摘要: 知名機(jī)構(gòu)為何屢次出現(xiàn)重大安全事件�?難道是安全投入還不夠嗎?
圖片來源:視覺中國
圖片來源:視覺中國
在鈦媒體在線課“鈦坦白”第50期�,我們邀請(qǐng)了三位鈦客講講企業(yè)要如何應(yīng)對(duì)信息安全問題。本期鈦客之一�����、漏洞銀行聯(lián)合創(chuàng)始人�����、CTO張雪松�����,擁有10年網(wǎng)絡(luò)安全研究經(jīng)驗(yàn)�����,擅長(zhǎng)網(wǎng)絡(luò)協(xié)議分析技術(shù)。曾負(fù)責(zé)研發(fā)Web宙斯盾�����、玄武域等Web應(yīng)用防護(hù)產(chǎn)品���。首創(chuàng)的ITS入侵追蹤設(shè)備曾獲得全國創(chuàng)新創(chuàng)業(yè)大賽銀獎(jiǎng)����。張雪松曾為眾多大型企業(yè)設(shè)計(jì)安全方案���,現(xiàn)負(fù)責(zé)漏洞銀行平臺(tái)生態(tài)建設(shè)與企業(yè)安全產(chǎn)品研發(fā)��。
本文節(jié)選自張雪松在鈦坦白的分享�。如果您還不是鈦媒體Pro用戶���,希望查看鈦坦白所有干貨����,進(jìn)入鈦坦白九個(gè)專業(yè)群交流,并查看更豐富的專業(yè)數(shù)據(jù)和信息����,可點(diǎn)擊:http://www.tmtpost.com/pro 注冊(cè)���。
以下根據(jù)張雪松在鈦坦白的分享實(shí)錄整理:
大家好����,很高興受邀來鈦媒體做這次主題分享���。首先先簡(jiǎn)單的介紹一下我的情況吧�。我從事網(wǎng)絡(luò)安全技術(shù)已經(jīng)有十多年了����,目前是漏洞銀行的技術(shù)總監(jiān)。我曾經(jīng)做過程序開發(fā)人員�,也做過網(wǎng)絡(luò)黑客,在信息安全方面我既做過防守方�,也做過攻擊方,所以今天我想給大家?guī)砀尤娴囊暯?���,來審視網(wǎng)絡(luò)安全問題。
我平時(shí)經(jīng)常會(huì)被企業(yè)高管問道:“有沒有辦法能夠徹底解決黑客入侵的問題?”其實(shí)這個(gè)問題并不能簡(jiǎn)單的講有或沒有����,而是我們?nèi)绾蝸砜辞宄W(wǎng)絡(luò)安全的本質(zhì)問題?如何來探究企業(yè)及網(wǎng)絡(luò)安全中的攻防之道��?我將在本次分享之中帶領(lǐng)大家進(jìn)行一次網(wǎng)絡(luò)安全的探究之旅��。
回顧我們身邊的安全大事
首先帶領(lǐng)大家來回顧一下我們身邊的安全大事���。從最早的2011年開始�����,我們來把這些安全大事件回顧一下���,這樣能有一個(gè)清晰的認(rèn)識(shí)。這些信息來自于互聯(lián)網(wǎng)和媒體報(bào)道��。
2011年�����。這一年實(shí)際上非常不平凡�����。我們國內(nèi)最大的技術(shù)網(wǎng)站CSDN遭遇了最嚴(yán)重的安全事故,超過一億的用戶名和密碼遭到了泄露��,同年黑客爆出了其他各大知名網(wǎng)站的數(shù)據(jù)庫�。這些數(shù)據(jù)庫主要包含用戶名、密碼等信息�。同年在國際上��,國際貨幣基金組織��、花旗銀行���、索尼影業(yè)����,F(xiàn)acebook也同樣遭遇了黑客入侵�����,用戶的保密信息都遭到了竊取和泄露����。
2012年。同樣也是不平凡的一年,京東商城出現(xiàn)了重大的支付漏洞����,損失達(dá)兩億,當(dāng)然官方稱已經(jīng)修復(fù)并且報(bào)警了�����。同年全球百所大學(xué)���,還有l(wèi)inkin�、雅虎等知名網(wǎng)站的用戶名和密碼也均遭到了泄露��,最嚴(yán)重的是Symantec和VMware的源代碼遭受到了黑客的盜取���。
2013年��。爆發(fā)了嚴(yán)重的Struts2漏洞����。這個(gè)漏洞引發(fā)了全國各大機(jī)構(gòu)和知名網(wǎng)站的緊急修復(fù)工作�,同時(shí)也讓一些知名網(wǎng)站的數(shù)據(jù)遭到了泄露。當(dāng)然國內(nèi)同年還發(fā)生了一個(gè)比較重大的事件��,那就是開房數(shù)據(jù)被黑客泄露,黑客入侵到了酒店的管理系統(tǒng)里�����,酒店的開房信息包括身份證�、姓名、手機(jī)號(hào)等開房信息遭到盜取和泄露���,這個(gè)也是影響非常大的�����。同年國外的美國銀行、彭博社�、蘋果、Facebook����、Twitter這些知名的網(wǎng)站其實(shí)也相繼遭受到了黑客的入侵,用戶的數(shù)據(jù)也遭到了泄露和曝光�����。這一年還爆出了棱鏡門事件���,引發(fā)了大眾對(duì)于網(wǎng)絡(luò)安全和隱私安全的思考�����。
