摘要: 知名機構(gòu)為何屢次出現(xiàn)重大安全事件?難道是安全投入還不夠嗎�?
圖片來源:視覺中國
圖片來源:視覺中國
在鈦媒體在線課“鈦坦白”第50期,我們邀請了三位鈦客講講企業(yè)要如何應(yīng)對信息安全問題����。本期鈦客之一、漏洞銀行聯(lián)合創(chuàng)始人���、CTO張雪松��,擁有10年網(wǎng)絡(luò)安全研究經(jīng)驗�,擅長網(wǎng)絡(luò)協(xié)議分析技術(shù)�����。曾負(fù)責(zé)研發(fā)Web宙斯盾、玄武域等Web應(yīng)用防護產(chǎn)品�����。首創(chuàng)的ITS入侵追蹤設(shè)備曾獲得全國創(chuàng)新創(chuàng)業(yè)大賽銀獎�。張雪松曾為眾多大型企業(yè)設(shè)計安全方案,現(xiàn)負(fù)責(zé)漏洞銀行平臺生態(tài)建設(shè)與企業(yè)安全產(chǎn)品研發(fā)���。
本文節(jié)選自張雪松在鈦坦白的分享�����。如果您還不是鈦媒體Pro用戶�,希望查看鈦坦白所有干貨����,進入鈦坦白九個專業(yè)群交流,并查看更豐富的專業(yè)數(shù)據(jù)和信息�����,可點擊:http://www.tmtpost.com/pro 注冊���。
以下根據(jù)張雪松在鈦坦白的分享實錄整理:
大家好�����,很高興受邀來鈦媒體做這次主題分享����。首先先簡單的介紹一下我的情況吧����。我從事網(wǎng)絡(luò)安全技術(shù)已經(jīng)有十多年了,目前是漏洞銀行的技術(shù)總監(jiān)����。我曾經(jīng)做過程序開發(fā)人員,也做過網(wǎng)絡(luò)黑客�����,在信息安全方面我既做過防守方����,也做過攻擊方,所以今天我想給大家?guī)砀尤娴囊暯?,來審視網(wǎng)絡(luò)安全問題。
我平時經(jīng)常會被企業(yè)高管問道:“有沒有辦法能夠徹底解決黑客入侵的問題�?”其實這個問題并不能簡單的講有或沒有���,而是我們?nèi)绾蝸砜辞宄W(wǎng)絡(luò)安全的本質(zhì)問題?如何來探究企業(yè)及網(wǎng)絡(luò)安全中的攻防之道���?我將在本次分享之中帶領(lǐng)大家進行一次網(wǎng)絡(luò)安全的探究之旅�����。
回顧我們身邊的安全大事
首先帶領(lǐng)大家來回顧一下我們身邊的安全大事�。從最早的2011年開始����,我們來把這些安全大事件回顧一下,這樣能有一個清晰的認(rèn)識��。這些信息來自于互聯(lián)網(wǎng)和媒體報道�。
2011年。這一年實際上非常不平凡�。我們國內(nèi)最大的技術(shù)網(wǎng)站CSDN遭遇了最嚴(yán)重的安全事故,超過一億的用戶名和密碼遭到了泄露�,同年黑客爆出了其他各大知名網(wǎng)站的數(shù)據(jù)庫。這些數(shù)據(jù)庫主要包含用戶名�、密碼等信息。同年在國際上�,國際貨幣基金組織、花旗銀行���、索尼影業(yè)��,F(xiàn)acebook也同樣遭遇了黑客入侵�,用戶的保密信息都遭到了竊取和泄露����。
2012年。同樣也是不平凡的一年�,京東商城出現(xiàn)了重大的支付漏洞,損失達(dá)兩億�����,當(dāng)然官方稱已經(jīng)修復(fù)并且報警了���。同年全球百所大學(xué)���,還有l(wèi)inkin、雅虎等知名網(wǎng)站的用戶名和密碼也均遭到了泄露���,最嚴(yán)重的是Symantec和VMware的源代碼遭受到了黑客的盜取�。
2013年。爆發(fā)了嚴(yán)重的Struts2漏洞���。這個漏洞引發(fā)了全國各大機構(gòu)和知名網(wǎng)站的緊急修復(fù)工作���,同時也讓一些知名網(wǎng)站的數(shù)據(jù)遭到了泄露。當(dāng)然國內(nèi)同年還發(fā)生了一個比較重大的事件�����,那就是開房數(shù)據(jù)被黑客泄露�����,黑客入侵到了酒店的管理系統(tǒng)里�,酒店的開房信息包括身份證、姓名���、手機號等開房信息遭到盜取和泄露�,這個也是影響非常大的����。同年國外的美國銀行、彭博社、蘋果���、Facebook�、Twitter這些知名的網(wǎng)站其實也相繼遭受到了黑客的入侵��,用戶的數(shù)據(jù)也遭到了泄露和曝光���。這一年還爆出了棱鏡門事件,引發(fā)了大眾對于網(wǎng)絡(luò)安全和隱私安全的思考�����。
