在过去的2016年,可以说是黑客最为活跃的一年,几乎没有哪一周没有发生过重大的数据泄漏事件、重大的网络攻击活动或严重的漏洞报告。通过观察可见,黑客攻击的对象也不断扩展:大型企业、创业公司、发展型企业、政府组织、医院、社团等无一幸免,美国大选更是好戏不断。这一年里,不论是政府赞助的黑客地下组织,还是自主运营的黑产公司,所发起的攻击事件的数量和影响力都超出了人们的预期。某公司所遭遇的黑客攻击甚至影响到了10亿用户。而在政治方面,希拉里“邮件门”事件、俄罗斯黑客组织利用信息泄露来制造虚假信息等事件都干扰了美国总统选举。
回顾2016年的网络安全事件,我们不禁为2017年捏了一把汗。事实一再证明,在复杂的网络攻击面前,没有个人或集体可以免受攻击。我们希望通过这篇文章在某种层面上,给政企单位在开展2017年的网络安全工作时,一个重要警示。到底,在2017年,网站安全容易惹上哪些“大麻烦”?
一、首当其冲,无疑还是DDoS
2016年发生的DDoS攻击数不胜数,全球每天平均攻击次数为1665次/天,而且其不仅只针对游戏公司、大型银行,连DNS服务商也难逃魔掌。DDoS攻击DNS服务商,可以使网站大面积瘫痪,危害比直接对某个网站进行攻击更甚。购买DDoS,国内一次50元,所以越多越多几百G的流量攻击频现,打到服务器崩溃为止。就在昨天,知道创宇帮助某游戏行业客户成功防御持续两天一夜近900G的SynFlood攻击。
随着攻击者对攻击技术的不断深入,小到个人,大到企业,从手机、IDC设备、个人电脑、摄像头和路由器都可能变成攻击者的攻击工具。对于企业来说,必须提高安全意识,必须加强线上系统的安全架构设计,进行大力投入,保障企业安全。
二、威胁情报,势在必行
威胁情报能够帮助企业识别安全威胁并做出明智的决定。近几年,安全服务厂商、杀毒厂商和安全组织频频进行安全预警、漏洞威胁的通报,这都属于典型的安全威胁情报,其最主要特点是深入、真实。威胁情报可以帮助企业解决如下问题:
1.知晓威胁的存在,包括网络威胁者、威胁方式、漏洞、目标等等;
2.主动跟上关于未来安全威胁信息的脚步;
3.加强领导认知安全威胁的危险和所带来的后果。
知道创宇态势感知产品“星图”,分为“网络犯罪”和“防御与威胁”两个态势感知系统,为网络监管人员开启了赛博空间的上帝视角。通过基于高危漏洞的预警,以及对存在高危漏洞的网站发布,星图可以快速有效将网络威胁“快速、有效、直观、可视”的进行预警。
同时,网络监管人员可以发起渗透测试,由专业安全人员完全模拟入侵者所用的常见手段对测试目标发起模拟入侵的过程。整个过程的目的在于通过利用各种已知漏洞识别手段充分挖掘网络层、系统层、应用层乃至业务逻辑层中可能存在且被利用的潜在威胁点。在不影响业务系统正常运行的情况下,发现系统最脆弱的环节,让管理人员最直观的看到系统面临的安全威胁。
三、堪称核爆炸的DNS劫持
什么攻击能造成区域性的网络瘫痪?没错,DNS劫持。这个堪称核武器的攻击方式,一旦爆炸,后果不堪设想。2014年1月21日,全国大范围出现DNS故障,下午,中国顶级域名根服务器出现故障,大部分网站受影响;2016年10月21日,美国DNS服务提供商Dyn遭受大规模DDoS攻击,导致诸多网站停止服务,最终美国小半个互联网瘫痪。
DNS劫持是受害者DNS请求被拦截并返回虚假响应的一种攻击类型。这种攻击能在保持URL栏不变的情况下,重定向用户到另一个网站。DNS作为网民访问互联网的起点和入口,是全球互联网通信的基础,而DNS作为承载全球亿万域名正常使用的系统,则是互联网的重要基础设施,即互联网中的大脑,如果一个人的大脑出错,那会是什么局面?
