搜索
深圳市国家税务局信息安全培训信息安全意识•从“勒索”说起•美国IAD全美家庭网络安全指南•说说支付安全•有趣的社会工程学•APT攻击与“爬库”•解读信息安全立法新技术下的安全挑战•云安全•物联网安全•大数据隐私•情报分析基础•态势感知概述从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全用模糊JavaScript或启用宏的Word文档附件网络钓鱼企图发送给用户用户打开附件附件下载并执行第一阶段下载JavaScript继续下载并执行更多资源(第2和3阶段)驻留进内存勒索改变桌面壁纸加密锁定文件加密移走网络文件删除备份放置随机.html,.png,.txt信息为了减少攻击面,确保正确的本地网络分段。教育用户有关常见鱼叉式网络钓鱼战术和如何识别,以及预防感染。保持用户对不良安全性做法负责。定期执行备份和保留异地副本:Locky有加密您的基于网络的备份文件的能力;因此,建议每个系统不仅备份在域内而且应场外存储复制。确保可靠的应用程序白名单(AWL)策略,包括防止任何程序从用户可写文件位置的规则,特别是%TEMP%位置(例如C:\user\*\应用程序数据\本地\TEMP)。大多数AWL产品有从允许执行阻止%TEMP%目录中的“默认”规则,而且组织也应保证被列入白名单的任何位置也防止用户写入这些文件夹。确保HIPS规则拒绝运行未知的可执行文件,精心调校,并设置阻拦。例如,McAfee的HBSS规则3905和2297拒绝来自常见的恶意软件的位置(例如临时目录)执行。规则7010,7011,7035和是与美国国防部的环境中额外的优化类似的规则。自定义规则可以创建拒绝注册表项“HKEY_CURRENT_USER\SOFTWARE\Locky”的创建。如果允许,实施一个注册表访问保护规则下阻止注册表键/值创建“HKCU\Software\locky”确定被感染的网络用户:如果在网络共享显示.locky扩展名的文件,查找文件所有者的每个文件夹中的“_Locky_recover_instructions.txt”文件。这将有助于确定感染的用户。在电子邮件附件禁用宏:在过去感染的发生率到极高后,微软特意将自动禁止对Word文档的宏作为一项安全措施。不要打开它。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全正如在工作中需要访问敏感的企业或政府信息的用户,你的家里存在风险。通常想要获得的信息都存储在受保护的办公网络中,网络对手可能把你不安全的家庭网络作为目标进行操作。不要成为受害者。遵循一些常识的指引并在您的家庭网络上实现一些简单的控制,你可以帮助保护你自己,你的家人和你的组织。美国国家安全局信息保障计划从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全迁移到一个现代操作系统和硬件平台安装综合安全套件限制使用管理员帐户使用Web浏览器沙箱功能使用PDF阅读器沙箱功能更新应用软件实施笔记本电脑全磁盘加密(FDE)仅从可信的来源下载软件保护移动设备从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全配置灵活的家庭网络禁用Internet协议版本6(IPv6)隧道提供防火墙功能采用WPA2无线网络限制管理内部网络采用备用DNS提供商对所有网络设备实施强密码从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全从ISP连接(a)家庭用户购买的路由器/无线接入点由ISP提供的DSL/电缆调制解调器网络交换机(额外的有线连接)(b)VoIP服务适配器保护网络内的设备保护它免受来自Internet不受限制的访问。服务账户使用强密码大多数的家庭娱乐设备,需要您注册其他服务(如Playstation®[12]Network,XboxLive®[13]®[14],AmazonPrime®[15],iTunes®[16])。使用密码指导创建和维护服务帐户。不使用时断开链接为了防止攻击者经由家庭娱乐设备探测网络,如果可能的话,在不使用因特网时断开这些系统。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全访问公共热点时,务必小心如果可能的话,使用蜂窝网络(也就是手机Wi-Fi,3G或4G服务)连接到互联网,而不是无线热点。建立一个加密隧道到可信虚拟专用网(VPN)服务提供商(例如,StrongSwan的StrongVPN)。如果使用的热点是访问互联网的唯一选择,限制动态网页浏览。避免访问如需要输入用户凭据或个人信息的银行网站一类的服务。不将家庭和工作内容进行交换要认识到的设备信任级别警惕互联网上存储的个人信息开启SSL加密应用遵守电子邮件的最佳实践社交网站上采取预防措施发布信息时三思而后行。如果可能,限制你的信息为“仅朋友”访问,并尝试通过电话或亲自验证任何新的共享请求。从朋友处接收内容(如第三方应用程序)时,请注意由于最近许多攻击者利用普遍接受的社交网络的优势轻而易举地在内容中采取插入恶意软件的方法。可从您的社交网络提供商定期复查安全策略和设置,以确定是否有新的功能可以保护您的个人信息。按照朋友的个人资料,看是否发布的信息对你可能存在问题。