2014年�。爆出了攜程網(wǎng)的一個(gè)重大支付漏洞,攜程網(wǎng)泄露了部分用戶的信用卡信息�,導(dǎo)致某些用戶的信用卡遭到了盜刷。同年還有OpenSSL“心臟出血”的漏洞��,漏洞影響非常的大���,黑客可通過這個(gè)漏洞獲取到登陸網(wǎng)站的用戶名和其他相關(guān)的信息��。據(jù)當(dāng)時(shí)的不完全統(tǒng)計(jì)�����,國內(nèi)大部分的知名網(wǎng)購����、網(wǎng)銀���、社交門戶等網(wǎng)站�����,都遭遇到了此漏洞的影響����,這次事件至少影響了兩億中國網(wǎng)民。同年特斯拉電動(dòng)汽車也被首次攻破���,黑客可以遠(yuǎn)程的控制這輛汽車����,開鎖�、鳴笛等操作。
2015年��。機(jī)鋒網(wǎng)���、大麥網(wǎng)、網(wǎng)易�����、申通快遞��、中國人壽等知名網(wǎng)站都遭受了用戶信息泄露事件,影響上億用戶的隱私��。同年也有一些重要單位遭遇黑客入侵����,有接近超過五千萬條社保個(gè)人信息遭到泄露,其中包括個(gè)人的身份證��、社保參保的信息����,財(cái)務(wù)、薪酬����、房屋等一些敏感的信息。同年美國人事管理辦實(shí)事也被黑客入侵���,超過有2700萬條的信息泄露����,泄露事件引起了美國和西方世界的恐慌��,因?yàn)檫@樣的個(gè)人信息泄露�����,實(shí)際上是與民眾生活息息相關(guān)。
2016年���。雅虎超過15億的用戶信息遭到黑客泄露�����,俄羅斯的黑客成功盜取了2.7億郵箱信息��,包括4000萬的雅虎郵箱���,3300萬的微軟郵箱還有2400萬的谷歌郵箱,同年OpenSSL又爆出了重大漏洞“水牢漏洞”���,這次水牢漏洞也同樣波及到全球400萬的網(wǎng)站��。同年還有MySpace的數(shù)據(jù)泄露,超過3.6億的用戶信息被黑客竊取�����。這一年還有個(gè)更大的事件����,那就是美國大選����,美國大選也受到了信息安全相關(guān)的影響���,就是希拉里的郵件門事件����,也就是說美國的民主黨全國委員會(huì)����、籌款委員會(huì)、競(jìng)選團(tuán)隊(duì)等的郵件均被黑客組織截取�����,接近兩萬封郵件被維基解密披露����,所以大選的結(jié)果也被直接影響。
2017年��。今年實(shí)際上還沒有過完,但是也已經(jīng)發(fā)生了很多大事件��。3月份Struts2再次爆發(fā)遠(yuǎn)程高危漏洞���,全國各大機(jī)構(gòu)連夜修復(fù)�,該漏洞可直接遠(yuǎn)程控制相關(guān)服務(wù)器��。4月份12306官方網(wǎng)站也出現(xiàn)過安全漏洞��,可以獲取到不同用戶的個(gè)人信息��。同月上億的優(yōu)酷數(shù)據(jù)庫在暗網(wǎng)售賣�。今年還出現(xiàn)了最大勒索病毒事件, 5月份新型的蠕蟲型勒索病毒W(wǎng)annaCry爆發(fā)感染�����,相關(guān)的政府單位���、企業(yè)單位第一時(shí)間對(duì)于這個(gè)勒索病毒進(jìn)行相關(guān)漏洞的修復(fù)�����。據(jù)不完全統(tǒng)計(jì),現(xiàn)在全球大約有兩千多萬臺(tái)的主機(jī)遭受到了感染,病毒影響范圍非常廣��,后續(xù)還出現(xiàn)了變種病毒���,依然感染了眾多主機(jī)��。今天國外����,土耳其的黑客組織宣稱掌握了三億蘋果帳戶�����,鄧白氏52GB的數(shù)據(jù)庫也遭到了泄露���,還有加拿大的貝爾公司有190萬的客戶信息遭到黑客的泄露�����。
今年也有一則利好的事件����,就是《中華人民共和國網(wǎng)絡(luò)安全法》在6月1日正式執(zhí)行��,這對(duì)中國的網(wǎng)絡(luò)安全是個(gè)里程碑式的事件,將深遠(yuǎn)的影響未來網(wǎng)絡(luò)安全的發(fā)展�����。
我們回顧這7年的安全大事件��,絕大多數(shù)都是影響范圍很廣的�,80%是知名網(wǎng)站數(shù)據(jù)遭遇入侵,核心數(shù)據(jù)泄露�����,20%是致命漏洞引發(fā)的大范圍安全事故�。這些事件動(dòng)輒就是上千萬的用戶遭受影響,而且都是比較知名的網(wǎng)站和機(jī)構(gòu)�,那問題就來了,既然都是知名機(jī)構(gòu)為何還是屢次出現(xiàn)這類重大的安全事件呢����?難道是安全投入不夠嗎?這其實(shí)是值得大家思考的問題�。
可能大家會(huì)從很多角度,很多方面找出很多原因來闡釋這些安全事件���,比如安全投入不夠����、安全架構(gòu)不好、數(shù)據(jù)保護(hù)措施不足等等��,但是今天我想從另一個(gè)角度來講這個(gè)問題����。那就是信息安全我們應(yīng)該更多的關(guān)注什么�?本質(zhì)是什么?
