关于玄天网络科技有限公司

玄天安网是未来网络安全和服务器安全的领导者。安全服务于互联网金融、游戏、APP、O2O&电商、各种渠道、外贸等行业,已精诚服务于上千家网站。公司的创立者为国内最早从事互联网安全技能研究和服务器安全方面的顶尖专家,在安全浸透、信息安全、网站安全、服务器安全保护、应用攻防等技能方面有深厚的积累和独特的立异。

(玄天网络科技有限公司)安全展望未来,前面的路任重而道远,在这机遇与困难同在,挑战与希望并存的时代。我们(玄天网络科技有限公司)全体职工将尽心竭力,奋发进取,保障每个客户的网站服务器安全平稳的运转,尽心尽力,打造最强大的网络安全团队。

英文介绍:

(xuan day network technology co., LTD.) security company focused on the security category for ten years, has a professional security team, has its own internal information gap channel, moment insight into the security situation of the whole Internet, gap information, and the hacker’s latest method of attack. Because of this, we have the aggressor perspective and the defender perspective of multi-dimensional defense methods, the so-called do not know the attack, how to know the defense, know yourself and the enemy, a hundred battles will not be perilous!

The company’s security services include server security services, website security services, server maintenance services, security immersion test services. The content involves server security Settings, security reinforcement of the underlying system, deep CC invasion protection, server security log check, website gap test, website anti-hijacking jump, SQL anti-injection invasion, website Trojan cleaning, website program code security audit, Windows, Linux, server protection, server environment equipment, LAMP environment equipment, IIS, NGINX, Apache, JSP+Tomcat database cluster, website anti-intrusion tamper-proof scheme, website gap detection, simulated hacker invasion and invasion, APP software security penetration (Android, iOS), server gap test and so on.

(Xuantian Network Technology Co., Ltd.) the server security protection system developed by the security company, with server invasion active protection, website invasion security analysis, invasion behavior active block, call the bottom IIS firewall, Linux kernel level firewall, remote desktop military certification, port security filtering, The internal gap information security system developed over the years (including the gap of various open source programs, Dedecms, Discuz, Ecshop, WordPress, Magento, PHPCMS, ThinkPHP, Max MaxCMS, and other website programs, as well as MySQL, Apache Serv-U, Tomcat and other common server software slot information), As well as the social work library system, source code security audit system (program code security check, can find SQL injection, code execution, command execution, file includes, bypass escape protection, denial of service, XSS cross-site, information leakage, arbitrary URL jump and other gaps). Multiple security systems to provide customers with a comprehensive, efficient, preemptive security protection scheme, skill support and service, useful to deal with the hacker invasion, the gap brought by the security threat. Especially in the domestic leader in the professional site security service, established a perfect professional security service system (SafeServer), has the domestic first-class website security services qualification, has been successful for many enterprises and institutions and individual users for the website and server security protection services, is Shared by all users praise and recognition, Qingdao local enterprises as “the most trustworthy network security company”, after decades of development, (xuan day network technology co., LTD.) security has grown for the international market for the website server security processing scheme suppliers.

(xuan day network technology co., LTD.) security follow the development trend of Internet skills, safety science and technology as the core, set different oriented, based on years of website security, server security protection experience, has a number of exquisite skills, professional engineers, network security from the Internet security industry for 10 years, understand the operations system, Windows Server2003, Server2008 Linux system, CentOS, Debian, Ubuntu, to create the youngest, the most efficient, the most professional server security service team, dedicated to provide you with timely, efficient, safe, safe network security services.

黑客冒充他人电子邮件进行诈骗

本文主要分析网络犯罪分子如何通过更改邮件的From(发件人)标头来进行邮件欺诈。

域名欺骗

邮件欺诈的最简单形式之一是域名欺骗,指的是将目标发件人的域名插入到From标头中,使用户很难区分真实来源。

网络犯罪分子如果要以别人的名义发送邮件,并不是一件难事,网上不乏此类脚本或程序。由于SMTP(简单邮件传输协议,TCP/IP网络中的主要电子邮件传输协议)不提供此类保护,因此当攻击者获取到目标受害者信任的发件人地址时,能诱导他们执行特定操作,比如单击钓鱼链接、转账汇款、下载恶意文件等。为了增加可信度,攻击者还会模仿发件人的风格或身份证明,并强调任务的紧迫性以增加成功的概率。

为了解决这种欺诈,目前市面上有几种身份验证方法:SPF、DKIM和DMARC。通过这些方式让得到验证后的信息实际上从指定地址发送。

· SPF(发件人策略框架)标准允许邮件域所有者限制可以从该域发送消息的IP地址集,并允许邮件服务器检查发件人的IP地址是否被域所有者授权。但是,SPF不检查From头,而是检查SMTP信封中指定的发件人域,该域用于在邮件客户端和服务器之间传输邮件路由信息,不会显示给收件人。

· DKIM通过基于存储在发件人服务器上的私钥生成的数字签名来解决发件人身份验证问题。用于验证签名的公钥放在负责发件人域的DNS服务器上。如果消息是从不同的域发送的,则签名将无效。但是该技术有一个弱点:攻击者可以发送没有DKIM签名的假电子邮件,且信息将无法验证。

· DMARC(基于域的消息身份验证、报告和一致性)用于根据DKIM/SPF验证域检查From标头中的域。使用DMARC,则域名欺骗的消息无法通过身份验证。如果政策严格,DMARC还可以阻止特定的电子邮件。

随着上述技术的广泛实施,攻击者要么采取其他方法,要么报希望于他们所冒充的公司没有正确配置邮件身份验证,遗憾的是,这种现象依然很常见。

显示名称欺骗

显示名称是发件人的姓名或昵称,显示在电子邮件地址之前的发件人标头中。如果是公司邮件,则通常是相关部门或个人的真实姓名。

电子邮件欺诈:攻击者如何冒充合法发件人

显示名称的示例

为了使收件人的邮件看上去不那么混乱,许多邮件客户端隐藏了发件人的地址,只显示显示名称,这也给了犯罪分子可乘之机,不过From标头中还是显示了他们的真实地址,由于此地址通常受到DKIM签名和SPF的保护,也会被身份验证机制将消息视为合法的,只要受害者不注意看就容易上当。

