【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

以实战攻防视角,全方位解读企业信息安全体系构建方法

  • 2019-09-12
  • 本文字数:4019 字

    阅读完需:约 13 分钟

以实战攻防视角,全方位解读企业信息安全体系构建方法

8 月 24 日,TGO鲲鹏会西安分会 & 成都分会联合举办的“跨蜀道秦岭,成就「技」无止境”分会活动上,四叶草安全技术副总裁邓永凯进行了题为《从攻防视角谈企业信息安全体系建设》的演讲分享。在演讲中,他分享了企业重视信息安全的原因,以及企业该如何应对信息威胁的几大方法。TGO 鲲鹏会对其演讲内容进行了分享和整理,以飨读者。以下内容整理自邓永凯的现场发言:


大家下午好!很高兴 TGO 鲲鹏会能够来到西安。今天,我将主要从攻防视角,为大家谈谈企业的信息安全建设。


网络安全法已经出台很久,但是人们的网络安全意识却始终不到位。在座的各位都是技术领导者,只有各位从自身做起,重视信息安全,相关建设方案才能实施下去,否则在企业内部就会受到很大的阻力。



邓永凯现场分享

企业为什么要重视信息安全建设?

下面,我将从几个方面来讲解,为什么我们要重视企业信息安全建设,怎么依据具体的安全场景调整安全建设方案?


企业为什么要重视信息安全建设?主要有以下几点。


黑客攻击的频繁发生,会导致各种后果严重的网络安全恶性事件,在这里,我们尤其需要注意的是网络安全法的实施。网络安全法从 2016 年 11 月发初稿,到 17 年 6 月 1 日正式实施,它规定企业要对用户的数据安全负责。如果因为网络攻击使用户数据蒙受损失,企业也要一并受到惩处。这说明,网络安全已经是有政策引导的国家级问题,而且不再是企业和用户的个人问题。


在这方面,我建议首先以业务为导向,要求业务线上的产品必须进行安全测试,用产品引导对安全的重视;其次是第三方合作,我建议 SDK 必须保证安全,不然一旦出了问题,所有的业务都要受影响;再者是第三方需求,即增加安全类产品的闪光点,让它不仅能保障你的数据安全、资产安全,更能吸引用户,让用户放心,要做到这点,我们可以寻求由评估机构给出的安全报告。


下面我们将着重分享第二点,即企业安全威胁攻防。攻防,顾名思义就是网络攻击与防御的推演,我们将通过案例讲解企业遇到的网络安全问题,以及如何防御攻击和减少损失。

企业常见的威胁类型有哪些?

企业面临的常见威胁有:


  • 输入威胁

  • 内部威胁

  • 外部威胁

  • 输出威胁

输入威胁

当企业购买服务器、设备时,引用了第三方数据,使用了第三方框架,就有可能从外部引入安全问题,因为服务器、路由器、交换机存在后门的情况经常出现。

内部威胁

来自内部人员的安全隐患也有很多,比如管理不到位、网络混乱、安全开发缺失、运维安全工作做得不够充分等。

外部威胁

外部的商业竞争、经济利益、供应链攻击也经常带来严峻的网络安全问题。

输出威胁

企业输出技术文档,开发一个项目,但项目可能已经被别人利用了。那么如果你的输出有问题,就会引发连锁反应。


第三方组件经常存在一些经典漏洞,影响非常之大。比如 Wannacry 漏洞,该漏洞曾让很多企业和政府部门受到攻击,以至于现在仍有被这个漏洞勒索的受害者。前段时间,陕西高速公路所有电脑都因为该漏洞受到攻击,导致高速瘫痪,这是多么大的危害!


由此看来,第三方组件漏洞绝不是小问题,通过组件的漏洞可以直接控制你的服务器。像 Struts2 则影响操作系统,如 Windows 操作系统,每一个月第二个礼拜二都会打补丁,补丁永远打不完,非常容易遭到黑客的攻击。


那么怎么防止第三方组件的漏洞问题呢?办法也有很多,比如说关闭操作系统自动更新;也可以部署一些安全设备,监控组件的使用记录,并及时打补丁等。


当我们谈及安全开发,需要清楚所有的程序和软件都出自人力,只要是人力开发出来的程序都可能存在安全问题,那么怎样才能做到安全开发?关键是要从萌芽状态解决安全问题,要求开发商一定要有黑客思维,要关注逻辑是否 OK,要具备观察从架构到细节全链路的意识。


其实漏洞产生的本质,就是某个单元数据没有处理。


这里我们简单列举了一些已发现的、常规的软件系统的漏洞。



上图是一个简单的 SQL 注入漏洞,会导致用户数据泄漏。



上图展示的是区块链领域的安全问题,传统领域的代码如果出现问题,可能不会造成特别大的影响,因为尚有很多防护手段可以使用。但是区块链有正常合约,正常合约中的内容一旦发布到系统上,上线后就不能改,如果出现问题将是灾难性的。


