#AUP # NDA # UBA # UEBA # 风险管理 # 社会工程 # 钓鱼邮件前置词 # Spear Phishing # Whaling Phishing # Smishing # Vishing # Shoulder Surfing # 发票诈骗 # Tailgating # Piggybacking # Dumpster Diving
AUP
AUP的关键内容
AUP 主要包括以下方面:
-
目的和范围:
- 说明AUP的适用范围,包括哪些用户、系统和数据受此策略约束。
-
可接受的使用:
- 规定允许的活动,如:
- 合法业务用途
- 访问组织批准的网站和服务
- 合规的数据处理和存储
- 规定允许的活动,如:
-
禁止的行为:
- 列出不允许的行为,例如:
- 访问恶意或非法网站
- 未经授权的数据访问或修改
- 使用公司资源进行个人商业活动
- 传播恶意软件或垃圾邮件
- 列出不允许的行为,例如:
-
安全要求:
- 规定用户必须遵守的安全措施:
- 使用强密码并定期更换
- 避免共享账号或凭据
- 遵循数据分类和加密要求
- 规定用户必须遵守的安全措施:
-
监控和隐私:
- 声明组织是否会监控用户的活动(如日志记录、流量分析)。
- 说明用户对隐私的期望(通常组织有权审查工作设备上的数据)。
-
违规处理:
- 说明违反AUP的后果,如:
- 口头警告、书面警告
- 账户冻结、权限撤销
- 纪律处分,甚至法律责任
- 说明违反AUP的后果,如:
AUP的作用
- 保护组织安全:防止数据泄露、恶意软件传播等安全风险。
- 确保合规性:符合法律法规(如GDPR、HIPAA)和行业标准。
- 提供法律依据:在发生安全事件时,为调查和处罚提供依据。
AUP 通常由安全团队或IT管理部门制定,并要求所有员工、承包商和第三方签署同意遵守。它是信息安全治理的重要组成部分,在CISSP中属于安全政策管理(Security Policy Management)的一部分。
NDA
NDA(Non-Disclosure Agreement),即保密协议,是一种法律合同,规定一方或多方在特定情况下不得泄露机密信息。它通常用于保护敏感信息,防止未经授权的披露或滥用。
NDA 的核心内容
-
当事人
- 明确协议适用于哪些个人或组织(披露方和接受方)。
-
保密信息的定义
- 说明哪些信息属于机密,例如:
- 业务计划、财务数据
- 客户名单、市场策略
- 研发项目、专有技术
- 代码、加密算法、安全策略
- 说明哪些信息属于机密,例如:
-
保密义务
- 规定接受方如何保护信息,例如:
- 不能私自分享或复制机密信息
- 只能在授权范围内使用
- 需要采取合理的安全措施(如加密、访问控制)
- 规定接受方如何保护信息,例如:
-
例外情况
- 某些情况下信息可被披露,例如:
- 法律要求(如法院传票)
- 信息已公开或非保密信息
- 某些情况下信息可被披露,例如:
-
协议期限
- 说明 NDA 的有效期,例如:
- 一般为 2-5 年
- 可能包括“持续有效”条款,即使合作结束仍需保密
- 说明 NDA 的有效期,例如:
-
违约责任
- 规定违反 NDA 可能导致的后果,如:
- 赔偿损失
- 诉讼及法律责任
- 规定违反 NDA 可能导致的后果,如:
NDA 的应用场景
- 公司内部:员工、顾问、承包商入职时签署,以保护公司机密信息。
- 商业合作:企业在谈判或合作时签署,防止商业机密泄露。
- 投资与并购:投资者或收购方在尽职调查期间访问机密信息时签署。
- 安全领域:涉及敏感数据(如网络安全研究、漏洞披露)时,团队成员或外部合作方通常需签署 NDA。
UBA(User Behavior Analytics)和 UEBA(User and Entity Behavior Analytics)
UBA 和 UEBA 都是用于检测异常行为并增强安全防护的技术,主要用于检测内部威胁、账户泄露、恶意软件活动等安全事件。
UBA && UEBA
1. UBA(用户行为分析)
UBA(User Behavior Analytics,用户行为分析) 专注于分析 用户 的行为模式,识别异常或潜在威胁。
UBA 的核心功能
- 用户基线建立
- 通过机器学习建立每个用户的“正常行为模式”(如工作时间、登录地点、访问的系统等)。
- 异常检测
- 例如:
- 账户突然在不常见的国家/地区登录
- 非 IT 人员突然访问服务器或数据库
- 平时只访问文档的员工,突然下载大量敏感数据
- 例如:
- 内部威胁检测
- 识别恶意内部人员、受感染账户、社工攻击等异常行为。
UBA 只关注用户行为,不分析设备、服务器或其他实体的行为。
2. UEBA(用户和实体行为分析)
UEBA(User and Entity Behavior Analytics) 是 UBA 的进阶版,不仅分析用户行为,还分析“实体”(Entity)的行为,例如:
- 端点设备(如工作站、服务器)
- 应用程序
- 数据库
- 网络设备(如防火墙、交换机)
UEBA 的增强功能
分析范围更广
- 不仅监控用户,还监控设备、进程、流量等非人类行为。
检测更加智能 - 结合 AI/ML 发现复杂的攻击链,例如:
- 恶意代码通过某台服务器横向移动
- 某个 IoT 设备被入侵并开始扫描内部网络
更强的关联分析
- 结合 SIEM(安全信息与事件管理),跨多个数据源(日志、网络、端点)进行检测。
3. UBA vs. UEBA:主要区别
| 对比项 | UBA(用户行为分析) | UEBA(用户和实体行为分析) |
|---|---|---|
| 监控对象 | 用户 | 用户 + 设备 + 应用 |
| 目标 | 检测用户异常行为 | 监控整个 IT 环境的异常 |
| 数据来源 | 登录、访问日志 | 用户行为 + 端点、网络、服务器等 |
| 应用场景 | 内部威胁检测 | 复杂攻击链分析、APT 攻击 |
4. 典型应用场景
UBA
- 监测员工数据泄露(如敏感文件被大规模下载)
- 识别账户被劫持(如突然在深夜登录关键系统)
- 发现社工攻击的受害者(如员工短时间内输入错误密码多次)
UEBA
- 检测高级持续性威胁(APT),比如黑客横向移动
- 监测 IoT 设备异常(如某台打印机突然发送大量数据)
- 发现恶意软件攻击(如服务器进程异常访问外部 IP)
风险管理术语和概念
1. 风险(Risk)
风险 是指威胁(Threat)利用漏洞(Vulnerability)导致资产(Asset)损失的可能性。
示例:如果公司服务器有未修补的漏洞(Vulnerability),黑客可以利用该漏洞(Threat)进行攻击,导致数据泄露(Risk)。
2. 资产(Asset)
资产是对组织有价值的事物,包括:
- 信息(数据、知识产权、机密文件)
- IT 设备(服务器、网络设备、终端)
- 人员(员工、客户、供应商)
- 业务流程(运营、生产、销售)
示例:公司数据库存储客户信用卡信息,是一种高价值的资产。
3. 威胁(Threat)
威胁是可能导致损害的潜在危险,可能来自:
- 自然灾害(地震、洪水)
- 人为行为(黑客攻击、内部人员泄密)
- 系统故障(硬件损坏、软件漏洞)
示例:黑客组织对公司服务器发动 DDoS 攻击,属于一种威胁。
4. 漏洞(Vulnerability)
漏洞是资产的弱点,可能被威胁利用,包括:
- 技术漏洞(未修补的软件漏洞、弱密码)
- 物理漏洞(未锁门的服务器机房)
- 人员漏洞(社工攻击、缺乏安全意识)
示例:公司员工使用简单密码 “123456”,这是一个漏洞,可能被黑客暴力破解。
5. 控制(Control)/ 对策(Countermeasure)
控制是降低风险的措施,包括:
- 技术控制(防火墙、入侵检测系统)
- 管理控制(安全策略、培训)
- 物理控制(门禁、摄像头)
示例:部署多因素认证(MFA)可以降低账户被盗的风险。
6. 风险评估(Risk Assessment)
风险评估是识别、分析和衡量风险的过程,主要包括:
- 识别资产(确定哪些资产需要保护)
- 识别威胁和漏洞(发现可能影响资产的风险)
- 评估影响(如果风险发生,会有什么后果?)
- 计算风险等级(定性/定量方法)
7. 风险分析方法
CISSP 主要采用两种风险分析方法:
定性风险分析(Qualitative Risk Analysis)
- 依赖专家判断、经验、风险矩阵来评估风险等级(低、中、高)。
- 快速,但不精确,适用于战略决策。
定量风险分析(Quantitative Risk Analysis)
- 使用数学模型计算损失(如 $$)。
- 主要指标:
- SLE(单次损失预期值) = 资产价值 × 影响率
- ARO(年发生率) = 一年内该事件可能发生的次数
- ALE(年度损失预期值) = SLE × ARO
8. 风险处理策略
面对风险,组织可采取以下策略:
| 策略 | 描述 | 示例 |
|---|---|---|
| 规避(Avoidance) | 消除风险,不执行该活动 | 停用易受攻击的软件 |
| 降低(Mitigation) | 减少风险影响 | 部署防火墙、加密数据 |
| 转移(Transfer) | 转嫁风险给第三方 | 购买网络安全保险 |
| 接受(Acceptance) | 接受风险并准备应对 | 低影响风险无需处理 |
9. 残余风险(Residual Risk)
即使采取控制措施,仍然会有未消除的风险。
示例:公司部署了入侵检测系统(IDS),但仍然可能遭遇零日攻击,这部分风险就是残余风险。
10. 风险管理框架
CISSP 相关的风险管理框架包括:
- NIST RMF(Risk Management Framework):美国政府机构广泛采用
- ISO 31000:国际通用的风险管理标准
- ISO 27005:专注于信息安全风险管理
- OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation):组织内部风险评估方法
总结
| 术语 | 含义 |
|---|---|
| 风险(Risk) | 资产、威胁和漏洞共同作用下的潜在损失 |
| 资产(Asset) | 需要保护的有价值资源 |
| 威胁(Threat) | 可能导致损害的事件或行为 |
| 漏洞(Vulnerability) | 资产的弱点,可能被威胁利用 |
| 控制(Control) | 用于降低风险的安全措施 |
| 风险评估(Risk Assessment) | 识别和分析风险的过程 |
| SLE、ARO、ALE | 用于定量风险分析 |
| 规避、降低、转移、接受 | 处理风险的方法 |
| 残余风险(Residual Risk) | 采取控制措施后仍然存在的风险 |
社会工程:钓鱼邮件前置词
前置词是在通信开头加一个标语。例如垃圾邮件、恶作剧、网络钓鱼。攻击者可以在攻击消息主题前加上RE:FW(分别表示关于、转发),让接收方误以为是先前的对话继续。通常还会包含"外部"、“私人”、“内部”。
前置词还可以欺骗过滤器。例如加上字段"X-Spam-Category:LEGIT" 或者 “X-Spam-Condition:SAFE”
鱼叉式网络钓鱼 Spear Phishing
鱼叉式网络钓鱼(Spear Phishing) 是一种 高度定制化的网络钓鱼攻击,针对特定个人、公司或组织 量身定制 欺骗性电子邮件,以窃取敏感信息、安装恶意软件,甚至执行更复杂的攻击(如 商业电子邮件诈骗 BEC)。
与**传统钓鱼(Phishing)**不同,鱼叉式钓鱼通常包含:
个性化信息(如姓名、职位、同事姓名、公司内部术语)。
伪造可信来源(如公司 IT 部门、供应商、银行或高管)。
诱骗目标点击恶意链接或附件,导致凭据泄露、木马感染等。
网络钓鲸 Whaling Phishing
网络钓鲸(Whaling Phishing) 是一种针对企业高层(如 CEO、CFO、CTO) 的高级钓鱼攻击。
它属于鱼叉式网络钓鱼(Spear Phishing) 的一种,但重点是攻击“重量级”目标(Whale),即 企业决策者、高管、董事会成员。
短信钓鱼 Smishing
短信钓鱼(Smishing, SMS Phishing) 是一种基于短信的社会工程攻击,攻击者通过伪造短信(SMS),诱导受害者点击恶意链接、下载恶意应用,或泄露敏感信息(如密码、银行卡信息)。
与传统网络钓鱼(Phishing)不同,Smishing 通过手机短信传播,通常针对移动设备用户!
语音网络钓鱼 Vishing
Vishing(Voice Phishing),即语音钓鱼,是一种利用电话或语音技术实施的社会工程攻击。攻击者伪装成银行、政府、IT 支持人员或公司高管,通过电话或 AI 语音诱导受害者泄露敏感信息、转账或执行恶意操作。
Vishing 利用人类对电话交流的信任,比电子邮件或短信更具欺骗性!
肩窥 Shoulder Surfing
肩窥(Shoulder Surfing) 是一种低技术含量的社会工程攻击,攻击者通过在受害者身后或侧面偷窥屏幕、键盘输入,获取敏感信息。这种攻击方式不依赖黑客技术,但仍然非常有效,特别是在公共场所(如咖啡厅、机场、公司开放办公区)。
发票诈骗 Invoice Fraud
发票诈骗(Invoice Fraud) 是一种基于社会工程的金融欺诈,攻击者伪造供应商或公司内部财务人员的身份,发送假冒发票,诱骗受害者支付款项到攻击者控制的银行账户。
典型目标:
企业财务人员(会计、财务主管)。
采购部门(供应链管理)。
CEO / 高管(攻击者可能直接伪装高管指示付款)。
假冒供应商(Vendor Impersonation)
攻击方式:
黑客通过社交工程或数据泄露获取真实供应商信息。
伪造供应商发票,使用与供应商极其相似的邮箱发送给财务部门。
提供虚假银行账户,诱骗财务人员付款。
尾随(Tailgating)和捎带(Piggybacking)
尾随(Tailgating) 是一种物理安全攻击,攻击者未经授权,紧跟在授权人员身后进入受限区域(如机房、办公室、数据中心)。
典型目标:
公司办公大楼(黑客伪装成员工进入企业内部)。
数据中心 / 机房(黑客潜入窃取服务器数据)。
机场 / 安保区(攻击者进入限制区域,绕过安检)。
Twitter 机房尾随攻击
2018 年,黑客尾随 Twitter 员工,未经授权进入服务器机房。
黑客插入恶意 USB,尝试植入后门。
企业发现后升级了门禁控制和安保监控。
垃圾箱搜寻(Dumpster Diving)
垃圾箱搜寻(Dumpster Diving) 是一种社会工程攻击,黑客从垃圾箱、废弃文件、电子垃圾中获取敏感信息,用于进一步的攻击,如身份盗窃、企业间谍、金融欺诈等。
目标信息可能包括:
纸质文件(机密合同、财务报表、员工名单)。
客户信息(信用卡信息、身份证复印件)。
电子垃圾(旧硬盘、USB 设备,可能存有敏感数据)。
企业邮件(包含内部流程、业务信息)。
误植域名(Typosquatting)URL 劫持
误植域名(Typosquatting),也称域名欺诈或URL 劫持(URL Hijacking),是网络钓鱼(Phishing)的一种形式。
攻击者注册与知名网站相似的域名,利用用户的拼写错误,引导他们访问伪造的网站,用于欺诈、恶意软件传播或数据窃取。
| 攻击方式 | 示例 | 攻击手法 |
|---|---|---|
| 拼写错误(Typo Errors) | goolge.com(Google) | 利用常见拼写错误欺骗用户。 |
| 字符替换(Character Substitution) | rnicrosoft.com(Microsoft) | 使用类似字符(rn vs. m)欺骗视觉认知。 |
| 额外字符(Additional Letters) | faceboook.com(Facebook) | 在正确域名中增加一个字符,不易察觉。 |
| 缺少字符(Missing Letters) | gogle.com(Google) | 移除一个字符,仍易读但是假网址。 |
| 不同 TLD(顶级域名变化) | paypal.co(paypal.com) | 使用不同的域名后缀,如 .co、.net 代替 .com。 |
| 连字符欺骗(Hyphenation) | microsoft-secure.com | 在品牌名称中插入连字符,伪装成官方网站。 |
| 国际化域名(IDN Homograph Attack) | аpple.com(实际是 Cyrillic “а”) | 使用 Unicode 字符,使域名看起来与原始品牌相同。 |
影响力运动(Influence Operations, IO)
| 策略 | 手段 | 示例 |
|---|---|---|
| 虚假信息传播(Disinformation) | 制造并传播假新闻、篡改事实 | 伪造政府声明,制造恐慌 |
| 操纵社交媒体(Social Media Manipulation) | 机器人账号、水军、带节奏 | 假评论影响选举结果 |
| 心理战(Psychological Warfare) | 煽动恐惧、制造分裂 | 突出负面新闻,削弱政府信任 |
| 深度伪造(Deepfake) | AI 伪造视频、音频 | 伪造领导人讲话,引发危机 |
| 搜索引擎优化攻击(SEO Poisoning) | 操控搜索结果,放大特定内容 | 让假新闻排在 Google 搜索第一 |
| 社会工程(Social Engineering) | 影响个人或组织决策 | 假冒记者,获取机密信息 |
| 经济胁迫(Economic Coercion) | 影响股市、操控舆论 | 传播企业负面新闻,导致股价暴跌 |