幽灵欺骗

幽灵欺骗为此类的最常见形式。攻击者除了伪造发件人个人或公司的名称,还连带了发件人的地址,如下面的示例所示。

电子邮件欺诈:攻击者如何冒充合法发件人

幽灵欺骗的示例

实际上消息来自完全不同的地址。

电子邮件欺诈:攻击者如何冒充合法发件人

幽灵欺骗中的真实发件人地址和邮件身份验证

AD欺骗

AD(Active Directory)欺骗是另一种形式的显示名称欺骗,但与幽灵欺骗不同,它直接以发送人的名字设置邮件地址。

电子邮件欺诈:攻击者如何冒充合法发件人

AD欺骗示例

这种方法看起来比幽灵欺骗更原始,但幽灵欺骗在技术上更容易被垃圾邮件过滤器拦截,而AD欺骗至少能将邮件发送到垃圾邮件文件夹,封锁所有来自与同事或公司同名地址的电子邮件通常也不太现实。

相似域名欺骗

此类攻击要更为复杂些,需要攻击者寻找类似目标组织的域名并注册。查找和购买域名都需要付出更多时间,之后在其上设置邮件、DKIM/SPF签名和DMARC身份验证,这比简单地修改From标头要困难得多,但这也为识别机制带来阻碍。

例如,下面截图中的电子邮件来自域名deutschepots.de,受害者很容易与德国邮政公司DeutschePost(deutschepost.de)的域名混淆。如果点击了此类电子邮件中的链接并尝试支付包裹递送费用,不仅会损失3欧元,还会将信用卡详细信息交给犯罪分子。

电子邮件欺诈:攻击者如何冒充合法发件人

来自相似域的消息示例

Unicode欺骗

Unicode欺骗指的是域名中的ASCII字符被替换为Unicode集中的相似字符。了解此技术需要了解使用非拉丁字符的域是如何编码的。Punycode是一种将Unicode字符转换为ASCII兼容编码(ACE)表示的方法,由拉丁字母、连字符和0到9的数字组成。同时,许多浏览器和邮件客户端显示域的Unicode版本。例如,这个俄罗斯域名:

касперский.рф

转换为:

xn--80akjebc7ajgd.xn--p1ai

但在浏览器中,你很可能会看到相同的касперский.рф。由于该技术提供部分编码(对单个字符进行编码,而不是对整个字符串进行编码),因此域可以同时包含ASCII和Unicode字符,网络犯罪分子会积极利用这种特性。

电子邮件欺诈:攻击者如何冒充合法发件人

Unicode欺骗的电子邮件示例

在上面的截图中,消息据称是从apple.com发送的。它看起来合法,并且电子邮件也通过了邮件身份验证。仔细看可以看出,邮件设计得正规苹果支持页面并不一样,但普通用户很少会去比较。如果毫无戒心的用户点击该链接,就会被带到一个虚假网站,要求提供帐户详细信息。

看一看邮件头(可在大多数PC邮件客户端或web版本的邮件服务中看到),就会看到完全不同的画面:

电子邮件欺诈:攻击者如何冒充合法发件人

Punycode域记录

我们上面看到的apple.com域在Punycode中看起来非常不同,因为前三个字符实际上是西里尔字母“а”和“р”。但是为了方便用户,邮件客户端将Punycode转换为Unicode,于是消息显示为“apple.com”。

需要注意的是,一些邮件客户端会警告用户域名中使用的非标准字符,甚至在From标头中显示Punycode,然而这种保护机制并不普遍。

结论

邮件诈骗有多种方法,其中一些看起来很原始但能成功绕过邮件身份验证。同时,邮件欺诈往往只是犯罪分子攻击的第一步,对受害者信息的收集,或对受害者设备的控制可能会造成更深远的影响,即使只是一次点击,也可能导致身份盗用、业务宕机,或高达数百万美元的金钱损失。

本文翻译自:https://securelist.com/email-spoofing-types/102703/

瑞数信息重磅发布《2021 Bots自动化威胁报告》

导语:对2020年Bots自动化威胁的主要类别、攻击来源、态势发展、高发场景等进行全面回顾与分析,并对2021年Bots自动化威胁发展趋势做出最新研判

随着AI技术的快速融入,新一代高级网络攻击技术变得更加隐蔽、狡猾和复杂,对传统安全方案更是建立起“降维打击”的优势。各类提供对抗服务的黑灰产组织越来越多,也催生了更具拟人特点的全新自动化攻击,这些恶意自动化攻击会通过使用模拟器、伪造浏览器环境和UA、分布式IP等手段,使自动化攻击与安全防护之间的对抗不断升级,给系统安全带来极大威胁。

相比2019年,2020年自动化威胁呈现出哪些新趋势?各领域在应对自动化威胁方面又应该如何进行加强?6月24日,瑞数信息正式发布《2021 Bots自动化威胁报告》(以下简称“报告”),对2020年Bots自动化威胁的主要类别、攻击来源、态势发展、高发场景等进行全面回顾与分析,并对2021年Bots自动化威胁发展趋势做出最新研判。

报告指出,2020年国内Bots攻击十分严峻,攻击者的工具、手段、效率都有进一步发展。应用攻击在AI辅助下,其门槛逐步降低,在漏洞检测的深度和广度上均有较大提升。API攻击显著上升,随着企业业务发展,作为融合访问基础支撑的API成为攻击者重点关注的目标。同时,在疫情背景之下,国内医疗卫生行业的应用攻击和数据抓取行为明显上升,远程办公的兴起,直接增大了企业的攻击面,海外攻击占比迅速提升。

2020 – Bots自动化威胁深度分析

从自动化威胁整体形势看,Bots访问的形式依然严峻,相比2019年的55%,2020年Bots访问占比为57.62%。公示类系统和服务提供类系统依然是Bots攻击的头号目标,恶意机器人比例由2019年的40.97%进一步攀升至43.76%。

· 四大行业成为自动化攻击“重灾区”