至今,所有针对DNS的攻击都依赖于将出站DNS的请求发送到任意服务器。所以,将出站DNS的请求引至防火墙层级未知服务器,或“离线”公司资源的终端/AV客户端,即可解决问题。同时,端到端的加密也是很有必要的。
四、最为头疼的“撞库”
“撞库”(SQL注入攻击)在网络安全事件中占比近1/3,是互联网安全人员最为头疼的攻击形式之一。2016年7月,黑客利用撞库攻击,窃取了大麦网的用户个人信息,并利用窃取到的信息,伪装成大麦网客服成功骗取了147.42万元。2015年,犯罪团伙利用阿里漏洞进行账号窃取行为,获取淘宝账户信息约9900万,其中2059万账户为确实存在并且密码吻合,涉案金额高达200余万元,涉案金额高达200余万元。
“撞库”是黑客通过各种攻击手段搜集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登陆的用户,如果用户在多个网站设置了同样的用户名和密码的话,黑客就很容易通过字典中已有的信息,登录这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址、支付宝及网银信息等。
让安全人员头疼的是,撞库的连锁反应极强,看似被直接攻击的是A企业,但这不是终结,更多的是为了拿到其他企业的账号和密码信息,最终损失惨重的还是其他企业。企业如何可以加强自身安全级别,削弱撞库风险?
1.企业应该加强登陆入口验证的安全性,增加登陆入口的识别能力,如果足够安全,即使通过SQL攻击拿到登陆密码,但是由于即时判断了登陆机器,那就可以过滤掉登陆请求,仍然可以避免信息泄漏;
2.企业可以采用OAUTH协议授权登录的方式,OAUTH的授权不会让第三方触及到用户的帐号信息(如用户名与密码)。
以上两点,都需要非常专业的安全团队操作执行,许多企业受限于技术条件和专业人员支撑,难以同时攻克以上难关,企业必须寻求最适合的技术解决方案,以应对可能的风险。
五、阴魂不散的0-day
2016年,北京某租车公司程序员利用公司“0-day漏洞”盗取600万元。2016年到现在发现的0-day漏洞,大都还是集中在流行的Microsoft和Adobe中,而且预计2017年的0-day漏洞数量可能超过去年。越来越多的公司为了缩短产品开发周期,希望产品尽快推向市场,不断投入开源代码的怀抱。有数据显示,App中的开源代码将占99%,由于一块代码可以在多种设备、组件里使用,这代表可以应用到多种设备中,这种软件中发现的0-day漏洞数量一连串或成倍的出现。
网站开发过程中,会发生很多难以控制、难以发现的隐形安全问题,当这些大量的瑕疵暴露于外部网络环境中的时候,甚至每一行代码都能成为一个攻击系统,就产生了信息安全威胁。那么,企业需要做些什么防患0-day漏洞带来的威胁?企业最好在一个产品中只使用一个解决方案,优化代码,加强防护,选择正确的工具。针对已成型的产品,企业可以通过定期的渗透测试进行有效防范,早发现、早解决。经过专业渗透人员测试加固后的系统会变得更加稳定、安全,测试后的报告可以帮助管理人员进行更好的项目决策,同时证明增加安全预算的必要性,并将安全问题传达到高级管理层。
六、电子邮件成重灾区
2017年春节刚过,贝克汉姆邮件被曝光,苦心经营的人设遇到空前危机。贝克汉姆绝对不是“邮件门”的最大受害者,2016年希拉里竞选美国总统因为“邮件泄漏”开始走下坡路,最终失之交臂。电子邮件是当今世界上使用最频繁的商务通信工具,80%以上办公文档、95%以上的公司业务数据金额等机密文件都在通过电子邮件传递和流通。
大部分企业是完全依赖于电子邮件系统,所以必须解决两个问题:易受攻击的电子邮件系统、电子邮件传播所受的攻击。
1.电子邮件系统周围部署网关,进行加固的操作,构建入侵检测功能;
2.确保外部系统访问的安全性,确保外部流量的合法性;
3.实时监视电子邮件流量。
网络犯罪者正在不断调整他们的技术。2017年,企业在新型的网络威胁面前,一定要领先其一步,在攻击有机会造成损害之前进行阻断。
