Download
1 / 22
220 likes | 327 Views
十年围毒. 安全运营之道. 季昕华 Benjurry. 帐号泄漏 - 互联网公司相继沦陷. 2011 年 12 月 21 日, CSDN 600 万帐号泄漏 2011 年 12 月 22 日,人人网、开心网、多玩网世纪佳缘、珍爱网、美空网、百合网帐号泄漏 2011 年 12 月 27 日,天涯 4000 万帐号泄露 2011 年 12 月 28 日,当当、京东帐号泄漏 2011 年 12 月 29 日,中国工商银行、交通银行、民生银行被爆出客户信息泄露 2012 年 1 月 4 日,新浪被爆帐号泄漏. APT 攻击 - 人为刀俎.
E N D
十年围毒 安全运营之道 季昕华 Benjurry
帐号泄漏-互联网公司相继沦陷 • 2011年12月21日,CSDN 600万帐号泄漏 • 2011年12月22日,人人网、开心网、多玩网世纪佳缘、珍爱网、美空网、百合网帐号泄漏 • 2011年12月27日,天涯4000万帐号泄露 • 2011年12月28日,当当、京东帐号泄漏 • 2011年12月29日,中国工商银行、交通银行、民生银行被爆出客户信息泄露 • 2012年1月4日,新浪被爆帐号泄漏
APT攻击-人为刀俎 • 2011年4-7月,sony 大批用户资料泄漏 • 2011年3月,RSA发现攻击者已获得了至关重要的SecurID种子 • 2011年2月,给美国政府和五角大楼服务的安全公司HBGary 被入侵 • 美国宇航局,2年内5408次侵入和非法访问,47起APT事件,13次成功的APT侵入
3.4 参加营销活动 1.2木马 1.3钓鱼 2.1晒号 3.1盗Q币、装备 3.2卖靓号 2.2选号 3.3诈骗 1.1注册 2.3修改用户信息 2.2.3 Q币 2.3.1修改密码 2.3.2修改个人资料 2.3.3修改或申请密保 3.1.2 业务赠送 2.3.4删除好友 3.1.1盗装备 2.2.2等级 2.2.1靓号 3.获利 2.清洗号码 盗号—完整产业链 1.获取号码 每个环节: 工具+人工
客户端攻击获取情报 邮件 IM 微博 地下产业链 服务器攻击获取权限 后台权限 域名权限 代码文档 APT攻击 关系链获取 家人 朋友 同事 针对性强,隐秘性好 价值高 游戏平台 洗号卖装备 撞号攻击 支付平台 转钱付款 帐号库 规模大,工具化 集团化 社交平台 广告、诈骗 营销广告 垃圾邮件 人肉搜索 名人用户隐私 自发性,娱乐性
原因 • 敌暗我明 • 敌人安排线人探测 • 我方被动防守
安全需要运营 • 安全需要运营 • 安全是动态的 • 业务在变 • 利益在变 • 环境在变 • 敌人在变 • 攻击手段在变 • 安全是持续对抗的过程 • 安全是不断优化的过程
组织架构-安全运营的保障 • 有没有团队 • 团队向谁汇报
安全运营生命周期 情报系统 各种防护设备和措施 数据分析 扫描系统 配置系统 Agent
运营的目的 • 改变敌暗我明状态 • 数据、信息驱动 • 小步快跑,持续优化 • 自动化、系统化实现安全策略
如何运营 • 掌握敌人情况,改变敌暗我明格局 • 线人&染色&诱敌 • 检测和打击的分离 • 数据分析 • 多联对账 • 积极发动人民群众的力量,打人民战争 • 争取业界支持 • 尊重白帽子 • 和业界安全公司保持合作 • 积极和主管部门沟通 • 化敌为友
染色案例:盗号&挂机 互联网企业 盗密码 查道具 用户 转财产 密码 泄漏 财产 泄漏 访问 感染 外部网站 交易平台 外部 平台 入侵 犯罪分子 盗号 集团 洗信 集团 广告/诈骗 入侵挂马 木马编 写 工具编 写集团
检测&打击 • 检测逻辑要和打击逻辑分离 • 网马查杀&IDS案例 • 基于不同链路的检测不容易被发现 • 基于移动设备特征的动态认证系统 • 检测在平常时间,打击在关键时刻 • 基于漏洞特征的检测不容易被绕过 • 基于统计分析的检测不容易被绕过 • 基于逻辑对账的检测不容易被绕过 • 打击要有随机性,要组合成“网络”,要有防检测性
欲求网络之安全 不得不经网络之痛苦 这过程,需要运营! Ucloud CEO 季昕华 www.weibo.com/benjurry