从行业视角分析,由于受政策、疫情、国际形势等诸多因素的影响,行业的Bots态势也随之发生变化,尤其是医疗(51.24%)、政府(52.11%)、互联网(55.41%)、出版(52.37%)四大行业成为恶意Bots时常出没的领域。我国关键基础设施面临着更为严峻、高效的攻击,漏洞探测利用也更为频繁和隐秘。

作为受疫情影响最为深刻的领域,国内医疗部门被攻击的频率呈明显上升趋势,2020年前三个月遭受攻击同比2019年前三个月增长1.47亿次,增长率超过70%。其中针对系统的漏洞扫描、DDOS、公示信息高频度抓取等方面表现突出。

· API成为新兴攻击目标

作为一种轻量化的技术,API受到了全球范围内企业组织的青睐,越来越多的APP被开发出来,开放架构在创新场景中的使用也越来越多,应用接口呈现爆发式增长。相比2019年,2020年API流量同比增长2.8倍,44%的企业正在建造和维护100个或更多的API,有51.5%的API供应商是在过去五年内才开始开发API。

可以看出,API因其可以作为融合访问的基础支撑,正日益受到企业的关注,但同时也成为攻击者重点光顾的目标。2020年整体来看,API面临的业务类型攻击要远多于传统应用攻击,业务类型攻击例如越权访问、接口滥用、数据泄露等占比高达70.21%。

· 漏洞攻击平台快速升级

正所谓“道高一尺,魔高一丈”,在防卫者不断筑高安全“城墙”的同时,攻击者的自动化“攻城”工具也在推陈出新。2020年,各类漏洞扫描器、攻击平台层出不穷,尤其各类攻击平台集漏洞发现、利用、后门植入于一体,极大的提升了攻击者的效率。

比如快速资产探测,可以进行各类主动探测、被动探测、网络信息搜集、指纹识别等,可对目标系统的相关信息进行快速收集。智能密码破解则具备验证码识别能力,可根据用户信息生成社工类的字典库,并能根据目标系统反馈信息自动调整破解策略。还有高效漏洞利用功能,使攻击平台可以快速更新攻击插件,对0day/Nday漏洞进行快速扫描利用。诸如此类,都是攻击者“攻城略地”的利器。

· AI加持的自动化攻击更加高效和隐秘

2020年,网络安全领域最重要的一个趋势就是AI技术的广泛应用,守卫者以“AI之盾”对抗攻击者的“AI之矛”。得益于AI的数据挖掘和分析能力,攻击正逐渐转向拟人化和精密化的方向发展。这种方式不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。

目前,AI对于普通验证码的识别率已经接近100%,对于拖拽、点选类型也超过90%,对于更为复杂的逻辑计算类型的验证码,AI识别率也在提升。同时,为了应对越来越多的行为轨迹判断,灰产平台开始利用AI技术对历史的轨迹进行学习,并可生成新的轨迹,来绕过行为判断。在AI技术加持下,自动化攻击系统可以关联分析多方面的信息,根据攻击目标当前应用状态、业务流程、漏洞信息、防护机制等因素,自动调整攻击策略,使攻击变得更加高效和隐秘。

2021 – Bots自动化威胁六大趋势研判

那么2021年自动化攻击会呈现出怎样的新趋势?报告给出了六大趋势,从漏洞攻击、云安全、线上交易安全、移动端安全、API安全、AI辅助六个方面进行重点解析。

· 0day/Nday漏洞攻击持续增加,勒索攻击、后门木马植入变本加厉

因疫情所触发的远程办公,不仅是一次对个人办公和业务模式的“革命”,更带来了大量的网络攻击。借助自动化工具,网络罪犯可以在短时间内以更加隐蔽的方式对远程办公的网站进行漏洞扫描和探测,尤其是对于0day/Nday漏洞的全网探测,将会更为频繁和高效。

利用这些漏洞,勒索攻击很可能在2021年变本加厉,同时植入后门或木马对于黑客来说也变得更为容易,但大规模感染扩散后产生的指数级安全风险和后续损失将无法估计。

· “企业上云”  ≠ “安全上云”,云账号安全岌岌可危

受疫情影响,企业纷纷在2020年以更高的加速度“触云”,而云的安全性成为一个关键问题。在上云过程中,企业对外云服务暴露的攻击面持续增多,同时疫情也给了黑客更多时间挖掘漏洞,或者开发更多针对性攻击工具的机会,诸如Openbullet等针对密码猜测和撞库的通用化工具已经被开发并应用于Azure cloud等云服务平台,2021年,针对账号的攻击门槛被进一步降低,安全威胁会进一步加大。

· 线上交易屡创新高,业务欺诈风险飙升

作为一种全新商业模式和互联网形态,“直播带货”正被越来越多的企业和消费者认可。而疫情催化的缘故,直播带货用户规模增长飞快,电商直播更是一举成为了2020年增长最快的互联网应用,更成为了企业经营依赖的有效运营手段。2021年这一趋势将有增无减。

但在各大平台业绩屡创新高的同时,自动化威胁推波助澜,使业务欺诈风险也随之飙升。薅羊毛、刷单刷量、虚假账号、虚假流量、电信诈骗等业务欺诈行为在各行业繁荣生长。据统计,电商行业在全行业欺诈流量中占比21.7%,15.2%欺诈流量流向了航空、铁路等出行行业,金融、游戏等行业都是欺诈的重灾区。

· 5G开启加速模式,移动端应用安全内忧外患

伴随5G的加速普及,短视频、直播、云上互动等场景的火爆带来了移动端设备用户规模及流量的爆发性增长,但相应的移动端应用风险也与日俱增,据报道,目前只有大约36%的移动应用完全集成了安全,大部分的移动应用安全系数很低或根本不安全。除了传统的漏洞扫描、注入攻击、跨站脚本以及APP客户端逆向、调试等问题,还有非法第三方APP请求、中间人攻击、API接口滥用、撞库、批量注册、刷单、爬虫、通过外挂程序或群控设备薅羊毛等业务安全隐患,都严重影响着企业平台的正常运营和口碑声誉。