保护密码避免张贴GPS坐标照片从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全一个笑话引发的支付安全问题从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全虽然这是一个很扯的笑话,但是……随意扫描二维码NFC虽然便捷,但是……应用也需要加密这只是未来支付的其中一类……用最基础的信息安全技术原理了解银行支付从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全用户网上银行下载证书(银行公钥)银行认证服务器发放U-Key(用户私钥)银行私钥用户公钥用户手机银行谁来解决鉴权问题?我有开通手机银行吗?谁来解决我的认证问题?网上银行银行认证服务器用户插入U-Key签名,协商会话银行私钥用户公钥验证签名下发证书(银行公钥)银行领取(用户私钥)下载证书确认,建立通信攻击者通过非法手段获得网银密码利用网银密码登录网银我的签名鉴权去哪里了?我的认证去哪里了?谁是中间人?谁来做公证?从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全攻击者伪基站利用获得的手机号向支付平台发送修改密码请求回复短信请求利用获得的验证码一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。常见类型“我是你领导”“你有个包裹”“我是警察”恶意邮件“下饵攻击”扫二维码有奖……从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全社会工程学没有人际交往人际交往情报收集开源研究垃圾箱搜寻非电子手段电子方式肩窥假冒逆向社会工程诱饵/木马伪冒网站假冒/逆向社会工程网络钓鱼/鱼叉式网络钓鱼从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全因素结构实例规范承诺*C1:反复请求免费样品持续承诺*C2:投资的认知和感知的一致性把钱花在赔钱的企业情感承诺*C3:社会作为行为建模和一致性的“证据”模仿名人信任*C4:令人喜爱和可信相信体育人物恐惧*C5:对权威的服从和默许,以处罚或负面后果相威胁服从命令,以避免羞辱反应C6:稀缺性和冲动把感觉上是稀缺物品的价值放大性别年龄人格性质文化女性,61男性,39数字通信回复商业广告提供奖品的电子邮件0%20%40%60%80%18-2526-3536-4546-5555学生比教师或职员被认为更容易受到网络钓鱼攻击在沙特200名学生进行的一项研究报告中网络钓鱼电子邮件的回复率达到7%[Alseadoon2012]网络钓鱼的易感性统计数据从各种研究结果发布报告中发现在西方文化中的响应范围在3%到11%之间[Dhamija2006,Jakobsson2006,Knight2004,Mohebzada2012]。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全管理不足没有足够的安全体系、政策和实践工作压力案例:目标-长期加班的员工渗透-提供义务技术支持通过邮件或移动存储设备提供含有恶意代码的脚本案例:一家财务机构的员工发送含有恶意软件的虚假电邮。6名员工打开虚假电子邮件,并下载了恶意软件。员工计算机上的防病毒软件没有检测到恶意软件。案例:受害者组织的雇员,浏览与工作无关的网站,并在无意中下载恶意软件。该恶意软件在员工的计算机上运行键盘记录。该恶意软件为期五个月没有被侦测出来,当雇员终止劳动关系时进行硬盘扫描时才发现。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全缺乏关注缺乏知识和失败的教训错误的推理和判断风险承受能力和风险认知贫乏随性价值观和合规性态度压力和焦虑物理损伤案例:利用86-95年龄段需要被关注的心态诱骗攻击内部网络案例:一些员工安装伪装成一个Java插件中的恶意软件,恶意软件攻击的受害者组织和其他企业案例:利用伪造管理员邮件向用户发送索取用户名和密码的邮件以便获得进一步攻击案例:药物滥用可认知功能产生负面影响案例:工作强加的时间压力已经发现,即使训练有素的人性能产生负面影响。沉重和长期的主观心理负荷会引起员工的疲劳,从而产生不利影响性能。案例:利用年龄段在86-95年龄段需要被关注的心态攻击内部网络案例:攻击者发送钓鱼邮件给支付处理公司的客户。一些客户收到电子邮件,警告他们需要下载一个Web浏览器插件以保持不间断地访问网站。从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全用户终端便携终端BYOD应用服务器移动应用服务器数据中间件服务器数据库数据生态链永久数据临时数据交互数据交互数据用户数据用户数据用户数据内部攻击者攻击者1.Cookies中残留的用户信息2.剩余用户数据3.C/S架构下可获得的服务器信息4.入侵服务器需要的其他数据5.未加密的数据6.敏感数据管理失控,如:访问过程中的数据误发送、未发送等1.应用层漏洞导致可以直接访问数据的权利2.不良的数据处理,导致应用服务器保存大量的用户交易临时数据3.系统缺陷导致的服务器成为跳板构成的数据泄露4.不良好的数据传递,如:明文传输、未验证的用户访问、共享等1.明文存储2.弱的加密3.不良好的用户访问控制管理4.缺乏数据权限的审计机制5.DBMS权限6.不良好的备份数据的存储7.业务交互中的绕过访问控制机制读取本图版权归樊山所有,任何未经许可的引用都属用侵犯知识产权行为从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会工程问题“爬库”与数据泄露了解一些信息安全法律走出IT的信息安全从“勒索”病毒说起美国公民信息安全说说支付安全有趣的社会