网络安全建设案例分析 康凯
一 网络安全问题举例
补天平台发布的高校安全漏洞 3
常见的安全漏洞 弱口令 目录遍历 SQL 注入 Java 反序列化 文件上传 4
为什么会出现这些安全漏洞? 软件开发团队安全代码开发意识薄弱 工作人员信息安全意识薄弱 系统补丁更新不及时 软件质量控制不严格, 缺少安全性方面的验收测试 安全管理不规范, 配置不合理导致安全隐患 5
二 网络攻击行为举例
网络黑客的行为分析 暴力猜解就是从口令侯选器中一一选取单词, 或用枚举法选取, 然后用各种同样的加密算法进行加密再比较 一致则猜测成功, 否则再尝试 暴力猜解 口令候选器枚举法口令加密口令比较获取口令的方法 7
网络黑客的行为分析 可被猜解的协议 Telnet Ftp Ssh Rdp Http Https Http-Proxy Socks5 LDAP SMB Smtp Pop3 Imap Snmp SqlServer My-sql 8
网络黑客的行为分析 网络监听 当黑客登录网络主机并取得超级用户权限后, 若要登录其它主机, 使用网络监听便可以有效地截获网络上的数据, 这是黑客使用最好的方法 但是网络监听只能应用于连接同一网段的主机, 通常被用来获取用户密码等 9
网络黑客的行为分析 示例 : WIFI 钓鱼
网络黑客的行为分析 钓鱼邮件 攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动, 受骗者往往会泄露自己的私人资料 11
网络黑客的行为分析 从网上下载不明来历的文件 木马被执行, 电脑主动连接黑客服务器 黑客通过木马, 控制受害者的电脑 示例 : 钓鱼邮件
系统漏洞利用 网络黑客的行为分析 系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误, 这个缺陷或错误可以被不法者或者电脑黑客利用, 通过植入木马 病毒等方式来攻击或控制整个电脑, 从而窃取您电脑中的重要资料和信息, 甚至破坏您的系统 13
网络黑客的行为分析 ms08-067 漏洞利用在 Microsoft Windows 2000 Windows XP 和 Windows Server 2003 系统上, 攻击者可能未经身份验证即可利用此漏洞运行任意代码 14
讲一个社会工程学案例 社会工程指的是 : 导致人们泄漏信息或诱导人们的行为方式并造成信息系统 网络或数据的非授权访问 非授权使用 或非授权暴露的一切成功或不成功的尝试 15
0x01 故事背景! 社会工程学案例 小熊 美女 软件工程学院 16
0x02 获得学号 社会工程学案例 教务系统 BUG 入侵的过程中, 思路比技术更重要 17
0x02 获得学号 社会工程学案例 学妹 专升本 13105[ 班级 ][ 序号 ] #!bin/bash for stunumber in $(seq 13105101 13105130); do wget "http://xxxxx.edu.cn/readimagexs.aspx?xh=${stunumber}&lb=xxxxx" -O ~/studentimages/$stunumber.jpg done 18
社会工程学案例 0x03 手机号码及其他信息 辅导员 姓名 学号 电话 19
社会工程学案例 0x03 分支剧情 : 社交网络 生日 :199x 年 x 月 x 日家乡 :xx 省 xx 市高中 :xx 中学 20
社会工程学案例 0x03 手机号码及其他信息 姓名学号生日家乡高中 两个手机号 身高体重肺活量 21
0x04 what's next? 社会工程学案例 22
三 一个网络安全建设案例
某互联网平台的安全建设案例 01 千疮百孔的安全状况 没有信息安全方针, 没有信息安全策略, 缺少安全管理制度体系 领导层不参与信息安全管理 系统运维管理人员匮乏 应用系统漏洞层出不穷 出现过用户账号被盗用情况 安全域划分不科学, 访问控制一塌糊涂 24
