信息安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施

信息安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施1、加密勒索說(shuō)到信息安全，大家可能想到的是DDoS、丟數(shù)據(jù)等，其實(shí)在企業(yè)中做安全，核心就是兩句話，這是以前某銀行分管科技的副行長(zhǎng)說(shuō)的，就是“服務(wù)不斷，數(shù)據(jù)不丟”。比如我們現(xiàn)在說(shuō)的勒索，1可能代表服務(wù)掛了，2可能代表數(shù)據(jù)沒(méi)了，所以用這兩句話去套各種各樣的事件，你會(huì)發(fā)現(xiàn)所有的事情歸根到底要解決的問(wèn)題就是服務(wù)不斷和數(shù)據(jù)不丟，我們將其稱為可用性和保密性。加密勒索為什么特別頻繁呢？我覺(jué)得絕大多數(shù)初創(chuàng)企業(yè)都不具備被專業(yè)黑客組織盯上并進(jìn)行長(zhǎng)期潛伏和攻擊的價(jià)值。但是勒索的成本非常低，可復(fù)制性非常強(qiáng)，因此可以采取廣撒網(wǎng)、多撈魚的邏輯。我上半年就收到兩個(gè)朋友的咨詢，詢問(wèn)被勒索了該怎么辦，了解情況以后發(fā)現(xiàn)攻擊者的手法都非常傳統(tǒng)、簡(jiǎn)單。勒索軟件的傳播途徑有很多，比如2017年爆出永恒之藍(lán)，至今仍有很多勒索在利用這個(gè)漏洞。絕大多數(shù)公司在初創(chuàng)的時(shí)候?qū)Ψ?wù)開(kāi)啟和管理員權(quán)限是沒(méi)有控制的，這樣的情況會(huì)導(dǎo)致，一旦一臺(tái)機(jī)器失陷，可能連累大片服務(wù)受影響，因?yàn)楹芏嗬账鬈浖际峭ㄟ^(guò)漏洞利用在內(nèi)網(wǎng)進(jìn)行自動(dòng)化傳播的。1）勒索軟件的攻擊面勒索進(jìn)入的地方其實(shí)主要常見(jiàn)的是盜版、破解軟件。我認(rèn)為只要付費(fèi)軟件有破解版、破解補(bǔ)丁、注冊(cè)機(jī)等，那么十有八九是有問(wèn)題的，用戶雖然換得了免費(fèi)的使用權(quán)，但是天下沒(méi)有免費(fèi)的午餐，所以其中很可能藏著一些安全隱患，會(huì)導(dǎo)致加密勒索、挖礦等問(wèn)題。其實(shí)加密勒索和挖礦的邏輯是一樣的，都是通過(guò)提供用戶所需的內(nèi)容，進(jìn)入其電腦獲取相應(yīng)的權(quán)限，再做后續(xù)處理。其中挖礦更加普遍，但傷害性相對(duì)較低，也容易發(fā)現(xiàn)，因?yàn)樗婕熬W(wǎng)絡(luò)流量的通信，可以通過(guò)一些旁路的流量探測(cè)手段來(lái)發(fā)現(xiàn)。而勒索的傷害性比較大，它的傳播途徑除了剛才我們說(shuō)的針對(duì)個(gè)人PC，還有運(yùn)維平臺(tái)或批量密碼的泄露、云助手AccessKey。比如大家做運(yùn)維管理可能都會(huì)用到的寶塔之類的管理工具，如果這些管理工具是直接按照初始化配置方式搭建的，或者本身的版本比較低，就可能會(huì)存在漏洞。這些漏洞如果暴露在公網(wǎng)上，就會(huì)被自動(dòng)化的攻擊盯上。我這里還要提一點(diǎn)，絕大多數(shù)的初創(chuàng)企業(yè)其實(shí)并不會(huì)面臨非常高級(jí)的攻擊，黑客往往都是通過(guò)掃描進(jìn)行批量化處理。2）勒索軟件的應(yīng)對(duì)措施?