搜索
现在环境下安全形势与安全建设的一些建议索引目录1.整体安全形势解读2.安全事件及攻击手段3.新安全理念整体安全形势解读随着业务和工作与网络关联越来越多,网络安全已经成为互联网建设与使用过程中不可或缺的要素,成为继计算、存储、网络之后的第四大网络基础设施。习主席指出:“没有网络安全,就没有国家安全”。以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间,各国均高度重视网络空间的安全问题。整体安全形势解读1、国家级有组织攻击频发,我国面临大量境外地址攻击威胁2、政府网站面临威胁依然严重,地方政府网站成为“重灾区”3、公共互联网治理初见成效,打击黑客地下产业链任重道远4、移动互联网环境依然恶劣,移动互联网安全问题亟待解决我国面临大量境外有组织攻击2013年6月以来,斯诺登曝光“棱镜计划”等多项美国家安全局网络监控项目,披露美国情报机构对多个国家领导人长期实施监听和网络渗透攻击,境外“匿名者”、“阿尔及利亚黑客”、“海莲花”等多个黑客组织曾对我国政府网站发起攻击,15年这些组织对我国境内120余个政府网站实施篡改。我国面临大量境外有组织攻击政府成为”重灾区”政府网站因其公信力高、影响力大,容易成为黑客攻击目标。据CNCERT监测发现,2015年我国境内近2.5万个网站被篡改,其中被篡改的政府网站有898个。从网页篡改的方式来看,我国被植入暗链的网站占全部被篡改网站的比例高达83%。。在被篡改和植入后门的政府网站中,超过90%是省市级以下的地方政府网站,超过75%的篡改方式是在网站首页植入广告黑链。G20期间政府/事业单位网站成为目标打击黑客产业链任重道远13年至今,工业和信息化部组织开展多轮防范治理黑客地下产业链专项行动,及时处置木马僵尸等网络攻击威胁,取得一定成效。但网络设备后门、个人信息泄露等事件频繁出现,表明公共互联网环境仍然存在较多安全问题。移动互联网环境恶化4月21日,CNCERT发布的《2015年我国互联网网络安全态势综述》显示,2015年检测到移动互联网恶意程序数量近148万个,同比增长55.3%。按恶意行为进行分类,排名前三位的恶意行为分别是恶意扣费类、流氓行为类和远程控制类。报告显示,CNCERT发现恶意程序下载链接30万余条,同比增长7.2%,涉及的URL和IP地址6万余个,恶意程序传播次数达8384万余次,较2014年增长了9.8%。值得警惕的是,许多单位已经允许使用手机接入内部网络。面对严峻的移动互联网安全形势,需要通过更有针对性的方案实现对移动网络/终端的全面管理。信息泄露事件信息泄露事件中国高等教育学生信息网(学信网)被攻破,国内大量高校学生信息泄露美国有史以来最大医疗机构泄露事件,Anthem失8000万个人信息HackingTeam415G内部数据泄露国内社保系统漏洞,可泄露千万用户信息民生人寿某系统存在重大漏洞(可泄漏30多亿的数据信息)入侵攻击事件入侵攻击事件索尼公司黑客攻击事件乌克兰、以色列电力门事件清华大学网站被黑,挂载ISIS视频2016年初Locky勒索软件在国内肆虐8月以来反共黑客大肆篡改政府网站匿名DDoS攻击使伦敦证券交易所关闭2小时维基解密于2015年4月在其网站上公布了14年发生的大事件“索尼影视被黑”时泄露的数据,包含30287份索尼影视美国公司的文件和173132封电子邮件。攻击原因黑客团队/个人–个人技术满足感–黑色产业链利益驱使企业–获取竞争对手核心信息–破坏对手形象或进行不正当竞争政治–获取他国重要信息–对重要设施攻击破坏–达到某些政治目的勒索软件(病毒)攻击•近期一款名为Locky的舶来品勒索软件横行国内–对用户文件进行加密,要求用户支付比特币方可解锁–因加密后文件的后缀为.Locky,手段为勒索而得名勒索病毒攻击模型•传播方式邮件附件中的Office文档、脚本文件(.js)利用ExploitKit传播(国外使用较多)•加密方式RSA加密、AES加密、DES加密赎金交付方式比特币•知名勒索软件-TeslaCrypt、CryptoWall、Locky、CTB-Locker、Cryptolocker勒索病毒攻击模型防御思路•一般高质量勒索软件中招后无法恢复数据,防御手段以事前预防为主不轻易打开不熟悉邮件中的连接及附件程序不轻易允许office中的宏运行不双击打开.js、.vbs等脚本文件及时更新系统补丁及应用程序,防止勒索软件利用漏洞攻击定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复部署安全设备及杀毒软件,并保持更新病毒库传统安全面临IT变化带来的挑战无线营业厅网银OA云端ERP网上报税电