2014年���。爆出了攜程網(wǎng)的一個重大支付漏洞����,攜程網(wǎng)泄露了部分用戶的信用卡信息�,導(dǎo)致某些用戶的信用卡遭到了盜刷。同年還有OpenSSL“心臟出血”的漏洞�,漏洞影響非常的大,黑客可通過這個漏洞獲取到登陸網(wǎng)站的用戶名和其他相關(guān)的信息���。據(jù)當(dāng)時的不完全統(tǒng)計�,國內(nèi)大部分的知名網(wǎng)購、網(wǎng)銀��、社交門戶等網(wǎng)站�,都遭遇到了此漏洞的影響,這次事件至少影響了兩億中國網(wǎng)民���。同年特斯拉電動汽車也被首次攻破�����,黑客可以遠(yuǎn)程的控制這輛汽車�,開鎖���、鳴笛等操作���。
2015年。機鋒網(wǎng)�、大麥網(wǎng)、網(wǎng)易�、申通快遞、中國人壽等知名網(wǎng)站都遭受了用戶信息泄露事件����,影響上億用戶的隱私�。同年也有一些重要單位遭遇黑客入侵�,有接近超過五千萬條社保個人信息遭到泄露,其中包括個人的身份證���、社保參保的信息���,財務(wù)��、薪酬����、房屋等一些敏感的信息。同年美國人事管理辦實事也被黑客入侵�����,超過有2700萬條的信息泄露�,泄露事件引起了美國和西方世界的恐慌,因為這樣的個人信息泄露��,實際上是與民眾生活息息相關(guān)�����。
2016年。雅虎超過15億的用戶信息遭到黑客泄露��,俄羅斯的黑客成功盜取了2.7億郵箱信息��,包括4000萬的雅虎郵箱�,3300萬的微軟郵箱還有2400萬的谷歌郵箱,同年OpenSSL又爆出了重大漏洞“水牢漏洞”��,這次水牢漏洞也同樣波及到全球400萬的網(wǎng)站�。同年還有MySpace的數(shù)據(jù)泄露,超過3.6億的用戶信息被黑客竊取���。這一年還有個更大的事件��,那就是美國大選���,美國大選也受到了信息安全相關(guān)的影響,就是希拉里的郵件門事件��,也就是說美國的民主黨全國委員會�����、籌款委員會、競選團隊等的郵件均被黑客組織截取�,接近兩萬封郵件被維基解密披露,所以大選的結(jié)果也被直接影響����。
2017年。今年實際上還沒有過完�,但是也已經(jīng)發(fā)生了很多大事件。3月份Struts2再次爆發(fā)遠(yuǎn)程高危漏洞��,全國各大機構(gòu)連夜修復(fù)��,該漏洞可直接遠(yuǎn)程控制相關(guān)服務(wù)器�����。4月份12306官方網(wǎng)站也出現(xiàn)過安全漏洞���,可以獲取到不同用戶的個人信息。同月上億的優(yōu)酷數(shù)據(jù)庫在暗網(wǎng)售賣��。今年還出現(xiàn)了最大勒索病毒事件����, 5月份新型的蠕蟲型勒索病毒W(wǎng)annaCry爆發(fā)感染�����,相關(guān)的政府單位����、企業(yè)單位第一時間對于這個勒索病毒進行相關(guān)漏洞的修復(fù)����。據(jù)不完全統(tǒng)計,現(xiàn)在全球大約有兩千多萬臺的主機遭受到了感染�����,病毒影響范圍非常廣�����,后續(xù)還出現(xiàn)了變種病毒��,依然感染了眾多主機��。今天國外�����,土耳其的黑客組織宣稱掌握了三億蘋果帳戶,鄧白氏52GB的數(shù)據(jù)庫也遭到了泄露�����,還有加拿大的貝爾公司有190萬的客戶信息遭到黑客的泄露��。
今年也有一則利好的事件�,就是《中華人民共和國網(wǎng)絡(luò)安全法》在6月1日正式執(zhí)行,這對中國的網(wǎng)絡(luò)安全是個里程碑式的事件��,將深遠(yuǎn)的影響未來網(wǎng)絡(luò)安全的發(fā)展�。
我們回顧這7年的安全大事件,絕大多數(shù)都是影響范圍很廣的��,80%是知名網(wǎng)站數(shù)據(jù)遭遇入侵���,核心數(shù)據(jù)泄露,20%是致命漏洞引發(fā)的大范圍安全事故�����。這些事件動輒就是上千萬的用戶遭受影響����,而且都是比較知名的網(wǎng)站和機構(gòu)����,那問題就來了��,既然都是知名機構(gòu)為何還是屢次出現(xiàn)這類重大的安全事件呢���?難道是安全投入不夠嗎���?這其實是值得大家思考的問題。
可能大家會從很多角度�,很多方面找出很多原因來闡釋這些安全事件,比如安全投入不夠����、安全架構(gòu)不好、數(shù)據(jù)保護措施不足等等���,但是今天我想從另一個角度來講這個問題�。那就是信息安全我們應(yīng)該更多的關(guān)注什么�����?本質(zhì)是什么�?
