专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


301:浅谈互联网安全现状与攻击趋势

2016-01-07 12:54 推荐: 浏览: 62 views 字号:

摘要: 前言 随着互联网信息技术在企业应用上迅速发展,企业对互联网信息技术依赖性越来越强,在企业业务快速发展过程中,衍生出来的安全风险越来越严峻。本文会结合301在今天上海某部门内部发起安全技术论坛议题会给大家分享今天会议内容。 作者介绍: 杨蔚,花名:301,5年安...

前言

随着互联网信息技术在企业应用上迅速发展,企业对互联网信息技术依赖性越来越强,在企业业务快速发展过程中,衍生出来的安全风险越来越严峻。本文会结合301在今天上海某部门内部发起安全技术论坛议题会给大家分享今天会议内容。

作者介绍:

杨蔚,花名:301,5年安全从业经验,乌云白帽子。作者会站在白帽子的角度给大家分享当前互联网安全现状与攻击趋势。

本次301从四个方面分享本次议题内容:

  • 互联网+时代安全变化;
  • 互联网行业安全现状;
  • 互联网安全攻击趋势;
  • 互联网应对与策略;

第一部分:互联网+时代安全变化

首先,针对互联网+时代安全变化,301从用户、业务、行业、组织四个角度跟大家分享有关国内互联网+的过程中的安全变化。

在谈论互联网变化过程中,我们自然免不了站在用户角度感受下互联网信息技术给生活、工作带来的便利。互联网的快速发展改变了用户的生活方式,在北上广深等互联网信息技术应用较为广泛的城市感受极为明显。301作为互联网重度用户,衣食住行均通过互联网的方式来解决生活、工作问题,作为国内早一批互联网资深用户,感受了互联网信息技术发展这十余年带来的无限价值。在互联网信息快速迭代的过程中,用户依赖互联网技术也越来越强。互联网企业为了产品运营,并且为了给用户提供更为优质的服务,自然会开发、并且收集更多用户的信息。在业务运行的过程中,互联网产品在不断发展迭代过程中自然会产生一些安全风险。

大部分传统企业为了适应互联网信息技术的发展,一系列传统业务运营方式也开始融入互联网信息技术,传统企业运营模式不断被互联网模式所颠覆、改变。传统企业的IT建设也逐步向互联网转型,企业业务也不断被互联网化,逐步使用互联网产品及服务来提升企业运营和行业竞争力。传统行业企业对互联网依赖程度不高;随着互联网信息技术的发展,试问互联网企业业务宕机1分钟是什么样的后果?2015年发生的一系列企业业务宕机事件,包括国内知名互联网企业某易、某程、某宝因为自然和人为因素简介对企业品牌和业务运行造成的巨大影响和经济损失。我们可以互联网企业运营对业务连续性极高,但是目前看到很多企业并未意识到信息安全对企业的重要性。

互联网信息技术在各个行业运用极为广泛,从信息安全角度我们来看各行业。领域,我们发现通过互联网用户,不同行业领域进行了链接并且建立彼此依赖的关系。例如:前几年某知名IT社区数据库泄露事件,我们大家都知道这个事件对整个互联网产生了蝴蝶效应,影响了很多行业领域的企业,而通过类似的互联网泄密事件,我们发现各行业领域从用户的角度上看,用户重叠率较高,加上作为互联网用户而言,大家习惯使用的邮箱、账号、密码大部分相同,自然有不法分子通过得到相关数据库信息会借助系统的接口进行撞库而得到可登陆的账号信息,从而达到洗库牟利目的。

经过近几年互联网快速发展的过程中,我们发现安全也逐步在变革,部分互联网企业数据泄密情况导致很多互联网行业、企业用户受到影响。在用户质疑企业安全能力过程中,责任和数据边界也逐步消失。在真正发生安全事件时,企业会考虑自己的利益诉求,更多企业采取的是沉默的方式,用户自然不会了解真实情况,最终只会影响到个人。

第二部分:互联网行业安全现状;

我们在谈论安全的过程中自然也会了解整个行业、领域的业务发展和真实的安全现状。

301会结合企业安全从外部安全威胁、内部安全威胁、第三方安全威胁三个方面进行考虑。在301看来,一切不以数据为核心的安全都是耍流氓。

针对企业的外部安全威胁,301从网络边界、应用安全、云服务三个方面来阐述,以下图是根据我们对众多企业安全情况进行梳理后的最简单粗暴的攻击方式与流程来得到企业的重要系统的高级权限。

image1

当我们谈论外部安全威胁的话题的同时,免不了也会聊聊安全行业最火热的话题——安全威胁情报。

企业目前面临的安全威胁主要来自于以下六个方面:

  • 地下社工库;
  • 黑色产业链;
  • 谍报、情报;
  • 社交平台;
  • 云服务平台;
  • 搜索引擎;