而且在区块链正常合约代码审计中,一行代码可以价值数亿。一行代码可能只因做了一个简单的运算,却没有判断它的精度,就被黑客发送了一个交易,将代金币瞬间归零。



再举一个例子,现在比特币的价格是是 1 万美元以上,但有一天 14 点 45 分,突然有家交易所的比特币价格跌到了 0.32 美元。这家交易所同步的是亚马逊服务器数据,但是在日本的服务器出现了问题,导致交易所取 K 线数据的时候取不到,K 线的逻辑乱了。最终成交价格随意取,有人拿 0.32 美元成交了 100 个比特币。


为什么举这个例子?还是代码的问题。如果调用别人的数据,需做逻辑判断,但他没有做,所以系统崩溃了。交易所发现问题之后,将所有业务都中断了。在如今的时代,如果代码出现问题,不止影响你自己的业务逻辑,更影响整个企业的业务运转,造成惨重的经济损失。

如何实现安全开发?

企业到一定程度之后必须规范开发流程,要有自己的安全编码规范;开发人员也要有相应的安全意识,定期做代码交叉测试。当然也可以请专业团队做代码审计,帮你找出代码里面的逻辑缺陷。

信息泄漏

有时候安全问题不是代码有什么问题,而是人的安全意识有缺陷,导致很多不应该出现的信息直接暴露在黑客的眼睛下。比如说企业资料、企业代码,很多人贪图方便直接将其放在云上。这时,如果出现问题,你的企业代码很可能直接暴露在互联网上,其中包括很多敏感信息,不仅会危害到个人,更会间接危害到企业。



举个常见的例子,很多企业直接把代码放到 Github ,结果很多账号信息可以直接搜索出来。前段时间 B 站全站代码都被人放到了网站上,后果非常严重。



上图同样是前几天发生的例子。图中是一条供应链波长,他在日志里面打印了服务器的资料,然后将怎么链接服务器的方法公布,导致黑客轻易就可以控制他的服务器。

“薅羊毛”

如今有一类黑客行为叫做“薅羊毛”。


今年 1 月份,拼多多出现一个问题,一晚上被人薅走了 200 亿。它的后台错误上线了一种优惠券,是 100 块钱的无门槛优惠券,导致那天晚上全中国的人都去薅羊毛。背后的原因就是后台操作错误,上线了不该上线的优惠券。


还有一个例子,使用苹果手机在 APP Store 付费的时候,40 块钱以下小额支付不需要验证,漏洞又出现了。黑客可以随便绑一个假的信用卡,买 40 块钱以下的东西,而且是先发货,无需验证。苹果每一季度才结算一次,这样黑客就有三个月的时间薅羊毛。当然了,苹果也有反薅羊毛的机制,只是道高一尺魔高一丈,后来又出现了手机墙,你封我,我就刷机。最后薅羊毛行为造成的危害已经相当严重,公安机关立案追查羊毛组织。

业务逻辑

早期的微信其实没有现在这么安全,你的密码我可以随意重置,因为微信的验证码是四位数字,安全人员几秒钟就可以破解。这种问题在技术人员来看很简单,可经常会出现。也许你觉得自己的代码不会出问题,但在黑客的眼里却是漏洞百出,每一千行代码里至少有 4 个问题。


我们最近在做的项目是一个虚拟货币钱包,当时出现了一个漏洞。如果用户用这个钱包存代币,想转多少就转多少。这种逻辑问题非常考验一个程序员的功底,没有非常完美的方案能解决逻辑问题,只能依靠程序员的经验和安全开发的意识来提升。

供应链

现在供应链攻击越来越多,开发、交付、使用等环节都有供应链流程,都有被攻击的风险。这些是比较有意思的供应链攻击的案例:远程终端管理工具 Xshell 被植入后门代码;“方程式”组织硬盘固件程序攻击;刚买了新的服务器,CPU 和内存达到百分之百,很多人会在原始的 Docker 中添加恶意的库。

APT 攻击

APT 攻击通常被称为安全领域最高级别的攻击。黑客一般会通过社会工程学发起攻击,比如鱼叉邮件、办公软件。


我们做安全领域的技术人,推广业务非常困难。客户常说,我没有出过问题,你给我推广什么业务?虽然网络安全法颁布以后稍微好一点,但国内的安全意识普遍还是不够高,很多企业和政府部门服务器或业务基本还是在裸奔的状态。


因此我们呼吁大家能把自己企业的安全防护问题提上日程,随着业务规模越来越庞大,构建安全防护体系会越来越麻烦。

如何建立企业安全团队?

企业安全团队对成员素质的要求很高,非常考验工程师的渗透测试能力、代码审计能力、运维能力、风控把握能力,特别是学习能力和抗压能力,很多人就戏称企业的安全部门是专业背锅部门。


如果一个企业要去做安全体系架构,那么它首先要注重知识积累,学习别人的经验,收集自己的安全资产,包括服务器资产、数据资产等,思考保护策略,最后才能落地实践。



同时,在一个企业里推动安全防护工作的建设是非常困难的,大企业有大企业的推动方法,小企业有小企业的推动方法,可以大概分为自下而上和自上而下。当然,如果管理人员重视安全问题会更好推动;相反,从下往上推广就会非常困难。


最后,感谢大家的支持和倾听,谢谢大家!

活动推荐

10 月 26 日,GTLC 成都站将在成都市高新区正式拉开帷幕。环球易购 CTO& 前苏宁科技集团副总裁乔新亮、TGO 鲲鹏会成员 & 知道创宇 CTO & COO 杨冀龙等一批业界优秀的技术领导者,将悉数到场,分享领先的技术管理思考与理念,从而为成都本地的技术人提供一次丰富的、深度的探讨学习及拓展人脉的平台或机会。点击「了解详情」查看 GTLC 成都站相关内容,现在购票还可以享受教师节专属折扣——6 折基础上再减 30 元的优惠哦!





TGO鲲鹏会,是极客邦科技旗下高端技术人聚集和交流的组织,旨在组建全球最具影响力的科技领导者社交网络,线上线下相结合,为会员提供专享服务。目前,TGO 鲲鹏会已在北京、上海、杭州、广州、深圳、成都、硅谷、台湾、南京、厦门、武汉、苏州十二个城市设立分会。现在全球拥有在册会员 800+ 名,60% 为 CTO、技术 VP、技术合伙人。


会员覆盖了 BATJ 等互联网巨头公司技术领导者,同时,阿里巴巴王坚博士、同程艺龙技术委员会主任张海龙、苏宁易购 IT 总部执行副总裁乔新亮已经受邀,成为 TGO 鲲鹏会荣誉导师。


2019-09-12 16:163761

评论

发布
暂无评论
发现更多内容

活动报名 | MongoDB 5.0 时序存储特性介绍

MongoDB中文社区

mongodb

好用的人事管理软件有哪些?人事管理系统软件排名!

优秀

企业管理软件 OA管理系统

游戏资产复用:更快找到所需游戏资产的新方法

龙智—DevSecOps解决方案

游戏开发 游戏资产 艾尔登法环 游戏资产复用

应用实践 | Apache Doris 整合 Iceberg + Flink CDC 构建实时湖仓一体的联邦查询分析架构

SelectDB

数据库 flink Doris iceberg

脚本之美│VBS 入门交互实战

Windows Server 6月月更 VBS 脚本之美

openGauss Developer Day 2022正式开启,与开发者共建开源数据库根社区

openGauss

远程办公之:如何成为时间管理大师?| 社区征文

甜甜的白桃

初夏征文

火线沙龙第26期-多云安全专场

腾源会

如何轻松快速构建区块链应用?技术大牛带来一线技术实践分享

腾源会

Python 设计模式:适配器模式

宇宙之一粟

设计模式 适配器模式 6月月更

学C++还是学Java?做软件研发还需掌握哪些知识和技能?

dvlinker

Java c++ 数据库 网络知识 汇编代码

RabbitMQ基础知识

龙空白白

RabbitMQ

为什么你的数据图谱分析图上只显示一个值?

清林情报分析师

数据分析 可视化 知识图谱 三元组 情报分析

直播分享| 腾讯云 MongoDB 智能诊断及性能优化实践

MongoDB中文社区

mongodb

如何通过7个步骤编写出色的在线用户手册

小炮

准备好迁移上云了?请收下这份迁移步骤清单

龙智—DevSecOps解决方案

迁移计划 迁移上云计划 迁移上云步骤 上云步骤清单 云迁移策略

直播回顾 | 云原生混部系统 Koordinator 架构详解(附完整PPT)

阿里巴巴云原生

阿里云 架构 云原生 混部 Koordinator

在宇宙的眼眸下,如何正确地关心东数西算?

脑极体

C/C++函数的调用约定详解

dvlinker

c++ 函数调用约定 __cdecl __stdcall __fastcall

区块哈希竞猜游戏系统开发(dapp)

薇電13242772558

哈希值

Fabric.js 手动加粗文本iText

德育处主任

canvas FabricJS 6月月更

Helix QAC更新至2022.1版本,将持续提供高标准合规覆盖率

龙智—DevSecOps解决方案

C语言 静态代码分析 Helix QAC 代码合规率 代码合规

八大误区,逐个击破(终篇):云难以扩展、定制性差,还会让管理员失去控制权?

龙智—DevSecOps解决方案

Atlassian 云版 版本选择 迁移上云

C++软件异常分析概述

dvlinker

windbg 软件异常 排查方法 Crashreport

SLSA: 成功SBOM的促进剂

安势信息

开源 开源软件供应链 软件物料清单 SBOM SLSA

JDBC 在性能测试中的应用

阿里巴巴云原生

阿里云 云原生 JDBC 压测

如何使用物联网低代码平台进行流程管理?

AIRIOT

低代码 物联网,

RabbitMQ访问Web端口报错User can only log in via localhost

龙空白白

微信视频号如何用 PC 电脑做直播?

boshi

直播 视频号

Flutter中的GetX状态管理用起来真的那么香吗?

岛上码农

flutter ios 移动端开发 安卓开发 6月月更

混沌工程,了解一下

华为云开发者联盟

云计算 测试 后端 混沌工程 华为云

以实战攻防视角,全方位解读企业信息安全体系构建方法_技术管理_邓永凯_InfoQ精选文章