Transcript 信息化时代网络安全威胁与防御

信息化时代
网络安全威胁与防御
高雪峰
2013年8月
目录
01
CONTENTS
目录
公司介绍
02
互联网安全案例
03
信息安全风险和威胁
04
解决方案
公司概况
360的市场行业地位：
◎中国第一大互联网安全公司，用户4.57亿，覆盖率达95%
◎中国第一大移动互联网安全公司，用户数近3亿，市场份额超70%
◎中国第一大浏览器公司，用户数达3.32亿，市场渗透率达69%
◎全球第三大互联网安全公司（以市值排名： 赛门铁克、Check Point软件科技、360）
◎中国第四大互联网上市公司（以市值排名：腾讯、百度、网易、360）
规模与资产
 公司基本信息：成立于2007年8月13日，注册资金8000万元
 现有员工总数为3242人，其中研发人员为2336人，占比超过72%
 公司总部在北京，并在上海、广州、成都、大连、天津、珠海、三亚等
地设立了分支机构
 公司总部大楼面积超过60000平米，良好的研发办公环境外，还提供健
身房、攀岩室、篮球场、台球室等娱乐设施
 360云安全服务平台规模已超过30000台服务器，常规带宽租用近
400G，覆盖联通、电信、移动、铁通等所有运营商网络，以确保各省
用户有最快的连接速度；
目录
01
CONTENTS
目录
公司介绍
02
互联网安全案例
03
信息安全风险和威胁
04
解决方案
从“棱镜门”等
一系列事件看
网络安全现状
“棱镜门”事件
主要监控10类信息：
电子邮件
即时消息
文件传输
存储数据
视频
照片
语音聊天
视频会议
登录时间
社交网络资料
项目2007年启动
2012年开始，作为奥巴马总统每日简报的一部分
“震网病毒”攻击路
径
移动平台恶意软件
移动终端设备通过USB链接到Windows机器，搜索特定信息上传：
•浏览器(firefox、chrome、ie存储的密码)
•PC的网络信息、机密文件
•WiFi密码
地铁信号系统入侵
ADS-B信号安全
RTL-SDR电视棒可以对ADS-B空管信号分析
RFID已暴露的安全风险
-125khz 低频IC卡（小区单元门禁）
-13.56mhz高频IC卡（公交卡、ETC速通卡）
•
数据单一，只有ID号
•
加密漏洞已公开
•
未写ID号的空卡可以购买，并克隆、
•
破解设备随处可买，破解软件随处可下
复制（配钥匙店也提供此服务）
国内某航网站被黑并渗透进核心系统
黑色产业
2011年底，中国最大的软件开发者技术社区CSDN后台数据库被黑客拖库
并发布到互联网，其中包含642万多个用户的帐号、密码等信息
地下黑色产业链已掌握了规模超过10亿条的“社工库”，包括用户名、密
码、邮箱、身份证号、手机号等用户敏感数据。黑客利用“社工库”，通
过“撞库攻击”的方式，可以自动化地在各大网站上破解用户账号，广大
用户的隐私、虚拟资产、网银资金等面临严重威胁。
• 博彩DDos攻击
• 用户信息倒卖
• 钓鱼网站邮件欺诈
• 伪造基站短信欺诈
目录
01
CONTENTS
目录
公司介绍
02
互联网安全事件
03
信息安全风险和威胁
04
解决方案
面临的安全风险和威胁
• WEB安全
信息泄露，后台暴力破解，sql inject，xss，csrf
• 服务器安全
系统漏洞，权限提升，远程代码执行
• PC终端安全
不打补丁，弱口令，网络滥用，电脑裸奔等
• 无线安全
WiFi协议漏洞，RFID射频卡复制及数据篡改，GSM网络监听
• 移动安全
恶意上传、信息泄露、后门程序、恶意扣费
• 网络安全
ICMP数据包伪造穿越、UDP53端口绕过上网认证，DNS劫持
• 社会工程学
人肉搜索
企业网络安全遇到的挑战
企业设备
越来越多
个人电脑
接入公司
网络
个人手机
/Pad接
入公司无
线网络
私搭WIFI
随意安装
软件
关闭或卸
载安全软
件
未知邮件
附件
不关闭计
算机
系统越来
越缓慢
系统漏洞
不及时修
复
网站来越
容易受到
攻击
攻击的演变
恶作剧
商业利益
个人
团伙/组织
普通病毒木马
APT
APT攻击
高级
持续
威胁
•定制开发，目的性强
•多种0day配合
•多种渗透方式
•社会工程学
•潜伏性强
•长期持续性攻击
•多种方式启动
•机密窃取，破坏活动
•HTTPS POST加密
APT攻击
• 1、Advanced（高级）：
–
使用的工具或恶意程序一般都是专门开发的，很难检测到；另外攻击中会用到一个或多个