· 业务应用交互频繁,API数据安全问题严峻

随着远程办公、线上办公等工作模式的深化,企业越来越依赖API整合大量系统,并实现业务彼此之间的交互。

据调查,目前每个企业平均管理超过350种不同的API,其中69%的企业会将这些API开放给公众和他们的合作伙伴,在金融和零售业,API流量占比更是超过83%。随着API调用数量的增多和自动化工具的兴起,在API迅速成为攻击者的新目标基础上,2021年其涉及的数据泄漏和欺诈风险将对业务安全构成重大的影响。

· AI将进一步升级自动化攻防对抗

人工智能(AI)技术正在让网络攻击的速度与效率快速提升,更快、更准的发现漏洞,更自动和智能的转换和使用攻击手法,同时产生更难以检测识别的恶意代码和攻击行为等等趋势,让网络犯罪和网络防御体系在同步升级。根据最新麻省理工学院与人工智能网络安全公司Darktrace联合发布的一份新报告显示,AI驱动的进攻性安全风险和网络威胁领域的发展正在重新定义企业安全,60%的受访者表示,人类的应对措施已经落后于自动攻击。因此,96%的受访者正在部署人工智能来抵御人工智能的攻击。网络安全从现阶段的人与人对抗、人机对抗,向基于AI攻防对抗的演化趋势愈加明显。

2021年,随着企业对网络安全的愈加重视和新一代信息技术的深度应用,网络安全将是一场永无休止的全面战争。在未来的网络安全中,企业将面临越来越多和更加复杂的自动化攻击,企业防护理念应由“被动防御”向“主动防御”转变,防护重心由“人防”向“技防”转变,除了要进一步加强基础风控建设外,也应当将Bots管理纳入其中,借助AI、威胁态势感知等新技术、自动化响应机制等新手段,更好地解决批量自动化攻击和人为的定点攻击,实现网络空间攻防对抗能力的持续升级,构建更智能的主动安全防御机制。

参考来源:https://www.4hou.com/posts/OLxN

玄天安网社交联系总览

欢迎大家关注玄天安网科技,以下为官方认证联系方式,谢谢您的关注~

公众号:玄天集团          发布内容为:公司旗下所有项目活动、以及公司公告和技术文章、宣传等内容。

玄天安网社交联系总览插图

QQ客服联系:8116405    微信客服联系:AiVulXT(请添加的时候说明来意)

知乎官方认证账号:XT网络安全  点击此处直达

电子邮箱:info@XTsec.com.cn

金融系统安全防御策略及服务

我国金融市场已经成为世界金融领域中一个重要的标志,与此同时,金融行业面临的信息安全风险和威胁也愈加严重。本文通过总结近年来金融行业信息系统渗透性测试的经验,简要介绍和分析了金融行业信息系统面临的典型安全问题,并对行业内的信息安全防护策略提出一些改进建议,为金融行业信息安全建设提供思路。

关键词 金融 信息安全 风险和威胁 防护策略

一、简要分析金融行业信息系统典型安全问题

根据FREEBUF的统计数据显示,2016年上半年金融行业的漏洞统计TOP10中,传统金融行业的高危漏洞数和可能造成的危害要远远大于互联网金融,其中保险行业高危漏洞达到86.22%,是大数据金融的17倍。

多种漏洞,玄天安网都可为您解决,您可以直接拨打我们的电话联系。

二、金融行业信息系统的安全防护策略

面对越来越多的安全问题,金融行业应当全面考虑信息化建设过程中可能遇到的各类安全威胁,并建立一套适合本行业特点的安全防护策略。笔者根据多年实施行业内安全测评以及安全评估工作的经验,总结出了几点安全防护策略的建议,旨在为金融行业信息安全建设工作提供参考。

(一)增加身份鉴别措施

要规避传统口令认证方式所带来的风险,势必需要增加对用户的身份鉴别措施,而目前较为适用于金融行业业务的有以下几种:

第一,动态口令。动态口令依靠每次不同的登录密码,来有效保障系统账户的安全性。即使当前口令被恶意人员截获后,对用户合法身份的冒用依旧无法实现,用户身份鉴别的安全性得到了很大的提高。采用动态口令是用于解决身份鉴别的有效措施,当前,手机动态短信、口令卡、动态口令令牌、电子密码器等是动态口令的主要实现方式。

第二,硬件绑定。硬件绑定是将用户账号同用户计算机特征码实施绑定,并保存至后台认证库中,而用户只有通过特定计算机才能进行该账号下的操作。该认证方式的关键是要通过程序来将机器标志(如硬盘、网卡MAC等)逐一读取出来,再经过特定的算法将所生成的特征码存入数据库当中,并作为验证判断的依据。系统可将用户经常操作的几台计算机作为指定的操作终端,而不允许通过其他计算机登录操作。该认证方式的缺点在于对非授权计算机不允许执行交易操作,且需要进行及时的计算机变更维护。

第三,CA认证。CA认证是通过用户证书签名来为证书持有者身份及其公钥拥有权提供保证。金融企业可尝试引入CA服务器,通过相应的部署,于信息系统的客户端与后台服务器间进行CA认证的增设,以进一步强化信息系统的安全性。CA证书的制造、签发、认证及管理等由CA服务器完成,采取这一认证手段,可在网络信息传输过程中实现加密解密、数字签名及验证等一系列环节,以最大限度确保信息的完整性、保密性传递。

(二)加密传输、存储敏感数据

根据等级保护相关要求并结合金融企业自身业务特点对敏感信息进行分级,建立数据的统一安全策略,依据该策略对各系统涉及的敏感数据进行标记,并通过HTTPS等应用层面的加密措施,保障口令、敏感业务数据在传输过程中的完整性和保密性。

