信息安全風險及應對措施

信息安全風險及應對措施1、加密勒索說到信息安全，大家可能想到的是DDoS、丟數據等，其實在企業(yè)中做安全，核心就是兩句話，這是以前某銀行分管科技的副行長說的，就是“服務不斷，數據不丟”。比如我們現在說的勒索，1可能代表服務掛了，2可能代表數據沒了，所以用這兩句話去套各種各樣的事件，你會發(fā)現所有的事情歸根到底要解決的問題就是服務不斷和數據不丟，我們將其稱為可用性和保密性。加密勒索為什么特別頻繁呢？我覺得絕大多數初創(chuàng)企業(yè)都不具備被專業(yè)黑客組織盯上并進行長期潛伏和攻擊的價值。但是勒索的成本非常低，可復制性非常強，因此可以采取廣撒網、多撈魚的邏輯。我上半年就收到兩個朋友的咨詢，詢問被勒索了該怎么辦，了解情況以后發(fā)現攻擊者的手法都非常傳統(tǒng)、簡單。勒索軟件的傳播途徑有很多，比如2017年爆出永恒之藍，至今仍有很多勒索在利用這個漏洞。絕大多數公司在初創(chuàng)的時候對服務開啟和管理員權限是沒有控制的，這樣的情況會導致，一旦一臺機器失陷，可能連累大片服務受影響，因為很多勒索軟件都是通過漏洞利用在內網進行自動化傳播的。1）勒索軟件的攻擊面勒索進入的地方其實主要常見的是盜版、破解軟件。我認為只要付費軟件有破解版、破解補丁、注冊機等，那么十有八九是有問題的，用戶雖然換得了免費的使用權，但是天下沒有免費的午餐，所以其中很可能藏著一些安全隱患，會導致加密勒索、挖礦等問題。其實加密勒索和挖礦的邏輯是一樣的，都是通過提供用戶所需的內容，進入其電腦獲取相應的權限，再做后續(xù)處理。其中挖礦更加普遍，但傷害性相對較低，也容易發(fā)現，因為它涉及網絡流量的通信，可以通過一些旁路的流量探測手段來發(fā)現。而勒索的傷害性比較大，它的傳播途徑除了剛才我們說的針對個人PC，還有運維平臺或批量密碼的泄露、云助手AccessKey。比如大家做運維管理可能都會用到的寶塔之類的管理工具，如果這些管理工具是直接按照初始化配置方式搭建的，或者本身的版本比較低，就可能會存在漏洞。這些漏洞如果暴露在公網上，就會被自動化的攻擊盯上。我這里還要提一點，絕大多數的初創(chuàng)企業(yè)其實并不會面臨非常高級的攻擊，黑客往往都是通過掃描進行批量化處理。2）勒索軟件的應對措施?數據備份和定期恢復測試應對勒索最有效的辦法是數據備份，不過，在很多情況下我們只注重備份，但是為了邏輯閉環(huán)，最好也做做恢復測試，保證數據備份之后可用。備份有很多種方式，比如虛機整體備份、鏡像或者數據庫備份、文件備份等，選擇依據是看側重點是什么。另外，還要做好備份機器的訪問控制，比如一臺主服務器的數據被加密，如果備份機器的訪問控制邏輯與這臺主服務器是一樣的，并且數據也加密了，那么備份就沒有非常大的意義了。所以如果要以最小化投入成本的方式來預防加密勒索風險，我們就需要花費時間來搭建整個備份系統(tǒng)，并且收緊訪問控制。?終端標準化和封禁高危端口勒索病毒的傳播，往往需要利用漏洞或者一些基礎網絡條件，所以我們也可以從終端標準化、網絡端口封禁的角度來考慮風險處置。不過，終端標準化需要企業(yè)具備一定的管理能力，網上有標準的安全基線，比如是否及時給Windows打補丁、服務器的系統(tǒng)版本是不是最新的、內網的終端是否經過標準化處理等。高危端口的封禁，是指勒索病毒傳播最常利用的445等高危的端口是否有用，如果沒用，就要進行封禁。?訪問控制收口-權限最小化處理在大型企業(yè)中其實這一點是比較治本的，而且它具備一定的管理邏輯。但是對于很多小企業(yè)來說，其實權限最小化反而很容易，在資產相對比較少的情況下，大家只需要記住一點，就是默認deny，如果有需要，才打開權限，對某些服務只允許本地訪問這樣的基本訪問控制策略就可以了。?最后一招我們的很多企業(yè)主朋友中招之后來問有沒有解密的辦法，其實網上有一些文章和網站可以參考，如果已經公開密鑰，有可能是解得開的，但概率極小。