工作輔助 3:攻擊與反制

 

侵襲技術性弱點 專屬反制 標準反制
強制採用複雜的密碼 啟用記錄/審核 檢閱系統設定 停用服務 實作入侵偵測系統 資料加密 數位簽 章 實作防火牆 將應用程式強固化 維護最新的廠商補強 安全性原則和程序 實作 Tripwire
密碼破解 採用可能的最高加密等級。
緩衝區溢位 強迫 OS 和應用程式驗證他們所接受的資料大小和偏好類型。請使用應用程式等級的防火牆。
網路監聽 限制區域網路連線和硬體控制權。使用監聽器偵測工具。
再次攻擊 建立單次密碼,防止封包監聽
連線截奪 除去可以預測的 TCP 序號,實作 SSL,強制採用 Cookie,以及防止區域網路連線。
資訊收集 以 proxy 防火牆限制直接存取權,實作可以更新篩選裝置的智慧型入侵偵測系統,先進行驗證作業再存取應用程式,以及利用防火牆來分隔安全性網域。
仔細篩檢文件 (潛入電子投擲器) 根據安全性原則,檢閱所有的公用資訊。比方說,公用網站有幾封特定的使用者電子郵件可以受到認可?這些電子郵件是否與使用者帳戶有直接關聯?
無線溢位 縮減無線連線區,實作硬體限制,以及使用多重因素驗證。
社會工程 實作強大的原則和訓練程式。
拒絕服務與分散式拒絕服務攻擊 收集基準來定義標準的服務層級。所有的存取權都應該以最低權限授與。套用網路入口篩選,來減少 IP 詐欺封包。(其他詳細資訊,請參閱 RFC 2267)。利用入侵偵測系統實作容錯和負載平衡方案,來實作路由器篩選器,啟用配額系統,監視系統效能,監視分散式拒絕服務攻擊簽章。根據廠商來實作 TCP/IP 堆疊提升。
Cookie 侵襲 對於 Cookie 實作器而言:所含的資訊越少越好,「千萬不要」將資訊以純文字儲存在 Cookie 當中,要儘量採用特定的路徑。
CGI 攻擊 務必讓 CGI 指令碼動態處理各種使用者輸入大小,不要把未經檢查的遠端使用者輸入傳給 shell 指令,並考慮使用 CGI 包裝函式。
DNS 污染 使用「安全 DNS」(SDNS,Secure DNS),並且實作另一個採用信任之內部 DNS 和不信任之外部 DNS的 DNS。兩者可同時位於同一個防火牆上。限制和驗證區域轉送。
電子郵件詐欺 使用數位簽章或憑證。防止在 SMTP 伺服器進行郵件轉接或詐欺。
IP 位址欺偽 套用網路入口篩選 (其他詳細資訊,請參閱 RFC 2827)。
病毒 訓練使用者識別病毒行為,做出適當的回應,避免停用病毒偵測軟體,強制定時更新病毒碼。只使用信任的軟體。
Worm 訓練使用者識別病毒行為,做出適當的回應,避免停用病毒偵測軟體,強制定時更新病毒碼。
特洛伊病毒 訓練一般使用者識別病毒行為,做出適當的回應,避免停用病毒偵測軟體,強制定時更新病毒簽名。只使用信任的軟體。
內部人員濫用 來自內部人員的威脅,是最難減少或移除的。實作強大原則,責任區分,權限限制,同級檢閱,工作輪替,以及入侵偵測系統。
不慎刪除或誤設服務 限制授權範圍 (只有在必要時,才用企業系統管理員或網域系統管理員的權限登入)
以隨時可用的目前備份,降低打錯字的機率。
執行強大的訓練程式,必要時再採行對等檢閱程式。

回到頁首