1、信息安全建设交流信息安全建设交流目前面对网络安全形势目前面对网络安全形势病毒19902000蠕虫20002005间谍软件20052010+APT网络攻击Today +l “黑灰产”规模庞大,网络犯罪受利益驱使, 门槛低l 黑客入侵手法更加智能,具备更强的能力去侵入行业的网络l 勒索病毒、未知恶意代码具备较强破坏力l 内鬼隐藏较深,难以发现安全术语 什么是漏洞安全漏洞是信息系统在生命周期的各个阶段(设计、实现、运维等过程)中产生的某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响。Bug漏洞漏洞与Bug并不等同,他们之间的关系基本可以描述为:大部分的Bug影响功能性,并不涉及安全
2、性,也就不构成漏洞;部分的漏洞来源于Bug,但并不是全部,它们之间只是有一个很大的交集。安全术语 什么是攻击利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。包括主动攻击:篡改、伪造消息数据和拒绝服务攻击(DDOS)等,被动攻击:流量分析、窃听等 什么是入侵网络入侵(hacking)通常是指具有熟练地编写和调试计算机程序的技巧,并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入公司内部网的行为 区别入侵是指任何威胁和破坏系统资源的行为,攻击是入侵者为进行入侵所采取的技术手段和方法。安全术语 后门绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是
3、方便以后再次秘密进入或者控制系统。 webshellwebshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。安全术语 0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞 exploit简称exp,漏洞利用安全术语 提权提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。 跳板跳板,简单来说,就是为了隐藏自己的地址,让别人无法查找到自己的位置。安全术语 拖库网站遭到入侵后,黑客窃取其数据库。 社会工程学一种通过对
4、受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,已成迅速上升甚至滥用的趋势。 Apt攻击高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式攻击者视野攻击者视野黑产攻击链展示终端防护服务器防护入侵服务器窃取机密信息(图纸、财务报表、客户信息)出售、牟利批量入侵网站,挂马、恶意代码浏览器漏洞,入侵终端盗取银行、证券、游戏账号出售、牟利组件僵尸网络重定向流量,提高网站点击拒绝服务攻击(勒索)传播病毒攻击者获取金钱控制终端情景说明内网说明:内网中有若干网段。外网服务器区,内网服务器区,办公pc区。各个网段通过路由器互相通
5、信。InternetOA/ERPvlan10192.168.10.0/24财务部技术部门户某天,坏小子接到一个入侵某企业内网erp/oa系统的活,但是该系统只对内网开放,公网上的坏小子无法直接访问。那么,坏小子是如何一步步入侵该内网服务的呢?入侵思路为了入侵内网erp/oa系统,黑客必须首先拿到内网中的一台主机权限,将其作为跳板机横向移动,继续入侵erp系统。如何获得内网中的一台主机权限思路1-拿下某服务器下面给出一个利用高危漏洞-利用sql注入 getshell的实例。SQL注入getshell流程SQL注入getshell流程黑客通过扫描,发现sql注入漏洞使用sqlmap注入得到管理员账
6、号密码解密密码利用账号登录后台,上传webshell思路2拿下某一PC入侵思路至此,黑客已经得到了一台内网主机的权限。下一步就是利用该跳板机横向移动,内网渗透。获取内网中更有价值的信息。例如erp系统,或者其他数据服务器。横向移动横向移动扫描内网横向移动获取核心数据内网沦陷组建僵尸网络所有文件被勒索软件加密为MP4文件安全意识安全意识 犯过以下的错误吗?p 将口令写在便签上,贴在电脑监视器旁p 开着电脑离开,就像离开家却忘记关灯那样p 轻易相信来自陌生人的邮件,好奇打开邮件附件p 使用容易猜测的口令,或者根本不设口令p 不安装防病毒软件,或者病毒库更新不及时p 不能保守秘密,口无遮拦,上当受骗
