十年围毒 安全运营之道 季昕华 Benjurry
帐号泄漏-互联网公司相继沦陷 2011年12月21日,CSDN 600万帐号泄漏 2011年12月22日,人人网、开心网、多玩网世纪佳缘、珍 爱网、美空网、百合网帐号泄漏 2011年12月27日,天涯4000万帐号泄露 2011年12月28日,当当、京东帐号泄漏 2011年12月29日,中国工商银行、交通银行、民生银行被 爆出客户信息泄露 2012年1月4日,新浪被爆帐号泄漏
APT攻击-人为刀俎 2011年4-7月,sony 大批用户资料泄漏 2011年3月,RSA发现攻击者已获得了至关重要的 SecurID种子 2011年2月,给美国政府和五角大楼服务的安全公司 HBGary 被入侵 美国宇航局,2年内5408次侵入和非法访问,47起APT事 件,13次成功的APT侵入
盗号—完整产业链 2.1晒号 1.1注册 3.1盗Q币、装备 2.2选号 1.2木马 1.3钓鱼 3.2卖靓号 2.3修改用户信息 1.获取号码 2.清洗号码 3.获利 2.1晒号 1.1注册 3.1盗Q币、装备 2.2选号 3.1.1盗装备 1.2木马 2.2.1靓号 3.1.2 业务赠送 2.2.2等级 1.3钓鱼 2.2.3 Q币 3.2卖靓号 2.3修改用户信息 每个环节: 工具+人工 2.3.1修改密码 3.3诈骗 2.3.2修改个人资料 3.4 参加营销活动 2.3.3修改或申请密保 2.3.4删除好友
地下产业链 客户端攻击获取情报 邮件 IM 微博 服务器攻击获取权限 后台权限 域名权限 代码文档 APT攻击 关系链获取 家人 朋友 同事 针对性强,隐秘性好 价值高 游戏平台 洗号卖装备 撞号攻击 支付平台 转钱付款 帐号库 规模大,工具化 集团化 社交平台 广告、诈骗 营销广告 垃圾邮件 人肉搜索 名人用户隐私 自发性,娱乐性
为什么?
原因 敌暗我明 敌人安排线人探测 我方被动防守
安全需要运营 安全需要运营 安全是动态的 业务在变 利益在变 环境在变 敌人在变 攻击手段在变 安全是持续对抗的过程 安全是不断优化的过程
有没有团队 团队向谁汇报 组织架构-安全运营的保障 安全 业务评估 架构评估 上线检查登记 定时扫描 运营 漏洞跟踪 业界动态 数据分析 应急 产品&开发
安全运营生命周期 各种防护设备和措施 扫描系统 配置系统 Agent 数据分析 情报系统 需求分析 架构设计 代码测试 上线登记检查 部署 运营改进 下线 扫描系统 配置系统 Agent 数据分析 情报系统
运营的目的 改变敌暗我明状态 数据、信息驱动 小步快跑,持续优化 自动化、系统化实现安全策略
如何运营 掌握敌人情况,改变敌暗我明格局 争取业界支持 化敌为友 线人&染色&诱敌 检测和打击的分离 数据分析 多联对账 积极发动人民群众的力量,打人民战争 争取业界支持 尊重白帽子 和业界安全公司保持合作 积极和主管部门沟通 化敌为友
线人&染色
染色案例:盗号&挂机 互联网企业 用户 外部网站 外部 平台 交易平台 犯罪分子 盗号 集团 洗信 集团 广告/ 诈骗 入侵 挂马 木马编 盗密码 查道具 用户 转财产 密码 泄漏 财产 泄漏 访问 感染 外部网站 外部 平台 交易平台 入侵 犯罪分子 盗号 集团 洗信 集团 广告/ 诈骗 入侵 挂马 木马编 写 工具编 写集团
诱敌
检测&打击 检测逻辑要和打击逻辑分离 网马查杀&IDS案例 基于不同链路的检测不容易被发现 基于移动设备特征的动态认证系统 检测在平常时间,打击在关键时刻 基于漏洞特征的检测不容易被绕过 基于统计分析的检测不容易被绕过 基于逻辑对账的检测不容易被绕过 打击要有随机性,要组合成“网络”,要有防检测性
云计算让技术宅男们更有尊严
欲求网络之安全 不得不经网络之痛苦 这过程,需要运营! Ucloud CEO 季昕华 www.weibo.com/benjurry