商网上政务社交平台IT业务变得复杂,安全边界在消失可攻击目标越来越多专业攻击工具各种0Day漏洞黑客高手云集边界变得模糊静态的防御失效攻击变得复杂,变得更加隐蔽,手段更加高明传统安全防御设备日趋乏力外部攻击者内部系统非信任网络信任网络以隔离为基础,基于信任原则构建安全框架以防护为核心,基于静态特征的攻击检测内部用户外部资源1、非可信IP绝访问2、攻击特征匹配:101101010拦截攻击101101010通过防御设备划分边界,基于IP/端口和特征进行判断0DAYAPT安装工具持续检测方面的投入严重缺乏探测边界突破持续渗透横向移动窃取/破坏提权获取权限修改脚本Webshell恶意软件僵尸木马后门70%的投资在:FW/IPS/AV等防御设备缺乏持续检测的投入破解HashRDP漏洞利用远程控制跳板攻击多跳攻击数据泄露数据销毁清除痕迹Web攻击应用漏洞攻击系统漏洞利用缓冲区溢出0day探测端口扫描漏洞扫描社会工程学过去的安全投资是在事前的攻击防御一、可视是安全的基础ERP系统网站系统OA系统供应链系统正常用户潜伏的黑客图谋不轨的用户正常用户正常流量新型攻击/异常流量信息窃取/异常行为新漏洞利用攻击合法流量中隐藏的攻击流量0DAY的攻击包后门漏洞0day仅仅看到IP/端口/特征已经无法区分是否安全通过认证的用户就合法吗?通过防火墙的流量就安全吗?传统安全防御技术资产看似正常的网络中,隐藏着诸多安全风险正常流量新注册的域名访问非合规的信息外泄连接C&C服务器的流量DNS的get报文用户行为需要看到更多要素,并进行分析和展示行为可视用户可视业务可视流量日志身份终端类型漏洞数据数据包情景位置应用接入方式情景位置内容软件系统信息更多要素可视更准确的检测和防御更高效的安全运维和风险处置有效的分析和呈现过去:IP/端口过去:特征过去:IP/端口风险定位数据有效分析图形化展示二、应当加大持续检测和快速响应的投入用户应该大幅提升安全检测手段的投资,应该占到整体安全投资的30%以上。预计到2020年,安全检测和响应的投资将从10%增长到60%过去的安全投资防御检测响应安全投资的变化防御检测响应source:Gartner2014什么是防御?什么是检测?FWIPSAVIDS“防御能力”是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。“检测能力”用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为应该假设自己已处在被攻击状态中。……异常行为检测异常流量检测信息泄露行为检测业务漏洞检测防御失效,黑客已经进入为什么需要加强持续检测?探测边界突破持续渗透安装工具横向移动窃取/破坏提权获取权限修改脚本Webshell恶意软件僵尸木马后门70%的投资在:FW/IPS/AV等防御设备缺乏持续检测的投入破解HashRDP漏洞利用远程控制跳板攻击多跳攻击数据泄露数据销毁清除痕迹Web攻击应用漏洞攻击系统漏洞利用缓冲区溢出0day探测端口扫描漏洞扫描社会工程学过去的安全投资是在事前的攻击防御防御失效,黑客已经进入为什么需要加强持续检测?系统更新漏洞出现SQL漏洞系统漏洞……传统方式:定期漏扫,发现漏洞时间数天/数周漏洞可被利用的周期越长,黑客机会越大应该更及时的发现漏洞,把风险降到最低三、缩短检测到响应的时间攻击被发现的平均时间229天企业自行发现的比例33%小时月天/周发现补救实施攻击入侵得手问题不再是是否被黑,而是什么时候被黑和你什么时候发现被黑四、安全交付应该更简单建设安全的一些看法安全可视是基础更简单的交付持续检测和快速响应快速响应持续检测看到更多的基础要素智能有效分析管理视角的可视化呈现更简单的上线部署更简单的日常运维业务漏洞进行持续检测绕过防御体系的行为检测未知/新型威胁检测更及时的获取有效事件工具化的响应方式安全即服务实时安全检查策略人性化安全即使服务工具化安全运维综合风险呈现传统边界安全,仅仅在事中堆叠防御设备。但安全保护应该涵盖事前、事中、事后全过程。所以,事前缺乏风险预知的能力;事中防御割裂使有效性大大降低;事后缺乏检测和响应,新漏洞、防御被绕过的潜伏威胁无法解决。我们认为安全应该融合,融合事前预知、事中防御、事后检测和响应的全过程。现在网络安全的核心主张下一代防火墙下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和IPS简单放到一个设备里,整合的并不紧密。上网行为审计上网行为审计主要是用来满足现在环境下审计的相关要求,如:82号令以及6月1日要执行的网络安全法。因此行为审计设备在用户的网络中是必需品。谢谢ThankYou