從加密本身的算法邏輯角度來說，如果受到加密勒索了，還能自己解開，這是挑戰(zhàn)密碼學理論基礎的，所以沒有密鑰的人幾乎是不可能解開的。那么有沒有補救的辦法呢？其實還有最后一招，可能可以嘗試一下，不一定100%成功，在電商交易平臺上搜索數據恢復之類的關鍵詞試試看。2、數據泄露整個全世界的數據泄露安全的形勢是極其嚴峻的，一個經常使用互聯網的人在黑客或者社工庫的眼中相當于是半裸奔的狀態(tài)。如果你在經營一家公司，其中沉淀了大量的用戶信息和數據，那么在什么樣的情況下可能會被黑客攻擊呢？1）數據泄露的攻擊面?Web滲透攻擊目前數據泄露的導火索最多的還是Web滲透攻擊。比如打開一個網站，這個網站可能是用Spring搭建的一個Web服務，也有可能是用PHP寫的框架，又或者是用wordpress這種快速建站工具搭建的。如果我們只追求功能可用，往往就會存在很多安全漏洞，這些安全漏洞一方面可能是框架自帶的，還有一些是開發(fā)人員因為本身的水平或者安全層面的經驗不足，導致處理邏輯不完善。比如圍繞賬號管理的注冊、登錄、找回密碼、重置密碼的一系列邏輯，這一系列邏輯如果存在疏漏，就可能會導致信息泄露發(fā)生，黑客通過爆破、撞庫方式都有可能獲取這些信息。?互聯網非授權如果一些創(chuàng)業(yè)者做的是數據基礎服務，那么其中就可能包含Redis、Zookeeper、Kafka等常用的技術組件。如果采用我們剛才說的網絡配置，那么云服務器端口是要開放互聯網訪問還是本地訪問？如果直接開放到公網上，同時又不設任何的認證授權保護，只有初始化設置，則會被全網掃描，從而導致數據泄露，還可能會遇到挖礦或者勒索這樣的問題。?內網滲透這是一些大企業(yè)經常會遇到的，比如釣魚、破解軟件、水坑等攻擊方式。其中釣魚比較，俄烏戰(zhàn)爭當中也有大量使用釣魚手法進行基礎設施滲透的。水坑是指在某一個行業(yè)中往往會有一個社區(qū)，當有工具需求的時候，黑客會在這些社區(qū)發(fā)一些你可能非常想要的東西，比如App的某個開發(fā)工具特別好用，但這個工具是要付費的，此時黑客會做一個后門，然后放在某一個論壇中，你獲取之后就會成為精準定位的一個目標人群。?郵件系統(tǒng)推薦大家使用云上的商業(yè)化的郵件系統(tǒng)，不要自己本地搭建，因為本地搭建郵件系統(tǒng)可能會存在一些安全設置問題，如果設置不當，可能會出現安全隱患。攻擊者圍繞自建的郵件系統(tǒng)其實有一套非常成熟的打法，如果自建郵件系統(tǒng)被盯上，對抗強度會比較大。以上提到的幾種攻擊方式中，Web滲透攻擊和互聯網非授權對于Pass或者SaaS服務型公司來說是尤為重要的。我們經常看到的就是，如果將一些SaaS服務直接放到公網上，那么通過Web漏洞方式其實是非常容易將其攻陷下來的，并且利用的工具也基本上全都是自動化的。2）數據泄漏的防護措施數據泄露的防護方式其實真的是一個巨大的話題，在很多大公司中針對數據安全都有專門的崗位，甚至是專門的團隊。但對于創(chuàng)業(yè)型或者初創(chuàng)型企業(yè)來說，關心的是以下幾點。?Web漏洞大家可能會問，怎么判斷采用的工具是否合適呢？我給大家一個建議，如果你使用某一個開發(fā)框架，則可以在GitHub、Google或者百度上搜索框架版本和漏洞關鍵詞，如果是比較嚴重的漏洞，一般都能夠搜到，但是最新的版本相對來說安全性會好一點。?訪問控制對于訪問控制我們要默認deny，不要全部放到網上任意訪問，而要有選擇性地開放，進行持續(xù)維護。?加密保護當信息需要被加密保護的時候，最好把加密算法和密鑰的種子等寫到代碼中，因為通過二進制編譯，它們相對來說是受保護的。然后在服務器或者數據庫中存儲加密后的信息，這樣即使數據丟了其實也看不太到。?