《惡意軟件與網(wǎng)絡(luò)安全》課件

惡意軟件與網(wǎng)絡(luò)安全課程概述惡意軟件基礎(chǔ)定義、類型和危害網(wǎng)絡(luò)安全威脅常見攻擊類型防御策略技術(shù)與最佳實(shí)踐未來趨勢什么是惡意軟件？惡意目的專為造成損害而設(shè)計(jì)的程序1未授權(quán)行為未經(jīng)許可執(zhí)行惡意操作2隱蔽性通常在用戶不知情下運(yùn)行3危害性可竊取信息、破壞系統(tǒng)或控制設(shè)備惡意軟件的類型病毒與蠕蟲自我復(fù)制傳播的惡意程序特洛伊木馬與勒索軟件偽裝正常程序的威脅間諜軟件與廣告軟件監(jiān)控行為和顯示廣告的程序僵尸網(wǎng)絡(luò)病毒自我復(fù)制能夠復(fù)制自身并感染其他程序寄生特性依附于其他文件運(yùn)行破壞行為損壞文件、刪除數(shù)據(jù)或降低系統(tǒng)性能傳播方式通過電子郵件、網(wǎng)絡(luò)下載或可移動(dòng)設(shè)備蠕蟲自主傳播無需用戶干預(yù)即可擴(kuò)散快速蔓延能在短時(shí)間內(nèi)感染大量設(shè)備資源消耗占用網(wǎng)絡(luò)帶寬和系統(tǒng)資源特洛伊木馬偽裝友好表面看似合法程序后門創(chuàng)建為攻擊者提供遠(yuǎn)程訪問數(shù)據(jù)竊取偷取賬號(hào)密碼和個(gè)人信息勒索軟件數(shù)據(jù)加密加密用戶文件使其無法訪問勒索贖金要求支付贖金以解鎖文件時(shí)間限制設(shè)置支付期限并威脅刪除密鑰間諜軟件秘密監(jiān)控隱蔽記錄用戶活動(dòng)鍵盤記錄捕獲輸入的所有內(nèi)容屏幕捕獲定期截取屏幕圖像數(shù)據(jù)傳輸將收集的信息發(fā)送給攻擊者廣告軟件廣告軟件強(qiáng)制顯示廣告，降低系統(tǒng)性能，收集用戶行為數(shù)據(jù)，難以卸載僵尸網(wǎng)絡(luò)數(shù)千臺(tái)規(guī)模龐大可控制大量感染設(shè)備24/7持續(xù)運(yùn)行全天候待命執(zhí)行指令Gbps攻擊威力可發(fā)起大規(guī)模DDoS攻擊惡意軟件的傳播方式電子郵件釣魚郵件和惡意附件網(wǎng)站惡意下載和驅(qū)動(dòng)攻擊漏洞利用軟件安全漏洞物理介質(zhì)USB設(shè)備和移動(dòng)存儲(chǔ)社交工程欺騙用戶執(zhí)行危險(xiǎn)操作電子郵件附件釣魚郵件偽裝成可信來源的郵件公司官方通知銀行賬戶提醒快遞通知惡意附件類型常見危險(xiǎn)文件格式可執(zhí)行文件(.exe,.bat)宏文檔(.doc,.xls)腳本文件(.js,.vbs)惡意網(wǎng)站欺騙性域名使用與知名網(wǎng)站相似的網(wǎng)址驅(qū)動(dòng)下載強(qiáng)制下載惡意軟件跨站腳本利用網(wǎng)站漏洞注入惡意代碼偽造頁面復(fù)制合法網(wǎng)站外觀騙取信息軟件漏洞未修補(bǔ)漏洞配置錯(cuò)誤應(yīng)用程序缺陷系統(tǒng)設(shè)計(jì)缺陷其他漏洞社交工程釣魚攻擊通過欺騙性通信獲取信息假裝身份偽裝成可信人員騙取信任誘餌攻擊提供誘人物品引誘點(diǎn)擊USB設(shè)備1自動(dòng)運(yùn)行插入時(shí)自動(dòng)執(zhí)行惡意程序2設(shè)備偽裝看似普通設(shè)備內(nèi)含惡意代碼3復(fù)制傳播感染連接的所有存儲(chǔ)設(shè)備4數(shù)據(jù)竊取搜索并復(fù)制重要文件惡意軟件的影響安全破壞繞過系統(tǒng)安全控制數(shù)據(jù)泄露竊取敏感個(gè)人信息系統(tǒng)損害降低性能或破壞設(shè)備經(