《重要行业信息系统安全风险素材课件》由会员分享,可在线阅读,更多相关《重要行业信息系统安全风险素材课件(34页珍藏版)》请在金锄头文库上搜索。
1、重要行业信息系统安全风险,李陆 (Lee) ,爱生活,爱工作爱家庭,爱老婆爱远行,也爱宅在家玩技术我不是黑客,也不是大牛我是不起眼的人,我和你一样在信息安全里平凡我是Lee,我来自绿盟科技,态势,拖库,能源,运营商,APT,金融,黑产,政府,网络战,运营商,工业,金融,政府,拖库,态势,黑产,APT,金融,工业,运营商,4-6亿,拖库,态势,黑产,APT,金融,工业,运营商,飞流直下三千尺,疑似银河落九天,娉娉袅袅十三余,豆蔻梢头二月初,姑苏城外寒山寺,鱼和熊掌不可兼得,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,APT特点及趋势 周密完善且目标
2、明确的信息搜集 不计成本的挖掘/购买0day漏洞 多种方式组合渗透、定向扩散 长期持续攻击,拖库,态势,黑产,APT,金融,工业,运营商,2005,06,07,08,09,10,11,12,13,14,暗鼠行动,伊朗核电站病毒,夜龙攻击,极光行动,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,终端机安全 架构上分为现金类自助终端(有现金交互)和非现金类自助终端 国内应用:银行、运营商、税务、政府、证券、传媒 X86架构,windows操作系统,拖库,态势,黑产,APT,金融,工业,运营商,全触摸型自助服务终端机 数字型:提供只有数字和基本功能按键的
3、虚拟键盘; 字母型:提供英文字母(有些有符号)、数字虚拟键盘; 无键盘、虚拟键盘型,拖库,态势,黑产,APT,金融,工业,运营商,金融类:自助缴费机、自助查询机、自助订票机等 其他:排队机、优惠卷打印机等,拖库,态势,黑产,APT,金融,工业,运营商,键盘集成型自助服务终端机 带触摸板的非标准金属键盘(屏蔽了shift,ctrl,alt,tab,win等功能键) 数字加密盘型,拖库,态势,黑产,APT,金融,工业,运营商,金融类:自助报税机、自助订票机、网银体验机等 其他:自助查询机等,拖库,态势,黑产,APT,金融,工业,运营商,通用保护程序 屏蔽了功能键:ctrl、shift、alt、wi
4、n、tab、鼠标右键等; 保持自身程序始终处于所有程序前段,并保持全屏; 程序出错或结束自动锁屏并自动重启程序; 只能允许访问自身域名(含子域名)及内网资源; 禁止下载运行程序,自动结束当前窗口的系统交互(如:浏览附件),拖库,态势,黑产,APT,金融,工业,运营商,“帮助提示” 1、将鼠标指针移至Flash界面、文字、控件按压超X秒弹出菜单; 2、将某个控件、文字压按并拖拽到其他控件,触发错误窗口; 3、输入错误字符触发弹窗; 4、浏览器绕过; 5、输入法绕过; 6、蓝牙配对绕过; 7、软件升级绕过;,拖库,态势,黑产,APT,金融,工业,运营商,“第三方交互” 1、利用“打印”打印机调用;
5、 2、利用证书交互导入/导出; 3、第三方组件、控件调用; 4、邮件地址超链接调用outlook; 5、跨站;,拖库,态势,黑产,APT,金融,工业,运营商,“畸形数据”与架构问题 1、提交畸形数据; 2、通过非现金终端入侵现金终端; 3、ATM自身架构问题;,出入钞闸口、读卡器通常是自身架构比较容易出问题的地方,插卡后ATM会检测出入钞模块、读卡器模块、打印机等硬件是否正常,如果必要硬件状态异常或者ATMC无法连接ATMP则会停止交易,在停止交易的过程中ATMC最容易产生错误;,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,专门攻击工业控制系统软