信息安全有很多要素:完整性����、保密性��、可用性�、不可否認(rèn)性和可控性,這是學(xué)術(shù)上的定義���,但是這往往不利于我們看清信息安全的本質(zhì)���。看清本質(zhì)其實只需要去探究一個問題即可����,那就是信息安全的敵人是誰,是誰在產(chǎn)生著危害�。我想大家都很清楚,幕后真兇其實就是黑客��。
黑客這個神秘的人群
如果說信息安全只有一個要素要解決的話�����,那就是要解決黑客的問題��,因為只要有黑客的存在���,那就會有人對我們的企業(yè)�、用戶以及我們信息化系統(tǒng)的安全造成危害�。那我們想要了解信息安全、想要分析信息安全的本質(zhì)��,就必須要了解黑客這個人群�,正所謂知己知彼百戰(zhàn)百勝,所以我們接下來就去了解一下黑客這個人群是怎樣的����。那接下來我們就說說故事,講一講黑客這個神秘的人群����。
【鈦坦白】漏洞銀行CTO張雪松:企業(yè)遭遇黑客入侵的原罪——漏洞
黑客的特點
生活簡單。黑客的核心理念就是“No one is safe”�����。對于他們來說����,沒有什么是安全的����,這就是他們的一個信念���。我身邊其實有很多擁有黑客技術(shù)的人����,這群人還是很奇特的�,他們的生活也非常的簡單。其中一個朋友���,他的簽名就是Eat��、Hack�、sleep��。什么意思呢��?就是吃飯���、研究黑客技術(shù)�、睡覺,就這么簡單���,他們其實非常專注于技術(shù),他們熱衷于研究技術(shù)的原理��,并且會研究的非常透徹�,基本上生活中大部分的時間都會坐在電腦前把所有的他們喜歡的技術(shù)徹頭徹尾的給學(xué)會,并在里面去尋找這些技術(shù)的利用方法����。
成就心強。這個人群的成就心也很強���,他們喜歡享受那種“通過一人之力即可撬動一個機構(gòu)”的成就感����,想一想他們擁有的這些黑客技術(shù)�,實際上就可以實現(xiàn)這一點?�?赡芑ㄒ恍r間���,一個人就可以入侵一些非常知名的機構(gòu)�,特別是一些跨國界的黑客,這些黑客專門選一些國外的重點大型軍事機構(gòu)��,選擇最難的目標(biāo)進行攻擊��,然后他們以能夠入侵進去為榮�,所以這群人的成就心也是非常強的。
之前回顧2011年到2017年的安全事件�,其實這些安全事件都發(fā)生在知名的網(wǎng)站和機構(gòu),實際上這些都是他們非常樂于入侵的目標(biāo)�����。像知名網(wǎng)站泄露的核心數(shù)據(jù)基本上國內(nèi)的黑客人手一份�����,而且他們?yōu)榱巳ツ玫竭@樣的一些數(shù)據(jù)����,通宵達(dá)旦的入侵。
所以說在國內(nèi)���,只要你在有過泄露的網(wǎng)站上注冊過用戶名和密碼����,那么其實所有黑客都會有你一份的用戶名和密碼,只是說他想不想去盜你的帳號而已�����,所以在出現(xiàn)泄露事件的時候建議大家趕快去修改自己的密碼����,同時也建議大家不要用一套用戶名和密碼在多個地方注冊��,這也是大家經(jīng)常犯的一個錯誤�,因為黑客會利用人們的這一點,用你相同的用戶名密碼����,登陸不同的網(wǎng)站和系統(tǒng),包括QQ�����、微信�、郵箱等,他都會去嘗試��,這樣你很多賬號都會被盜���。
行蹤隱蔽�����。我們再說說這個人群他們的行蹤習(xí)慣��,實際上他們非常的不喜歡暴露自己的信息����,甚至連拍照他們都經(jīng)常避免,基本上他們也不發(fā)朋友圈��,而且肯定不會在微博���、朋友圈這些社交媒體上去暴露自己的生活照片和相關(guān)信息���,他們做事非常謹(jǐn)慎,甚至在外面注冊一個App都要用小號來注冊�,這樣以保證自己相關(guān)信息的安全性和保密性。同時他們上網(wǎng)的時候�����,也不會用自己的真實IP��,會掛一個代理去上網(wǎng)。
思維奇特��。這一點非常的重要���,黑客人群的思維模式非常的奇特��,他們非常的聰明�,而且從來不按常理出牌�。也就是說我們思維中即成了很多固定規(guī)則的做事方式���,而在黑客的思維里面��,他們完全不是這樣的��,他們完全不會按照既定的規(guī)則來�,而且他們思維模式非常的不尋常�����。他們經(jīng)常會發(fā)現(xiàn)事物中另外的途徑���,會發(fā)現(xiàn)另外的方法來達(dá)到自己的目的�����,也就是說你要跟一個黑客玩游戲的話�����,他第一時間想到的并不是我如何在游戲中對抗你�����,而是會去想怎么樣能夠跳出這個規(guī)則�,然后通過其他的方法來取得這場游戲的勝利。
為何會存在這樣的人群�����?