信息安全有很多要素:完整性�����、保密性����、可用性、不可否認(rèn)性和可控性�,這是學(xué)術(shù)上的定義,但是這往往不利于我們看清信息安全的本質(zhì)�����??辞灞举|(zhì)其實(shí)只需要去探究一個(gè)問題即可,那就是信息安全的敵人是誰�����,是誰在產(chǎn)生著危害�����。我想大家都很清楚����,幕后真兇其實(shí)就是黑客。
黑客這個(gè)神秘的人群
如果說信息安全只有一個(gè)要素要解決的話���,那就是要解決黑客的問題���,因?yàn)橹灰泻诳偷拇嬖?����,那就?huì)有人對(duì)我們的企業(yè)��、用戶以及我們信息化系統(tǒng)的安全造成危害�。那我們想要了解信息安全�、想要分析信息安全的本質(zhì),就必須要了解黑客這個(gè)人群����,正所謂知己知彼百戰(zhàn)百勝,所以我們接下來就去了解一下黑客這個(gè)人群是怎樣的����。那接下來我們就說說故事,講一講黑客這個(gè)神秘的人群���。
【鈦坦白】漏洞銀行CTO張雪松:企業(yè)遭遇黑客入侵的原罪——漏洞
黑客的特點(diǎn)
生活簡(jiǎn)單����。黑客的核心理念就是“No one is safe”��。對(duì)于他們來說�,沒有什么是安全的�����,這就是他們的一個(gè)信念。我身邊其實(shí)有很多擁有黑客技術(shù)的人�����,這群人還是很奇特的��,他們的生活也非常的簡(jiǎn)單����。其中一個(gè)朋友,他的簽名就是Eat��、Hack���、sleep�。什么意思呢�����?就是吃飯���、研究黑客技術(shù)�、睡覺����,就這么簡(jiǎn)單���,他們其實(shí)非常專注于技術(shù),他們熱衷于研究技術(shù)的原理��,并且會(huì)研究的非常透徹�,基本上生活中大部分的時(shí)間都會(huì)坐在電腦前把所有的他們喜歡的技術(shù)徹頭徹尾的給學(xué)會(huì),并在里面去尋找這些技術(shù)的利用方法�����。
成就心強(qiáng)�。這個(gè)人群的成就心也很強(qiáng)���,他們喜歡享受那種“通過一人之力即可撬動(dòng)一個(gè)機(jī)構(gòu)”的成就感�����,想一想他們擁有的這些黑客技術(shù)�����,實(shí)際上就可以實(shí)現(xiàn)這一點(diǎn)�。可能花一些時(shí)間���,一個(gè)人就可以入侵一些非常知名的機(jī)構(gòu)���,特別是一些跨國界的黑客,這些黑客專門選一些國外的重點(diǎn)大型軍事機(jī)構(gòu)��,選擇最難的目標(biāo)進(jìn)行攻擊�,然后他們以能夠入侵進(jìn)去為榮,所以這群人的成就心也是非常強(qiáng)的����。
之前回顧2011年到2017年的安全事件,其實(shí)這些安全事件都發(fā)生在知名的網(wǎng)站和機(jī)構(gòu)��,實(shí)際上這些都是他們非常樂于入侵的目標(biāo)��。像知名網(wǎng)站泄露的核心數(shù)據(jù)基本上國內(nèi)的黑客人手一份���,而且他們?yōu)榱巳ツ玫竭@樣的一些數(shù)據(jù)�,通宵達(dá)旦的入侵�����。
所以說在國內(nèi),只要你在有過泄露的網(wǎng)站上注冊(cè)過用戶名和密碼��,那么其實(shí)所有黑客都會(huì)有你一份的用戶名和密碼�,只是說他想不想去盜你的帳號(hào)而已,所以在出現(xiàn)泄露事件的時(shí)候建議大家趕快去修改自己的密碼�����,同時(shí)也建議大家不要用一套用戶名和密碼在多個(gè)地方注冊(cè)��,這也是大家經(jīng)常犯的一個(gè)錯(cuò)誤�����,因?yàn)楹诳蜁?huì)利用人們的這一點(diǎn)�,用你相同的用戶名密碼��,登陸不同的網(wǎng)站和系統(tǒng)�����,包括QQ���、微信�����、郵箱等�,他都會(huì)去嘗試,這樣你很多賬號(hào)都會(huì)被盜�。
行蹤隱蔽。我們?cè)僬f說這個(gè)人群他們的行蹤習(xí)慣����,實(shí)際上他們非常的不喜歡暴露自己的信息,甚至連拍照他們都經(jīng)常避免��,基本上他們也不發(fā)朋友圈��,而且肯定不會(huì)在微博���、朋友圈這些社交媒體上去暴露自己的生活照片和相關(guān)信息�����,他們做事非常謹(jǐn)慎����,甚至在外面注冊(cè)一個(gè)App都要用小號(hào)來注冊(cè),這樣以保證自己相關(guān)信息的安全性和保密性�。同時(shí)他們上網(wǎng)的時(shí)候,也不會(huì)用自己的真實(shí)IP����,會(huì)掛一個(gè)代理去上網(wǎng)。
思維奇特��。這一點(diǎn)非常的重要����,黑客人群的思維模式非常的奇特,他們非常的聰明���,而且從來不按常理出牌�����。也就是說我們思維中即成了很多固定規(guī)則的做事方式�����,而在黑客的思維里面,他們完全不是這樣的���,他們完全不會(huì)按照既定的規(guī)則來��,而且他們思維模式非常的不尋常���。他們經(jīng)常會(huì)發(fā)現(xiàn)事物中另外的途徑��,會(huì)發(fā)現(xiàn)另外的方法來達(dá)到自己的目的�����,也就是說你要跟一個(gè)黑客玩游戲的話���,他第一時(shí)間想到的并不是我如何在游戲中對(duì)抗你,而是會(huì)去想怎么樣能夠跳出這個(gè)規(guī)則���,然后通過其他的方法來取得這場(chǎng)游戲的勝利��。
為何會(huì)存在這樣的人群�?