數(shù)據(jù)備份和定期恢復(fù)測(cè)試應(yīng)對(duì)勒索最有效的辦法是數(shù)據(jù)備份，不過(guò)，在很多情況下我們只注重備份，但是為了邏輯閉環(huán)，最好也做做恢復(fù)測(cè)試，保證數(shù)據(jù)備份之后可用。備份有很多種方式，比如虛機(jī)整體備份、鏡像或者數(shù)據(jù)庫(kù)備份、文件備份等，選擇依據(jù)是看側(cè)重點(diǎn)是什么。另外，還要做好備份機(jī)器的訪問(wèn)控制，比如一臺(tái)主服務(wù)器的數(shù)據(jù)被加密，如果備份機(jī)器的訪問(wèn)控制邏輯與這臺(tái)主服務(wù)器是一樣的，并且數(shù)據(jù)也加密了，那么備份就沒(méi)有非常大的意義了。所以如果要以最小化投入成本的方式來(lái)預(yù)防加密勒索風(fēng)險(xiǎn)，我們就需要花費(fèi)時(shí)間來(lái)搭建整個(gè)備份系統(tǒng)，并且收緊訪問(wèn)控制。?終端標(biāo)準(zhǔn)化和封禁高危端口勒索病毒的傳播，往往需要利用漏洞或者一些基礎(chǔ)網(wǎng)絡(luò)條件，所以我們也可以從終端標(biāo)準(zhǔn)化、網(wǎng)絡(luò)端口封禁的角度來(lái)考慮風(fēng)險(xiǎn)處置。不過(guò)，終端標(biāo)準(zhǔn)化需要企業(yè)具備一定的管理能力，網(wǎng)上有標(biāo)準(zhǔn)的安全基線，比如是否及時(shí)給Windows打補(bǔ)丁、服務(wù)器的系統(tǒng)版本是不是最新的、內(nèi)網(wǎng)的終端是否經(jīng)過(guò)標(biāo)準(zhǔn)化處理等。高危端口的封禁，是指勒索病毒傳播最常利用的445等高危的端口是否有用，如果沒(méi)用，就要進(jìn)行封禁。?訪問(wèn)控制收口-權(quán)限最小化處理在大型企業(yè)中其實(shí)這一點(diǎn)是比較治本的，而且它具備一定的管理邏輯。但是對(duì)于很多小企業(yè)來(lái)說(shuō)，其實(shí)權(quán)限最小化反而很容易，在資產(chǎn)相對(duì)比較少的情況下，大家只需要記住一點(diǎn)，就是默認(rèn)deny，如果有需要，才打開(kāi)權(quán)限，對(duì)某些服務(wù)只允許本地訪問(wèn)這樣的基本訪問(wèn)控制策略就可以了。?最后一招我們的很多企業(yè)主朋友中招之后來(lái)問(wèn)有沒(méi)有解密的辦法，其實(shí)網(wǎng)上有一些文章和網(wǎng)站可以參考，如果已經(jīng)公開(kāi)密鑰，有可能是解得開(kāi)的，但概率極小。從加密本身的算法邏輯角度來(lái)說(shuō)，如果受到加密勒索了，還能自己解開(kāi)，這是挑戰(zhàn)密碼學(xué)理論基礎(chǔ)的，所以沒(méi)有密鑰的人幾乎是不可能解開(kāi)的。那么有沒(méi)有補(bǔ)救的辦法呢？其實(shí)還有最后一招，可能可以嘗試一下，不一定100%成功，在電商交易平臺(tái)上搜索數(shù)據(jù)恢復(fù)之類的關(guān)鍵詞試試看。2、數(shù)據(jù)泄露整個(gè)全世界的數(shù)據(jù)泄露安全的形勢(shì)是極其嚴(yán)峻的，一個(gè)經(jīng)常使用互聯(lián)網(wǎng)的人在黑客或者社工庫(kù)的眼中相當(dāng)于是半裸奔的狀態(tài)。如果你在經(jīng)營(yíng)一家公司，其中沉淀了大量的用戶信息和數(shù)據(jù)，那么在什么樣的情況下可能會(huì)被黑客攻擊呢？1）數(shù)據(jù)泄露的攻擊面?Web滲透攻擊目前數(shù)據(jù)泄露的導(dǎo)火索最多的還是Web滲透攻擊。