終端防護盜版軟件破解版中會留一些臟后門，如果小公司或者個人開發(fā)者安裝了360或者其他殺毒軟件，都會起到非常好的保護效果，至少保證非常流行的病毒、后門、木馬是可以被查殺的。?其他另外，當我們作為乙方跟一個比較大型的甲方談合作的時候，他們可能會質疑你的數據安全保障能力，那么如何顯得自己對數據安全有一定的認知和了解呢？有兩個關鍵點，首先是敏感數據的動態(tài)流轉和靜態(tài)分布，以檢測敏感數據、存儲位置以及它的整體流向。如果對于這些都很清楚，說明我們對數據的控制是非常有把握的，對方就會對你的認知更有信心。其次，當我們在一些比較大的企業(yè)中做數據保護的時候要保證一個邏輯，就是“進不來、摸不著、看不懂、拿不走、跑不掉”?！斑M不來”是對邊界和訪問控制的防護；“摸不著”是在應用層做訪問控制，其實前兩點都是做訪問控制；“看不懂”是我們剛才講的加密；“拿不走”是對權限的控制；“跑不掉”涉及完整的對抗和溯源的問題。那么，如何“動動手”就能避免數據安全風險？其實很多人都會提這樣的問題——能不能直接通過一個產品就把問題全都解決了？我的答案是沒有。我今天已經介紹了常見的風險及其解決手段，但這些并不是一個產品就可以解決的。3、DDoS等其他網絡攻擊■圖2對于DDoS等其他的網絡攻擊如圖2所示，大家可能都知道，類似DDoS和CC這種攻擊就是通過流堆積或者頻繁發(fā)包將服務打掛。因為很多小型初創(chuàng)產品都是單體應用，沒有負載均衡和監(jiān)控，也不涉及峰值的訪問控制等，這意味著如果我們被盯上了，就可能被DDoS攻擊。CC攻擊的邏輯是，正常的API的接口會接收輸入，如果接收輸入的處理邏輯非常復雜，就會消耗后端的計算資源，或者導致等待連接。在這種情況下，如果持續(xù)提供輸入，但這些輸入中又包含著非常巨大的計算工作量，就會把服務端的機器拖垮。釣魚郵件前面已經說過了，這里不再贅述。第三個是BadUSB，我們常見的USB都是U盤，但是在安全行業(yè)中大家有一個共識，就是只要能物理接觸到一臺電腦，基本上就能獲得這臺機器的權限。我的U盤明明有殺毒控制的保護，為什么還會有這種風險存在呢？這里我們看到圖2中左側的BadUSB，它看起來像是一個U盤，但實際上它可能只是一個可編程的邏輯電路，因為我們的USB接口不止能夠識別U盤，還可以識別鼠標、鍵盤等，現在想象一下，這個U盤一樣的東西插進來之后，被電腦識別成了一個鍵盤，它完全可以通過鍵盤操作的方式在你不知情的情況下載后門軟件并編譯執(zhí)行。所以如果在路上撿到一個U盤，千萬不要用。其實不管是BadUSB，還是釣魚郵件，其實都是通過一些輸入性的東西，讓你在企業(yè)環(huán)境的內部使用。之前Mac上有一款非常好用的工具Navicat，它就是一個數據庫的查詢管理工具，當時有一個蘋果應用網站提供的免費版本中就被投毒了，影響范圍非常大。大家可以想象一下，數據庫管理工具中存著大量的數據庫信息，后門把這些信息全都拖走對企業(yè)造成的影響是可想而知的。1）如何通過標準化進行安全防護那么我們做這些攻擊的防護時能怎么辦呢？我認為可以通過標準化建設，來把防護的短板盡可能的拉升，主要包括對服務端和客戶終端的標準化。?服務端服務端的標準化主要包括網絡隔離、密碼密鑰管理、安全產品防護等。首先，網絡隔離在大企業(yè)中是必需的。因為互聯網是環(huán)境是很復雜的，辦公環(huán)境中的電腦其實和互聯網的溝通是非常密切的，這意味著辦公環(huán)境往往也是非常不安全的。如果做好了生產環(huán)境和辦公環(huán)境之間的有效隔離，安全級別就會得到提升。其次，一定要保護好密碼和我們經常用的key，尤其是做運維開發(fā)的朋友，請相信所有你們熟知的設置密碼的方法都一定在常用密碼庫里。比如你的SSH密碼設了8位或者十幾位，但都是非常簡單的組合，那么當你暴露在公網上時，一定會收到大量的root來連你的IP地址，經常就是使用密碼字典去不斷嘗試，大家可以去看看自己的服務器是不是這個情況。?終端在終端這一側，