(附讲稿全文和PPT)百度讲师:以struts2 为例,教你打造一款互联网思维的安全防御 | 硬创公开课
小明和小红是邻居。 小明会点儿技术,他暗恋小红。 但是情商低的小明在小红不知情的情况下,入侵了邻居小红的网络,顺手从小红电脑里偷出了小红的各种生活照,并做了轰天动地的表白网站,配上了这些图,自以为特别成功地发给了小红。 小明,卒。 表白不成功不是啥事。世界上最痛苦的事儿,莫过于有人入侵了你家的网络,你却不知道。互联网早已经变成了一个没有硝烟的战场。 对个人用户而言,可能是隐私信息、电子财产被盗等,对企业网络而言,形势可能更严峻。 无时无刻,有成千上万的扫描器在不停地扫,有各种各样的系统、中间件、web 程序被曝出漏洞。有那么一群人,为了盗取用户数据、发动DDoS攻击、勒索等,疯狂发起攻击。 其实攻击并不可怕,有数据显示,98%的攻击都是试探性的。可怕的是攻击成功——入侵。如何抵抗入侵、及早发现入侵,甚至在萌芽阶段就能阻止入侵,对一个企业网络异常重要。 3月15日,百度安全资深安全工程师小灰灰在小编()硬创公开课中,按照自己的实操经验,详细讲解了如何建立一个有效的企业级安全防御。 嘉宾简介小灰灰,百度安全资深安全工程师,主要负责百度业务应急响应、入侵排查、0Day 分析等,同时是百度安全监控体系建设技术负责人。主要技术攻关方向为 Web 安全及硬件安全。 视频讲稿由于曾就职在乙方安全公司,现在负责甲方安全,所以对整体的国内安全状态、各方优势以及存在的一些不足都有一些理解&感触。 整体上来看,国内以BAT为首的互联网公司,安全地位都比较高,整体研发能力也很强,基本上各大的安全系统都是自研,灵活性、效果、性能方面都有较大的优势。而国内一些中小型企业,由于整体人员分配、资金投入、业务安全风险等各方面原因吧,处于想做安全但是人力不足、专业技能人员不足,主要靠大量的购买盒子类产品、安全服务等保障公司网络安全。 上图是我亲身经历的很多 case 挑了几个典型代表。可以看见,针对这些安全研发能力一般的(估计这方面研发能力强的,也只有大型互联网公司+一些金融机构了)公司,看起来像是投入了很多资源,也很重视安全(一些定期汇报之类的),但是实际效果其实很差。不是他们不想做好,只是可能缺少了正确的方法。 那么试想下,当前两天的struts2 远程命令漏洞来了,可以预见到,这些企业大多都会被无情的入侵。工程师早上上班一来,发现页面被人改了、数据被人偷了、还搞了个locky病毒:要想赎回数据,请交钱。 所以我希望我能通过介绍互联网公司的,包含理念和具体方法的最佳实践,能够帮助这些企业在安全建设方面开拓些思路,改善下当前买了安全、做了安全但又经常处处挨打的处境。 知己知彼,百战不殆。首先我们来看看黑客们都是如何入侵到企业网络中的,以及他们都做了什么恶事儿。 看起来,他们还是有几个主要途径的,这里面最重要的莫过于web系统了。暴露的服务越多,遭受攻击的可能性就越大。而且黑客获取服务器权限后还会进一步漫游内网,获取更多资源。 说到web系统,不得不提扫描器。其实黑客大多数也很忙,没有时间针对每个网站一点点人工测试,大多数是这么做的:开一堆扫描器,任其疯狂扫描,坐等最终结果。如果结果中有了一些中高危漏洞,他们便尝试去利用,这时候才开始针对性测试。所以,扫描算是一个重要入口了吧,如果能挡住点扫描行为,扰乱扫描器这群傻机器,其实也可以很大程度上增强安全性了。 对webserver进行些加固、用个效果不错的waf抵挡扫描器的探测、同时自己也用扫描器提前扫一下,针对已知漏洞还是有很大效果的。 但是针对struts2 s2-045 这样的0day漏洞,效果就很有限了。那如何在0day下,也有一部分的防御&感知能力呢? 由于是0day,第一时间: 没有规则,无法拦截 没有poc详情,无法扫描 但是,利用漏洞必定会 有攻击路径 特征(主要是 已入侵,得到shell的方法) 行为(主要是进一步攻击,漫游,扩大战果) 所以这时,用安全监控作为弥补,感知已入侵的入侵特征和行为,及时发现黑客入侵并应急处置,将变得异常重要和有效。 下面,我会从这三个方面给大家介绍下互联网公司一般是如何做的,以及需要注意的问题。着重讲下安全监控的思路。其中的一些实践经验总结来自于大量的攻防对抗、入侵排查、0day应急处理。 (编辑:ASP站长网) |