[互联网]网站离线数据安全分析漫谈.pptVIP

* * * * * * 拖库 态势 黑产 APT 金融 工业 运营商 你的门禁卡安全吗？ 无人值守厂站、中心机房监控盲点、第三方维护人员、路过的人？！ 拖库 态势 黑产 APT 金融 工业 运营商 拖库 态势 黑产 APT 金融 工业 运营商 对传统DDOS的防御？ NTP Reply Flood(感谢NSFOCUS同事林鑫的研究) Monlist命令：返回NTP进行过同步的最后600个客户端IP地址；(发小包回大包) 1、不能保证每台NTP服务器都有600个客户端相联,因此要伪造600个同步请求； 2、向多个NTP服务器发送monlist命令,伪造源地址为攻击目标; 攻击的成本 1、网络上约有100-200台稳定支持monlist命令的NTP服务器； 2、理想状况下一个monlist请求包可以返回自己大小300-500倍的返回包； 3、那么10M的攻击量可以返回接近3G-5G的流量 业务逻辑？——正常操作不等于合法操作 核心业务：CRM、4A平台 重要业务平台外网可以直接访问?!!! 重要业务平台(营业厅)在凌晨任然可以充值?!!! 第三方合作伙伴、软件供应商？ 运营商业务系统外包商质量参差不齐!!! 拖库 态势 黑产 APT 金融 工业 运营商 1、组网方式随意性强，缺乏统一规划 2、网络区域之间边界不清晰，互连互通没有统一控制规范 3、安全防护手段部署原则不明确 1、无法有效隔离不同业务领域，跨业务领域的非授权互访难于发现和控制 2、不能及时的发现安全事件和响应 3、第三方维护人员缺乏访问控制和授权 4、关键服务器、信息资产的缺乏重点防护 服务域 网 络 域 计算域 维护域 现状： 问题： 拖库 态势 黑产 APT 金融 工业 运营商 结合承载网、业务系统及支撑系统的现状，建立持续保障机制，能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。 业务保障原则 业务 目标是保证业务的可靠性、连续性。 充分认知业务对象，严谨定位业务范围。 结合业务自身特性，准确识别和分析业务数据流。 拖库 态势 黑产 APT 金融 工业 运营商 明确防护需求，对系统、风险、安全需求进行分析和修正，从而建立组网原则。使整个网络变得更加简单，简单的网络结构便于设计防护体系。安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。 结构化原则 简化 目标是复杂的业务网络结构化、简单化。 明确业务防护需求，充分识别业务风险。 细化分解业务模块，便于使用、利于防护、利于管理。 整体结构、安全域之间、功能和边界的简化、简洁。 政府 每天大约有12个政府网站被国外组织攻击 绿盟科技——巨人背后的专家 绿盟科技——巨人背后的安全专家 谢谢！ * * * * * * * * * * * * * * * * * * * * * * ? 2012 绿盟科技 ? 2012 绿盟科技 重要行业信息系统安全风险 李陆 （Lee） lilu2@ 爱生活，爱工作爱家庭，爱老婆爱远行，也爱宅在家玩技术我不是黑客，也不是大牛我是不起眼的人，我和你一样在信息安全里平凡我是Lee，我来自绿盟科技wataru@ 态势 拖库 能源 运营商 APT 金融 黑产 政府 网络战 运营商 工业 金融 政府 拖库 态势 黑产 APT 金融 工业 运营商 4-6亿 拖库 态势 黑产 APT 金融 工业 运营商 飞流直下三千尺，疑似银河落九天 娉娉袅袅十三余，豆蔻梢头二月初 姑苏城外寒山寺 鱼和熊掌不可兼得 拖库 态势 黑产 APT 金融 工业 运营商 拖库 态势 黑产 APT 金融 工业 运营商 APT特点及趋势 周密完善且目标明确的信息搜集 不计成本的挖掘/购买0day漏洞 多种方式组合渗透、定向扩散 长期持续攻击 拖库 态势 黑产 APT 金融 工业 运营商 2005 06 07 08 09 10 11 12 13 14 暗鼠行动 伊朗核电站病毒 夜龙攻击 极光行动 拖库 态势 黑产 APT 金融 工业 运营商 拖库 态势 黑产 APT 金融 工业 运营商 终端机安全 架构上分为现金类自助终端(有现金交互)和非现金类自助终端 国内应用：银行、运营商、税务、政府、证券、传媒 X86架构，windows操作系统 拖库 态势 黑产 APT 金融 工业 运营商 全触摸型自助服务终端机 数字型：提供只有数字和基本功能按键的虚拟键盘； 字母型：提供英文字母（有些有符号）、数字虚拟键盘； 无键盘、虚拟键盘型 拖库 态势 黑产 APT 金融 工业 运营商 金融类：自助缴费机、自助查询机、自助订票机等