于这些设备的应用商店中
缓解与设备相关的威胁
可以使用以下方法:
- 确保设备具有最新的安全更新程序
- 关闭所有未使用的设备
- 启用通过设备操作系统支持的安全功能
- 要求使用 PIN 或生物识别(例如面部识别)访问设备
- 加密是将设备上的信息转换为无法识别的数据的过程
- 限制应用程序设备访问
应用程序
什么是软件?
软件是代码形式的命令集合或一组命令,指示计算机或设备执行某种形式的工作,软件在设备的硬件(物理组件)之上运行
系统软件:系统软件是打开设备时运行的第一个组件,负责管理使设备正常工作的不同组件
- 它控制或促进系统的硬件和进程,如键盘、鼠标、网络和视频
- 它可以独立运行
- 它通常在后台运行
应用程序软件:为特定目的而设计
- 执行专门的工作,例如文字处理、视频编辑和消息传递
- 旨在让用户直接与之交互
- 通常,它不独立运行,需要系统软件
- 它需要由用户安装
应用程序的威胁形势
来自不受信任的来源
具有固有漏洞的应用程序
- 开源漏洞:放源代码的好处之一是问题和漏洞可以被公开识别和修复,伺机而动的网络罪犯同样也会利用这些库
- 零时差漏洞:应用程序所有者以前不知道并且未修补的任何缺陷都被视为零时差漏洞,当网络罪犯发现零时差漏洞时他们不会公开
基于浏览器的威胁
如何保护应用程序
- 及时修补
- 应用程序配置
- 隐私设置
- 定期清理 cookie
- 从经验证和受信任的商店下载应用