實際上黑客這個人群最早的時候����,都是一群技術(shù)愛好者。這群技術(shù)愛好者有非常多的好奇思路�����,然后他們會進行非常多的嘗試性實驗,在這個基礎(chǔ)之上就誕生出了新穎的攻擊方式��,誕生出了新穎的漏洞利用方法���,從而這群人就開始了對黑客技術(shù)的探索��。
最早的這群技術(shù)愛好者他們在互聯(lián)網(wǎng)上并沒有惡意���,只是熱衷于研究信息技術(shù),但是后來慢慢的就劃分出了兩類人群��。這兩類人群分別就是嘗試型黑客和目的型黑客�����。嘗試型黑客主要以學(xué)習(xí)和驗證技術(shù)為主�����,這群黑客會經(jīng)常的入侵但是不會產(chǎn)生破壞�,然后會不斷的去研究分析入侵的技術(shù)���。目的型黑客演化出了非常多的目的性��,比如說他要炫耀�����,或者破壞�����,竊取�����,盜號����,反盜號等等,他們在學(xué)習(xí)和研究黑客技術(shù)的過程中�����,摻入了大量的個人目的����,慢慢的就演化出了一些非常惡意性的黑客。
【鈦坦白】漏洞銀行CTO張雪松:企業(yè)遭遇黑客入侵的原罪——漏洞
嘗試型黑客和目的型黑客這兩類人群又隨著互聯(lián)網(wǎng)信息化的發(fā)展��,慢慢的職業(yè)化,相關(guān)的領(lǐng)域目的也會更加的明晰��,漸漸也就演變成了現(xiàn)在的幾個分支:安全專家���、白帽群體和黑產(chǎn)黑客��。安全專家��,專門從事安全研究�����。白帽群體包括一些紅客和組織他們依然是喜歡和熱愛安全事業(yè)的�����,只是并未從事安全行業(yè)���。而最后一群人��,則演變成了大家比較深惡痛絕的黑產(chǎn)黑客����,他們被黑產(chǎn)利益所引誘,從事了違法犯罪的行為。
黑產(chǎn)
如果去分析為什么會出現(xiàn)這樣一群專門為了破壞信息安全而誕生的人群的話����,我覺得這一個原罪應(yīng)該歸于黑產(chǎn)。黑產(chǎn)真的是讓很多有技術(shù)的人去做了違法犯罪的事情�,從而演變成了黑產(chǎn)上的黑客。那黑產(chǎn)又是什么�����,為何黑客進行了攻擊會有利益呢����?接下來我就讓大家了解一下黑產(chǎn)是什么。
黑產(chǎn)包含四部分——黑客技術(shù)實施����、黑市、黑產(chǎn)犯罪團伙�、黑產(chǎn)周邊團伙。
黑客技術(shù)實施:黑客在黑產(chǎn)的環(huán)節(jié)之中發(fā)揮的作用是非常重大的��,但是他們實際上不參與直接的利益轉(zhuǎn)化��,而是僅提供技術(shù)���,也就是黑客技術(shù)的實施�����。像黑客編寫木馬病毒����,入侵別人的網(wǎng)站,制造釣魚網(wǎng)站等等�����,他們其實沒有太多的利益可以直接獲取�����,但是他們有一個目的:他們提供技術(shù)盜取用戶的信息�����,或掌握和控制用戶主機�。實際上在很多黑客電影里面,大家都會看到���,黑客就是提供技術(shù)環(huán)節(jié)的人��,并不是從頭到尾都使壞的那個人�,他們是電影里的技術(shù)專家���,只負(fù)責(zé)去竊取數(shù)據(jù)�,然后通過光盤等把數(shù)據(jù)交給其他人使用�。
黑市:黑客沒有直接參與黑產(chǎn)利益轉(zhuǎn)化,但是他卻提供了技術(shù)支持和數(shù)據(jù)支持�,然后將這些技術(shù)和數(shù)據(jù)通過黑市或相關(guān)接頭人進行售賣,賣給真正能夠產(chǎn)生利益價值的犯罪團伙���。售賣的技術(shù)工具有木馬����、病毒和一些網(wǎng)絡(luò)武器程序�����,這類程序可直接進行DDos攻擊或操控僵尸網(wǎng)絡(luò)�。其他都是售賣數(shù)據(jù),大量的數(shù)據(jù)按條目進行售賣�,然后被各種分銷。