實(shí)際上黑客這個(gè)人群最早的時(shí)候�,都是一群技術(shù)愛好者。這群技術(shù)愛好者有非常多的好奇思路���,然后他們會(huì)進(jìn)行非常多的嘗試性實(shí)驗(yàn)�����,在這個(gè)基礎(chǔ)之上就誕生出了新穎的攻擊方式����,誕生出了新穎的漏洞利用方法,從而這群人就開始了對(duì)黑客技術(shù)的探索����。
最早的這群技術(shù)愛好者他們?cè)诨ヂ?lián)網(wǎng)上并沒有惡意,只是熱衷于研究信息技術(shù)�,但是后來慢慢的就劃分出了兩類人群。這兩類人群分別就是嘗試型黑客和目的型黑客����。嘗試型黑客主要以學(xué)習(xí)和驗(yàn)證技術(shù)為主,這群黑客會(huì)經(jīng)常的入侵但是不會(huì)產(chǎn)生破壞�,然后會(huì)不斷的去研究分析入侵的技術(shù)。目的型黑客演化出了非常多的目的性��,比如說他要炫耀����,或者破壞,竊取�����,盜號(hào)�����,反盜號(hào)等等���,他們?cè)趯W(xué)習(xí)和研究黑客技術(shù)的過程中�����,摻入了大量的個(gè)人目的����,慢慢的就演化出了一些非常惡意性的黑客���。
【鈦坦白】漏洞銀行CTO張雪松:企業(yè)遭遇黑客入侵的原罪——漏洞
嘗試型黑客和目的型黑客這兩類人群又隨著互聯(lián)網(wǎng)信息化的發(fā)展�,慢慢的職業(yè)化��,相關(guān)的領(lǐng)域目的也會(huì)更加的明晰�,漸漸也就演變成了現(xiàn)在的幾個(gè)分支:安全專家、白帽群體和黑產(chǎn)黑客�����。安全專家,專門從事安全研究����。白帽群體包括一些紅客和組織他們依然是喜歡和熱愛安全事業(yè)的,只是并未從事安全行業(yè)�����。而最后一群人��,則演變成了大家比較深惡痛絕的黑產(chǎn)黑客����,他們被黑產(chǎn)利益所引誘,從事了違法犯罪的行為�����。
黑產(chǎn)
如果去分析為什么會(huì)出現(xiàn)這樣一群專門為了破壞信息安全而誕生的人群的話�����,我覺得這一個(gè)原罪應(yīng)該歸于黑產(chǎn)。黑產(chǎn)真的是讓很多有技術(shù)的人去做了違法犯罪的事情�����,從而演變成了黑產(chǎn)上的黑客���。那黑產(chǎn)又是什么,為何黑客進(jìn)行了攻擊會(huì)有利益呢����?接下來我就讓大家了解一下黑產(chǎn)是什么。
黑產(chǎn)包含四部分——黑客技術(shù)實(shí)施��、黑市�、黑產(chǎn)犯罪團(tuán)伙、黑產(chǎn)周邊團(tuán)伙�。
黑客技術(shù)實(shí)施:黑客在黑產(chǎn)的環(huán)節(jié)之中發(fā)揮的作用是非常重大的,但是他們實(shí)際上不參與直接的利益轉(zhuǎn)化��,而是僅提供技術(shù)��,也就是黑客技術(shù)的實(shí)施�����。像黑客編寫木馬病毒���,入侵別人的網(wǎng)站�,制造釣魚網(wǎng)站等等,他們其實(shí)沒有太多的利益可以直接獲取���,但是他們有一個(gè)目的:他們提供技術(shù)盜取用戶的信息���,或掌握和控制用戶主機(jī)。實(shí)際上在很多黑客電影里面���,大家都會(huì)看到��,黑客就是提供技術(shù)環(huán)節(jié)的人�,并不是從頭到尾都使壞的那個(gè)人�����,他們是電影里的技術(shù)專家�����,只負(fù)責(zé)去竊取數(shù)據(jù)�,然后通過光盤等把數(shù)據(jù)交給其他人使用。
黑市:黑客沒有直接參與黑產(chǎn)利益轉(zhuǎn)化,但是他卻提供了技術(shù)支持和數(shù)據(jù)支持�����,然后將這些技術(shù)和數(shù)據(jù)通過黑市或相關(guān)接頭人進(jìn)行售賣���,賣給真正能夠產(chǎn)生利益價(jià)值的犯罪團(tuán)伙�����。售賣的技術(shù)工具有木馬、病毒和一些網(wǎng)絡(luò)武器程序����,這類程序可直接進(jìn)行DDos攻擊或操控僵尸網(wǎng)絡(luò)。其他都是售賣數(shù)據(jù)��,大量的數(shù)據(jù)按條目進(jìn)行售賣�,然后被各種分銷。
