第9章 安全漏洞、威胁与对策

Everyone has some level of security responsibility.

每个人都有某种程度的安全责任。

安全不是 CISO 一个人的事，业务、IT、用户、供应商都有边界责任。

先明确责任边界，再谈控制措施。

STIX and TAXII share threat intelligence.

STIX 和 TAXII 用于共享威胁情报。

STIX 表达威胁信息，TAXII 定义自动化交换方式。

STIX 是结构化语言，TAXII 是传输交换机制。

AIS shares cyber threat indicators.

AIS 共享网络威胁指标。

自动化指标共享帮助组织更快获得威胁情报。

AIS、STIX、TAXII 经常成组出现。

Data localization requires local storage.

数据本地化要求数据本地存储。

法律可能要求某些数据留在特定国家或地区。

跨境云和隐私题常考 data localization。

Data sovereignty concerns jurisdiction over data.

数据主权关注数据适用的司法管辖权。

数据在哪、谁能管、受哪国法律约束，都会影响设计。

sovereignty 比 localization 更强调法律管辖。

Advanced controls may rely on weak foundations.

高级控制可能建立在薄弱基础上。

硬件、固件、架构有漏洞，上层控制再漂亮也会被绕过。

架构评估要覆盖硬件、设计、解决方案元素。

The processor is the nerve center.

处理器是计算机的神经中枢。

CPU 执行简单指令，操作系统和编译器把高级任务拆成指令。

CPU 能做的指令有限，这种限制也是可控性的基础。

Multitasking simulates simultaneous tasks.

多任务模拟同时处理多个任务。

单核通过快速切换实现多任务，多核可真正并行更多工作。

multitasking、multiprocessing、multiprogramming 概念要区分。

Threads execute within a process.

线程在进程内执行。

一个进程可有多个线程共享资源，线程安全和隔离就很重要。

线程共享地址空间，隔离弱于独立进程。

Protection rings isolate privilege levels.

保护环隔离权限级别。

Ring 0 通常是内核，Ring 3 通常是用户应用。

越靠内层权限越高，越要严格保护。

Processes move between ready, running, and waiting.

进程在就绪、运行和等待之间移动。

等待 I/O 会阻塞，时间片用完会回到就绪队列。

process states 常用于理解调度和资源控制。

Affinity binds a process to a CPU.

亲和性把进程绑定到某个 CPU。

管理员可让特定进程在特定核心上运行。

Affinity 是性能和调度控制概念。

ROM is nonvolatile and read-only.

ROM 非易失且只读。

PROM 一次写入，EPROM/EEPROM 可通过紫外线或电擦除。

ROM 家族常按是否可改写、如何擦除来区分。

RAM loses data when power is removed.

RAM 断电后丢失数据。

RAM 是易失性主存，处理时速度快但断电不保留。

DRAM 需刷新，SRAM 更快更贵，常用于缓存。

Secondary storage keeps long-term data.

辅助存储保存长期数据。

HDD、SSD、U 盘、光盘、磁带都属于长期介质。

primary/secondary、volatile/nonvolatile、random/sequential 常组合考。

Traditional overwriting is less effective on SSDs.

传统覆盖写入对 SSD 效果较差。

坏块、保留块和磨损均衡可能让数据残留。

SSD 清除要考虑加密擦除或物理销毁。

EMSEC protects against emanation attacks.

EMSEC 防护辐射攻击。

设备电磁辐射可能泄露屏幕或信号信息。

对策包括法拉第笼、白噪声、控制区、屏蔽和光纤。

Firmware updates are called flashing.

固件更新称为刷写。

UEFI 支持安全启动和度量启动，但固件被篡改会绕过上层安全。

Secure Boot 防止未授权启动组件，Measured Boot 记录启动度量。

Mobile code runs on the client.

移动代码在客户端运行。

Java applet、ActiveX、JavaScript 都曾带来客户端风险。

从不可信来源运行代码是高风险行为。

Same-origin policy restricts active content.

同源策略限制主动内容。

协议、域名/IP、端口共同决定源。

XSS 和 CSRF 常试图滥用浏览器信任关系。

XSS injects code into browser content.

XSS 向浏览器内容注入代码。

攻击者让受害者浏览器执行恶意脚本。

CSP、输出编码、输入验证、Cookie 属性可减轻 XSS。

CSRF abuses authenticated sessions.

CSRF 滥用已认证会话。

诱导用户浏览器带着现有身份执行不想执行的请求。

CSRF token、SameSite Cookie 是常见防护。

Local caches store temporary information.

本地缓存保存临时信息。

DNS、ARP、Cookie、临时文件都可能泄露或被污染。

缓存清理和浏览器隔离是客户端安全的一部分。

Push notifications may be abused.

推送通知可能被滥用。

恶意站点可用通知制造钓鱼或恐吓弹窗。

浏览器和 HIDS/EDR 可检测或限制滥用。

Server-based systems centralize services.

服务器端系统集中提供服务。

集中化便于管理，也让服务端漏洞影响面更大。

服务器安全关注硬化、补丁、日志、隔离和访问控制。

Parallel systems include SMP, AMP, and MPP.

并行系统包括 SMP、AMP 和 MPP。

SMP 共享 OS 和内存，AMP 更独立，MPP 大规模组合许多处理器。

MPP 适合庞大复杂计算，SMP 适合共享资源的高速操作。

Grid computing combines many nodes.

网格计算组合许多节点。

P2P 节点彼此直接交换资源，管理和版权风险更高。

Grid 更像松散协作处理，P2P 更像对等资源共享。

Distributed systems work as a single entity.

分布式系统作为单一实体协同工作。

DNS、SSO、目录服务、微服务都体现分布式思想。

DCE 风险集中在互联、异构配置和跨边界通信。

HPC executes complex computations quickly.

HPC 快速执行复杂计算。

AI/ML、3D 渲染、科学计算和流媒体都可能依赖 HPC。

HPC 关注低延迟、高吞吐和资源隔离。

RTOS processes with minimal latency.

RTOS 以最小延迟处理。

实时系统强调准时响应，常用于关键控制。

RTOS 可能安全功能少，应加强隔离和通信监控。

ICS controls industrial processes and machines.

ICS 控制工业流程和机器。

电力、水务、制造、炼油都可能使用 ICS/OT。

OT 关注物理过程，不能简单套用纯 IT 安全思维。

PLCs control individual devices.

PLC 控制单个设备。

PLC 是专用数字控制器，常管单台设备或生产环节。

PLC 常与传感器、执行器、工业流程控制关联。

DCS controls distributed process elements.

DCS 控制分布式过程元素。

DCS 常在工厂或有限物理范围内集中监控多元素。

DCS 范围通常比单个 PLC 大，但比 SCADA 小。

SCADA monitors and controls wide processes.

SCADA 监控和控制大范围流程。

SCADA 跨地域采集数据并下发控制，常有 HMI。

SCADA 可连接 PLC 和 DCS，也可能接入传统 IT。

Modbus is widely used in automation.

Modbus 广泛用于自动化。

它历史悠久、互操作性好，但原生安全较弱。

工业协议常需要网络分段、网关和监控补强。

Segmentation and monitoring reduce ICS risk.

分段和监控降低 ICS 风险。

白名单、跳板机、变更控制、补丁窗口、物理安全都重要。

ICS 中可用性和人员安全常优先于普通 IT 的快速补丁。

IoT includes many smart devices.

IoT 包含大量智能设备。

摄像头、传感器、可穿戴、智能家居和工业设备都可能接入网络。

IoT 常见风险：默认密码、弱补丁、暴露服务。

Edge computing moves processing near users.

边缘计算把处理移近用户。

减少延迟和带宽，但增加分散节点管理负担。

边缘节点也要身份、补丁、监控和物理保护。

Fog computing sits between cloud and edge.

雾计算位于云和边缘之间。

它提供中间层处理和汇聚能力。

Fog 常描述分层分布式处理。

Embedded devices have constrained resources.

嵌入式设备资源受限。

低功耗、低成本、专用用途，常很难安装传统安全软件。

固件签名、禁用服务、网络分段更关键。

Cyber-physical systems affect the physical world.

网络物理系统影响物理世界。

安全故障可能造成设备损坏、人员伤害或服务中断。

CPS 题目要考虑 safety 和 physical consequences。

Static systems are intended to remain unchanged.

静态系统旨在保持不变。

配置固定便于控制，但补丁和更新流程要严格。

静态不等于无需维护，仍需监控和变更管理。

Microservices expose APIs.

微服务暴露 API。

每个小服务独立部署，通过 API 协作。

微服务安全重点：服务身份、授权、加密、网关和日志。

APIs require authentication and authorization.

API 需要认证和授权。

API 不是内部就可信，输入、速率、权限都要控制。

API 网关常用于认证、限流、日志和策略执行。

Infrastructure is managed as code.