jīng)濟(jì)損失直接財(cái)務(wù)損失與恢復(fù)成本個(gè)人數(shù)據(jù)泄露身份信息姓名、身份證號(hào)家庭住址出生日期賬戶憑證用戶名密碼安全問題答案手機(jī)驗(yàn)證碼財(cái)務(wù)信息銀行卡號(hào)支付密碼交易記錄系統(tǒng)性能下降響應(yīng)延遲操作響應(yīng)時(shí)間明顯增加資源占用CPU和內(nèi)存使用率異常高瀏覽器問題頻繁崩潰或重定向電池消耗移動(dòng)設(shè)備電量迅速耗盡財(cái)務(wù)損失￥950B全球年損失網(wǎng)絡(luò)犯罪造成的直接經(jīng)濟(jì)損失3.8倍增長率五年內(nèi)損失增長倍數(shù)287天平均恢復(fù)時(shí)間企業(yè)系統(tǒng)完全恢復(fù)所需時(shí)間網(wǎng)絡(luò)安全概述用戶安全個(gè)人行為與意識(shí)終端安全設(shè)備保護(hù)3網(wǎng)絡(luò)安全通信與連接保護(hù)基礎(chǔ)設(shè)施安全物理與云端架構(gòu)網(wǎng)絡(luò)安全的定義1234保護(hù)措施防御計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)免受攻擊數(shù)據(jù)保護(hù)確保數(shù)據(jù)機(jī)密性、完整性和可用性風(fēng)險(xiǎn)管理識(shí)別、評(píng)估和應(yīng)對安全威脅合規(guī)性滿足法規(guī)和行業(yè)標(biāo)準(zhǔn)要求網(wǎng)絡(luò)安全的重要性個(gè)人層面保護(hù)隱私數(shù)據(jù)防止身份盜用維護(hù)數(shù)字資產(chǎn)安全組織層面保護(hù)客戶信息維護(hù)業(yè)務(wù)連續(xù)性保障商業(yè)機(jī)密國家層面保護(hù)關(guān)鍵基礎(chǔ)設(shè)施維護(hù)國家安全防范網(wǎng)絡(luò)恐怖主義網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)威脅種類繁多，包括黑客攻擊、釣魚郵件、勒索軟件、DDoS攻擊和數(shù)據(jù)泄露網(wǎng)絡(luò)攻擊類型拒絕服務(wù)攻擊耗盡系統(tǒng)資源使服務(wù)不可用釣魚攻擊欺騙用戶提供敏感信息3中間人攻擊截獲并篡改通信數(shù)據(jù)4注入攻擊插入惡意代碼執(zhí)行非預(yù)期操作密碼攻擊破解用戶密碼獲取賬號(hào)控制權(quán)DDoS攻擊時(shí)間(分鐘)流量(Gbps)服務(wù)器響應(yīng)時(shí)間(秒)釣魚攻擊偽裝發(fā)送者冒充可信來源制造緊急感催促用戶立即行動(dòng)引導(dǎo)點(diǎn)擊誘導(dǎo)訪問釣魚網(wǎng)站收集憑據(jù)竊取用戶輸入的信息中間人攻擊監(jiān)聽通信位于用戶與目標(biāo)服務(wù)器之間截獲數(shù)據(jù)數(shù)據(jù)篡改修改傳輸中的信息會(huì)話劫持竊取用戶會(huì)話標(biāo)識(shí)符攻擊場景公共WiFi、未加密連接、DNS劫持SQL注入攻擊原理插入惡意SQL代碼修改數(shù)據(jù)庫查詢利用輸入驗(yàn)證不足執(zhí)行未授權(quán)操作繞過認(rèn)證機(jī)制--惡意SQL注入示例SELECT*FROMusersWHEREusername='admin'--'ANDpassword='anything'密碼攻擊暴力破解嘗試所有可能的密碼組合字典攻擊使用常用密碼列表進(jìn)行嘗試彩虹表攻擊使用預(yù)計(jì)算的哈希值查找表密碼噴灑對多個(gè)賬戶嘗試少量常用密碼網(wǎng)絡(luò)安全防御策略防御措施部署安全工具與技術(shù)監(jiān)測持續(xù)監(jiān)控異?