对于大部分企业而言,很难去判断企业用户使用互联网各种服务的过程中使用的密码是否已经泄露,社工库对较大规模的企业影响巨大。

互联网企业业务运营过程中自然免不了投入大量的市场营销推广费用,而实际过程中,从P2P行业的了解,301从安全的角度上观察,很多企业推广业务来达到引入真实用户的目的,往往在这个过程中,有一定部分的注册/邀请推广费用会被黑产获取,最终受益者为一少部分用户。

包括来自互联网的情报、社交平台、云服务平台、甚至搜索引擎抓取的小部分信息都可能会间接影响到企业信息安全。

针对企业内部安全,301从人员的角度来谈了这个话题:

每个人都作为企业的一部分,自身的使用互联网服务过程中的习惯也会间接影响到企业,甚至包括企业内部极少数部分使用职位上的便利去进行牟利,对企业的影响较大,在一些掌握大量用户数据的企业、领域,更为严重。

image2

这是301在某个领域的QQ群里得到的一则信息,这样的信息每天都会有很多人在这个数百人群里发布,这一则图片就论证了刚才我提到的观点,接下来,我分享一则更为劲爆的信息,手机定位业务,作为任何人只需要花费一定金额就能实现对指定用户的地理位置信息,并且提供服务者说明了服务性质:『我们不是黑客,我们不是软件、不是设备、我们仅仅提供的是权限服务,是根据运营商的基站提供位置数据。』试想一下,倘若这样的功能和权限被运用于黑客攻击,对个人和企业的影响极大。

image3

接下来,我们谈谈第三方安全威胁这个话题,301从四个方面来谈了第三方安全。

企业会使用大量的第三方通用产品,例如:邮件系统、VPN、OA、CRM、ERP等系统。

同时,企业也会使用大量的第三方服务平台,例如:idc域名服务商、github、云服务平台、短信平台、支付平台、微信服务平台、第三方数据平台。

企业用户工作也离不开移动终端设备,自然从移动终端和移动应用的角度也会存在一系列的安全风险。

最后一点,第三方人员的管理也是极为重要,301之前也看过不少企业由于使用了第三方开发或服务提供商的一些服务,第三方人员会掌握相关企业非常核心的数据信息,相反,类似敏感的数据信息一旦被攻击者获取,同样也会对企业产生较大的影响,甚至可以直接影响到企业某些业务的正常运行。

301通过对运营商、政府、教育、物联网、卫生医疗、工控等行业领域分享了来自乌云网的漏洞案例,相关行业领域从信息安全角度上还存在一定的安全问题,一系列应该部署在企业内网、甚至专网运行的敏感核心系统,被迁移到互联网,早期相关业务方也没有在安全上投入太多真正有意义的精力,导致相关系统存在安全风险,相关企业、公共服务平台承载的业务数据极为重要,乌上云很多漏洞案例均是由一系列的低级问题导致安全风险的产生,甚至国内某些智能汽车供应商、智能家居服务平台在推广云服务的过程中,安全上没有考虑太多,导致原正常业务功能存在严重安全风险。

第三部分:互联网安全攻击趋势;

接下来,301站在白帽子的角度来谈互联网安全攻击趋势。

  • 云服务的攻击

随着互联网的快速发展,互联网企业业务依赖互联网,为了减少使用和运营成本,提升用户体验,大部分企业、个人开始使用各种云服务平台。在企业数据云化的过程中,攻击者也会不断关注企业所使用的互联网云服务,而国内云服务平台参差不齐,很多初创云服务平台早期业务发展过程中也没有考虑太多安全方面的工作,自然在云便捷的过程中产生安全风险。301之前看过一个比较典型的案例,某企业在信息安全工作做的非常到位,也会经常采用很多第三方的安全服务厂商的产品和服务来弥补自身安全上的缺失,但是就是以为某个第三方安全服务厂商项目成员把日常的工作记录同步到了百度云盘,而这个项目成员的密码已经早已在地下泄露,被白帽子偶尔发现提交到了乌云上,企业第一时间得到想要处理,避免了安全风险。而百度云盘上存放的工作记录数据包含了该企业的网络拓扑图、核心骨干网络、设备的账号密码等信息,可以直接对企业产生巨大影响。在301看来,这样的情况绝对不在少数,很多企业都存在类似的问题,而企业很难去识别自身用户的密码信息是否存在安全风险。

  • 组织链的攻击

第二部分301提到的是基于组织链的攻击,很多行业、领域企业上下游都会有大量的服务商、供应商。在301看来,未来更多的安全攻击威胁会来自于行业领域上下游的服务供应商,攻击者会优先考虑攻击相关服务商,往往这样的方式可以很容易得到很多的来自目标企业的核心数据。针对这类组织链的攻击,301从电商和航空票务两个行业进行说明。

例如:电商行业,用户的数据从相关电商平台会经过以下几个环节:

  • 企业平台自身;
  • 第三方支付平台;
  • 电商卖家;
  • 客户信息管理软件(平台)
  • 物流快递平台(人员)
  • 短信服务平台;
  • 等。

每个环节都可能存在安全风险,如果当某个电商平台的用户接到欺诈电话,用户自然会把安全责任推给相关企业,而企业也很难去证明自身的安全工作是否有缺失,每个供应链环节是否存在风险。唯独只能从自身角度去提升安全水平。

例如:航空票务,这个也是个很特殊的行业。301作为商旅人士,经常会飞很多地方,自然跟这个行业打交道不少。用户从购买机票整个环节,大致分为以下几个部分:

  • 第三方机票平台;
  • 一、二、三级等级别机票代理商
  • 航司官方平台;
  • 中航信系统;
  • 第三方支付平台
  • 短信平台;
  • 第三方客服人员;

每个环节同样可能会存在安全风险,作为用户,大家现在购买折扣机票,大部分都是从各级别代理购买机票。而代理商大部分使用的是400或者固定电话,订单生效后收到的短信会来自于第三方短信平台,并且内容会提示为代理商出票,所留的号码为代理商的电话。一旦这些数据泄露,被恶意人员利用,普通用户很难去识别退票、欺诈类的风险。

  • 大数据关联攻击

各种数据泄密事件301已经听得麻木了,现在获取泄露的数据源成本极低,通过互联网搜索引擎很容易得到大量的已知泄露数据源。未来针对已经泄密的数据做关联分析,针对企业、个人用户造成的影响极大。例如:之前泄露的某即时通讯的群数据,就有安全爱好者做了大数据分析关联平台,通过群信息数据关联很容易了解一个人的关系网,借助某大牛的名言:『某些企业数据只要泄露一次,基本就输了』。对于用户而言,密码可以修改,但是很少有用户因为密码泄露去更换手机号码等联系方式,例如:身份证号码、证件信息泄露,基本无解。

  • 目的性驱动

现在的社会是个物质社会,很多企业和个人、组织会因为自身利益会去做各种违背社会原则和人性道德。

301就在一段时间内,接触了不少企业的苦诉,企业的数据可能被友商窃取、来自友商的ddos攻击、甚至被新闻媒体放大等等一系列事情会直接影响企业的品牌形象和经济损失。而随着互联网的发展,企业更多依赖互联网的过程中,此类目的性驱动的攻击会越来越多,攻击成本也会越会越来越低。在一定时间内,很难从根本上去解决这类问题,大部分企业只能束手无策。

  • 实名与征信带来的威胁

国家提倡个人、企业实名制,包括随着互联网征信牌照的颁发,未来用户在互联网的所有行为数据都将会被纳入征信数据库中。很多企业的业务已经在依赖实名认证的问题。例如:在海淘业务、海淘物流。用户需要使用相关业务就必须填写相关身份信息,并且提供身份证件照片,而这类平台一旦安全性存在问题,攻击者可获取的数据信息将非常严重。攻击者一旦拿到用户的账号密码、身份证正反面信息,可通过这类信息完成其他互联网支付、大型互联网企业的密码找回、申诉流程,衍生出来的风险,可想而知。

  • 犯罪团队集团化作案

现在的犯罪团队人员已经对很多行业领域企业的业务非常熟悉,甚至比某些企业内部员工还了解业务。我们也发现互联网上也有针对钓鱼网站模板提供定制化的服务,覆盖各类互联网业务,并且按照业务、行业属性进行划分。详情如下图。(案例来自乌云社区)

包括上周互联网关注度非常高的一个案例,就是来自最新的诈骗短信,这类内容,301公众号有过介绍,本次就不详细讲解了。『有兴趣的同学可以查看下历史内容。』

  • 移动端攻击多样化

移动便携终端设备(BYOD)的安全问题,这几年也讨论得越来越多。通过2015年淘宝双十一的活动的数据证明,移动端的使用率已经超过PC端,301也相信未来移动互联网将面临来更多的威胁。无论是来自移动终端设备自身的安全性问题还是移动设备上运行的产品应用、云服务,还是第三方应用商店平台、第三方数据统计平台都会成为当下和未来攻击者所关注的核心点。

  • 智能与物联网

万物互联网,各种硬件设备加上了云端实现了智能化,未来随着智能家居、物联网,还是来自基础设施的不断发展,面对安全的挑战也越来越严峻。这部分的内容,通过时间可以更好去证明。

:)

第四部分:互联网应对与策略;

最后,面对国内互联网的一系列的安全风险与威胁,我相信未来从信息安全的角度必然是以互联网的方式去解决这类问题,互联网平台化、开放化会聚集更多资源共同来解决信息安全的难题。

在国内信息安全领域,我们已经看到传统安全服务提供商在进行向互联网转型,云计算服务平台的开放化已经让很多中小型企业在安全上看到了希望,在301看来未来安全也注定是相关企业的核心竞争力。(之前公众号写过云计算服务平台的现状与发展的内容,有兴趣的可以查看历史文章)

公开、透明、负责任的信息披露机制下,任何人都可以以用户的身份监督企业,促使信息安全工作得到更好的发展。通过从用户、第三方、企业三个方面提升互联网安全意识的普及。301相信,更多互联网安全力量也会不断创新和突破去改善整个互联网安全环境和发展。

时间关系,今天就写到这里。 希望大家能够喜欢。

联系站长租广告位!

中国首席信息安全官


关闭


关闭