黑產(chǎn)犯罪團(tuán)伙:黑產(chǎn)的犯罪團(tuán)伙是利用黑客提供的技術(shù)和數(shù)據(jù)進(jìn)行一系列的利益轉(zhuǎn)化���,而最直接的可能就是拿個(gè)人信息進(jìn)行詐騙或廣告�����,大家手機(jī)短信會(huì)經(jīng)常收到一些莫名的廣告��,或者會(huì)收到一些陌生人推銷電話���,這些就是因?yàn)槟愕南嚓P(guān)信息被賣了出去��,所以才會(huì)這樣���,還有一些詐騙的案例,他們都是在黑產(chǎn)上面獲取到的這些個(gè)人信息�。
黑產(chǎn)周邊團(tuán)伙:其實(shí)這些團(tuán)伙更加的厲害,他們有非常多的手段可以將利益最大化�����。舉個(gè)例子����,支付平臺(tái)被入侵后,他們會(huì)將錢款分批次轉(zhuǎn)賬出去�����,這個(gè)過程中如果沒有專門的洗錢團(tuán)伙和專門的取錢�����、取卡團(tuán)伙的話,是很容易抓住罪犯并追回贓款的��,但是通過專業(yè)的洗錢團(tuán)伙����,他們就可以讓資金通過多層關(guān)系進(jìn)行洗白,讓這些錢款無法追查��,這樣利益就被有效的轉(zhuǎn)化了���。
我們了解黑產(chǎn)后�,大家就應(yīng)該明白了����,我們的企業(yè)��、用戶��,為什么會(huì)遭到黑客攻擊��?實(shí)際上是因?yàn)楹诳凸糁?��,是有利益可取的���。這些利益有些是非常巨大的���,比如像個(gè)人信息,都是按條目售賣的���,如果獲取了上百萬���、上千萬的個(gè)人信息,按條目去售賣的話�����,這個(gè)價(jià)值就非常大�。如果是一手?jǐn)?shù)據(jù),那么黑客獲益會(huì)非常多�。
而我們這些信息經(jīng)過多次的轉(zhuǎn)手之后又到了其他人手里,價(jià)值會(huì)不斷減少���,黑客又會(huì)怎么辦呢����?他們會(huì)利用撞庫進(jìn)行攻擊,也就是用用戶名和密碼去嘗試登陸其他的系統(tǒng)��,從而獲取到不同平臺(tái)的數(shù)據(jù)���。
了解到這里之后���,其實(shí)我們就大概明白了黑客為什么會(huì)來攻擊我們了。那我們了解之后��,接下來還有一個(gè)問題��,黑客是萬能的嗎���?黑客他一定能夠入侵成功嗎���?那我們接下來要了解一下���,黑客的這個(gè)技術(shù)以及黑客的相關(guān)攻擊是怎么去實(shí)現(xiàn)的�����。
探究原罪——漏洞
其實(shí)黑客在很多人的眼中都是很神秘的����,因?yàn)樗⒉皇且粋€(gè)很明確的技術(shù)���,我在小的時(shí)候就有一個(gè)疑問,既然大家都覺得黑客技術(shù)是非常高深的技術(shù)��,那為什么這個(gè)技術(shù)大家不去學(xué)呢���?不能像書本知識(shí)一樣學(xué)習(xí)呢�?而后來才知道���,黑客這個(gè)技術(shù)一項(xiàng)復(fù)雜的技術(shù)�,更多的是一種思維模式和技術(shù)手段的結(jié)合�����,也就是黑客在進(jìn)行一次入侵和攻擊時(shí)�����,實(shí)際上在做非常多的事情����,當(dāng)然這些事情是有些最本質(zhì)的核心點(diǎn)的����。
黑客攻擊的核心——漏洞
大家可以看一下黑客攻擊的這張圖���,在中間的區(qū)域就是黑客所要經(jīng)歷的所有過程�。當(dāng)然這里還沒有列舉全���,但是我們可以發(fā)現(xiàn)����,這樣一個(gè)過程的核心環(huán)節(jié)是什么��?那就是去尋找漏洞��。因?yàn)楹诳偷募夹g(shù)就是嫁接在漏洞之上��,如果說你沒有漏洞�,那黑客就很難去發(fā)揮。黑客所有的思維模式都是去找漏洞����,利用這些漏洞來實(shí)現(xiàn)更多的權(quán)限���,實(shí)現(xiàn)更多的黑客手段�。
黑客如何攻擊/入侵系統(tǒng)?
黑客如何攻擊/入侵系統(tǒng)�?
過去在協(xié)助偵破黑客案件時(shí),一般第一思考的就是黑客是通過什么途徑和漏洞進(jìn)行入侵的�����,并針對(duì)入侵整個(gè)的路徑進(jìn)行一個(gè)還原���,然后再進(jìn)行一個(gè)反追蹤�。根據(jù)入侵的路徑然后再根據(jù)留下的信息和特征進(jìn)行逆向����,從而再進(jìn)行反追蹤的工作。
所以說當(dāng)企業(yè)遇到黑客入侵的時(shí)候����,應(yīng)該第一想到的就是:“我哪里出現(xiàn)了漏洞?”這里我大概列了幾點(diǎn):
管理漏洞�����。這個(gè)可以非常簡(jiǎn)單的理解,就是企業(yè)的管理�,包括人員的漏洞。這里有一個(gè)最經(jīng)典的攻擊方式就是客服攻擊����,因?yàn)橛泻芏嗑W(wǎng)站提供了客服人工的申訴,比如說我要修改密碼����,但密碼忘記了,手機(jī)也找不到了�����,我要申訴���。而這個(gè)時(shí)候就要對(duì)客服進(jìn)行社會(huì)工程學(xué)的攻擊�,黑客通過收集大量被攻擊者的信息�����,利用社會(huì)工程學(xué)的方法���,讓客服把目標(biāo)賬號(hào)的密碼給重置�,從而獲得重要的賬號(hào)。
邏輯漏洞��。我們很多的網(wǎng)站有支付功能�,在支付流程中���,網(wǎng)站需要進(jìn)行多次確認(rèn)��,如果網(wǎng)站開發(fā)時(shí)沒有很完備的流程設(shè)計(jì)和審計(jì)�����,這時(shí)黑客把數(shù)據(jù)包改一下����,把錢改一下�����,前面下訂單的時(shí)候是99元�,支付的時(shí)候只需1塊錢就支付成功了,這樣就產(chǎn)生了邏輯漏洞�����,也就是最經(jīng)典的1元買iphone的漏洞,這類的漏洞也是非常經(jīng)典的����。
協(xié)議漏洞。比如像Ddos的SYN攻擊就是非常典型的一個(gè)協(xié)議漏洞�����,在Ddos攻擊的時(shí)候通過發(fā)送大量的SYN數(shù)據(jù)包來消耗目標(biāo)主機(jī)的資源����。
提權(quán)漏洞。這類漏洞也很常見�。黑客可以利用系統(tǒng)機(jī)制,獲取到系統(tǒng)管理員的權(quán)限��,這時(shí)就可以對(duì)系統(tǒng)進(jìn)行最高級(jí)別的命令執(zhí)行�����,從而下載數(shù)據(jù)庫或植入木馬�。
防護(hù)漏洞。這類漏洞是大家經(jīng)常會(huì)遺忘的����,就是我們所用的這些防火墻��、安全設(shè)備或者說安全方案���,其實(shí)里面也是有漏洞的,黑客也可以利用這些漏洞進(jìn)行入侵��。越是我們信任的環(huán)節(jié)往往造成的危害越大���。
那我們綜合來看黑客在進(jìn)行攻擊的時(shí)候,最核心的目標(biāo)是什么�?他就是去尋找你所有的漏洞,把所有的相關(guān)信息收集起來��,然后做成一個(gè)作戰(zhàn)地圖�,根據(jù)這張作戰(zhàn)地圖去分析你在整個(gè)數(shù)據(jù)保護(hù)、信息架構(gòu)等層面存在的漏洞�。然后會(huì)根據(jù)這些漏洞進(jìn)行嘗試,當(dāng)然這些漏洞有技術(shù)上的漏洞�,也有思維上的漏洞,還有相關(guān)流程和規(guī)則上的漏洞���,只要黑客足夠有耐心�����,就能確?�?梢怨ハ菹到y(tǒng)�。
這些漏洞其實(shí)都是值得我們企業(yè)去關(guān)注、思考���、審視的�����,如果這些環(huán)節(jié)都會(huì)有漏洞的話���,相信企業(yè)安全也非常難做,并且黑客也是有非常多的點(diǎn)可以去危害企業(yè)的��。
關(guān)于漏洞產(chǎn)生的二三事
那既然漏洞是根源����,它是怎么產(chǎn)生的呢?我們就拿程序開發(fā)這個(gè)過程來分析下���,因?yàn)槲乙沧鲞^開發(fā)人員�,相信大家大部分受到入侵攻擊的也都是企業(yè)信息系統(tǒng)����,這些信息系統(tǒng)的程序開發(fā)會(huì)經(jīng)歷很多過程���。這張圖就列了一個(gè)非常簡(jiǎn)單的過程:開發(fā)人員編寫代碼,每個(gè)人員編寫完代碼后自己會(huì)進(jìn)行單元測(cè)試�����,測(cè)試完了之后多人會(huì)把代碼進(jìn)行整合�,整合完成之后再進(jìn)行一個(gè)上線測(cè)試,最終再發(fā)布上線�����,其實(shí)每一個(gè)環(huán)節(jié)都有一些不可避免的風(fēng)險(xiǎn)會(huì)產(chǎn)生漏洞����。
每個(gè)環(huán)節(jié)都可能產(chǎn)生漏洞
每個(gè)環(huán)節(jié)都可能產(chǎn)生漏洞
比如說開發(fā)人員���,我們很多開發(fā)人員是不懂安全技術(shù)的�,他也不是安全專家�,只會(huì)實(shí)現(xiàn)功能,完成程序正常的流程�����,但是卻無法完全避免實(shí)現(xiàn)方式里存在的漏洞。再說單元測(cè)試�����,通常企業(yè)里只做功能和性能測(cè)試�����,但不會(huì)做安全測(cè)試�。代碼整合階段同樣會(huì)出現(xiàn)一些邏輯問題,由于是不同人員開發(fā)的�,整合在一起是不是會(huì)產(chǎn)生漏洞,沒有一個(gè)完善的機(jī)制�。最后的上線環(huán)節(jié)也同樣會(huì)出現(xiàn)漏洞風(fēng)險(xiǎn),有個(gè)案例�,蘋果的開發(fā)工具可以發(fā)布很多蘋果的App,但是如果開發(fā)工具本身被黑客動(dòng)了手腳����,那發(fā)布出來的程序是不是都會(huì)附帶危害?這個(gè)恰恰是我們新聞爆出的大事件���,蘋果開發(fā)工具被黑客修改發(fā)不到網(wǎng)上����,大量知名APP都遭受到了影響,導(dǎo)致最終的程序含有惡意代碼��。
所以我們單就程序開發(fā)���、網(wǎng)站開發(fā)這樣的過程��,就會(huì)有諸多的環(huán)節(jié)產(chǎn)生漏洞風(fēng)險(xiǎn)��,那其他過程我們就更無法確保不會(huì)產(chǎn)生風(fēng)險(xiǎn)了��。
常見的漏洞有哪些���?
常見的漏洞有哪些���?
