公共互聯(lián)網(wǎng)的新威脅及應急響應

公共互聯(lián)網(wǎng)的新威脅與應急響應2006年3月9日CNCERT/CC運行一部副主任陳明奇博士內(nèi)容一、互聯(lián)網(wǎng)的新威脅-網(wǎng)絡仿冒/欺詐僵尸網(wǎng)絡垃圾信息二、應急響應 －CNCERT/CC的應急響應三、對應急體系的思考背景網(wǎng)絡安全的傳統(tǒng)三大威脅(除黑客攻擊外)：

病毒/木馬/蠕蟲（Virus/Trojan/Worm）拒絕服務攻擊（DoS/DDoS）垃圾郵件（Spam）黑客——動機的改變：以經(jīng)濟利益為驅(qū)動，不再追求轟動性效果帶來的名聲和炫耀技巧

———組織的改變：由單打獨斗轉(zhuǎn)向有組織的活動主要的新威脅：網(wǎng)絡欺詐—釣魚陷井，防不勝防間諜軟件—明修棧道，暗渡陳倉垃圾信息—指哪發(fā)哪，帶寬垃圾僵尸網(wǎng)絡—黑色軍團，一呼百應新威脅？主要的新威脅：仿冒欺詐—釣魚陷井，防不勝防間諜軟件—明修棧道，暗渡陳倉垃圾信息—指哪發(fā)哪，帶寬垃圾僵尸網(wǎng)絡—黑色軍團，一呼百應網(wǎng)絡仿冒----以假亂真，鈔票失蹤特點:國際上增長最快的安全事件之一我國的主機被大量利用進行此類活動我國的網(wǎng)上銀行也開始逐漸受到此類活動的攻擊最主要危害：用戶或者企業(yè)經(jīng)濟利益受損值得關注的動向：技術手段日漸多樣化國際情況

APWG數(shù)據(jù)國內(nèi)情況

CNCERT/CC接到的仿冒報告

網(wǎng)絡仿冒456件(完成處理145件)：受害公司（國外大公司，國內(nèi)個別銀行和電子商務網(wǎng)站）網(wǎng)絡詐騙突出特點：從盜取用戶個人信息升級到直接詐騙用戶錢財。利用即時通訊系統(tǒng)或者具有即時通信功能的在線游戲等系統(tǒng)，發(fā)送有關活動的信息，并留下假網(wǎng)址，誘使用戶訪問這些假網(wǎng)站。往往假冒知名企業(yè)而且冒用互聯(lián)網(wǎng)公證處的名義，來騙取網(wǎng)民的信任。被假冒名單(部分)：KUGOO平臺浩方網(wǎng)絡對戰(zhàn)平臺勁樂團、勁舞團中國游戲中心QQ游戲網(wǎng)絡對戰(zhàn)平臺易趣網(wǎng)上購物社區(qū)淘寶網(wǎng)上購物社區(qū)聯(lián)眾網(wǎng)絡游戲社區(qū)新浪iGame游戲社區(qū)遠航社區(qū)網(wǎng)易泡泡POCO龍網(wǎng)游戲頻第九城市《魔獸世界》上游棋牌游戲平臺垃圾信息6-7月互聯(lián)網(wǎng)上UDP1026和1027端口UDP協(xié)議流量占總流量的比率達11.49％。原因： 專門發(fā)送“垃圾信息”的程序，利用Messager信使服務，在接收者屏幕彈出廣告垃圾信息。某骨干網(wǎng)運營商根據(jù)CNCERT/CC的建議采取了相應措施后，節(jié)約3G左右?guī)挕＝┦W(wǎng)絡現(xiàn)實威脅（已經(jīng)看到的實例）：利用蠕蟲傳播造成網(wǎng)絡擁塞甚至癱瘓DDoS用于敲詐，嚴重干擾經(jīng)濟垃圾郵件治理的障礙（涉及多方面安全問題）失泄密(企業(yè)/個人的敏感信息)Identitytheft潛在威脅（可預見到的威脅）：被政治動機利用的話，可以有效癱瘓重點系統(tǒng)被敵對集團利用可以用來攻擊網(wǎng)絡的核心節(jié)點導致全網(wǎng)癱瘓嚴重的竊密威脅僵尸網(wǎng)絡在我國的情況在1月－12月期間，共發(fā)現(xiàn)同時在線的節(jié)點數(shù)大于5000的僵尸網(wǎng)絡有143個，其中最大的Diablo僵尸網(wǎng)絡最多時有157142個客戶端。這些僵尸網(wǎng)絡不斷掃描擴張、更新版本、下載間諜軟件和木馬、發(fā)動各種形式的拒絕服務攻擊。黑客在網(wǎng)上叫賣僵尸肉雞如何應對這些新威脅？誰有責任：個人企業(yè)政府運營商(ISP)安全廠商(供應商)如何負責任？建立專業(yè)化的應急隊伍和公共應急體系信息化時代的公共基礎設施之一應急響應的實質(zhì)應急響應工作是安全保障集中體現(xiàn)技術、規(guī)范、工具、人員、體系完整的PDRR過程（準備、發(fā)現(xiàn)、響應恢復，實現(xiàn)有計劃的安全防護動態(tài)適應目的： 安全代價最小化：Money/Time/Face完整的應急響應工作是安全保障的關鍵RtPtCNCERT/CC的應急響應我們的工作：