黑產(chǎn)犯罪團伙:黑產(chǎn)的犯罪團伙是利用黑客提供的技術(shù)和數(shù)據(jù)進行一系列的利益轉(zhuǎn)化��,而最直接的可能就是拿個人信息進行詐騙或廣告,大家手機短信會經(jīng)常收到一些莫名的廣告���,或者會收到一些陌生人推銷電話����,這些就是因為你的相關(guān)信息被賣了出去���,所以才會這樣����,還有一些詐騙的案例�����,他們都是在黑產(chǎn)上面獲取到的這些個人信息���。
黑產(chǎn)周邊團伙:其實這些團伙更加的厲害����,他們有非常多的手段可以將利益最大化�。舉個例子,支付平臺被入侵后���,他們會將錢款分批次轉(zhuǎn)賬出去�����,這個過程中如果沒有專門的洗錢團伙和專門的取錢�����、取卡團伙的話�,是很容易抓住罪犯并追回贓款的�����,但是通過專業(yè)的洗錢團伙�,他們就可以讓資金通過多層關(guān)系進行洗白,讓這些錢款無法追查����,這樣利益就被有效的轉(zhuǎn)化了。
我們了解黑產(chǎn)后�����,大家就應(yīng)該明白了�,我們的企業(yè)���、用戶,為什么會遭到黑客攻擊��?實際上是因為黑客攻擊之后���,是有利益可取的�����。這些利益有些是非常巨大的����,比如像個人信息���,都是按條目售賣的�����,如果獲取了上百萬�����、上千萬的個人信息��,按條目去售賣的話��,這個價值就非常大����。如果是一手?jǐn)?shù)據(jù)����,那么黑客獲益會非常多。
而我們這些信息經(jīng)過多次的轉(zhuǎn)手之后又到了其他人手里����,價值會不斷減少,黑客又會怎么辦呢���?他們會利用撞庫進行攻擊��,也就是用用戶名和密碼去嘗試登陸其他的系統(tǒng)��,從而獲取到不同平臺的數(shù)據(jù)��。
了解到這里之后�,其實我們就大概明白了黑客為什么會來攻擊我們了。那我們了解之后����,接下來還有一個問題,黑客是萬能的嗎�?黑客他一定能夠入侵成功嗎?那我們接下來要了解一下�,黑客的這個技術(shù)以及黑客的相關(guān)攻擊是怎么去實現(xiàn)的。
探究原罪——漏洞
其實黑客在很多人的眼中都是很神秘的���,因為他并不是一個很明確的技術(shù)�����,我在小的時候就有一個疑問���,既然大家都覺得黑客技術(shù)是非常高深的技術(shù),那為什么這個技術(shù)大家不去學(xué)呢�?不能像書本知識一樣學(xué)習(xí)呢?而后來才知道�,黑客這個技術(shù)一項復(fù)雜的技術(shù),更多的是一種思維模式和技術(shù)手段的結(jié)合�����,也就是黑客在進行一次入侵和攻擊時,實際上在做非常多的事情�,當(dāng)然這些事情是有些最本質(zhì)的核心點的。
黑客攻擊的核心——漏洞
大家可以看一下黑客攻擊的這張圖����,在中間的區(qū)域就是黑客所要經(jīng)歷的所有過程。當(dāng)然這里還沒有列舉全����,但是我們可以發(fā)現(xiàn),這樣一個過程的核心環(huán)節(jié)是什么��?那就是去尋找漏洞����。因為黑客的技術(shù)就是嫁接在漏洞之上��,如果說你沒有漏洞����,那黑客就很難去發(fā)揮。黑客所有的思維模式都是去找漏洞�����,利用這些漏洞來實現(xiàn)更多的權(quán)限,實現(xiàn)更多的黑客手段��。
黑客如何攻擊/入侵系統(tǒng)�����?
黑客如何攻擊/入侵系統(tǒng)�����?