接下來我們看下漏洞情況分布����,這張圖是IBM做的一個(gè)分析�,值得注意的是從2014年到2016年,漏洞逐步轉(zhuǎn)向更多未知類型��,包括零日漏洞這類非常見漏洞,所以未來零日漏洞的威脅會(huì)逐步變大���。
漏洞的發(fā)展歷程
既然漏洞無處不在���,那我們企業(yè)如何去應(yīng)對(duì)呢?我們還是要慢慢的去了解和掌握這些漏洞�����,從全局來看��,漏洞是有一個(gè)發(fā)展歷程的����,我們要清晰的了解它的演化過程。現(xiàn)在總結(jié)出來大概有三個(gè)階段�,是基于威脅進(jìn)行定義的:
第一階段,基礎(chǔ)威脅階段��?���;诓僮飨到y(tǒng)、協(xié)議、機(jī)制本身的不完善產(chǎn)生的漏洞威脅�。我們信息化剛剛起步的時(shí)候,存在大量系統(tǒng)安全和協(xié)議安全的威脅����,就在2010年之前,大部分都是病毒威脅����,大家會(huì)使用很多的殺毒軟件,那是因?yàn)楫?dāng)時(shí)的操作系統(tǒng)有非常多的漏洞��,還有一些協(xié)議安全�,也就是說像Ddos、 ARP攻擊等�����,都是在那個(gè)階段出現(xiàn)的���,所以在那個(gè)階段更多的這種漏洞都是基于系統(tǒng)漏洞和協(xié)議漏洞,基于這樣一些威脅我們?cè)谧龇烙?/p>
第二階段��,應(yīng)用威脅階段�。隨著基礎(chǔ)系統(tǒng)的不斷升級(jí),慢慢從基礎(chǔ)漏洞威脅就轉(zhuǎn)移到了應(yīng)用層的威脅。也就是說在2010年到2017年入侵事件非常多����。那就是網(wǎng)站存在應(yīng)用層漏洞。比如SQL注入�����、XSS���、越權(quán)漏洞等����,因?yàn)榇蠹也僮飨到y(tǒng)越來越安全�,慢慢黑客就轉(zhuǎn)戰(zhàn)到了應(yīng)用層的漏洞上,所以在這個(gè)階段出現(xiàn)了大量應(yīng)用層漏洞����。
其實(shí)經(jīng)過我們這些年的發(fā)展,目前網(wǎng)站安全已經(jīng)做得非常好了��,而且現(xiàn)在開發(fā)網(wǎng)站的開發(fā)人員也意識(shí)到了有非常多的應(yīng)用層的漏洞����,他們會(huì)在開發(fā)網(wǎng)站的時(shí)候杜絕這樣一些漏洞的風(fēng)險(xiǎn)��。
第三階段�,數(shù)據(jù)威脅階段���。隨著數(shù)據(jù)越來越重要��,就產(chǎn)生了針對(duì)數(shù)據(jù)安全的威脅漏洞�。這個(gè)階段的漏洞大部分是什么樣的呢���?有防護(hù)漏洞�����、零日漏洞��、框架漏洞���、自動(dòng)化攻擊漏洞、欺詐漏洞等�,隨著威脅和我們安全的升級(jí),漏洞也是在不斷轉(zhuǎn)變的��,這里面的一個(gè)規(guī)律是什么呢�?其實(shí)最核心的規(guī)律就是黑客的入侵成本問題,也就是黑客會(huì)選擇入侵成本更低����、利益最大的方式。
任何新的平臺(tái)����,都會(huì)經(jīng)歷著這三個(gè)階段,比如我們的智能手機(jī)�����。最早的智能手機(jī)系統(tǒng)本身是不安全的����,那時(shí)候出現(xiàn)了大量的系統(tǒng)惡意程序,慢慢的升級(jí)到現(xiàn)在的安卓和蘋果��,系統(tǒng)會(huì)越來越安全��,這時(shí)候就到了應(yīng)用安全的階段����,就會(huì)有一些APP二次打包,假冒與釣魚APP出現(xiàn)��。而慢慢隨著安全機(jī)制升級(jí)。黑客可能就會(huì)進(jìn)入到第三個(gè)階段��,就是直接去攻擊你的數(shù)據(jù)���,監(jiān)聽你的數(shù)據(jù)竊取你存儲(chǔ)在服務(wù)器上的數(shù)據(jù)���,也會(huì)利用其他的驅(qū)動(dòng)來竊取鍵盤數(shù)據(jù)等。
如何解決漏洞��?未來何去何從�?
我們大概對(duì)漏洞也非常的了解了,接下來我們?cè)撊绾蚊鎸?duì)呢�?也就是說我們的未來將何去何從?這里我先跟大家講一下安全的本質(zhì)�����,這是一張安全投入���、威脅程度以及入侵成本的曲線圖�����,大家可以仔細(xì)看一下這張圖�,其實(shí)它反映了非常多的問題。
【鈦坦白】漏洞銀行CTO張雪松:企業(yè)遭遇黑客入侵的原罪——漏洞
其實(shí)安全這個(gè)事情就是一個(gè)黑與白的博弈����。也就是說隨著我們安全成本投入的提升��,威脅就會(huì)越來越小��,黑客的入侵成本也會(huì)提高�����,這也是大家有所共知的一個(gè)規(guī)律�����。但是這里面就牽扯到一個(gè)問題���,就是我發(fā)現(xiàn)非常多的企業(yè)會(huì)進(jìn)行全面的安全建設(shè)����,花費(fèi)大量的安全經(jīng)費(fèi)�,但卻沒有達(dá)到這個(gè)曲線上所實(shí)現(xiàn)的效果,這究竟是為什么呢�����?