某互联网平台的安全建设之路 02 以等保为契机的安全扫盲 XXXXXXXX 等保测试项目, 共测试 320 个小项, 共发现问题 62 项 存在问题 28,5% 存在问题 完全符合 61,10% 完全符合 25
某互联网平台的安全建设之路 03 渗透测试挖掘应用安全问题 任意文件上传 上传目录暴露 恶意代码执行 反弹 shell 篡改页面 存储型 XSS XSS 获得后台地址 XSS 获得 SessionID 管理员身份登陆 验证码重复利用 用户名不存在报错 用户名暴力破解 密码暴力破解 手机号用户名 敏感信息泄露 XSS 脚本邮件钓鱼身份盗用 26
某互联网平台的安全建设之路 04 立竿见影的安全配置加固
某互联网平台的安全建设案例 针 系对 统性整改建议 05 技术层面提出针对性的整改建议 28
某互联网平台的安全建设之路 06 系统设计短板尽显 程序未加壳 程序未加壳可被逆向破解并做逆向分析, 分析源代码 逻辑漏洞 找回密码页面敏感信息泄露 平行权限限制不严. NO.1 NO.2 NO.3 NO.4 登录设计问题 明文传输 暴力破解 无双因素认证 验证码重复利用 跨站脚本漏洞 跨站可获取用户和管理员等的 cookie, 从而模拟正常登录 NO.5 任意文件上传 系统存在上传界面且 未做任何限制
某互联网平台的安全建设之路 07 安全开发巩固筑基 总体框架 业务设计安全业务开发安全业务上线安全 1 访问认证 2 职责和权限 3 数据存储 4 数据传输 5 日志管理 1 开发文档 2 开发工具 3 开发环境 4 编码安全 5 开发审计 1 文档审核 2 渗透测试 3 代码审计 4 配置核查 30
某互联网平台的安全建设之路 08 软件测试质量保障 31
某互联网平台的安全建设之路 09 安全运维保驾护航 服务类型 服务数量 完成数量 服务比率 服务完成率 故障处理 1 1 5.00% 100.00% 系统巡检 2 2 9.00% 100.00% 技术咨询 5 5 24.00% 100.00% 问题服务 3 3 14.00% 100.00% 变更服务 2 2 9.00% 100.00% 配置服务 3 3 14.00% 100.00% 测试服务 2 2 10.00% 100.00% 评估服务 1 1 5.00% 100.00% 报告服务 2 2 10.00% 100.00% 合计 21 21 100.00% 100.00% 32
某互联网平台的安全建设之路 10 安全咨询外部智库 网络改造咨询方案 33
某互联网平台的安全建设之路 等保测评差距分析 外部智库 安全加固 安全运维 网络优化 安全水平等保要求符合程度
某互联网平台的安全建设之路 11 安全治理迫在眉睫
某互联网平台的安全建设之路 12 管理架构更新优化 信息安全领导小组 风险管理委员会 管理汇报管理汇报 信息安全工作小组 信息安全审计小组 指导检查 反馈 组织协调 反馈 审核 组织协调 反馈 办公室 人力资源部门 单位各部门 信息技术部 合规部 法律部 支持 信息技术部 审计部 信息安全第 1 道防线 控制执行 信息安全第 2 道防线 风险管理 信息安全第 3 道防线风险审计 36
某互联网平台的安全建设之路 13 管理制度日渐完善 安全策略体系安全组织体系 安全组织人员职责教育培训人员安全 信息安全策略信息安全规范信息安全操作流程和细则 安全建设与运行维护 安全体系建设项目建设安全管理安全风险管理与控制安全运行与维护 37
指导督管理限制 某互联网平台的安全建设之路 14 管理制度落地实施 信息系统整个生命周期 政策和制度 机构和人员 执行 监督 信息系统规划管理 信息系统设计管理 信息系统实施管理 信息系统运维管理 信息系统废弃管理 检查和监38
某互联网平台的安全建设之路 15 安全培训体系同步跟进 全员培训 -- 安全意识培训 安全管理制度宣贯 岗位能力培训 -- 安全技术专题培训 安全类项目 培训 高层牵头领导负责全员参与专人管理 39