過去在協(xié)助偵破黑客案件時����,一般第一思考的就是黑客是通過什么途徑和漏洞進行入侵的,并針對入侵整個的路徑進行一個還原�����,然后再進行一個反追蹤����。根據(jù)入侵的路徑然后再根據(jù)留下的信息和特征進行逆向,從而再進行反追蹤的工作�。
所以說當(dāng)企業(yè)遇到黑客入侵的時候,應(yīng)該第一想到的就是:“我哪里出現(xiàn)了漏洞���?”這里我大概列了幾點:
管理漏洞�����。這個可以非常簡單的理解���,就是企業(yè)的管理�,包括人員的漏洞����。這里有一個最經(jīng)典的攻擊方式就是客服攻擊,因為有很多網(wǎng)站提供了客服人工的申訴���,比如說我要修改密碼��,但密碼忘記了,手機也找不到了���,我要申訴�����。而這個時候就要對客服進行社會工程學(xué)的攻擊���,黑客通過收集大量被攻擊者的信息���,利用社會工程學(xué)的方法,讓客服把目標(biāo)賬號的密碼給重置����,從而獲得重要的賬號。
邏輯漏洞���。我們很多的網(wǎng)站有支付功能�,在支付流程中���,網(wǎng)站需要進行多次確認(rèn)����,如果網(wǎng)站開發(fā)時沒有很完備的流程設(shè)計和審計��,這時黑客把數(shù)據(jù)包改一下�,把錢改一下,前面下訂單的時候是99元�,支付的時候只需1塊錢就支付成功了,這樣就產(chǎn)生了邏輯漏洞����,也就是最經(jīng)典的1元買iphone的漏洞�,這類的漏洞也是非常經(jīng)典的����。
協(xié)議漏洞。比如像Ddos的SYN攻擊就是非常典型的一個協(xié)議漏洞���,在Ddos攻擊的時候通過發(fā)送大量的SYN數(shù)據(jù)包來消耗目標(biāo)主機的資源�����。
提權(quán)漏洞����。這類漏洞也很常見�。黑客可以利用系統(tǒng)機制,獲取到系統(tǒng)管理員的權(quán)限����,這時就可以對系統(tǒng)進行最高級別的命令執(zhí)行���,從而下載數(shù)據(jù)庫或植入木馬�����。
防護漏洞���。這類漏洞是大家經(jīng)常會遺忘的��,就是我們所用的這些防火墻�����、安全設(shè)備或者說安全方案�����,其實里面也是有漏洞的���,黑客也可以利用這些漏洞進行入侵。越是我們信任的環(huán)節(jié)往往造成的危害越大��。
那我們綜合來看黑客在進行攻擊的時候�����,最核心的目標(biāo)是什么��?他就是去尋找你所有的漏洞,把所有的相關(guān)信息收集起來��,然后做成一個作戰(zhàn)地圖���,根據(jù)這張作戰(zhàn)地圖去分析你在整個數(shù)據(jù)保護�����、信息架構(gòu)等層面存在的漏洞���。然后會根據(jù)這些漏洞進行嘗試,當(dāng)然這些漏洞有技術(shù)上的漏洞��,也有思維上的漏洞�����,還有相關(guān)流程和規(guī)則上的漏洞����,只要黑客足夠有耐心,就能確?��?梢怨ハ菹到y(tǒng)�����。
這些漏洞其實都是值得我們企業(yè)去關(guān)注�、思考�����、審視的����,如果這些環(huán)節(jié)都會有漏洞的話,相信企業(yè)安全也非常難做��,并且黑客也是有非常多的點可以去危害企業(yè)的�。
關(guān)于漏洞產(chǎn)生的二三事
那既然漏洞是根源,它是怎么產(chǎn)生的呢�?我們就拿程序開發(fā)這個過程來分析下,因為我也做過開發(fā)人員�����,相信大家大部分受到入侵攻擊的也都是企業(yè)信息系統(tǒng)��,這些信息系統(tǒng)的程序開發(fā)會經(jīng)歷很多過程。這張圖就列了一個非常簡單的過程:開發(fā)人員編寫代碼�,每個人員編寫完代碼后自己會進行單元測試,測試完了之后多人會把代碼進行整合�����,整合完成之后再進行一個上線測試�,最終再發(fā)布上線,其實每一個環(huán)節(jié)都有一些不可避免的風(fēng)險會產(chǎn)生漏洞���。
每個環(huán)節(jié)都可能產(chǎn)生漏洞
每個環(huán)節(jié)都可能產(chǎn)生漏洞
比如說開發(fā)人員�,我們很多開發(fā)人員是不懂安全技術(shù)的�����,他也不是安全專家���,只會實現(xiàn)功能�����,完成程序正常的流程���,但是卻無法完全避免實現(xiàn)方式里存在的漏洞����。再說單元測試���,通常企業(yè)里只做功能和性能測試,但不會做安全測試�。代碼整合階段同樣會出現(xiàn)一些邏輯問題,由于是不同人員開發(fā)的�,整合在一起是不是會產(chǎn)生漏洞,沒有一個完善的機制���。最后的上線環(huán)節(jié)也同樣會出現(xiàn)漏洞風(fēng)險���,有個案例,蘋果的開發(fā)工具可以發(fā)布很多蘋果的App�����,但是如果開發(fā)工具本身被黑客動了手腳��,那發(fā)布出來的程序是不是都會附帶危害���?這個恰恰是我們新聞爆出的大事件���,蘋果開發(fā)工具被黑客修改發(fā)不到網(wǎng)上��,大量知名APP都遭受到了影響�,導(dǎo)致最終的程序含有惡意代碼��。
所以我們單就程序開發(fā)�����、網(wǎng)站開發(fā)這樣的過程�����,就會有諸多的環(huán)節(jié)產(chǎn)生漏洞風(fēng)險�����,那其他過程我們就更無法確保不會產(chǎn)生風(fēng)險了����。
常見的漏洞有哪些?
