第三只眼看办公网安全教案.pptVIP

* * * * * * * * * * * * * * * * * * * * * * 第三只眼看办公网安全 迅雷安全中心 方勇 * 自我介绍 迅雷安全中心经理。 迅雷安全团队主要负责迅雷的产品业务安全、服务网安全和办公网安全。 议题大纲 办公网安全的挑战 大量重要资产，直接影响所有业务和信息系统。 黑客数量快速增长。 黑客攻击技术快速发展，攻击方式变幻无穷。 已知的安全防御手段无法PK未知的漏洞和后门。 传统的安全防御体系已经基本失效。 * * 信息安全建设的观点 办公网安全实战—踩点 * 踩点行为研究 收集员工的信息。邮箱、SNS、QQ号和邮件列表。 攻击方式：Google、Baidu、SNS网站和官网。 工具：theHarvester…… 攻击成本：相当低 * 如何应对踩点攻击 加强企业招聘、客服等平台的建设，避免泄露人员信息。 加强企业内部安全教育，提高员工安全意识。 建立合适的安全制度，并定时监督。 * 办公网安全实战—钓鱼 * 钓鱼行为研究 什么是钓鱼攻击？ 通过各种方法让鱼执行钓者的任务。 钓鱼的分类： 以0day漏洞见长，鱼哪怕稍微碰一下鱼钩，就立即上钩。 以社会工程见长，需要花心思哄鱼上钩。 攻击方式： 邮件 IM * 钓鱼行为研究（2） 钓鱼四要诀：选好钓位，选准钓饵，备好钓具，练好钓技。 钓鱼攻击的行为特征： 各式各样的欺骗 邮件带附件 攻击成本： 低成本：时间、耐心。愿者上钩。 高成本：0day。不愿也上钩。 * 如何应对钓鱼攻击 盯紧邮件服务器 邮件杀毒 用户异常登录监控 做好杀毒 终端杀毒 网关杀毒 打好补丁 Windows补丁 第三方软件补丁 * 桌面接入控制系统 商业系统：Symantec、Netscreen、Cisco、H3C、北信源、联软…… 无法检测第三方软件漏洞。 性能问题。 私隐问题。 兼容问题。 免费系统：DIY…… 尽量小的影响桌面系统。 Linux+Activex+补丁检查程序。 * 办公网安全实战—人肉 * 人肉行为研究 人肉攻击的方法： 通过无线网络攻击 窃取接入密码 通过流氓AP攻击 直接物理攻击 成功应聘某个岗位，直接攻击企业内部。 攻击成本：较大 物理上接近目标 器材 * 如何应对人肉攻击 管好无线 Radius？证书？双因素？隔离。 无线用户使用独立的网络，不接入办公网。 Client Isolation。 防止流氓AP 员工私自安装的AP：制度禁止员工私自安装AP，收集MAC地址检测。 黑客安装的AP（airsnarf）：隔离。 做好应聘人员背景调查 * 开展敌后游击战 * 办公网安全实战—渗透 * 渗透行为分析 黑客思路：在扎根、扩大权限的同时找东西。 攻击方式： 扫描端口、漏洞、弱密码和共享。 破解密码并尝试登陆。 安装不同的后门。 网络欺骗。 攻击成本： 工具：扫描，数据分析，文件查找，密码破解，后门 时间 太快容易被发现 太慢也容易被发现 * 如何应对扫描和密码破解 审计和访问控制 AD集中审计 全网干掉135,139,445端口 动态VLAN 引入双因素认证 各种成本 手机短信 扫描（端口、漏洞、共享和弱密码）的特征 IP地址一对多，目的端口相对固定 数据包行为短时间内大量重复 * 后门的分类和部署方式 按公开程度分。私有、小范围公开和完全公开。 按协议分。UDP TCP ICMP FTP SMTP HTTP 按行为分。正连（被动）和 回连（主动）。 按性质分。 干活用，尽量方便。 回生用，尽量隐蔽。BIOS，引导区。 公开私有混合部署，多种协议混合部署；正连回连混合部署；大量干活，少量回生。 * 如何检测后门 * 如何应对欺骗 欺骗的类型： ARP欺骗：MAC-IP CAM欺骗：MAC-PORT 行为特征： 大量ARP包 元素对应关系变化频繁 应对方法： Arp监控 Cisco Port Security * 办公网安全实战—收货 * 收货行为分析 收货：黑客从办公网下载数据的过程。 收货的方式： 用后门直接下载 用邮件发送 结合包转发程序用HTTP/FTP+Socks多线程下载(HTran) 行为特征： 超长连接 Socks4/5协议 持续大量PSH-ACK  如何应对收货 监控超长连接 Tcpdump Netflow 监控Socks4/5协议 HiPPIE L7filter 监控上传流量 Panabit * * 办公网安全最佳实践 * 致谢 深圳市迅雷网络技术有限公司 地址：中国广东省深圳市南山区高新技术产业园南区 飞亚达大厦3层西座 电话：（0755）2699 6887 传真：（0755）2699