针对数据存储的加密,主要包括数据库敏感数据加密以及其他基于操作系统文件的加密保护。通过采取加密相关技术确保口令、敏感业务数据在存储过程中的保密性。

(三)规范应用开发安全

规范应用开发安全,制定软件开发编码规范,要求开发人员遵守。开发的信息系统应当能够对可能的各类攻击行为具有一定的防护作用,如对于用户提交表单,应使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则;使用图形验证码、倒计时等方式来防范恶意提交;对于上传功能一定要校验提交文件的类型,校验应在包括客户端校验和服务器端同时进行,对上传文件存放的路径进行限定,对存放的文件夹进行权限控制;系统部署完毕后应检查系统发布的目录,查看是否存在备份文件、源代码文件等。此外,在系统上线前应当按照等级保护基本要求对源代码是否存在后门进行安全审查,对信息系统应当进行安全性测试,[4]以确保上线前能够尽最大可能发现潜在的问题并加以解决。

三、结语

随着金融行业在我国的迅速发展,金融企业信息系统日趋复杂,同时信息安全事件也已屡见不鲜,金融企业所面临的信息安全形势也越来越严峻。本文在多年来对金融行业信息系统安全测评和安全评估的基础上,阐述了金融行业信息系统面临的典型安全问题,并对该行业信息系统相应的安全防护策略的建立提出了建议,希望由此能对金融行业信息安全建设工作带来参考意义。

当然,信息安全建设不可能一次性考虑和解决所有的安全问题,因此,随着安全环境及应用需求的不断变化,金融行业的信息安全防护策略也需要持续不断地发展和改进,也只有这样,才能做到未雨绸缪,保证信息系统的安全性。

医疗系统安全防御

医疗信息化是时代发展的必然趋势,目前我国一部分拥有强大区域影响力的医院已经在该领域走到了国内领先的位置。然而在医疗信息化发展的同时,医疗信息安全的隐患越来越大,我作为国内某医药类大学计算机科学与技术(医疗信息化方向)的大一萌新,开始逐渐关注这一领域,并且有了一些相关想法,整理了一下思路总结如下,基本是给医院从业人员作为参考,同时也希望各位dalao指点。

0x01安全意识

用一个小案例简单引入一下。

2016年12月31日23时30分,我挖到了2016年最后一个漏洞,厂商为山东某医院,该医院官方网站存在一个简单而又严重的SQL注入漏洞,轻松拿到shell。满心欢喜的我到了补天准备提交这2016年的最后收获,结果一脸懵逼的发现这个漏洞2015年7月已经被提交过了,更让我惊讶的是,漏洞提交给厂商后,厂商居然一年多没有理会,更没有补救,由此可见,当前在医疗信息方面,我们的信息安全意识是有多弱。

在乌云平台上,我们只要搜索“医院”这一词条,就能发现数量巨大的漏洞,而且仔细研究之后,我不禁要感慨:这么低级的漏洞市面上已经很难见到了!很多漏洞让我仿佛置身于2004年——一个啊D或者明小子就能打天下的时代。并且这些漏洞泄露的信息量也非常惊人,大量的病人信息等都在其中一览无余。更为可怕的是很多的漏洞和我所遇见的一样,目前处于三不管的状态,一些做黑产的人可能不怎么不要技术就能够获得大量自己想得到的数据。

在我看来,目前黑产所做的事情基本都是在谋财,而医院一旦对医疗信息安全不重视,必将导致安全隐患害命这一恶果的发生,医疗信息安全防御体系的第一道防线是医院自己:

1.对自己的安全做一个合理的判断,不要高估自己的防御水平。

2.加强从业人员信息安全意识的培养,尤其是信息科。

3.与外界企业合作,建设更为安全的网络环境。

0x02医疗设备安全

物联网时代发展速度非常迅速,但是物联网安全的发展真的跟上了进度吗?答案是否定的。今年二月份我国一大型安全社区就发表了这样一篇文章:医疗设备已成为入侵医疗网络的关键切入点。

不知道大家是否看过美剧《国土安全》,剧中,黑客在得知了副总统的心脏起搏器序列号后,以这个起搏器为起点,入侵了医院的网络,切断了与起搏器的连接,在短短的几分钟后,副总统就这样命丧黄泉。这一电影在去年重新引起了广大的反响,原因就是美国的一支安全团队进行了模拟实验,成功依靠心脏起搏器杀死了一个模拟的人。

2015年,美国FDA发出警告,要求各大医院停止对输液泵的使用,原因是输液泵极易被攻破,然而事实上,各大医疗设备厂商往往都会把自己的源码作为专利,而不会向许多IT公司一样进行开源,这就导致了医疗设备的安全情况难以被检测,一旦被黑客利用,结果就绝对不会像“谋财”这样简单了。

总之,医疗设备安全是对于患者生命威胁最大的隐患,但是这个领域对于技术要求高,而且因为种种因素不好进行安全评估,难以进行安全检测,所以在这一道难以防御却又不得不防的防线上,我个人意见如下:

1.鉴于医疗设备安全可靠性较差,并且关系到设备厂商的核心利益,需要以监控的形式对其安全性进行制约。

2.对于医院方面,有必要提升自身的安全防御能力,以输液泵为例,对于用户的授权情况进行严密的审查,对于远程控制进行严格的审查。

3.FDA已经出台了相关的安全管理制度来约束医疗设备厂商的安全可靠性,我们政府相关部门也应该出台相关政策来对厂商提供的设备进行严格的安全检查。

0x03web安全

Web安全不管到了哪里都是重中之中,事实上我国更多的黑产从业者更喜欢web攻击,可能在很大程度上,这一领域的主要危害是谋财,但是如果患者信息被窃取,谁知道会不会像魏则西那样,最终……

Web安全相信医院相关部门的工作人员应该不陌生,解决方案往往是暴力WAF法和暴力安全狗法……很尴尬的是现在绕狗已经成为了信息安全从业人员必备的一项技能,至于WAF请允许我引用从容在2017先知白帽大会上的议题:没有绝对的WAF防御!

作为学校网络中心的成员,我多次和学校的web安全打交道,当我和学校网络中心领导交流时说道WAF是防不住一些dalao入侵的时候,老师的表情是震惊的:什么?防不住?于是我也用了暴力联想法,医院相关部门的领导是不是也是这个想法?