常見的漏洞有哪些�����?
接下來我們看下漏洞情況分布,這張圖是IBM做的一個分析�����,值得注意的是從2014年到2016年���,漏洞逐步轉(zhuǎn)向更多未知類型�����,包括零日漏洞這類非常見漏洞,所以未來零日漏洞的威脅會逐步變大���。
漏洞的發(fā)展歷程
既然漏洞無處不在�,那我們企業(yè)如何去應(yīng)對呢���?我們還是要慢慢的去了解和掌握這些漏洞���,從全局來看,漏洞是有一個發(fā)展歷程的���,我們要清晰的了解它的演化過程?����,F(xiàn)在總結(jié)出來大概有三個階段��,是基于威脅進行定義的:
第一階段�,基礎(chǔ)威脅階段?��;诓僮飨到y(tǒng)����、協(xié)議�、機制本身的不完善產(chǎn)生的漏洞威脅。我們信息化剛剛起步的時候�����,存在大量系統(tǒng)安全和協(xié)議安全的威脅�����,就在2010年之前��,大部分都是病毒威脅��,大家會使用很多的殺毒軟件,那是因為當(dāng)時的操作系統(tǒng)有非常多的漏洞���,還有一些協(xié)議安全�����,也就是說像Ddos���、 ARP攻擊等,都是在那個階段出現(xiàn)的��,所以在那個階段更多的這種漏洞都是基于系統(tǒng)漏洞和協(xié)議漏洞����,基于這樣一些威脅我們在做防御�。
第二階段,應(yīng)用威脅階段�。隨著基礎(chǔ)系統(tǒng)的不斷升級,慢慢從基礎(chǔ)漏洞威脅就轉(zhuǎn)移到了應(yīng)用層的威脅�。也就是說在2010年到2017年入侵事件非常多。那就是網(wǎng)站存在應(yīng)用層漏洞����。比如SQL注入�����、XSS����、越權(quán)漏洞等�,因為大家操作系統(tǒng)越來越安全,慢慢黑客就轉(zhuǎn)戰(zhàn)到了應(yīng)用層的漏洞上�����,所以在這個階段出現(xiàn)了大量應(yīng)用層漏洞���。
其實經(jīng)過我們這些年的發(fā)展��,目前網(wǎng)站安全已經(jīng)做得非常好了����,而且現(xiàn)在開發(fā)網(wǎng)站的開發(fā)人員也意識到了有非常多的應(yīng)用層的漏洞���,他們會在開發(fā)網(wǎng)站的時候杜絕這樣一些漏洞的風(fēng)險��。
第三階段�,數(shù)據(jù)威脅階段。隨著數(shù)據(jù)越來越重要�����,就產(chǎn)生了針對數(shù)據(jù)安全的威脅漏洞����。這個階段的漏洞大部分是什么樣的呢?有防護漏洞���、零日漏洞���、框架漏洞、自動化攻擊漏洞����、欺詐漏洞等�,隨著威脅和我們安全的升級,漏洞也是在不斷轉(zhuǎn)變的����,這里面的一個規(guī)律是什么呢?其實最核心的規(guī)律就是黑客的入侵成本問題��,也就是黑客會選擇入侵成本更低、利益最大的方式���。
任何新的平臺�,都會經(jīng)歷著這三個階段���,比如我們的智能手機����。最早的智能手機系統(tǒng)本身是不安全的���,那時候出現(xiàn)了大量的系統(tǒng)惡意程序�����,慢慢的升級到現(xiàn)在的安卓和蘋果���,系統(tǒng)會越來越安全,這時候就到了應(yīng)用安全的階段����,就會有一些APP二次打包,假冒與釣魚APP出現(xiàn)。而慢慢隨著安全機制升級����。黑客可能就會進入到第三個階段,就是直接去攻擊你的數(shù)據(jù)���,監(jiān)聽你的數(shù)據(jù)竊取你存儲在服務(wù)器上的數(shù)據(jù)����,也會利用其他的驅(qū)動來竊取鍵盤數(shù)據(jù)等����。
如何解決漏洞?未來何去何從����?
我們大概對漏洞也非常的了解了,接下來我們該如何面對呢����?也就是說我們的未來將何去何從?這里我先跟大家講一下安全的本質(zhì)�����,這是一張安全投入���、威脅程度以及入侵成本的曲線圖�,大家可以仔細(xì)看一下這張圖����,其實它反映了非常多的問題。
【鈦坦白】漏洞銀行CTO張雪松:企業(yè)遭遇黑客入侵的原罪——漏洞
其實安全這個事情就是一個黑與白的博弈��。也就是說隨著我們安全成本投入的提升��,威脅就會越來越小���,黑客的入侵成本也會提高����,這也是大家有所共知的一個規(guī)律��。但是這里面就牽扯到一個問題���,就是我發(fā)現(xiàn)非常多的企業(yè)會進行全面的安全建設(shè)����,花費大量的安全經(jīng)費,但卻沒有達(dá)到這個曲線上所實現(xiàn)的效果����,這究竟是為什么呢?