；顒?dòng)分析評(píng)估威脅與弱點(diǎn)更新定期更新系統(tǒng)與政策培訓(xùn)提高用戶安全意識(shí)防火墻數(shù)據(jù)包過濾檢查網(wǎng)絡(luò)流量是否符合安全規(guī)則應(yīng)用層網(wǎng)關(guān)深度檢查應(yīng)用層流量3狀態(tài)檢測跟蹤連接狀態(tài)進(jìn)行智能過濾入侵檢測系統(tǒng)基于特征匹配已知攻擊模式預(yù)定義規(guī)則庫快速識(shí)別定期更新基于異常檢測偏離正常行為的活動(dòng)行為基準(zhǔn)建立動(dòng)態(tài)學(xué)習(xí)發(fā)現(xiàn)未知威脅部署模式網(wǎng)絡(luò)與主機(jī)部署網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)日志分析實(shí)時(shí)告警防病毒軟件病毒掃描檢查文件是否含有惡意代碼2病毒庫更新定期更新惡意軟件特征庫實(shí)時(shí)防護(hù)監(jiān)控系統(tǒng)活動(dòng)攔截威脅隔離處理安全移除或隔離惡意文件加密技術(shù)密鑰長度(位)相對安全性安全補(bǔ)丁管理補(bǔ)丁識(shí)別發(fā)現(xiàn)系統(tǒng)與應(yīng)用補(bǔ)丁需求測試評(píng)估驗(yàn)證補(bǔ)丁兼容性與影響部署實(shí)施安裝補(bǔ)丁并確認(rèn)成功驗(yàn)證審計(jì)確認(rèn)所有系統(tǒng)都已更新多因素認(rèn)證知識(shí)因素用戶知道的信息（密碼、PIN）占有因素用戶擁有的物品（手機(jī)、令牌）生物因素用戶的生物特征（指紋、面部）位置因素用戶所在位置（IP地址、GPS）網(wǎng)絡(luò)隔離核心系統(tǒng)最高安全級(jí)別區(qū)域2數(shù)據(jù)處理區(qū)敏感數(shù)據(jù)處理環(huán)境內(nèi)部用戶區(qū)員工工作環(huán)境外部訪問區(qū)與外部網(wǎng)絡(luò)連接的區(qū)域員工安全意識(shí)培訓(xùn)識(shí)別威脅釣魚郵件特征社交工程手段可疑鏈接識(shí)別安全行為強(qiáng)密碼創(chuàng)建定期密碼更新謹(jǐn)慎處理敏感信息應(yīng)急響應(yīng)安全事件報(bào)告流程可疑活動(dòng)處理步驟快速反應(yīng)指南惡意軟件檢測技術(shù)特征碼匹配基于已知惡意軟件特征行為分析監(jiān)控程序行為識(shí)別異常沙箱技術(shù)隔離環(huán)境中安全執(zhí)行分析機(jī)器學(xué)習(xí)使用AI識(shí)別未知威脅特征碼匹配工作原理將文件與已知惡意軟件特征數(shù)據(jù)庫進(jìn)行比對提取文件特征碼與病毒庫比較確定是否匹配優(yōu)勢高效準(zhǔn)確資源消耗低誤報(bào)率低局限性無法檢測未知威脅無法識(shí)別變種需要頻繁更新行為分析行為監(jiān)控追蹤程序運(yùn)行時(shí)的活動(dòng)模式識(shí)別將行為與已知惡意模式比對異常檢測識(shí)別偏離正常行為的活動(dòng)威脅評(píng)估根據(jù)行為特征判斷風(fēng)險(xiǎn)級(jí)別沙箱技術(shù)沙箱提供隔離環(huán)境安全運(yùn)行可疑程序，監(jiān)控其行為，生成詳細(xì)分析報(bào)告，不影響真實(shí)系統(tǒng)機(jī