在web安全方向,其实医院相关部门的工作也很简单,除了拒绝服务攻击这一几乎无解的攻击方式,其他的无非就是补补漏洞,及时更新爆出漏洞的web组件,服务器操作系统、增加弱口令检测禁用程序等等。

我的这篇文章主要面向人群是医院的相关工作人员,我要说的是web安全在医院的地位一定是排在第一位的,没有了web安全,也许之前所说的医疗设备安全也就不复存在了,在这一方面,我提供的解决思路如下:

1.及时更新危险的操作系统、web组件等。

2.增添弱口令检测禁用程序,别让弱口令成为web安全的硬伤。

3.不要排斥众测,众测会给你爆出许多漏洞,尽全力修复它们!

4.与安全厂商合作,WAF还是要有的,毕竟能给抵御大多数的攻击,做做等保、渗透测试也是很重要的。

0x04信息传输安全

2017先知白帽大会会场——北京某酒店的工作人员的对话给我留下的非常深刻的印象:“这两天大家都不要连WIFI,全是黑客,非常不安全。”然而事实证明,他们是对的,据说会场确实有dalao在搞破坏(当然不一定出于恶意)。

在医院,信息传输安全就显得更加重要了,当今,很多大型医院开始极度依赖于信息化平台,患者从进医院到出医院完全都在信息化平台上完成,如果突然信息传输系统被黑,那么结局就很尴尬了。

这里信息传输的安全绝不只是信息化流程平台,还包括医疗设备的数据传输。距离我家最近的省内某知名三甲医院,非常依赖全覆盖的WIFI,原先血常规还提供纸质化验单,现在夜间急诊已经省去这个步骤,直接去急诊室再医生电脑上就会收到相关体检报告。

虽然现在世界上暂时没有出现过医院因为信息传输过程产生医疗事件的事情发生,但是,在这一领域还是不得不考虑的。信息传输安全作为未来可能出现的新型针对医院开展的攻击形式,我们要做的还是防患于未然:

1.对于可能被劫持的数据进行md5校验等。

2.不要太依赖信息化平台,毕竟纸质的化验单还是很必要的,万一换另一家医院呢?

3.对交换机、路由器等网络设备定期进行安全检测。

结语

以上全部内容是我站在医院相关部门的角度提出的相关分析与建议,虽然会有很多错误或者是遗漏,但是依然希望能够唤醒大家对医疗信息安全的重视,希望在不久的将来,我们医院的安全情况能够好转,给我们所有的人一个更为安全的医疗信息环境!

参考:CSDN博主「Richard_LEE_」

教育学校网络安全防御服务

在安全形势不断恶化的今天,学校经常面临网络攻击的威胁,虽然学校的安全管理人员已经在网络中的各个位置部署了大量的安全设备,但仍然会有部分威胁绕过所有防护直达学校内部,对重要数据资产造成泄漏、损坏或篡改等严重损失。在这种形势下,学校均需要一套行之有效的未知威胁检测方案来对内网已经发生或正在发生的高级攻击事件进行发现和回溯。

全面数据库入侵防护

提供业界最为全面的数据库攻击行为检测和阻断技术:

  • 虚拟补丁技术:针对CVE公布的漏洞库,提供漏洞特征检测技术,在数据库外的网络层创建了一个安全层,在用户在无需补丁情况下,完成数据库漏洞防护;
  • 高危访问控制技术:对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为,防止大规模数据泄漏和篡改;
  • SQL注入禁止技术:提供SQL注入特征库,对SQL语句进行注入特征描述,完成对SQL注入行为的检测和阻断;
  • 返回行超标禁止技术:提供对敏感表的返回行数控制;
  • SQL黑名单技术:提供对非法SQL的语法抽象描述。

高度应用兼容

DAS-FW通过语法抽象描述不同类型的SQL语句,规避参数带来的多样化;通过应用学习捕获所有合法SQL的语法抽象,建立应用SQL白名单库,对合法应用行为放行,将误报率降低为“零”。

产品实施灵活简单

  • 预定义策略模版:DAS-FW提供应用场景、维护场景、应用维护混合场景多种策略模版帮助用户快速建立安全策略。
  • 预定义风险特征库: 通过预定义风险特征库快速建立风险阻断规则。
  • 多种运行模式: DAS-FW提供IPS、IDS运行模式,提供学习期、学习完善期、保护期三种运行周期,以帮助用户在防火墙建设的不同阶段平滑过渡。

教育学校网络安全防御服务插图

能源系统安全防御服务

随着能源行业各企业业务及办公网规模越来越大,网络结构越来越复杂,终端用户数量越来越多,导致运维难度不断加大,终端的安全难以保证。而且针对能源行业的攻击是非常复杂、隐蔽的,很多事件都是新出现的,传统终端安全软件难以应对此类威胁。

加固关键基础设施防护APT攻击

玄天安网入侵防御系统持续监控你的终端行为和预测横跨多个载体的高级攻击,而不仅仅是恶意软件。同时对整个事件响应过程智能分析处理,自动化消除威胁,并相应地调整你的防御基线。

智慧能源终端数据的主动防御系统,包括入侵检测单元,入侵响应单元,入侵防护单元和策略部署单元;入侵检测单元利用检测工具对输入的数据集进行攻击行为检测,分析攻击行为发生的规律,将攻击行为的规律传递至策略部署单元,并依据安全策略配置检测工具的检测规则;策略部署单元根据攻击行为的规律,获得相应的安全策略,将安全策略分别传送至入侵检测单元,入侵响应单元和入侵防护单元;入侵响应单元根据安全策略进行攻击响应;入侵防护单元根据安全策略利用防护工具进行相应的安全策略.本发明系统能够实时检测到攻击,并针对攻击提供安全策略,对各类攻击进行主动防御,提高智慧能源终端采集,传输数据的安全性.