6、件,震网病毒Stuxnet 的攻击目标直指西门子公司的SIMATIC WinCC 系统,这是一种运行于Windows平台的数据采集与监视控制(SCADA)系统,被广泛应用于钢铁、汽车、电力、运输、水利、化工、石油等工业领域。Stuxnet 利用了该系统的两个漏洞。这是一次专门针对工业控制系统的攻击 变电站61860规约,拖库,态势,黑产,APT,金融,工业,运营商,重要的工业控制系统 1、核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热; 2、10人以上死亡或50人以上重伤; 3、5000万元以上直接经济损失; 4、影响
7、100万人以上正常生活; 5、对国家安全、社会秩序、经济建设和公共利益产生重大影响等严重后果; 系统类型 1、数据采集与监控(SCADA)系统; 2、分布式控制系统(DCS); 3、可编程控制器(PLC); 4、其他;,拖库,态势,黑产,APT,金融,工业,运营商,针对SCADA应用层的简单基线检查 1、web端; 常见的web漏洞:SQL注入、权限绕过、中间件、上传漏洞、弱口令; 2、数据服务器 弱口令、溢出; 3、软件平台 溢出、嗅探;,拖库,态势,黑产,APT,金融,工业,运营商,你的门禁卡安全吗? 无人值守厂站、中心机房监控盲点、第三方维护人员、路过的人?!,拖库,态势,黑产,APT,
8、金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,对传统DDOS的防御? NTP Reply Flood(感谢NSFOCUS同事林鑫的研究) Monlist命令:返回NTP进行过同步的最后600个客户端IP地址;(发小包回大包) 1、不能保证每台NTP服务器都有600个客户端相联,因此要伪造600个同步请求; 2、向多个NTP服务器发送monlist命令,伪造源地址为攻击目标; 攻击的成本 1、网络上约有100-200台稳定支持monlist命令的NTP服务器; 2、理想状况下一个monlist请求包可以返回自己大小300-500倍的返回包; 3、那么10M的攻击量可以返回接近
9、3G-5G的流量 业务逻辑?正常操作不等于合法操作 核心业务:CRM、4A平台 重要业务平台外网可以直接访问?! 重要业务平台(营业厅)在凌晨任然可以充值?! 第三方合作伙伴、软件供应商? 运营商业务系统外包商质量参差不齐!,拖库,态势,黑产,APT,金融,工业,运营商,1、组网方式随意性强,缺乏统一规划 2、网络区域之间边界不清晰,互连互通没有统一控制规范 3、安全防护手段部署原则不明确,1、无法有效隔离不同业务领域,跨业务领域的非授权互访难于发现和控制 2、不能及时的发现安全事件和响应 3、第三方维护人员缺乏访问控制和授权 4、关键服务器、信息资产的缺乏重点防护,现状:,问题:,拖库,态势
10、,黑产,APT,金融,工业,运营商,结合承载网、业务系统及支撑系统的现状,建立持续保障机制,能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。,业务保障原则,业务,目标是保证业务的可靠性、连续性。 充分认知业务对象,严谨定位业务范围。 结合业务自身特性,准确识别和分析业务数据流。,拖库,态势,黑产,APT,金融,工业,运营商,明确防护需求,对系统、风险、安全需求进行分析和修正,从而建立组网原则。使整个网络变得更加简单,简单的网络结构便于设计防护体系。安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。,结构化原则,简化,目标是复
11、杂的业务网络结构化、简单化。 明确业务防护需求,充分识别业务风险。 细化分解业务模块,便于使用、利于防护、利于管理。 整体结构、安全域之间、功能和边界的简化、简洁。,政府,每天大约有12个政府网站被国外组织攻击,绿盟科技巨人背后的专家,P军队、公安涉密,绿盟科技巨人背后的安全专家,谢谢!,人有了知识,就会具备各种分析能力, 明辨是非的能力。 所以我们要勤恳读书,广泛阅读, 古人说“书中自有黄金屋。 ”通过阅读科技书籍,我们能丰富知识, 培养逻辑思维能力; 通过阅读文学作品,我们能提高文学鉴赏水平, 培养文学情趣; 通过阅读报刊,我们能增长见识,扩大自己的知识面。 有许多书籍还能培养我们的道德情操, 给我们巨大的精神力量, 鼓舞我们前进。,