---迎接挑戰(zhàn)，成為網(wǎng)絡安全保障的國家隊五大法寶：技術平臺－安全保障的基本武器，事件處理的基礎設施；專業(yè)組織與合作體系－技術上的協(xié)調(diào)與支持，更早地獲得預警信息流程與規(guī)范：讓應急處理‘運轉(zhuǎn)’起來基礎與核心資源：厚積薄發(fā)的彈藥庫研究型的開放工作隊伍：以人為本國家

網(wǎng)絡安全

技術平臺（917平臺）快速及時全面準確國家

應急響應

組織體系國家

網(wǎng)絡安全

數(shù)據(jù)資源綜合利用及時發(fā)現(xiàn)重大情況及時采取有效措施目標全面掌握重大安全

事件的真實情況；及時發(fā)現(xiàn)，快速響

應，確?；A網(wǎng)絡

安全；積累豐富的寶貴資

源，支持戰(zhàn)略研究配合打擊網(wǎng)絡犯罪

和其他不法活動CNCERT/CC的應急響應從點狀到樹狀到網(wǎng)狀，提供更快速的

覆蓋全國的應急支撐體系互聯(lián)網(wǎng)網(wǎng)絡安全應急處理預案及時預警——網(wǎng)絡監(jiān)測，通報機制協(xié)作配合——統(tǒng)一領導，分工負責及時預警——網(wǎng)絡監(jiān)測，通報機制快速處理——迅即響應,有效處置及時預警——網(wǎng)絡監(jiān)測，通報機制協(xié)作配合——統(tǒng)一領導，分工負責確?；謴汀鹚阑厣?系統(tǒng)備份及時預警——網(wǎng)絡監(jiān)測，通報機制協(xié)作配合——統(tǒng)一領導，分工負責快速處理——迅即響應,有效處置互聯(lián)網(wǎng)目的建立健全互聯(lián)網(wǎng)網(wǎng)絡安全應急處理工作機制，提高互聯(lián)網(wǎng)網(wǎng)絡安全應急處理能力和水平，保障互聯(lián)網(wǎng)網(wǎng)絡安全。三、對應急體系和應急響應的思考

如何應對這些新威脅？網(wǎng)絡仿冒—網(wǎng)絡欺詐－需要用戶、企業(yè)、安全公司、應急組織、政府部門各方的努力和合作間諜軟件—VENDER(MS,AVcompany)垃圾信息—尚未形成大規(guī)模效應，應急組織+運營商僵尸網(wǎng)絡—助紂為孽，有效的應對機制，尚待形成需要用戶、企業(yè)、安全公司、應急組織、政府部門科研部門各方共同合作有效的合作是唯一出路技術上的合作：信息、技術、資源的共享，使自己能夠得到及時的支持互聯(lián)網(wǎng)行業(yè)的合作：構建應急處理體系，對重大威脅的安全事件能夠互相配合處置,是公共互聯(lián)網(wǎng)應急體系的基石跨行業(yè)的合作：互聯(lián)網(wǎng)是一個虛擬社會，和現(xiàn)實社會的各個領域都有映射關系。要想維護一個安全的互聯(lián)網(wǎng)環(huán)境，同樣需要現(xiàn)實社會的多部門合作 －信產(chǎn)部CNCERT/CC:事件處置－公安部強力執(zhí)法:打擊犯罪

-幫助企業(yè)和機構解決安全問題國際合作:國際化的問題要國際化解決只有建立有效的多邊合作，才可能真正有效地應對各類安全事件合作模式思考政府部門主導的專項行動：行業(yè)以確保安全生產(chǎn)為目標；司法部門以打擊違法犯罪為目標， －例如，短信欺詐網(wǎng)站備案登記。建議：應急組織和執(zhí)法部門的合作模式，一直是一個重要的交流話題

針對特定威脅形成的跨行業(yè)合作，例如AntiPhishing:金融、商業(yè)、應急組織等。各個部門預案的銜接與定期演練－媒體管理

謝謝!CMQ@CERT.ORG.CNCNCERT/CC：WEBSITE:WWW.CERT.ORG.CNTEL:82990999(國內(nèi)) +86-10-82991000（國際）EMAIL:cncert@前三名美國：34.67%.韓國：9.83%,中國：8.98%網(wǎng)絡仿冒事件報告者（前十個報告數(shù)量最多的組織機構）數(shù)量eBay207MarkMornitor（美國安全公司）43Brandimension（加拿大安全公司）22BFKCERT（德國CERT）17VeriSign

17AUSCERT（澳大利亞CERT）15Interidentitiy（美國安全公司）14MasterCard（萬事達卡）13HSBC（匯豐銀行）10RoyalBankofScotland（蘇格蘭皇家銀行）10KrCERT（韓國CERT）7Citigroup（花旗銀行）6一、擒賊先擒王——模擬控制者，對僵尸網(wǎng)絡進行完全控制

最終解決辦法：直接找到控制服務器，需要授權或用戶配合：方法1：發(fā)送更新命令(吃毒丸)；方法2：發(fā)送自刪除命令(集體自殺)；條件：掌