7、,泄漏敏感信息p 使用无线或者随意将无关设备连入工作网络p 在系统更新和安装补丁上总是行动迟缓p 只关注外来的威胁,忽视内部人员的问题计算机病毒防范p 安装病毒防护程序并及时更新病毒特征库;p 在以下情况注意病毒防范:下载电子邮件附件时;在网络上下载文件时;使用移动存储介质时;安装不明来源的软件时;浏览网页时;计算机使用过程中发现异常时浏览网页安全p 使用安全浏览器(如:火狐等安全浏览器)p 收藏经常访问的网站p 安装杀毒软件,开启实时防护功能,并保持更新;p 对超低价、超低折扣、中奖等诱惑要提高警惕;p 警惕色情、赌博、反动等非法网站,避免访问;p 防止网页自动记住账号密码 邮件钓鱼如何防范
8、p 应警惕的邮件内容:伪造发件人信息模仿单位领导索取个人信息p 进行网上交易时要注意做到以下几点:核对网址选妥和保管好密码、做好交易记录。避免公用计算机使用网上交易系统;不通过搜索引擎上的网址或不明网站的链接进入。在网络交易前,对交易网站和交易对方的资质全面了解。工作环境安全p禁止随意放置或丢弃含有敏感信息的纸质文件,废弃文件需用碎纸机粉碎p废弃或待修磁介质转交他人时应经管理部门消磁处理p离开座位时,应将贵重物品、含有机密信息的资料锁入柜中,并对使用的电脑桌面进行锁屏p应将复印或打印的资料及时取走pUKEY不使用时应及时拨出并妥善保管p禁止将手机和无线(例如:360wifi等)连接办公电脑(内
9、网)护网行动解读护网行动解读所有总行备案系统制定应急演练方案熟悉应急演练方案系统加固工作攻防演练对抗查找漏洞工作护网行动解读护网行动解读防护能力最大化,加大攻击难度,防护内网安全 人力设备制度重点系统进行持续和重点加强监控,及时发现安全隐患进行安全预警,并采取针对性的应对措施消除隐患。 提高全体工作人员的网络安全意识和技能水平,按照信息系统运行特点积极做好安全保障工作,建立信息安全预警和事件快速反应机制。组建网络安全专业技术人员团队;对列为目标的系统进行安全攻击测试,以及安全加固。护网行动应对措施(信息安全)护网行动应对措施(信息安全)技术分析组技术分析组攻击进行评估,提出应急处置方案,进行应
10、急处置;负责牵头开展每日的安全事件总结和分析工作。专家组专家组厂商高级攻防人员组成,机动、灵活的技术资源调配,完成安全监测预警、技术分析与研判、实时攻击对抗、应急响应等工作。联络保障组联络保障组上传下达,与本地公安进行联动。负责与公安部演习指挥中心沟通应急处置组应急处置组对网络攻击流量进行清洗,利用备用环境,快速完成业务切换;及时修补业务系统漏洞,开展业务系统关停及恢复工作。监控预警组监控预警组网络安全态势监控,并识别网络攻击,监控记录,发出攻击预警; 护网行动应对措施护网行动应对措施护网行动前护网行动前下发护网行动通知下发护网行动通知向下属单位下发护网行动保障通知,通知包含以下几方面内容:明
11、确责任,从哪个单位被突破,哪个单位承担责任,记入年终信息化考核指标。成立下属单位的网络安全保障小组,指定护网行动联络人(安全专责)。1. 开展资产梳理及安全自查。资产梳理资产梳理各单位自行开展信息化资产梳理,梳理结构报送至护网行动安全保障小组。负责梳理信息化资产及重要信息系统。主要梳理内容包括但不限于:梳理对外发布的互联网应用系统;梳理互联网出口及出口所使用的设备和安全措施;1. 梳理网络结构(网络拓扑);安全风险评估与检查安全风险评估与检查结合信息化资产梳理结果,护网行动安全保障小组对信息化资产进行安全风险评估。由山东建行及安全厂商组成多支网络安全评估检查加固小组(每个小组2-3人),对重点
12、下级单位的网络安全状况进行评估与加固。护网行动前护网行动前工具工具说明说明Kali渗透系统Kali Linux 前身是 BackTrack ,是一个基于 Debian 的 Linux 发行版,包含很多安全和取证方面的相关工具。Kali Linux预装了许多渗透测试软件,包括nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器),以及Aircrack-ng (一套用于对无线局域网进行渗透测试的软件)。 用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持
13、Kali Linux,Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。中国菜刀中国菜刀不仅仅是一个webshell管理器,可以说是一个集合体,就算完全抛弃里面的webshell管理功能,菜刀也是一个很不错的浏览器,很不错的后台扫描工具,很不错的cookies编辑提交工具,很不错的文件管理工具,很不错的旁注软件,不单是方便各位黑客朋友使用,也很方便站长使用,毕竟里面的文件管理功能,上传下载,比FTP更加直观了,最重要的是菜刀包含数据库管理功能。护网行动前护网行动前安全防护设备安全加固安全防护设备安全加固对象:各类网关类安全设备建议:各设备软件升级到最新版本,各类规则库
14、更新至最新 以梳理出对外发布业务的情况,包括但不限于webweb业务是否是标准8080端口、需要对外提供哪些端口、 网站后台是否需要对外开放、哪些对外提供的业务有暴力破解风险 防火墙策略最佳实践要求,附最佳实践-WEB应用防护 序号检查项目检查要求1waf-是否对外发布的所有网站均已开启waf策略正常情况,要求所有经过防火墙对外发布的网站都需要在waf策略防护范围内2waf-是否添加完整非标准80端口,或7.2后开启端口自动识别要求对非标准web端口,添加到waf策略防护里。或者7.2后开启端口自动识别3waf-https加密类网站,是否已开启解密功能要求对https类网站,开启解密功能。否则
15、无法正常识别与防护4ips-针对上网终端,是否开启“保护客户端”和“恶意软件”针对上网终端,要求开启从内网到外网访问的此两项功能防护5ips-针对服务器,是否开启“保护服务器”和“暴力破解”针对服务器,要求开启从外网到内网访问的此两项功能防护6apt-是否针对上网终端/服务器防护均已开启要求针对终端和服务器的策略,均开启apt功能,使用默认模板即可7应用控制-终端上网是否只开放内网到外网所有的访问针对终端上网,可以开放从内网到外网所有服务的访问8应用控制-服务器上网是否只开放内网到外网特定的访问针对服务器上网,建议只开放服务器需要访问特定外部地址的请求9应用控制-服务器是否只开放需要对外发布的
16、业务端口针对服务器发布业务,要求只开放需要对外发布的特定端口,其他一律拦截10地域防护-有明确地域使用范围的服务器,是否开启此功能对有明确地域使用范围的服务器,要求开启针对相应地域的访问控制11安全运营中心-手动检查后,是否把所有待办事件均已处理要求完成交付后,手动评估,把待办事件均完成处理或者忽略,确保无遗露护网行动护网行动中中事件诊断确定事件诊断确定一般情况,病毒与木马攻击安全事件具有以下特征:防病毒软件发出病毒警告;入侵检测系统发出警告;日志审计系统监控到攻击行为;系统性能严重下降,有不明的进程运行并占用大量的CPU处理时间;系统有不明的对外网络连接;网络中有大量发包流量;系统文件的访问
17、权限被修改;系统日志有可以操作行为记录。事件现场处置事件现场处置针对病毒与木马攻击,应采取以下应急响应处理措施: 终端遭受病毒与木马劫持人工排查定位或监控系统定位被攻击终端主机。把终端主机脱离网络,手工清除病毒和木马。如果手工清除不掉,则在操作系统安全模式下清除。采用恶意程序查杀工具清除病毒和木马。更新防病毒服务器病毒库,更新终端主机病毒库。针对恶意程序利用的漏洞进行加固。如果恶意程序非常顽固,或操作系统破坏严重,无法使用,则在安全保障期间,建议物理隔离终端主机,后期处理。如果有备用终端,则更换备用终端。病毒与木马应急专项预案病毒与木马应急专项预案通过大数据关联分析发现网络中的失陷主机、安全威
18、胁,识别业务潜在安全风险和高级APT攻击行为,同时实现了基于攻击场景的关联完成有效攻击检测和被利用漏洞检测,进而对攻击进行溯源,通过图关联分析,将攻击方的所有信息(IP、Domain、Virus、Hack tools、攻击方位置、攻击手段、历史攻击记录)关联起来,还原整个攻击场景,形成攻击故事,更好的对整个攻击事件进行了解、分析和取证。全网态势感知全网态势感知通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于webshell、后门等高阶事件,可以及时升级到技术
19、分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。云云saassaas安全服务安全服务通过T1驻场值守专家和云端T2/T3专家的配合,借助安全监测平台以及安全运营中心,为客户提供双重监测保障。其中T1驻场专家借助安全监测平台实现7*12的现场监测预警,云端T2/T3专家借助安全运营中心实现7*24小时的监测预警。一旦发现常规安全事件,即可实时处置,一旦发现高级事件,即可实时转交技术分析组进行研判,一旦确认,即可转交应急响应组处置。安全服务平台安全服务平台41写在最后写在最后成功的基础在于好的学习习惯成功的基础在于好的学习习惯The foundation of success lies in good habits 结束语当你尽了自己的最大努力时,失败也是伟大的,所以不要放弃,坚持就是正确的。When You Do Your Best, Failure Is Great, So DonT Give Up, Stick To The End演讲人:XXXXXX 时 间:XX年XX月XX日