关于能源系统安全的浅谈:

随着IT技术和通信技术的发展,网络环境日趋复杂,云计算和虚拟化等技术应用使得主机边界、网络边界变得更加动态和模糊,网络攻击日渐频繁,隐蔽性、持续性等高级网络威胁明显增多,传统的单体防御已难以满足安全防护需求,通过攻击之前态势感知的应用日志分析及安全设备的联动防御加强网络防护能力的呼声越来越高。

电力能源行业网络环境都存在一定的复杂性,不同的业务部署了各类的Web应用;在数据层、网络层以及应用层等网络信息系统中的各个环节配置了具有专门功能的防护安全设备。这些安全防护设备不仅涵盖基本的防火墙、防病毒、数据库审计等,也包含最新攻击特征的防御系统,如抗拒绝服务系统、高级持续性威胁防御系统等。但是现有的防护手段依旧无法满足用户更及时准确的把握攻击者动向的迫切需求。

盛邦安全通过多年来对电力能源行业安全事件的分析及处置经验得出,95%以上的攻击者会通过扫描工具,针对系统的数据库、后台管理地址、网页漏洞等进行渗透,收集目标系统的信息。与此同时,被扫描的系统日志上会留下扫描记录以及异常流量信息。由此可见,攻击者在嗅探阶段的恶意扫描行为是可以通过日志、流量提前预知的。

入侵防御系统的核心可以理解成渐进明晰的过程。通过日志告警、异常流量警报等安全设备获取的数据,通过数据分析进行事件分析,进一步实现对未知威胁的预测。基于单个系统的事件预警是通过攻击者对目标系统的嗅探攻击,实时采集分析应用层日志以及告警事件,实时监控系统的安全性。当系统开始遭遇恶意扫描、暴力破解等行为时,入侵防御系统将立即启动告警机制,并及时通过短信、邮件等多种途径发送告警信息。

入侵防御系统基于应用层日志、流量告警事件可划分为3个阶段:未知威胁发现、威胁事件判定、威胁事件告警。

攻击者入侵系统前,首先要通过嗅探攻击进行信息收集,95%的攻击者是会利用扫描工具对目标系统的后台管理地址、数据库、网页漏洞等进行扫描,通过试探性攻击分析确定系统的薄弱点,为后续的入侵攻击寻找目标。攻击者在信息收集时通常使用扫描器或构造特殊的HTTP请求等,使得服务器端的应用程序返回一些错误信息或系统运行环境的信息,从而获取Web服务器和应用程序指纹信息、后台应用程序信息等。但同时攻击者执行的一系列操作都会在系统日志上形成一条条的日志记录以及异常流量告警信息。

日志信息、流量信息是相互关联但又相互孤立的数据。单纯的通过对流量的分析不能准确定位每条预警的有效性,而结合日志信息进行关联分析,可以在攻击者刚刚有所行动时就将攻击行为扼杀在摇篮之中。通过构建大量的基于恶意扫描、渗透爆破等行为模型,针对不同的恶意攻击依据模型,更精准地判定事件,将攻击形式、对系统的数据库、中间件或者是管理后台地址等各种层面的攻击及时、准确地进行预警,为威胁处置、及时响应提供具有针对性的依据。

入侵防御系统通过对可疑行为的分析、判定得出结论之后,第一时间告知管理员发现可疑入侵行为,并提供简单的处置建议。入侵防御系统能够在第一时间定位到发生威胁的单个系统,在攻击者还未对目标系统发起攻击前就采取相应的防御手段,将大大减少系统被入侵的风险。

无论网络安全技术多强、多新都无法保障网络运行的绝对安全;不论系统的漏洞修复程度及加固工作做到何种极致,总有更高超的攻击者从意想不到的地方实施入侵;所以,不能单纯的以加固的方式去考虑防御,可以换个思路,从攻击者的入侵行为去分析和入手。不论是利用0day漏洞还是常规漏洞,攻击者都会对目标系统进行嗅探攻击,而这些行为都是可以通过日志信息、流量信息提前知晓的。知己知彼,百战不殆。立足攻击者的角度,将威胁事件通过数据分析的方式得到攻击前的“蛛丝马迹”,就有机会实现将不可控的未知威胁变成可预知的威胁预警,未雨绸缪,防患于未然。

家庭网络安全防御,如何做好家庭网络安全?

家庭防御的概念并不是什么新鲜事。军队使用这种策略来减缓敌对势力的推进。与其试图阻止敌人的所有前进,有时足以减缓他们的速度(希望他们投降或撤退)。网络安全也是如此。增加网络中的防御层可以降低整个网络受到威胁的可能性。当然,最终用户必须在安全性和可用性之间取得平衡(特别是如果您的最终用户是您的家人——让您的家人开心很重要!)

此外,与此同时,我们不想引入恶意行为者希望利用的新攻击媒介。虽然防病毒软件仍然是保护设备的重要工具,但此类软件实际上会增加网络的攻击面。如果防病毒公司的软件或供应链中的某些其他供应商遭到黑客攻击,您实际上可能会通过防病毒应用程序感染恶意软件!这有多讽刺?这种情况并非没有可能性。一个例子是CCleaner,它是一个类似于防病毒实用程序的 PC 维护实用程序。它试图从您的 PC 中删除不需要的垃圾。

更现实的是,纵深防御策略不会阻止所有入侵,即使该策略非常有用。您必须评估最重要的保护内容,并采取必要措施确保您的数据和系统受到保护。一个有用的文章,我发现提供了为什么在深度防御策略是不够的必要视角。您不应将所有希望都寄托在此策略上,您可能需要确保专注于保护适当的资产。您可能拥有世界上所有保护您资产的技术,但您最薄弱的环节可能是拥有访问数据特权的人。内部威胁与外部威胁同样重要。

同样,如果您的网络上的机器受到威胁,您不能总是信任内部网络上的设备。对于当前的威胁,仅保护网络外围是不够的。“不信任任何人”X-Files 类型的方法可以有益于提高您的网络安全性,只要您不要过于偏执,因为这可能会影响您家庭网络的可用性、性能和稳定性。