實際上很多企業(yè)沒有把安全投入到最重要的方面��,沒有投入到與入侵成本有關(guān)的方面����。所以在這種基礎(chǔ)之上,我建議企業(yè)一定要學(xué)會利用黑客的思路進行布防�,我們最關(guān)注的就是如何能夠提高黑客的入侵成本,用黑客的視角來進行防御�。
這里給大家列一些漏洞發(fā)現(xiàn)的工具:代碼審計工具、漏洞掃描產(chǎn)品����、滲透測試服務(wù)、眾測服務(wù)�、建立SRC(Security Response Center)。
巧用工具學(xué)會黑客的視角審視系統(tǒng)里面究竟有沒有漏洞��,按照黑客的入侵思路進行有效益的安全建設(shè)���,這才能達(dá)到我們預(yù)期的期望��。當(dāng)然這些“工具”也有成本對比����,優(yōu)劣對比����,我們漏洞銀行也推出了更加適合企業(yè)的解決方案,這些都需要企業(yè)做好相關(guān)工作����,切實選擇適合自己的方案。
最后我再提一點就是我們今年頒布的《網(wǎng)絡(luò)安全法》����,這個也是非常重要的,是我們企業(yè)對付黑客違法行為非常重要的一個武器�,也希望大家去看一下《網(wǎng)絡(luò)安全法》的研讀,有了立法就有了明確的法律武器�,幫助企業(yè)打擊黑客犯罪行為。
鈦坦白群友互動:
1����、請問“漏洞銀行”,為什么稱為銀行呢����?
張雪松:看來大家對這個品牌名稱還是很感興趣����,為什么叫漏洞銀行呢��?我講下我的一個理解��。漏洞銀行平臺擁有上萬注冊白帽(擁有黑客技術(shù)的人)為企業(yè)做漏洞挖掘和測試���,用黑客視角幫助企業(yè)尋找威脅與漏洞����。白帽會把漏洞提交給平臺����,其實每個漏洞都是非常有價值的,就像金錢一樣�����,那我認(rèn)為這個如同是存取漏洞的銀行�����,是一個非常形象的比喻吧。我們也會持續(xù)專注于解決漏洞問題�����,幫助企業(yè)將所有與漏洞風(fēng)險有關(guān)的問題徹底解決�。
2���、請問張總��,我想知道黑客這么會隱藏自己的行蹤�,他們怎么找女朋友?。?/p>
張雪松:這個問題問的非常好�����。首先很多黑客他們本身單身的比較多���,同時他們有這樣的一個特性:一旦圈內(nèi)有新技術(shù)新的漏洞利用方式出現(xiàn)��,他們會徹夜通宵來研究和利用漏洞���,完全會把女朋友拋擲腦后����,所以也確實會很難找到女朋友����。
3、請問現(xiàn)在好多網(wǎng)站可以使用自己的微信授權(quán)�,對于安全考慮是不是盡量避免這種授權(quán)?
張雪松:其實在很多應(yīng)用里面都會進行微信授權(quán)���,這里面一般來說����,對方應(yīng)用只能夠拿到你的頭像和昵稱信息����,微信授權(quán)接口沒有授權(quán)微信號、手機號等隱私信息�,所以只要你頭像不用個人照片,昵稱沒有真實名稱��,一般沒有太多風(fēng)險�����。但是在大數(shù)據(jù)時代,這些授權(quán)頁面收集到足夠多的信息��,再進行一個建模����,然后會通過你的昵稱和頭像發(fā)現(xiàn)你的手機號和地址,這種情況就比較危險了�����。建議盡量少去進行這種授權(quán)��,像一些比較知名的品牌或者是公眾號����,授權(quán)是沒有問題的��,其他不知名的網(wǎng)頁就不要授權(quán)了���。
4���、請問現(xiàn)在如果一個初創(chuàng)公司要開發(fā)一款A(yù)pp,是不是需要與這樣的安全機構(gòu)合作?
張雪松:現(xiàn)在初創(chuàng)的公司做APP應(yīng)用開發(fā)的話�����,實際上安全還是有必要的����,至少需要了解APP相關(guān)的安全內(nèi)容,如果能夠讓安全公司給出一個相應(yīng)的咨詢報告或者是給出一個安全建議�,實際上能夠利于你們后期出現(xiàn)的很多問題。APP本身它的問題也很多���,因為是有客戶端和服務(wù)端的�����,中間還有一些通訊����,包括現(xiàn)在還有專門做APP安全的��,所以APP這一塊的應(yīng)用也是十分需要重視安全的��。(本文獨家首發(fā)鈦媒體�,根據(jù)漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松在鈦坦白上的分享整理)
(廈門網(wǎng)站建設(shè)文章來自百度新聞)
服務(wù)熱線:13850021717/0592-5786385
您當(dāng)前位置:
