一个企业安全漏洞收集库,做好企业网络安全。

本项目多数经常为互联网收集(很多都说明了原作者链接),如有侵权请联系我们删除,谢谢)

如有引用引用文章内原作者链接,谢谢!!!

免责申明:项目所发布的资料\FOFA搜索语法\POC\EXP仅用于安全研究!

原文链接,不定期更新漏洞:https://github.com/EdgeSecurityTeam/Vulnerability

20210522 更新:

  • 阿里巴巴使用数据库同步系统信息D-默认密码(CNV-2021-16592)
  • 爱快(快)后台任意i文件读取(0day)
  • 安天高级可持续威胁安全检测系统越权访问漏洞
  • 碧海威科技L7多款产品后台命令执行
  • 帆软V9未授权RCE漏洞
  • 帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757
  • 泛微OA客户GetShell复现
  • 泛微e-cology任意文件上传
  • 泛微OA生态WorkflowServiceXml远程代码执行漏洞
  • 飞鱼星家用智能语音cookie.cgi权限绕过
  • 孚盟云CRM系统一些高危漏洞
  • 海康威视流媒体管理服务器任意文件读取-通用弱语音CNVD-2021-1454
  • 和信创天云桌面系统命令执行,文件上传全版本RCE
  • 宏电H8922路由器中多个22个漏洞(CVE-201-2819~52)
  • 华硕-GT-AC2900-身份验证绕过(CVE-2021-32030)
  • 会捷视讯 敏感信息云
  • 金和OA C6后台越权敏感文件漏洞
  • 金山V8终端安全系统任意文件读取
  • 金山V8终端安全系统pdf_maker.php未授权RCE
  • 金山终端安全系统V8-V9呈现文件上传漏洞
  • 蓝海卓越管理系统 任意文件读取漏洞
  • 蓝凌OA家人SSRF到RCE
  • 蓝凌OA custom.jsp 任意文件读取漏洞
  • 蓝凌OA EKP后台SQL注入漏洞CNVD-2021-01363
  • 默安幻阵蜜罐安装平台未授权访问
  • 齐治堡垒机任意用户登陆
  • 奇安信天擎越权访问
  • 奇安信NSNGFW 网康围绕防火墙电视RCE
  • 锐捷EG易网关RCE 0day
  • 锐捷网络管理系统密码信息泄露CNVD-2021-17369
  • 狮子鱼社区团购系统 wxapp.php 文件上传漏洞
  • 思福迪堡垒机(Logbase)任意用户登录-默认密码
  • 腾达手腕 AC11 视图(CVE-2021-3178)
  • 腾达主机D151-D31设备身份验证的配置下载
  • 天清汉马USG防火墙 逻辑缺陷漏​​洞 CNV-2021-12793
  • 网康NS-ASG安全网关任意文件读取漏洞
  • 微信客户端远程命令执行漏洞
  • 亿邮邮件系统远程命令执行漏洞(CNVD-2021-26422)
  • 银澎云计算好视通视频会议系统任意文件下载
  • 用友NCCloud FS文件管理SQL注入
  • 用友U8 OA test.jsp SQL注入漏洞
  • 用友NC 6.5 反序列化命令执行
  • 友友防火墙后台RCE-默认密码
  • 云尚在线客服系统任意文件上传
  • 致远OA A8-V5任意文件可读取
  • 智慧校园管理系统 有任意文件上传
  • Adobe ColdFusion远程代码执行漏洞(CVE-2021-21087)
  • Afterlogic Aurora & WebMail Pro 任意文件读取(CVE-2021-26294)
  • Afterlogic Aurora & WebMail Pro 文件上传漏洞(CVE-2021-26293)
  • Apache Druid 远程代码执行漏洞(CVE-2021-25646)
  • Apache Druid 远程代码执行漏洞(CVE-2021-26919)
  • Apache OFBiz 反序列化(CVE-2021-30128)
  • Apache OFBiz RMI 绕过 RCE(CVE-2021-29200)
  • Apache OFBiz RMI反序列化任意代码执行(CVE-2021-26295)
  • Apache Solr 复制处理程序 SSRF(CVE-2021-27905)
  • Apache Solr stream.url任意文件读取漏洞
  • Apache Solr<= 8.8.2 (最新)任意文件删除
  • BIG-IP-BIG-IQ iControl REST 设备身份验证的RCE (CVE-2021-22986)
  • C-Lodop 任意文件读取漏洞
  • Cacti SQL注入漏洞(CVE-2020-14295)
  • Chrome远程代码执行漏洞1Day(CVE-2021-21220)
  • Cisco HyperFlex HX 命令注入(CVE-2021-1497-CVE-2021-1498)
  • Cisco HyperFlex HX 任意文件上传(CVE-2021-1499)
  • Coremail论客邮件系统路径遍历与文件上传漏洞
  • D-Link DCS系列监控账号密码信息泄露CVE-2020-25078
  • D-LINK DIR-802注入漏洞(CVE-2021-29379)
  • D-Link DIR-846 路由器域名(CVE-2020-27600)
  • DD-WRT 像素漏洞(CVE-2021-27137)
  • Dell BIOS驱动权限提升漏洞(CVE-2021-21551)
  • Discuz 3.4 最新版后台getshell
  • Eclipse Jetty 拒绝服务 (CVE-2020-27223)
  • Emlog v5.3.1 – v6.0.0 后台RCE(CVE-2021-31737)
  • Emlog v6.0.0 ZIP插件GETSHELL(CVE-2020-21585)
  • ERPNext 13.0.0-12.18.0中的几个XSS漏洞
  • ERPNext 13.0.0-12.18.0中的SQL漏洞注入
  • ExifTool任意代码执行漏洞(CVE-2021-22204)
  • FastAdmin框架远程代码执行漏洞
  • Gitlab Kramdown RCE(CVE-2021-22192)
  • Gitlab SSRF-信息漏洞(CVE-2021-22178-CVE-2021-22176)
  • Gogs Git Hooks 远程代码执行漏洞(CVE-2020-15867)
  • GravCMS手机识别识别的任意YAML-RCE(CVE-2021-21425)
  • H3C-SecPath-运维审计系统(堡垒机)任意用户登录
  • HTTP协议栈远程代码执行漏洞(CVE-2021-31166)
  • IE脚本引擎jscript9.dll内存漏洞(CVE-221-2619)
  • Ivanti Avalanche 目录遍历漏洞
  • JD-FreeFuck 后台命令执行漏洞
  • JEEWMS未授权任意文件读取漏洞
  • Jellyfin 任意文件读取(CVE-2021-21402)
  • jinja服务端模板注入孔
  • KEADCOM数字系统接入网关任意文件读取漏洞
  • Kubernetes准入绕过机制(CVE-2021-25735)
  • Mark Text Markdown 编辑器RCE(CVE-2021-29996)
  • MediaWiki <1.3.1.2 跨站脚本攻击(XSS)(CVE-2021-30157)
  • MessageSolution 企业邮件归档管理系统任意文件上传(CNVD-2021-10543)
  • MessageSolution 企业邮件归档管理系统信息泄露 CNVD-2021-10543
  • Microsoft Exchange Server 远程执行漏洞(CVE-2021-28482)
  • MyBB sql注入导致的远程代码执行 (CVE-2021-27890)
  • Nagios Network Analyzer SQL 漏洞注入(CVE-2021-28925)
  • NETGEAR R7000 线程漏洞(CVE-21-31802)
  • 诺基亚 G-120W-F 主机存储型 XSS(CVE-2021-30003)
  • OneBlog 执行开源博客管理系统远程命令
  • OpenSSL 拒绝服务漏洞(CVE-2021-3449)
  • Panabit智能应用网关后台命令执行漏洞
  • PEGA pega infinity授权认证绕过RCE(CVE-2021-27651)
  • PHP Composer 命令注入漏洞(CVE-2021-29472)
  • QNAP QTS Surveillance Station插件远程代码执行漏洞(CVE-2021-28797)
  • rConfig 3.9.6 远程Shell上传
  • RDoc注入注入(CVE-2021-31799)
  • Ruby目录贯穿漏洞(CVE-2021-28966)
  • SaltStack命令注入漏洞(CVE-2021-31607)
  • ShopXO 任意文件读取漏洞(CNVD-2021-15822)
  • Steam远程代码执行漏洞(CVE-2021-30481)
  • TG8防火墙中的RCE和密码中
  • Thymeleaf 3.0.12 RCE 绕过
  • TP-link栈漏洞(CVE-2021-29302)
  • TP-Link WR2041 v1拒绝服务漏洞(CVE-2021-26827)
  • TVT数码科技 NVMS-1000 路径穿越漏洞
  • Ubuntu OverlayFS权限提升漏洞(CVE-2021-3493)
  • VMware vRealize Operations Manager API SSRF 漏洞 (CVE-2021-21975)
  • VMware Workspace ONE Access命令漏洞注入(CVE-2020-4006)
  • VoIPmonitor UnAuth RCE(CVE-2021-30461)
  • Wazuh Manager代码执行漏洞(CVE-2021-26814)
  • Webmin若干高危漏洞(CVE-2021-31760~62)
  • Windows TCP-IP 拒绝服务漏洞 (CVE-2021-24086)
  • Windows容器管理器服务提升权限漏洞(CVE-2021-31169)
  • WordPress 5.6-5.7-通过身份验证的XXE(CVE-2021-29447)
  • WordPress Element Page Builder Plus插件身份验证绕过(CVE-2021-24175)
  • WordPress GiveWP 2.9.7 反射型XSS(CVE-2021-24213)
  • WordPress WP Super Cache 插件 < 1.7.2 RCE(CVE-2021-24209)
  • WordPress插件Tutor LMS SQL注入漏洞(CVE-2021-24186)
  • Xmind 2020 XSS漏洞导致命令执行
  • zzzcms远程代码执行漏洞(CVE-2021-32605)

金融系统安全防御策略及服务

我国金融市场已经成为世界金融领域中一个重要的标志,与此同时,金融行业面临的信息安全风险和威胁也愈加严重。本文通过总结近年来金融行业信息系统渗透性测试的经验,简要介绍和分析了金融行业信息系统面临的典型安全问题,并对行业内的信息安全防护策略提出一些改进建议,为金融行业信息安全建设提供思路。

关键词 金融 信息安全 风险和威胁 防护策略

一、简要分析金融行业信息系统典型安全问题

根据FREEBUF的统计数据显示,2016年上半年金融行业的漏洞统计TOP10中,传统金融行业的高危漏洞数和可能造成的危害要远远大于互联网金融,其中保险行业高危漏洞达到86.22%,是大数据金融的17倍。

多种漏洞,玄天安网都可为您解决,您可以直接拨打我们的电话联系。

二、金融行业信息系统的安全防护策略

面对越来越多的安全问题,金融行业应当全面考虑信息化建设过程中可能遇到的各类安全威胁,并建立一套适合本行业特点的安全防护策略。笔者根据多年实施行业内安全测评以及安全评估工作的经验,总结出了几点安全防护策略的建议,旨在为金融行业信息安全建设工作提供参考。

(一)增加身份鉴别措施

要规避传统口令认证方式所带来的风险,势必需要增加对用户的身份鉴别措施,而目前较为适用于金融行业业务的有以下几种:

第一,动态口令。动态口令依靠每次不同的登录密码,来有效保障系统账户的安全性。即使当前口令被恶意人员截获后,对用户合法身份的冒用依旧无法实现,用户身份鉴别的安全性得到了很大的提高。采用动态口令是用于解决身份鉴别的有效措施,当前,手机动态短信、口令卡、动态口令令牌、电子密码器等是动态口令的主要实现方式。

第二,硬件绑定。硬件绑定是将用户账号同用户计算机特征码实施绑定,并保存至后台认证库中,而用户只有通过特定计算机才能进行该账号下的操作。该认证方式的关键是要通过程序来将机器标志(如硬盘、网卡MAC等)逐一读取出来,再经过特定的算法将所生成的特征码存入数据库当中,并作为验证判断的依据。系统可将用户经常操作的几台计算机作为指定的操作终端,而不允许通过其他计算机登录操作。该认证方式的缺点在于对非授权计算机不允许执行交易操作,且需要进行及时的计算机变更维护。

第三,CA认证。CA认证是通过用户证书签名来为证书持有者身份及其公钥拥有权提供保证。金融企业可尝试引入CA服务器,通过相应的部署,于信息系统的客户端与后台服务器间进行CA认证的增设,以进一步强化信息系统的安全性。CA证书的制造、签发、认证及管理等由CA服务器完成,采取这一认证手段,可在网络信息传输过程中实现加密解密、数字签名及验证等一系列环节,以最大限度确保信息的完整性、保密性传递。

(二)加密传输、存储敏感数据

根据等级保护相关要求并结合金融企业自身业务特点对敏感信息进行分级,建立数据的统一安全策略,依据该策略对各系统涉及的敏感数据进行标记,并通过HTTPS等应用层面的加密措施,保障口令、敏感业务数据在传输过程中的完整性和保密性。

针对数据存储的加密,主要包括数据库敏感数据加密以及其他基于操作系统文件的加密保护。通过采取加密相关技术确保口令、敏感业务数据在存储过程中的保密性。

(三)规范应用开发安全

规范应用开发安全,制定软件开发编码规范,要求开发人员遵守。开发的信息系统应当能够对可能的各类攻击行为具有一定的防护作用,如对于用户提交表单,应使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则;使用图形验证码、倒计时等方式来防范恶意提交;对于上传功能一定要校验提交文件的类型,校验应在包括客户端校验和服务器端同时进行,对上传文件存放的路径进行限定,对存放的文件夹进行权限控制;系统部署完毕后应检查系统发布的目录,查看是否存在备份文件、源代码文件等。此外,在系统上线前应当按照等级保护基本要求对源代码是否存在后门进行安全审查,对信息系统应当进行安全性测试,[4]以确保上线前能够尽最大可能发现潜在的问题并加以解决。

三、结语

随着金融行业在我国的迅速发展,金融企业信息系统日趋复杂,同时信息安全事件也已屡见不鲜,金融企业所面临的信息安全形势也越来越严峻。本文在多年来对金融行业信息系统安全测评和安全评估的基础上,阐述了金融行业信息系统面临的典型安全问题,并对该行业信息系统相应的安全防护策略的建立提出了建议,希望由此能对金融行业信息安全建设工作带来参考意义。

当然,信息安全建设不可能一次性考虑和解决所有的安全问题,因此,随着安全环境及应用需求的不断变化,金融行业的信息安全防护策略也需要持续不断地发展和改进,也只有这样,才能做到未雨绸缪,保证信息系统的安全性。

医疗系统安全防御

医疗信息化是时代发展的必然趋势,目前我国一部分拥有强大区域影响力的医院已经在该领域走到了国内领先的位置。然而在医疗信息化发展的同时,医疗信息安全的隐患越来越大,我作为国内某医药类大学计算机科学与技术(医疗信息化方向)的大一萌新,开始逐渐关注这一领域,并且有了一些相关想法,整理了一下思路总结如下,基本是给医院从业人员作为参考,同时也希望各位dalao指点。

0x01安全意识

用一个小案例简单引入一下。

2016年12月31日23时30分,我挖到了2016年最后一个漏洞,厂商为山东某医院,该医院官方网站存在一个简单而又严重的SQL注入漏洞,轻松拿到shell。满心欢喜的我到了补天准备提交这2016年的最后收获,结果一脸懵逼的发现这个漏洞2015年7月已经被提交过了,更让我惊讶的是,漏洞提交给厂商后,厂商居然一年多没有理会,更没有补救,由此可见,当前在医疗信息方面,我们的信息安全意识是有多弱。

在乌云平台上,我们只要搜索“医院”这一词条,就能发现数量巨大的漏洞,而且仔细研究之后,我不禁要感慨:这么低级的漏洞市面上已经很难见到了!很多漏洞让我仿佛置身于2004年——一个啊D或者明小子就能打天下的时代。并且这些漏洞泄露的信息量也非常惊人,大量的病人信息等都在其中一览无余。更为可怕的是很多的漏洞和我所遇见的一样,目前处于三不管的状态,一些做黑产的人可能不怎么不要技术就能够获得大量自己想得到的数据。

在我看来,目前黑产所做的事情基本都是在谋财,而医院一旦对医疗信息安全不重视,必将导致安全隐患害命这一恶果的发生,医疗信息安全防御体系的第一道防线是医院自己:

1.对自己的安全做一个合理的判断,不要高估自己的防御水平。

2.加强从业人员信息安全意识的培养,尤其是信息科。

3.与外界企业合作,建设更为安全的网络环境。

0x02医疗设备安全

物联网时代发展速度非常迅速,但是物联网安全的发展真的跟上了进度吗?答案是否定的。今年二月份我国一大型安全社区就发表了这样一篇文章:医疗设备已成为入侵医疗网络的关键切入点。

不知道大家是否看过美剧《国土安全》,剧中,黑客在得知了副总统的心脏起搏器序列号后,以这个起搏器为起点,入侵了医院的网络,切断了与起搏器的连接,在短短的几分钟后,副总统就这样命丧黄泉。这一电影在去年重新引起了广大的反响,原因就是美国的一支安全团队进行了模拟实验,成功依靠心脏起搏器杀死了一个模拟的人。

2015年,美国FDA发出警告,要求各大医院停止对输液泵的使用,原因是输液泵极易被攻破,然而事实上,各大医疗设备厂商往往都会把自己的源码作为专利,而不会向许多IT公司一样进行开源,这就导致了医疗设备的安全情况难以被检测,一旦被黑客利用,结果就绝对不会像“谋财”这样简单了。

总之,医疗设备安全是对于患者生命威胁最大的隐患,但是这个领域对于技术要求高,而且因为种种因素不好进行安全评估,难以进行安全检测,所以在这一道难以防御却又不得不防的防线上,我个人意见如下:

1.鉴于医疗设备安全可靠性较差,并且关系到设备厂商的核心利益,需要以监控的形式对其安全性进行制约。

2.对于医院方面,有必要提升自身的安全防御能力,以输液泵为例,对于用户的授权情况进行严密的审查,对于远程控制进行严格的审查。

3.FDA已经出台了相关的安全管理制度来约束医疗设备厂商的安全可靠性,我们政府相关部门也应该出台相关政策来对厂商提供的设备进行严格的安全检查。

0x03web安全

Web安全不管到了哪里都是重中之中,事实上我国更多的黑产从业者更喜欢web攻击,可能在很大程度上,这一领域的主要危害是谋财,但是如果患者信息被窃取,谁知道会不会像魏则西那样,最终……

Web安全相信医院相关部门的工作人员应该不陌生,解决方案往往是暴力WAF法和暴力安全狗法……很尴尬的是现在绕狗已经成为了信息安全从业人员必备的一项技能,至于WAF请允许我引用从容在2017先知白帽大会上的议题:没有绝对的WAF防御!

作为学校网络中心的成员,我多次和学校的web安全打交道,当我和学校网络中心领导交流时说道WAF是防不住一些dalao入侵的时候,老师的表情是震惊的:什么?防不住?于是我也用了暴力联想法,医院相关部门的领导是不是也是这个想法?

在web安全方向,其实医院相关部门的工作也很简单,除了拒绝服务攻击这一几乎无解的攻击方式,其他的无非就是补补漏洞,及时更新爆出漏洞的web组件,服务器操作系统、增加弱口令检测禁用程序等等。

我的这篇文章主要面向人群是医院的相关工作人员,我要说的是web安全在医院的地位一定是排在第一位的,没有了web安全,也许之前所说的医疗设备安全也就不复存在了,在这一方面,我提供的解决思路如下:

1.及时更新危险的操作系统、web组件等。

2.增添弱口令检测禁用程序,别让弱口令成为web安全的硬伤。

3.不要排斥众测,众测会给你爆出许多漏洞,尽全力修复它们!

4.与安全厂商合作,WAF还是要有的,毕竟能给抵御大多数的攻击,做做等保、渗透测试也是很重要的。

0x04信息传输安全

2017先知白帽大会会场——北京某酒店的工作人员的对话给我留下的非常深刻的印象:“这两天大家都不要连WIFI,全是黑客,非常不安全。”然而事实证明,他们是对的,据说会场确实有dalao在搞破坏(当然不一定出于恶意)。

在医院,信息传输安全就显得更加重要了,当今,很多大型医院开始极度依赖于信息化平台,患者从进医院到出医院完全都在信息化平台上完成,如果突然信息传输系统被黑,那么结局就很尴尬了。

这里信息传输的安全绝不只是信息化流程平台,还包括医疗设备的数据传输。距离我家最近的省内某知名三甲医院,非常依赖全覆盖的WIFI,原先血常规还提供纸质化验单,现在夜间急诊已经省去这个步骤,直接去急诊室再医生电脑上就会收到相关体检报告。

虽然现在世界上暂时没有出现过医院因为信息传输过程产生医疗事件的事情发生,但是,在这一领域还是不得不考虑的。信息传输安全作为未来可能出现的新型针对医院开展的攻击形式,我们要做的还是防患于未然:

1.对于可能被劫持的数据进行md5校验等。

2.不要太依赖信息化平台,毕竟纸质的化验单还是很必要的,万一换另一家医院呢?

3.对交换机、路由器等网络设备定期进行安全检测。

结语

以上全部内容是我站在医院相关部门的角度提出的相关分析与建议,虽然会有很多错误或者是遗漏,但是依然希望能够唤醒大家对医疗信息安全的重视,希望在不久的将来,我们医院的安全情况能够好转,给我们所有的人一个更为安全的医疗信息环境!

参考:CSDN博主「Richard_LEE_」

教育学校网络安全防御服务

在安全形势不断恶化的今天,学校经常面临网络攻击的威胁,虽然学校的安全管理人员已经在网络中的各个位置部署了大量的安全设备,但仍然会有部分威胁绕过所有防护直达学校内部,对重要数据资产造成泄漏、损坏或篡改等严重损失。在这种形势下,学校均需要一套行之有效的未知威胁检测方案来对内网已经发生或正在发生的高级攻击事件进行发现和回溯。

全面数据库入侵防护

提供业界最为全面的数据库攻击行为检测和阻断技术:

  • 虚拟补丁技术:针对CVE公布的漏洞库,提供漏洞特征检测技术,在数据库外的网络层创建了一个安全层,在用户在无需补丁情况下,完成数据库漏洞防护;
  • 高危访问控制技术:对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为,防止大规模数据泄漏和篡改;
  • SQL注入禁止技术:提供SQL注入特征库,对SQL语句进行注入特征描述,完成对SQL注入行为的检测和阻断;
  • 返回行超标禁止技术:提供对敏感表的返回行数控制;
  • SQL黑名单技术:提供对非法SQL的语法抽象描述。

高度应用兼容

DAS-FW通过语法抽象描述不同类型的SQL语句,规避参数带来的多样化;通过应用学习捕获所有合法SQL的语法抽象,建立应用SQL白名单库,对合法应用行为放行,将误报率降低为“零”。

产品实施灵活简单

  • 预定义策略模版:DAS-FW提供应用场景、维护场景、应用维护混合场景多种策略模版帮助用户快速建立安全策略。
  • 预定义风险特征库: 通过预定义风险特征库快速建立风险阻断规则。
  • 多种运行模式: DAS-FW提供IPS、IDS运行模式,提供学习期、学习完善期、保护期三种运行周期,以帮助用户在防火墙建设的不同阶段平滑过渡。

教育学校网络安全防御服务插图

能源系统安全防御服务

随着能源行业各企业业务及办公网规模越来越大,网络结构越来越复杂,终端用户数量越来越多,导致运维难度不断加大,终端的安全难以保证。而且针对能源行业的攻击是非常复杂、隐蔽的,很多事件都是新出现的,传统终端安全软件难以应对此类威胁。

加固关键基础设施防护APT攻击

玄天安网入侵防御系统持续监控你的终端行为和预测横跨多个载体的高级攻击,而不仅仅是恶意软件。同时对整个事件响应过程智能分析处理,自动化消除威胁,并相应地调整你的防御基线。

智慧能源终端数据的主动防御系统,包括入侵检测单元,入侵响应单元,入侵防护单元和策略部署单元;入侵检测单元利用检测工具对输入的数据集进行攻击行为检测,分析攻击行为发生的规律,将攻击行为的规律传递至策略部署单元,并依据安全策略配置检测工具的检测规则;策略部署单元根据攻击行为的规律,获得相应的安全策略,将安全策略分别传送至入侵检测单元,入侵响应单元和入侵防护单元;入侵响应单元根据安全策略进行攻击响应;入侵防护单元根据安全策略利用防护工具进行相应的安全策略.本发明系统能够实时检测到攻击,并针对攻击提供安全策略,对各类攻击进行主动防御,提高智慧能源终端采集,传输数据的安全性.

关于能源系统安全的浅谈:

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术应用使得主机边界、网络边界变得更加动态和模糊,网络攻击日渐频繁,隐蔽性、持续性等高级网络威胁明显增多,传统的单体防御已难以满足安全防护需求,通过攻击之前态势感知的应用日志分析及安全设备的联动防御加强网络防护能力的呼声越来越高。

电力能源行业网络环境都存在一定的复杂性,不同的业务部署了各类的Web应用;在数据层、网络层以及应用层等网络信息系统中的各个环节配置了具有专门功能的防护安全设备。这些安全防护设备不仅涵盖基本的防火墙、防病毒、数据库审计等,也包含最新攻击特征的防御系统,如抗拒绝服务系统、高级持续性威胁防御系统等。但是现有的防护手段依旧无法满足用户更及时准确的把握攻击者动向的迫切需求。

盛邦安全通过多年来对电力能源行业安全事件的分析及处置经验得出,95%以上的攻击者会通过扫描工具,针对系统的数据库、后台管理地址、网页漏洞等进行渗透,收集目标系统的信息。与此同时,被扫描的系统日志上会留下扫描记录以及异常流量信息。由此可见,攻击者在嗅探阶段的恶意扫描行为是可以通过日志、流量提前预知的。

入侵防御系统的核心可以理解成渐进明晰的过程。通过日志告警、异常流量警报等安全设备获取的数据,通过数据分析进行事件分析,进一步实现对未知威胁的预测。基于单个系统的事件预警是通过攻击者对目标系统的嗅探攻击,实时采集分析应用层日志以及告警事件,实时监控系统的安全性。当系统开始遭遇恶意扫描、暴力破解等行为时,入侵防御系统将立即启动告警机制,并及时通过短信、邮件等多种途径发送告警信息。

入侵防御系统基于应用层日志、流量告警事件可划分为3个阶段:未知威胁发现、威胁事件判定、威胁事件告警。

攻击者入侵系统前,首先要通过嗅探攻击进行信息收集,95%的攻击者是会利用扫描工具对目标系统的后台管理地址、数据库、网页漏洞等进行扫描,通过试探性攻击分析确定系统的薄弱点,为后续的入侵攻击寻找目标。攻击者在信息收集时通常使用扫描器或构造特殊的HTTP请求等,使得服务器端的应用程序返回一些错误信息或系统运行环境的信息,从而获取Web服务器和应用程序指纹信息、后台应用程序信息等。但同时攻击者执行的一系列操作都会在系统日志上形成一条条的日志记录以及异常流量告警信息。

日志信息、流量信息是相互关联但又相互孤立的数据。单纯的通过对流量的分析不能准确定位每条预警的有效性,而结合日志信息进行关联分析,可以在攻击者刚刚有所行动时就将攻击行为扼杀在摇篮之中。通过构建大量的基于恶意扫描、渗透爆破等行为模型,针对不同的恶意攻击依据模型,更精准地判定事件,将攻击形式、对系统的数据库、中间件或者是管理后台地址等各种层面的攻击及时、准确地进行预警,为威胁处置、及时响应提供具有针对性的依据。

入侵防御系统通过对可疑行为的分析、判定得出结论之后,第一时间告知管理员发现可疑入侵行为,并提供简单的处置建议。入侵防御系统能够在第一时间定位到发生威胁的单个系统,在攻击者还未对目标系统发起攻击前就采取相应的防御手段,将大大减少系统被入侵的风险。

无论网络安全技术多强、多新都无法保障网络运行的绝对安全;不论系统的漏洞修复程度及加固工作做到何种极致,总有更高超的攻击者从意想不到的地方实施入侵;所以,不能单纯的以加固的方式去考虑防御,可以换个思路,从攻击者的入侵行为去分析和入手。不论是利用0day漏洞还是常规漏洞,攻击者都会对目标系统进行嗅探攻击,而这些行为都是可以通过日志信息、流量信息提前知晓的。知己知彼,百战不殆。立足攻击者的角度,将威胁事件通过数据分析的方式得到攻击前的“蛛丝马迹”,就有机会实现将不可控的未知威胁变成可预知的威胁预警,未雨绸缪,防患于未然。

家庭网络安全防御,如何做好家庭网络安全?

家庭防御的概念并不是什么新鲜事。军队使用这种策略来减缓敌对势力的推进。与其试图阻止敌人的所有前进,有时足以减缓他们的速度(希望他们投降或撤退)。网络安全也是如此。增加网络中的防御层可以降低整个网络受到威胁的可能性。当然,最终用户必须在安全性和可用性之间取得平衡(特别是如果您的最终用户是您的家人——让您的家人开心很重要!)

此外,与此同时,我们不想引入恶意行为者希望利用的新攻击媒介。虽然防病毒软件仍然是保护设备的重要工具,但此类软件实际上会增加网络的攻击面。如果防病毒公司的软件或供应链中的某些其他供应商遭到黑客攻击,您实际上可能会通过防病毒应用程序感染恶意软件!这有多讽刺?这种情况并非没有可能性。一个例子是CCleaner,它是一个类似于防病毒实用程序的 PC 维护实用程序。它试图从您的 PC 中删除不需要的垃圾。

更现实的是,纵深防御策略不会阻止所有入侵,即使该策略非常有用。您必须评估最重要的保护内容,并采取必要措施确保您的数据和系统受到保护。一个有用的文章,我发现提供了为什么在深度防御策略是不够的必要视角。您不应将所有希望都寄托在此策略上,您可能需要确保专注于保护适当的资产。您可能拥有世界上所有保护您资产的技术,但您最薄弱的环节可能是拥有访问数据特权的人。内部威胁与外部威胁同样重要。

同样,如果您的网络上的机器受到威胁,您不能总是信任内部网络上的设备。对于当前的威胁,仅保护网络外围是不够的。“不信任任何人”X-Files 类型的方法可以有益于提高您的网络安全性,只要您不要过于偏执,因为这可能会影响您家庭网络的可用性、性能和稳定性。

成功的衡量标准

出于家庭网络的目的,考虑您希望如何在不中断用户体验的情况下将安全控制分层到您的网络中是很有用的。简单地将 IoT 设备隔离到它们自己的网络上是一个好的开始,但您可以走得更远,仍然可以在您的家庭网络上获得出色的用户体验。当您的用户都对网络中断不满意或对复杂配置感到困扰时,您就会知道您在分层各种安全控制方面取得了成功。如果做得好,事情应该可以正常工作。您不应该仅仅因为您的家庭网络不是需要这种安全性和稳定性的企业网络而忽视这一事实——拥有一个安全、可靠、易于使用的家庭网络是很棒的!此外,您还有额外的好处,可以展示所有(技术人员)朋友!(我的妻子知道当我向某人展示我的家庭网络设置时,我可能会消失 45 分钟。)

示例场景 #1

当我第一次开始创建更先进的家庭网络的冒险时,我不知道在保护我的网络方面能走多远。它开始是根据功能和我希望某些设备在我的网络和 Internet 上拥有的访问级别来分离我网络上的设备的练习。一旦我使用 VLAN 分离了我的设备,我就开始建立防火墙规则来定义设备如何相互交互(VLAN 间通信)。我试图尽可能限制规则,但仍然允许我需要的功能。建立必要的防火墙规则后,我开始在我的网络交换机上使用端口隔离来进一步限制某些设备对我的网络的访问。特别是,我有一台较旧的 Apple TV 第 3 代,它只需要直接访问互联网,我的网络上没有其他任何东西。我将端口隔离配置为仅所有 Apple TV 3 以访问路由器连接到我的网络交换机上的端口。它不能与其他 VLAN 上的任何其他设备通信,甚至不能与同一 VLAN 上的任何设备通信。

在此示例中,应用了几层安全性:

  1. 为 IoT 设备创建 VLAN
  2. 防火墙规则允许 IoT 设备访问我网络的其他部分,例如我的 Plex 媒体服务器
  3. 在我的网络交换机上为某些仅限 Internet 的设备启用端口隔离

示例场景 #2

另一个更复杂的例子是我目前用作高质量婴儿监视器的 IP 安全摄像头。为了保护摄像机,我为它们创建了一个 VLAN。然后我阻止了对该 VLAN 的所有 Internet 访问。我的相机连接到网络,如果您不使用无线设备访问它们,这会增加额外的安全性,因为攻击者需要物理网络访问。但是,我使用较旧的 iPad mini 作为显示器,因为随身携带无线显示器比尝试将硬连线设备设置为婴儿显示器要方便得多。由于我使用的是 Ubiquiti 无线接入点,我可以为我的无线设备创建 VLAN(最多可以广播 4 个单独的 SSID)。我使用与有线摄像机相同的 VLAN ID 创建了一个无线 VLAN。由于它们在同一个 VLAN 上,应用了相同的防火墙规则,因此 iPad mini 也与 Internet 隔离。我有效地为我的婴儿相机监视器建立了一个封闭的网络,这是我出于安全目的所希望的。摄像头有自己的网络界面,我将其设置为使用 HTTPS 而不是 HTTP,以提高安全性。他们还拥有可以更改默认密码的密码,以及创建具有更有限权限的其他用户的能力。

后来,我为我的手机、我妻子的手机和旧的更大的 iPad 添加了访问相机网络的功能。我网络上的所有其他设备都被阻止访问摄像头。我在我所有的相机上创建了一个单独的非管理员帐户,并在我提到的 3 个其他设备上使用了这个限制更多的帐户。更严格的用户帐户不能平移、倾斜或缩放 (PTZ) 摄像机,也不能在麦克风中讲话。基本上只允许访问视频源。因此,如果有人可以设法破解我们的 3 台设备之一,则他们的访问权限将受到限制(假设他们不知道管理员帐户密码)。他们无法尖叫/骚扰我的家人,这是联网婴儿监视器的真正问题。我还安排了防火墙规则,以在晚上我们睡觉时禁止访问 3 个监控设备的摄像头。这增加了对可能在晚上每个人都睡着时试图入侵的黑客的更多安全性。

最后要注意的是,我添加了通过安装在我的 OPNsense 路由器上的 OpenVPN 服务远程访问我的相机的功能。我在 VPN 上使用证书启用了强加密,因此它应该相当安全,因为您通常不会听到很多关于 OpenVPN 漏洞的信息(当然,任何软件都不能保证)。此外,我应该能够发现异常的 VPN 活动,因为我只通过一台设备访问 VPN,所以如果我看到不止一台设备,那么我很可能有问题。

所以在这个场景中,我们实现了几个安全层:

  1. 为以太网连接的 IP 安全摄像机创建 VLAN
  2. 在我的无线 AP 上为与有线 VLAN 具有相同 VLAN ID 的 iPad 显示器创建了 VLAN
  3. 防火墙规则阻止 IP 摄像机和迷你 iPad 显示器访问互联网
  4. 防火墙规则允许我的 IoT 网络上的 3 个额外设备访问摄像头(但阻止所有其他 IoT 设备),这些摄像头计划在夜间不再需要时关闭
  5. 更改了摄像机的默认管理员密码
  6. 创建了一个非管理员用户,对 3 个特定设备的使用权限有限
  7. 在 IP 摄像机上设置允许的 IP/MAC 地址列表以强制哪些设备可以访问它们(防火墙规则是冗余的,但如果黑客可以访问防火墙规则无法访问的隔离 VLAN 上的设备,则仍然很有用申请,因为它在同一网络内)
  8. 只能通过强大的 OpenVPN 连接进行远程访问

这些只是关于如何分层安全控制以限制对设备或数据的访问的几个示例。攻击者可能必须穿透多层才能最终获取您的设备或数据。发生这种情况的难度越大,攻击者花时间进一步渗透到您的网络中的可能性就越小,特别是如果您不是家庭用户的大目标。这种策略应该有助于减少攻击的简单驱动,这些攻击会自动攻击任何具有暴露的、易受攻击的设备的用户。

但是,请记住,如果存在允许轻松“后门”访问的高风险安全漏洞(这是我在上面引用的文章中所说的潜在“陷阱”,因为它是不可能预测和阻止所有可能的漏洞)。不要让这种可能性吓跑您或让您觉得不值得在您的家庭网络中实施深度方法。您不必走极端,但一些简单的附加安全层可以对保护您的家庭网络产生重大影响。