成功的衡量标准

出于家庭网络的目的,考虑您希望如何在不中断用户体验的情况下将安全控制分层到您的网络中是很有用的。简单地将 IoT 设备隔离到它们自己的网络上是一个好的开始,但您可以走得更远,仍然可以在您的家庭网络上获得出色的用户体验。当您的用户都对网络中断不满意或对复杂配置感到困扰时,您就会知道您在分层各种安全控制方面取得了成功。如果做得好,事情应该可以正常工作。您不应该仅仅因为您的家庭网络不是需要这种安全性和稳定性的企业网络而忽视这一事实——拥有一个安全、可靠、易于使用的家庭网络是很棒的!此外,您还有额外的好处,可以展示所有(技术人员)朋友!(我的妻子知道当我向某人展示我的家庭网络设置时,我可能会消失 45 分钟。)

示例场景 #1

当我第一次开始创建更先进的家庭网络的冒险时,我不知道在保护我的网络方面能走多远。它开始是根据功能和我希望某些设备在我的网络和 Internet 上拥有的访问级别来分离我网络上的设备的练习。一旦我使用 VLAN 分离了我的设备,我就开始建立防火墙规则来定义设备如何相互交互(VLAN 间通信)。我试图尽可能限制规则,但仍然允许我需要的功能。建立必要的防火墙规则后,我开始在我的网络交换机上使用端口隔离来进一步限制某些设备对我的网络的访问。特别是,我有一台较旧的 Apple TV 第 3 代,它只需要直接访问互联网,我的网络上没有其他任何东西。我将端口隔离配置为仅所有 Apple TV 3 以访问路由器连接到我的网络交换机上的端口。它不能与其他 VLAN 上的任何其他设备通信,甚至不能与同一 VLAN 上的任何设备通信。

在此示例中,应用了几层安全性:

  1. 为 IoT 设备创建 VLAN
  2. 防火墙规则允许 IoT 设备访问我网络的其他部分,例如我的 Plex 媒体服务器
  3. 在我的网络交换机上为某些仅限 Internet 的设备启用端口隔离

示例场景 #2

另一个更复杂的例子是我目前用作高质量婴儿监视器的 IP 安全摄像头。为了保护摄像机,我为它们创建了一个 VLAN。然后我阻止了对该 VLAN 的所有 Internet 访问。我的相机连接到网络,如果您不使用无线设备访问它们,这会增加额外的安全性,因为攻击者需要物理网络访问。但是,我使用较旧的 iPad mini 作为显示器,因为随身携带无线显示器比尝试将硬连线设备设置为婴儿显示器要方便得多。由于我使用的是 Ubiquiti 无线接入点,我可以为我的无线设备创建 VLAN(最多可以广播 4 个单独的 SSID)。我使用与有线摄像机相同的 VLAN ID 创建了一个无线 VLAN。由于它们在同一个 VLAN 上,应用了相同的防火墙规则,因此 iPad mini 也与 Internet 隔离。我有效地为我的婴儿相机监视器建立了一个封闭的网络,这是我出于安全目的所希望的。摄像头有自己的网络界面,我将其设置为使用 HTTPS 而不是 HTTP,以提高安全性。他们还拥有可以更改默认密码的密码,以及创建具有更有限权限的其他用户的能力。

后来,我为我的手机、我妻子的手机和旧的更大的 iPad 添加了访问相机网络的功能。我网络上的所有其他设备都被阻止访问摄像头。我在我所有的相机上创建了一个单独的非管理员帐户,并在我提到的 3 个其他设备上使用了这个限制更多的帐户。更严格的用户帐户不能平移、倾斜或缩放 (PTZ) 摄像机,也不能在麦克风中讲话。基本上只允许访问视频源。因此,如果有人可以设法破解我们的 3 台设备之一,则他们的访问权限将受到限制(假设他们不知道管理员帐户密码)。他们无法尖叫/骚扰我的家人,这是联网婴儿监视器的真正问题。我还安排了防火墙规则,以在晚上我们睡觉时禁止访问 3 个监控设备的摄像头。这增加了对可能在晚上每个人都睡着时试图入侵的黑客的更多安全性。

最后要注意的是,我添加了通过安装在我的 OPNsense 路由器上的 OpenVPN 服务远程访问我的相机的功能。我在 VPN 上使用证书启用了强加密,因此它应该相当安全,因为您通常不会听到很多关于 OpenVPN 漏洞的信息(当然,任何软件都不能保证)。此外,我应该能够发现异常的 VPN 活动,因为我只通过一台设备访问 VPN,所以如果我看到不止一台设备,那么我很可能有问题。

所以在这个场景中,我们实现了几个安全层:

  1. 为以太网连接的 IP 安全摄像机创建 VLAN
  2. 在我的无线 AP 上为与有线 VLAN 具有相同 VLAN ID 的 iPad 显示器创建了 VLAN
  3. 防火墙规则阻止 IP 摄像机和迷你 iPad 显示器访问互联网
  4. 防火墙规则允许我的 IoT 网络上的 3 个额外设备访问摄像头(但阻止所有其他 IoT 设备),这些摄像头计划在夜间不再需要时关闭
  5. 更改了摄像机的默认管理员密码
  6. 创建了一个非管理员用户,对 3 个特定设备的使用权限有限
  7. 在 IP 摄像机上设置允许的 IP/MAC 地址列表以强制哪些设备可以访问它们(防火墙规则是冗余的,但如果黑客可以访问防火墙规则无法访问的隔离 VLAN 上的设备,则仍然很有用申请,因为它在同一网络内)
  8. 只能通过强大的 OpenVPN 连接进行远程访问

这些只是关于如何分层安全控制以限制对设备或数据的访问的几个示例。攻击者可能必须穿透多层才能最终获取您的设备或数据。发生这种情况的难度越大,攻击者花时间进一步渗透到您的网络中的可能性就越小,特别是如果您不是家庭用户的大目标。这种策略应该有助于减少攻击的简单驱动,这些攻击会自动攻击任何具有暴露的、易受攻击的设备的用户。

但是,请记住,如果存在允许轻松“后门”访问的高风险安全漏洞(这是我在上面引用的文章中所说的潜在“陷阱”,因为它是不可能预测和阻止所有可能的漏洞)。不要让这种可能性吓跑您或让您觉得不值得在您的家庭网络中实施深度方法。您不必走极端,但一些简单的附加安全层可以对保护您的家庭网络产生重大影响。