比如打開(kāi)一個(gè)網(wǎng)站，這個(gè)網(wǎng)站可能是用Spring搭建的一個(gè)Web服務(wù)，也有可能是用PHP寫的框架，又或者是用wordpress這種快速建站工具搭建的。如果我們只追求功能可用，往往就會(huì)存在很多安全漏洞，這些安全漏洞一方面可能是框架自帶的，還有一些是開(kāi)發(fā)人員因?yàn)楸旧淼乃交蛘甙踩珜用娴慕?jīng)驗(yàn)不足，導(dǎo)致處理邏輯不完善。比如圍繞賬號(hào)管理的注冊(cè)、登錄、找回密碼、重置密碼的一系列邏輯，這一系列邏輯如果存在疏漏，就可能會(huì)導(dǎo)致信息泄露發(fā)生，黑客通過(guò)爆破、撞庫(kù)方式都有可能獲取這些信息。?互聯(lián)網(wǎng)非授權(quán)如果一些創(chuàng)業(yè)者做的是數(shù)據(jù)基礎(chǔ)服務(wù)，那么其中就可能包含Redis、Zookeeper、Kafka等常用的技術(shù)組件。如果采用我們剛才說(shuō)的網(wǎng)絡(luò)配置，那么云服務(wù)器端口是要開(kāi)放互聯(lián)網(wǎng)訪問(wèn)還是本地訪問(wèn)？如果直接開(kāi)放到公網(wǎng)上，同時(shí)又不設(shè)任何的認(rèn)證授權(quán)保護(hù)，只有初始化設(shè)置，則會(huì)被全網(wǎng)掃描，從而導(dǎo)致數(shù)據(jù)泄露，還可能會(huì)遇到挖礦或者勒索這樣的問(wèn)題。?內(nèi)網(wǎng)滲透這是一些大企業(yè)經(jīng)常會(huì)遇到的，比如釣魚、破解軟件、水坑等攻擊方式。其中釣魚比較，俄烏戰(zhàn)爭(zhēng)當(dāng)中也有大量使用釣魚手法進(jìn)行基礎(chǔ)設(shè)施滲透的。水坑是指在某一個(gè)行業(yè)中往往會(huì)有一個(gè)社區(qū)，當(dāng)有工具需求的時(shí)候，黑客會(huì)在這些社區(qū)發(fā)一些你可能非常想要的東西，比如App的某個(gè)開(kāi)發(fā)工具特別好用，但這個(gè)工具是要付費(fèi)的，此時(shí)黑客會(huì)做一個(gè)后門，然后放在某一個(gè)論壇中，你獲取之后就會(huì)成為精準(zhǔn)定位的一個(gè)目標(biāo)人群。?郵件系統(tǒng)推薦大家使用云上的商業(yè)化的郵件系統(tǒng)，不要自己本地搭建，因?yàn)楸镜卮罱ㄠ]件系統(tǒng)可能會(huì)存在一些安全設(shè)置問(wèn)題，如果設(shè)置不當(dāng)，可能會(huì)出現(xiàn)安全隱患。攻擊者圍繞自建的郵件系統(tǒng)其實(shí)有一套非常成熟的打法，如果自建郵件系統(tǒng)被盯上，對(duì)抗強(qiáng)度會(huì)比較大。以上提到的幾種攻擊方式中，Web滲透攻擊和互聯(lián)網(wǎng)非授權(quán)對(duì)于Pass或者SaaS服務(wù)型公司來(lái)說(shuō)是尤為重要的。我們經(jīng)?？吹降木褪牵绻麑⒁恍㏒aaS服務(wù)直接放到公網(wǎng)上，那么通過(guò)Web漏洞方式其實(shí)是非常容易將其攻陷下來(lái)的，并且利用的工具也基本上全都是自動(dòng)化的。2）數(shù)據(jù)泄漏的防護(hù)措施數(shù)據(jù)泄露的防護(hù)方式其實(shí)真的是一個(gè)巨大的話題，在很多大公司中針對(duì)數(shù)據(jù)安全都有專門的崗位，甚至是專門的團(tuán)隊(duì)。但對(duì)于創(chuàng)業(yè)型或者初創(chuàng)型企業(yè)來(lái)說(shuō)，關(guān)心的是以下幾點(diǎn)。?Web漏洞大家可能會(huì)問(wèn)，怎么判斷采用的工具是否合適呢？我給大家一個(gè)建議，如果你使用某一個(gè)開(kāi)發(fā)框架，則可以在GitHub、Google或者百度上搜索框架版本和漏洞關(guān)鍵詞，如果是比較嚴(yán)重的漏洞，一般都能夠搜到，但是最新的版本相對(duì)來(lái)說(shuō)安全性會(huì)好一點(diǎn)。?訪問(wèn)控制對(duì)于訪問(wèn)控制我們要默認(rèn)deny，不要全部放到網(wǎng)上任意訪問(wèn)，而要有選擇性地開(kāi)放，進(jìn)行持續(xù)維護(hù)。?加密保護(hù)當(dāng)信息需要被加密保護(hù)的時(shí)候，最好把加密算法和密鑰的種子等寫到代碼中，因?yàn)橥ㄟ^(guò)二進(jìn)制編譯，它們相對(duì)來(lái)說(shuō)是受保護(hù)的。然后在服務(wù)器或者數(shù)據(jù)庫(kù)中存儲(chǔ)加密后的信息，這樣即使數(shù)據(jù)丟了其實(shí)也看不太到。?終端防護(hù)盜版軟件破解版中會(huì)留一些臟后門，如果小公司或者個(gè)人開(kāi)發(fā)者安裝了360或者其他殺毒軟件，都會(huì)起到非常好的保護(hù)效果，至少保證非常流行的病毒、后門、木馬是可以被查殺的。?其他另外，當(dāng)我們作為乙方跟一個(gè)比較大型的甲方談合作的時(shí)候，他們可能會(huì)質(zhì)疑你的數(shù)據(jù)安全保障能力，那么如何顯得自己對(duì)數(shù)據(jù)安全有一定的認(rèn)知和了解呢？有兩個(gè)關(guān)鍵點(diǎn)，首先是敏感數(shù)據(jù)的動(dòng)態(tài)流轉(zhuǎn)和靜態(tài)分布，以檢測(cè)敏感數(shù)據(jù)、存儲(chǔ)位置以及它的整體流向。如果對(duì)于這些都很清楚，說(shuō)明我們對(duì)數(shù)據(jù)的控制是非常有把握的，對(duì)方就會(huì)對(duì)你的認(rèn)知更有信心。其次，當(dāng)我們?cè)谝恍┍容^大的企業(yè)中做數(shù)據(jù)保護(hù)的時(shí)候要保證一個(gè)邏輯，就是“進(jìn)不來(lái)、摸不著、看不懂、拿不走、跑不掉”?！斑M(jìn)不來(lái)”是對(duì)邊界和訪問(wèn)控制的防護(hù)；“摸不著”是在應(yīng)用層做訪問(wèn)控制，其實(shí)前兩點(diǎn)都是做訪問(wèn)控制；“看不懂”是我們剛才講的加密；“拿不走”是對(duì)權(quán)限的控制；“跑不掉”涉及完整的對(duì)抗和溯源的問(wèn)題。那么，如何“動(dòng)動(dòng)手”就能避免數(shù)據(jù)安全風(fēng)險(xiǎn)？其實(shí)很多人都會(huì)提這樣的問(wèn)題——能不能直接通過(guò)一個(gè)產(chǎn)品就把問(wèn)題全都解決了？我的答案是沒(méi)有。我今天已經(jīng)介紹了常見(jiàn)的風(fēng)險(xiǎn)及其解決手段，但這些并不是一個(gè)產(chǎn)品就可以解決的。3、DDoS等其他網(wǎng)絡(luò)攻擊■圖2對(duì)于DDoS等其他的網(wǎng)絡(luò)攻擊如圖2所示，大家可能都知道，類似DDoS和CC這種攻擊就是通過(guò)流堆積或者頻繁發(fā)包將服務(wù)打掛。因?yàn)楹芏嘈⌒统鮿?chuàng)產(chǎn)品都是單體應(yīng)用，沒(méi)有負(fù)載均衡和監(jiān)控，也不涉及峰值的訪問(wèn)控制等，這意味著如果我們被盯上了，就可能被DDoS攻擊。CC攻擊的邏輯是，正常的API的接口會(huì)接收輸入，如果接收輸入的處理邏輯非常復(fù)雜，就會(huì)消耗后端的計(jì)算資源，或者導(dǎo)致等待連接。在這種情況下，如果持續(xù)提供輸入，但這些輸入中又包含著非常巨大的計(jì)算工作量，就會(huì)把服務(wù)端的機(jī)器拖垮。釣魚郵件前面已經(jīng)說(shuō)過(guò)了，這里不再贅述。第三個(gè)是BadUSB，我們常見(jiàn)的USB都是U盤，但是在安全行業(yè)中大家有一個(gè)共識(shí)，就是只要能物理接觸到一臺(tái)電腦，基本上就能獲得這臺(tái)機(jī)器的權(quán)限。我的U盤明明有殺毒控制的保護(hù)，為什么還會(huì)有這種風(fēng)險(xiǎn)存在呢？這里我們看到圖2中左側(cè)的BadUSB，它看起來(lái)像是一個(gè)U盤，但實(shí)際上它可能只是一個(gè)可編程的邏輯電路，因?yàn)槲覀兊腢SB接口不止能夠識(shí)別U盤，還可以識(shí)別鼠標(biāo)、鍵盤等，現(xiàn)在想象一下，這個(gè)U盤一樣的東西插進(jìn)來(lái)之后，被電腦識(shí)別成了一個(gè)鍵盤，它完全可以通過(guò)鍵盤操作的方式在你不知情的情況下載后門軟件并編譯執(zhí)行。所以如果在路上撿到一個(gè)U盤，千萬(wàn)不要用。其實(shí)不管是BadUSB，還是釣魚郵件，其實(shí)都是通過(guò)一些輸入性的東西，讓你在企業(yè)環(huán)境的內(nèi)部使用。之前Mac上有一款非常好用的工具Navicat，它就是一個(gè)數(shù)據(jù)庫(kù)的查詢管理工具，當(dāng)時(shí)有一個(gè)蘋果應(yīng)用網(wǎng)站提供的免費(fèi)版本中就被投毒了，影響范圍非常大。大家可以想象一下，數(shù)據(jù)庫(kù)管理工具中存著大量的數(shù)據(jù)庫(kù)信息，后門把這些信息全都拖走對(duì)企業(yè)造成的影響是可想而知的。1）如何通過(guò)標(biāo)準(zhǔn)化進(jìn)行安全防護(hù)那么我們做這些攻擊的防護(hù)時(shí)能怎么辦呢？我認(rèn)為可以通過(guò)標(biāo)準(zhǔn)化建設(shè)，來(lái)把防護(hù)的短板盡可能的拉升，主要包括對(duì)服務(wù)端和客戶終端的標(biāo)準(zhǔn)化。?服務(wù)端服務(wù)端的標(biāo)準(zhǔn)化主要包括網(wǎng)絡(luò)隔離、密碼密鑰管理、安全產(chǎn)品防護(hù)等。首先，網(wǎng)絡(luò)隔離在大企業(yè)中是必需的。因?yàn)榛ヂ?lián)網(wǎng)是環(huán)境是很復(fù)雜的，辦公環(huán)境中的電腦其實(shí)和互聯(lián)網(wǎng)的溝通是非常密切的，這意味著辦公環(huán)境往往也是非常不安全的。如果做好了生產(chǎn)環(huán)境和辦公環(huán)境之間的有效隔離，安全級(jí)別就會(huì)得到提升。其次，一定要保護(hù)好密碼和我們經(jīng)常用的key，尤其是做運(yùn)維開(kāi)發(fā)的朋友，請(qǐng)相信所有你們熟知的設(shè)置密碼的方法都一定在常用密碼庫(kù)里。比如你的SSH密碼設(shè)了8位或者十幾位，但都是非常簡(jiǎn)單的組合，那么當(dāng)你暴露在公網(wǎng)上時(shí)，一定會(huì)收到大量的root來(lái)連你的IP地址，經(jīng)常就是使用密碼字典去不斷嘗試，大家可以去看看自己的服務(wù)器是不是這個(gè)情況。?終端在終端這一側(cè)，