)器學(xué)習(xí)檢測1數(shù)據(jù)收集收集大量惡意和正常軟件樣本特征提取分析代碼結(jié)構(gòu)和行為特征模型訓(xùn)練訓(xùn)練算法識(shí)別惡意特征威脅檢測應(yīng)用模型分析新程序持續(xù)學(xué)習(xí)不斷更新模型適應(yīng)新威脅惡意軟件清除方法全面掃描使用安全工具徹底檢查系統(tǒng)清除惡意文件刪除或隔離發(fā)現(xiàn)的威脅修復(fù)系統(tǒng)恢復(fù)被修改的系統(tǒng)設(shè)置加強(qiáng)防護(hù)更新安全軟件并修補(bǔ)漏洞系統(tǒng)恢復(fù)斷網(wǎng)隔離斷開網(wǎng)絡(luò)連接防止傳播備份檢查確認(rèn)可用的干凈備份系統(tǒng)清理清除所有惡意組件數(shù)據(jù)恢復(fù)從安全備份還原數(shù)據(jù)驗(yàn)證確認(rèn)測試系統(tǒng)功能和安全狀態(tài)文件隔離隔離原理將可疑文件移至特殊安全區(qū)域訪問限制防止惡意代碼執(zhí)行與傳播后續(xù)處理進(jìn)一步分析或安全刪除恢復(fù)選項(xiàng)必要時(shí)可恢復(fù)誤判文件軟件更新85%漏洞利用利用未修補(bǔ)漏洞的攻擊比例30天平均響應(yīng)時(shí)間漏洞發(fā)現(xiàn)到修補(bǔ)的平均時(shí)間60%系統(tǒng)風(fēng)險(xiǎn)降低及時(shí)更新可降低的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)安全最佳實(shí)踐1多層防御構(gòu)建深度防御架構(gòu)2安全意識(shí)加強(qiáng)人員安全訓(xùn)練持續(xù)更新保持系統(tǒng)和防護(hù)最新4定期審計(jì)評(píng)估安全狀態(tài)并改進(jìn)定期備份備份計(jì)劃制定定期備份時(shí)間表多重備份采用3-2-1備份策略異地存儲(chǔ)存儲(chǔ)備份在不同物理位置驗(yàn)證測試定期測試備份可用性4密碼管理強(qiáng)密碼創(chuàng)建使用字母、數(shù)字和符號(hào)組合密碼管理器安全存儲(chǔ)和生成復(fù)雜密碼密碼唯一性不同賬戶使用不同密碼軟件更新定期檢查定時(shí)查看軟件更新狀態(tài)自動(dòng)更新啟用可信軟件的自動(dòng)更新全面覆蓋更新操作系統(tǒng)、應(yīng)用和固件安全來源僅從官方渠道獲取更新網(wǎng)絡(luò)監(jiān)控流量分析監(jiān)控網(wǎng)絡(luò)流量模式識(shí)別異常連接檢測數(shù)據(jù)外泄日志管理收集系統(tǒng)日志分析登錄嘗試追蹤用戶活動(dòng)告警系統(tǒng)設(shè)置閾值觸發(fā)實(shí)時(shí)通知事件分類分級(jí)應(yīng)急響應(yīng)計(jì)劃準(zhǔn)備階段制定計(jì)劃、分配責(zé)任、準(zhǔn)備工具2檢測識(shí)別發(fā)現(xiàn)并確認(rèn)安全事件控制遏制隔離受影響系統(tǒng)限制損害清除恢復(fù)移除威脅并恢復(fù)系統(tǒng)總結(jié)改進(jìn)分析事件并優(yōu)化流程移動(dòng)設(shè)備安全設(shè)備鎖定使用強(qiáng)密碼或生物識(shí)別應(yīng)用管理僅從官方應(yīng)用商店下載安全軟件安裝移動(dòng)安全應(yīng)用網(wǎng)絡(luò)安全謹(jǐn)慎使用公共WiFi物聯(lián)網(wǎng)安全弱密碼固件漏洞通信加密不足認(rèn)證機(jī)制缺失其他安全問題云安全身份管