某互联网平台的安全建设之路 16 安全建设实施成效 终端安全防护 技术方面 三 外部网络接入防护 序号 漏洞名称 安全等级 1 会员管理功能任意文件上传漏洞高风险级网络安全分域 2 上传目录脚本执行漏洞高风险 3 上传 XSS 进行用户身份盗用漏洞 高风险 4 验证码重复利用漏洞 高风险 5 用户名与密码暴力破解漏洞 中风险 6 拒绝服务 (DoS) 漏洞 (CVE-2012-2733) 高风险 7 后台域名过于简单用户名易被暴破高风险要 8 存储型 XSS 漏洞高风险的黑客攻击 了极高的安全性 ; 应用系统账号管理 9 支付密码明文传输高风险求 10 垂直权限限制不严格与存储型 XSS 高风险 11 任意用户密码泄露账号行为审计高风险 12 用户敏感信息泄露 高风险 13 可访问 Tomcat 控制台漏洞 中风险 -- 通过渗透测试发现了多个高危漏洞通过对整个网络进行安全规划通过指导平台开发人员对平台本身的安全性进行代码级的修复和, 包括划分网络区域, XSS sql, 注入等划分 vlan, ; 避免局部网络沦陷造成全网沦陷改进, 包括数据库参数化查询,; 伪静态的使用限制 ip 和 mac, 存储型地址, XSS 监测所有网络漏洞修复, -- 通过部署 WAF 并配置合理有效的策略, 在网络边界处防范利用以等核心资源访问控制内联和外联行为以及授权情况验证码同步等, 以及通信协议和应用目录等部分的修复, 保证边界完整性 ; 部署边界防护设备, 如使用 https, 上漏洞进行的外部攻击, 在进行应用级安全加固前, 通过查看 WAF 日建立通信 DMZ, 并严格控制目录访问权限区, 限制终端移动存储介质使用保 ( ip 地址, ) 等, 有效从应用源上志可知 WAF 每日抵御的攻击次数都在百次以上后台操作审计修复应用漏洞, 进行主机 ; 安全加固解决高危漏洞带来的风险, 细化审计内容等,, 即使来自内网的攻击实现纵深防御, 防止处于各个纵深位置 ( 绕过 WAF) 也具有 日常基线扫描 14 摘要式身份验证漏洞中风险 40
某互联网平台的安全建设之路 16 安全建设实施成效 管理方面 -- 通过对平台进行 ISO27001 贯标实施, 结合国家标准和我们日常积累的安全管理经验, 重新规划和建成了一套完善的安全管理体系, 包含管理制度 管理职能机构 人员安全管理 安全建设管理和安全运维管理 所有的管理工作均有标准化的文档提供依据, 文档的修订也遵守标准化的流程, 规范化管理 ; 41
某互联网平台的安全建设之路 16 安全建设实施成效 管理方面 ( 具体成效 ) -- 通过定期的员工安全意识培训, 通过浏览数据库记录发现员工的用户口令普遍进行了增加复杂度的修改, 之前存在 30% 的弱口令账户已经下降至不足 1%; -- 建立起一套完整的应急体系并定期进行循环演练, 成功应对之后发生的一次 0day 公布后引起的大规模攻击, 启用应急预案, 及时联系安全专家和设备厂商, 第一时间获取补丁进行漏洞修复, 避免了进一步的损失 ; 42
建设成效 1 公司董事长直接担任信息安全领导小组组长, 管理层对信息安全非常重视, 安全预算得到充分保障 2 公司信息系统的维护修改都有据可查, 通过每月的信息安全状况月报, 客户对自己的安全状况有直观的了解 告别的当初信息安全 两眼一抹黑 的窘况 3 顺利开展与 XX 银行的业务合作, 安全性得到银行的认可 业务得以拓展 4 平台安全稳定运行, 没有再出现业务卡顿 用户身份盗用等情况 平台在线用户稳定增长, 信息系统的安全状况不再是业务发展的瓶颈
写在最后 国家网络安全法即将于 2017 年 6 月 1 日起实施 等级保护制度作为国家网络安全的基本国策和基本制度已经上升为法律 : 第二十一条国家实行网络安全等级保护制度 网络运营者应当按照网络安全等级保护制度的要求, 履行下列安全保护义务, 保障网络免受干扰 破坏或者未经授权的访问, 防止网络数据泄露或者被窃取 篡改
感谢您的聆听! 康凯 15668495868 kangk@sdas.org