實(shí)際上很多企業(yè)沒有把安全投入到最重要的方面,沒有投入到與入侵成本有關(guān)的方面�。所以在這種基礎(chǔ)之上,我建議企業(yè)一定要學(xué)會(huì)利用黑客的思路進(jìn)行布防����,我們最關(guān)注的就是如何能夠提高黑客的入侵成本,用黑客的視角來進(jìn)行防御�����。
這里給大家列一些漏洞發(fā)現(xiàn)的工具:代碼審計(jì)工具�����、漏洞掃描產(chǎn)品����、滲透測(cè)試服務(wù)、眾測(cè)服務(wù)����、建立SRC(Security Response Center)。
巧用工具學(xué)會(huì)黑客的視角審視系統(tǒng)里面究竟有沒有漏洞,按照黑客的入侵思路進(jìn)行有效益的安全建設(shè)�����,這才能達(dá)到我們預(yù)期的期望���。當(dāng)然這些“工具”也有成本對(duì)比���,優(yōu)劣對(duì)比����,我們漏洞銀行也推出了更加適合企業(yè)的解決方案,這些都需要企業(yè)做好相關(guān)工作�����,切實(shí)選擇適合自己的方案����。
最后我再提一點(diǎn)就是我們今年頒布的《網(wǎng)絡(luò)安全法》,這個(gè)也是非常重要的�,是我們企業(yè)對(duì)付黑客違法行為非常重要的一個(gè)武器,也希望大家去看一下《網(wǎng)絡(luò)安全法》的研讀�����,有了立法就有了明確的法律武器,幫助企業(yè)打擊黑客犯罪行為����。
鈦坦白群友互動(dòng):
1、請(qǐng)問“漏洞銀行”���,為什么稱為銀行呢��?
張雪松:看來大家對(duì)這個(gè)品牌名稱還是很感興趣����,為什么叫漏洞銀行呢��?我講下我的一個(gè)理解����。漏洞銀行平臺(tái)擁有上萬注冊(cè)白帽(擁有黑客技術(shù)的人)為企業(yè)做漏洞挖掘和測(cè)試,用黑客視角幫助企業(yè)尋找威脅與漏洞��。白帽會(huì)把漏洞提交給平臺(tái)��,其實(shí)每個(gè)漏洞都是非常有價(jià)值的�,就像金錢一樣,那我認(rèn)為這個(gè)如同是存取漏洞的銀行,是一個(gè)非常形象的比喻吧��。我們也會(huì)持續(xù)專注于解決漏洞問題����,幫助企業(yè)將所有與漏洞風(fēng)險(xiǎn)有關(guān)的問題徹底解決。
2��、請(qǐng)問張總�����,我想知道黑客這么會(huì)隱藏自己的行蹤��,他們?cè)趺凑遗笥寻�。?/p>
張雪松:這個(gè)問題問的非常好���。首先很多黑客他們本身單身的比較多���,同時(shí)他們有這樣的一個(gè)特性:一旦圈內(nèi)有新技術(shù)新的漏洞利用方式出現(xiàn),他們會(huì)徹夜通宵來研究和利用漏洞���,完全會(huì)把女朋友拋擲腦后�,所以也確實(shí)會(huì)很難找到女朋友。
3�、請(qǐng)問現(xiàn)在好多網(wǎng)站可以使用自己的微信授權(quán),對(duì)于安全考慮是不是盡量避免這種授權(quán)����?
張雪松:其實(shí)在很多應(yīng)用里面都會(huì)進(jìn)行微信授權(quán),這里面一般來說���,對(duì)方應(yīng)用只能夠拿到你的頭像和昵稱信息�,微信授權(quán)接口沒有授權(quán)微信號(hào)�、手機(jī)號(hào)等隱私信息,所以只要你頭像不用個(gè)人照片�,昵稱沒有真實(shí)名稱,一般沒有太多風(fēng)險(xiǎn)�����。但是在大數(shù)據(jù)時(shí)代��,這些授權(quán)頁面收集到足夠多的信息���,再進(jìn)行一個(gè)建模���,然后會(huì)通過你的昵稱和頭像發(fā)現(xiàn)你的手機(jī)號(hào)和地址��,這種情況就比較危險(xiǎn)了����。建議盡量少去進(jìn)行這種授權(quán)��,像一些比較知名的品牌或者是公眾號(hào)���,授權(quán)是沒有問題的��,其他不知名的網(wǎng)頁就不要授權(quán)了���。
4、請(qǐng)問現(xiàn)在如果一個(gè)初創(chuàng)公司要開發(fā)一款A(yù)pp���,是不是需要與這樣的安全機(jī)構(gòu)合作?
張雪松:現(xiàn)在初創(chuàng)的公司做APP應(yīng)用開發(fā)的話�����,實(shí)際上安全還是有必要的��,至少需要了解APP相關(guān)的安全內(nèi)容��,如果能夠讓安全公司給出一個(gè)相應(yīng)的咨詢報(bào)告或者是給出一個(gè)安全建議,實(shí)際上能夠利于你們后期出現(xiàn)的很多問題�。APP本身它的問題也很多,因?yàn)槭怯锌蛻舳撕头?wù)端的���,中間還有一些通訊�,包括現(xiàn)在還有專門做APP安全的�,所以APP這一塊的應(yīng)用也是十分需要重視安全的。(本文獨(dú)家首發(fā)鈦媒體����,根據(jù)漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松在鈦坦白上的分享整理)
(廈門網(wǎng)站建設(shè)文章來自百度新聞)
服務(wù)熱線:13850021717/0592-5786385
您當(dāng)前位置:
