《惡意軟件與網(wǎng)絡(luò)安全》課件

惡意軟件與網(wǎng)絡(luò)安全課程概述惡意軟件基礎(chǔ)定義、類型和危害網(wǎng)絡(luò)安全威脅常見攻擊類型防御策略技術(shù)與最佳實踐未來趨勢什么是惡意軟件？惡意目的專為造成損害而設(shè)計的程序1未授權(quán)行為未經(jīng)許可執(zhí)行惡意操作2隱蔽性通常在用戶不知情下運行3危害性可竊取信息、破壞系統(tǒng)或控制設(shè)備惡意軟件的類型病毒與蠕蟲自我復制傳播的惡意程序特洛伊木馬與勒索軟件偽裝正常程序的威脅間諜軟件與廣告軟件監(jiān)控行為和顯示廣告的程序僵尸網(wǎng)絡(luò)病毒自我復制能夠復制自身并感染其他程序寄生特性依附于其他文件運行破壞行為損壞文件、刪除數(shù)據(jù)或降低系統(tǒng)性能傳播方式通過電子郵件、網(wǎng)絡(luò)下載或可移動設(shè)備蠕蟲自主傳播無需用戶干預即可擴散快速蔓延能在短時間內(nèi)感染大量設(shè)備資源消耗占用網(wǎng)絡(luò)帶寬和系統(tǒng)資源特洛伊木馬偽裝友好表面看似合法程序后門創(chuàng)建為攻擊者提供遠程訪問數(shù)據(jù)竊取偷取賬號密碼和個人信息勒索軟件數(shù)據(jù)加密加密用戶文件使其無法訪問勒索贖金要求支付贖金以解鎖文件時間限制設(shè)置支付期限并威脅刪除密鑰間諜軟件秘密監(jiān)控隱蔽記錄用戶活動鍵盤記錄捕獲輸入的所有內(nèi)容屏幕捕獲定期截取屏幕圖像數(shù)據(jù)傳輸將收集的信息發(fā)送給攻擊者廣告軟件廣告軟件強制顯示廣告，降低系統(tǒng)性能，收集用戶行為數(shù)據(jù)，難以卸載僵尸網(wǎng)絡(luò)數(shù)千臺規(guī)模龐大可控制大量感染設(shè)備24/7持續(xù)運行全天候待命執(zhí)行指令Gbps攻擊威力可發(fā)起大規(guī)模DDoS攻擊惡意軟件的傳播方式電子郵件釣魚郵件和惡意附件網(wǎng)站惡意下載和驅(qū)動攻擊漏洞利用軟件安全漏洞物理介質(zhì)USB設(shè)備和移動存儲社交工程欺騙用戶執(zhí)行危險操作電子郵件附件釣魚郵件偽裝成可信來源的郵件公司官方通知銀行賬戶提醒快遞通知惡意附件類型常見危險文件格式可執(zhí)行文件(.exe,.bat)宏文檔(.doc,.xls)腳本文件(.js,.vbs)惡意網(wǎng)站欺騙性域名使用與知名網(wǎng)站相似的網(wǎng)址驅(qū)動下載強制下載惡意軟件跨站腳本利用網(wǎng)站漏洞注入惡意代碼偽造頁面復制合法網(wǎng)站外觀騙取信息軟件漏洞未修補漏洞配置錯誤應(yīng)用程序缺陷系統(tǒng)設(shè)計缺陷其他漏洞社交工程釣魚攻擊通過欺騙性通信獲取信息假裝身份偽裝成可信人員騙取信任誘餌攻擊提供誘人物品引誘點擊USB設(shè)備1自動運行插入時自動執(zhí)行惡意程序2設(shè)備偽裝看似普通設(shè)備內(nèi)含惡意代碼3復制傳播感染連接的所有存儲設(shè)備4數(shù)據(jù)竊取搜索并復制重要文件惡意軟件的影響安全破壞繞過系統(tǒng)安全控制數(shù)據(jù)泄露竊取敏感個人信息系統(tǒng)損害降低性能或破壞設(shè)備經(jīng)濟損失直接財務(wù)損失與恢復成本個人數(shù)據(jù)泄露身份信息姓名、身份證號家庭住址出生日期賬戶憑證用戶名密碼安全問題答案手機驗證碼財務(wù)信息銀行卡號支付密碼交易記錄系統(tǒng)性能下降響應(yīng)延遲操作響應(yīng)時間明顯增加資源占用CPU和內(nèi)存使用率異常高瀏覽器問題頻繁崩潰或重定向電池消耗移動設(shè)備電量迅速耗盡財務(wù)損失￥950B全球年損失網(wǎng)絡(luò)犯罪造成的直接經(jīng)濟損失3.8倍增長率五年內(nèi)損失增長倍數(shù)287天平均恢復時間企業(yè)系統(tǒng)完全恢復所需時間網(wǎng)絡(luò)安全概述用戶安全個人行為與意識終端安全設(shè)備保護3網(wǎng)絡(luò)安全通信與連接保護基礎(chǔ)設(shè)施安全物理與云端架構(gòu)網(wǎng)絡(luò)安全的定義1234保護措施防御計算機系統(tǒng)與網(wǎng)絡(luò)免受攻擊數(shù)據(jù)保護確保數(shù)據(jù)機密性、完整性和可用性風險管理識別、評估和應(yīng)對安全威脅合規(guī)性滿足法規(guī)和行業(yè)標準要求網(wǎng)絡(luò)安全的重要性個人層面保護隱私數(shù)據(jù)防止身份盜用維護數(shù)字資產(chǎn)安全組織層面保護客戶信息維護業(yè)務(wù)連續(xù)性保障商業(yè)機密國家層面保護關(guān)鍵基礎(chǔ)設(shè)施維護國家安全防范網(wǎng)絡(luò)恐怖主義網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)威脅種類繁多，包括黑客攻擊、釣魚郵件、勒索軟件、DDoS攻擊和數(shù)據(jù)泄露網(wǎng)絡(luò)攻擊類型拒絕服務(wù)攻擊耗盡系統(tǒng)資源使服務(wù)不可用釣魚攻擊欺騙用戶提供敏感信息3中間人攻擊截獲并篡改通信數(shù)據(jù)4注入攻擊插入惡意代碼執(zhí)行非預期操作密碼攻擊破解用戶密碼獲取賬號控制權(quán)DDoS攻擊時間(分鐘)流量(Gbps)服務(wù)器響應(yīng)時間(秒)釣魚攻擊偽裝發(fā)送者冒充可信來源制造緊急感催促用戶立即行動引導點擊誘導訪問釣魚網(wǎng)站收集憑據(jù)竊取用戶輸入的信息中間人攻擊監(jiān)聽通信位于用戶與目標服務(wù)器之間截獲數(shù)據(jù)數(shù)據(jù)篡改修改傳輸中的信息會話劫持竊取用戶會話標識符攻擊場景公共WiFi、未加密連接、DNS劫持SQL注入攻擊原理插入惡意SQL代碼修改數(shù)據(jù)庫查詢利用輸入驗證不足執(zhí)行未授權(quán)操作繞過認證機制--惡意SQL注入示例SELECT*FROMusersWHEREusername='admin'--'ANDpassword='anything'密碼攻擊暴力破解嘗試所有可能的密碼組合字典攻擊使用常用密碼列表進行嘗試彩虹表攻擊使用預計算的哈希值查找表密碼噴灑對多個賬戶嘗試少量常用密碼網(wǎng)絡(luò)安全防御策略防御措施部署安全工具與技術(shù)監(jiān)測持續(xù)監(jiān)控異?；顒臃治鲈u估威脅與弱點更新定期更新系統(tǒng)與政策培訓提高用戶安全意識防火墻數(shù)據(jù)包過濾檢查網(wǎng)絡(luò)流量是否符合安全規(guī)則應(yīng)用層網(wǎng)關(guān)深度檢查應(yīng)用層流量3狀態(tài)檢測跟蹤連接狀態(tài)進行智能過濾入侵檢測系統(tǒng)基于特征匹配已知攻擊模式預定義規(guī)則庫快速識別定期更新基于異常檢測偏離正常行為的活動行為基準建立動態(tài)學習發(fā)現(xiàn)未知威脅部署模式網(wǎng)絡(luò)與主機部署網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)日志分析實時告警防病毒軟件病毒掃描檢查文件是否含有惡意代碼2病毒庫更新定期更新惡意軟件特征庫實時防護監(jiān)控系統(tǒng)活動攔截威脅隔離處理安全移除或隔離惡意文件加密技術(shù)密鑰長度(位)相對安全性安全補丁管理補丁識別發(fā)現(xiàn)系統(tǒng)與應(yīng)用補丁需求測試評估驗證補丁兼容性與影響部署實施安裝補丁并確認成功驗證審計確認所有系統(tǒng)都已更新多因素認證知識因素用戶知道的信息（密碼、PIN）占有因素用戶擁有的物品（手機、令牌）生物因素用戶的生物特征（指紋、面部）位置因素用戶所在位置（IP地址、GPS）網(wǎng)絡(luò)隔離核心系統(tǒng)最高安全級別區(qū)域2數(shù)據(jù)處理區(qū)敏感數(shù)據(jù)處理環(huán)境內(nèi)部用戶區(qū)員工工作環(huán)境外部訪問區(qū)與外部網(wǎng)絡(luò)連接的區(qū)域員工安全意識培訓識別威脅釣魚郵件特征社交工程手段可疑鏈接識別安全行為強密碼創(chuàng)建定期密碼更新謹慎處理敏感信息應(yīng)急響應(yīng)安全事件報告流程可疑活動處理步驟快速反應(yīng)指南惡意軟件檢測技術(shù)特征碼匹配基于已知惡意軟件特征行為分析監(jiān)控程序行為識別異常沙箱技術(shù)隔離環(huán)境中安全執(zhí)行分析機器學習使用AI識別未知威脅特征碼匹配工作原理將文件與已知惡意軟件特征數(shù)據(jù)庫進行比對提取文件特征碼與病毒庫比較確定是否匹配優(yōu)勢高效準確資源消耗低誤報率低局限性無法檢測未知威脅無法識別變種需要頻繁更新行為分析行為監(jiān)控追蹤程序運行時的活動模式識別將行為與已知惡意模式比對異常檢測識別偏離正常行為的活動威脅評估根據(jù)行為特征判斷風險級別沙箱技術(shù)沙箱提供隔離環(huán)境安全運行可疑程序，監(jiān)控其行為，生成詳細分析報告，不影響真實系統(tǒng)機器學習檢測1數(shù)據(jù)收集收集大量惡意和正常軟件樣本特征提取分析代碼結(jié)構(gòu)和行為特征模型訓練訓練算法識別惡意特征威脅檢測應(yīng)用模型分析新程序持續(xù)學習不斷更新模型適應(yīng)新威脅惡意軟件清除方法全面掃描使用安全工具徹底檢查系統(tǒng)清除惡意文件刪除或隔離發(fā)現(xiàn)的威脅修復系統(tǒng)恢復被修改的系統(tǒng)設(shè)置加強防護更新安全軟件并修補漏洞系統(tǒng)恢復斷網(wǎng)隔離斷開網(wǎng)絡(luò)連接防止傳播備份檢查確認可用的干凈備份系統(tǒng)清理清除所有惡意組件數(shù)據(jù)恢復從安全備份還原數(shù)據(jù)驗證確認測試系統(tǒng)功能和安全狀態(tài)文件隔離隔離原理將可疑文件移至特殊安全區(qū)域訪問限制防止惡意代碼執(zhí)行與傳播后續(xù)處理進一步分析或安全刪除恢復選項必要時可恢復誤判文件軟件更新85%漏洞利用利用未修補漏洞的攻擊比例30天平均響應(yīng)時間漏洞發(fā)現(xiàn)到修補的平均時間60%系統(tǒng)風險降低及時更新可降低的安全風險網(wǎng)絡(luò)安全最佳實踐1多層防御構(gòu)建深度防御架構(gòu)2安全意識加強人員安全訓練持續(xù)更新保持系統(tǒng)和防護最新4定期審計評估安全狀態(tài)并改進定期備份備份計劃制定定期備份時間表多重備份采用3-2-1備份策略異地存儲存儲備份在不同物理位置驗證測試定期測試備份可用性4密碼管理強密碼創(chuàng)建使用字母、數(shù)字和符號組合密碼管理器安全存儲和生成復雜密碼密碼唯一性不同賬戶使用不同密碼軟件更新定期檢查定時查看軟件更新狀態(tài)自動更新啟用可信軟件的自動更新全面覆蓋更新操作系統(tǒng)、應(yīng)用和固件安全來源僅從官方渠道獲取更新網(wǎng)絡(luò)監(jiān)控流量分析監(jiān)控網(wǎng)絡(luò)流量模式識別異常連接檢測數(shù)據(jù)外泄日志管理收集系統(tǒng)日志分析登錄嘗試追蹤用戶活動告警系統(tǒng)設(shè)置閾值觸發(fā)實時通知事件分類分級應(yīng)急響應(yīng)計劃準備階段制定計劃、分配責任、準備工具2檢測識別發(fā)現(xiàn)并確認安全事件控制遏制隔離受影響系統(tǒng)限制損害清除恢復移除威脅并恢復系統(tǒng)總結(jié)改進分析事件并優(yōu)化流程移動設(shè)備安全設(shè)備鎖定使用強密碼或生物識別應(yīng)用管理僅從官方應(yīng)用商店下載安全軟件安裝移動安全應(yīng)用網(wǎng)絡(luò)安全謹慎使用公共WiFi物聯(lián)網(wǎng)安全弱密碼固件漏洞通信加密不足認證機制缺失其他安全問題云安全身份管