0day，使用配合多种攻击手段进行配合达到渗透的目的
• 2、Persistent（持续）：
–
一般会花比较长时间，观察、踩点、收集信息、社会工程、逐步渗透、信息回传等等。APT
攻击可能会持续几天、几周、几个月，甚至更长时间。后期攻击可能很快速，或者很漫长。
• 3、Threat（威胁）：
–
恶意软件从被感染的电脑上收集数据，并通过HTTP POST发送给控制服务器。通过与控制服
务器进行通讯，攻击者能够给被感染的电脑发出各种命令。
跟传统攻击的区别
项目
APT攻击
普通病毒攻击
是否有目标
明确的攻击目标
大面积扩展僵尸网络
目标用户
定向的机构和公司
用户个人凭据（银行卡
号）
攻击频率
频繁
一次性
攻击途径
多种0Day
精心构造的RAT
各种后门程序
各种常见攻击工具
构造恶意URL
全功能的木马软件
检测难度
通常存在较长时间的样本空
白，检测率低于10%
成活时间短，容易被捕
获，检测率超过95%
一次成功的APT攻击案例
攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，
附件名为“2011 Recruitment plan.xls”
其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的
Adobe Flash的0day漏洞（CVE-2011-0609）命中
该员工电脑被植入木马，开始从BotNet的C&C服务器下载指
令执行任务
首批受害的使用者并非“位高权重”人物，紧接着相关联的
人士包括IT与非IT等服务器管理员相继被黑
RSA发现开发用服务器遭入侵，攻击方
立即撤离，加密并压缩所有资料，随后清除入侵痕迹
在拿到SecurID信息后，攻击者开始对使用SecurID的公司展
开进一步攻击
目录
01
CONTENTS
目录
公司介绍
02
互联网安全事件
03
信息安全风险和威胁
04
解决方案
云端-终端-边界
• 快速应变
云端
• 攻击阻断
• 漏洞检测
终端
• 统一管理
• 强白名单
• 准入控制
边界
• 旁路监听
• 流量分析
私有云安全系统
360私有云安全：
•面向政府、大型企业、军队等隔离网络环境
•完全基于白名单建立严格的终端软件安全管控
•全球最大的白名单软件库，软件收录量、处理性能远超同类产品
“非白即黑”终端软件准入机制
移动安全-BYOD
设备准备就绪
后台服务器 (MDM Backend)
开发企业自有软件
移动设备端APP (MDM Agent)
企业应用程
序部署
企业安全策
略部署
用户认证
终端设备状态
更新和管理
抵御流氓软件
删除企业相关
数据和应用
企业数据存储
和加密
推送 VPN,
WiFi等系统
配置文件
推送邮件和日历
设备越狱实时
检测
27
“天眼”系统
360“天眼”系统：
•实现网络全流量检测来自邮件、网页、下载等的APT攻击
•基于云计算和大数据技术，利用机器学习等人工智能方法，对数百亿
文件和恶意网页进行鉴定，实现对未知文件和攻击的检测
28
旁路流量监听及阻断
• 万兆snort入侵监测系统
 万兆网络包捕
 大数据存储与计算
 异常网络攻击检测
• 旁路阻断系统
 万兆网络规则匹配
 万兆网络全网旁路阻断
 多节点数据云存储与计算
网站安全检测
自主研发Web漏洞扫描器
基于 Web站点蜘蛛技术、Web漏洞识别技术、Web动态测试技术
实现对目标网站应用的安全评估，以发现潜在的网站安全漏洞和安全隐患
• 能够识别常见WEB服务器软件如Apache、IIS、ngnix等的一些常见安全漏洞；
• 对SQL注入漏洞和跨站脚本（XSS）漏洞有较为准确的识别能力；
• 能够对常见的WEB安全配置问题，管理页面暴露等常见安全配置漏洞进行检测；
• 能够对国内多种常见的WEB应用如建站系统、内容管理系统的安全漏洞进行检测；
网站卫士
通过 云端防护服务 的形式对网站进行保护
1. 高速缓存加速
2. 永久在线
WAF过滤
DNS服务器
访问者
1. 千万qps防护
2. 隐藏真实IP
3. CDN加速
LVS负载均衡
1. 200G流量防护
2. 节点内负载均衡
3. CC连接型攻击网络IP拦截联动
目标网站
实现通过 网站应用防火墙，防DDoS攻击拦截，防CC攻击拦截，网站加速，DNS高防集群 等
为网站提供防黑客攻击的服务
谢谢！