基础设施像代码一样管理。

好处是可版本化和重复部署，风险是错误配置会快速复制。

IaC 要代码审查、密钥扫描、配置扫描。

Immutable architecture replaces instead of modifies.

不可变架构倾向替换而不是修改。

不要手工改生产机，更新镜像后重建实例。

immutable 可减少配置漂移。

SDN separates control and data planes.

SDN 分离控制平面和数据平面。

集中控制网络转发逻辑，便于自动化也带来控制器风险。

保护 SDN 控制器是关键。

SDx includes many software-defined technologies.

SDx 包含多种软件定义技术。

SDN、SDS、SDDC、SDV 都属于软件定义思路。

软件定义不是自动安全，仍需访问控制和监控。

Type I hypervisors run on hardware.

Type I 虚拟机监控程序直接运行在硬件上。

裸金属 hypervisor 常用于服务器和数据中心。

Type I 通常比 Type II 更适合生产服务器。

Type II hypervisors run on a host OS.

Type II 运行在宿主操作系统上。

桌面虚拟化常见，安全依赖宿主 OS。

host OS 被攻破会影响上层虚拟机。

VDI hosts desktops centrally.

VDI 集中托管桌面。

VMI 类似地把移动环境集中托管，终端只访问远程环境。

VDI/VMI 可降低端点数据残留，但要保护集中平台。

VM sprawl creates unmanaged virtual systems.

虚拟机蔓延产生未管理虚拟系统。

虚拟机太容易创建，忘记补丁、监控和资产登记。

资产清单和生命周期管理是对策。

Shadow IT bypasses central management.

影子 IT 绕过集中管理。

部门自己买云服务或开虚拟机，安全策略跟不上。

Shadow IT 增加数据泄露和合规风险。

Containers share a common kernel.

容器共享公共内核。

容器轻量，但内核共享意味着隔离模型不同于虚拟机。

容器要关注镜像安全、运行时隔离和容器逃逸。

MDM manages mobile devices.

MDM 管理移动设备。

UEM 管更多端点，MAM 更聚焦应用管理。

MDM/UEM 可推策略、远程擦除、管应用和配置。

Devices require authentication.

设备需要认证。

PIN、密码、生物识别、USB key、NFC/RFID 都可用于认证。

上下文感知认证可结合位置、设备状态和网络条件。

Full-device encryption protects stored data.

全设备加密保护存储数据。

丢设备时，FDE 和远程擦除是关键防线。

远程擦除依赖设备在线或管理通道可达。

Rooting or jailbreaking bypasses controls.

Root 或越狱会绕过控制。

获得更高权限后，MDM 限制和系统隔离可能失效。

受管设备通常禁止 root/jailbreak 和侧载。

BYOD, CYOD, COPE, and COBO differ.

BYOD、CYOD、COPE 和 COBO 不同。

个人带设备、自己选设备、公司买可私用、公司买只办公，风险和控制不同。

BYOD 风险最大，COPE/COBO 控制更强。

Location and content controls reduce risk.

位置和内容控制降低风险。

地理围栏、MCM、应用允许列表、存储分段能保护公司数据。

移动策略要覆盖数据所有权、隐私、补丁、AUP 和法律问题。

Protection mechanisms include process isolation.

保护机制包括进程隔离。

进程隔离、硬件分段、信任根和系统安全策略是底层防线。

Root of Trust 常由 TPM/HSM 等硬件支撑。

Covert channels bypass normal controls.

隐蔽信道绕过正常控制。

两个进程通过非预期方式传递信息。

分为 covert timing channel 和 covert storage channel。

Timing channels convey information through timing.

时间信道通过时间传递信息。

通过延迟、节奏、资源占用时间编码信息。

关键词 timing、delay、response pattern。

Storage channels use shared storage.

存储信道使用共享存储。

通过共享变量、文件、磁盘空间等存储状态传递信息。

关键词 storage、shared resource、state change。

Coding flaws lead to common attacks.

编码缺陷导致常见攻击。

SQL 注入、XSS、缓冲区问题都属于实现缺陷。

OWASP Top 10 是应用缺陷参考清单。

Rootkits manipulate operating system output.

Rootkit 操纵操作系统输出。

它隐藏进程、文件或连接，让管理员看不到真实状态。

FIM、HIDS/EDR、离线扫描可帮助发现 rootkit。

Incremental attacks accumulate small changes.

增量攻击累积小变化。

像 salami attack，每次偷一点，长期积累成大损失。

对策是审计、异常检测、职责分离和完整性监控。