2016年10月20號到22號三天,聚集全中國互聯網技術及相關領域核心人才的交流大會 -- QCon在上海召開。QCon(即全球軟件開發大會)是由InfoQ主辦的全球頂級技術盛會,每年在倫敦、舊金山、紐約、東京、北京、上海等全球各個城市召開。大會采取嘉賓演講和自由討論兩種方式,邀請技術領域有五年及以上經驗的從業者,和在行業內已經形成深度影響力的專業技術團隊及負責人,分享和討論最新的技術前沿,激發技術從業人員最大的潛能。
QCon邀請到國內頂尖技術大拿,各自分享其專業領域的前沿技術與思路。大會演講包含了前端技術實踐、網絡安全攻防、移動開發新技術與實踐、大數據分析與應用等27個主題,全方位解讀業界最新趨勢,帶來技術領域從前端到底層技術的深刻洞悉。來自全球互聯網多個領域的高質量實踐總結:例如eBay分析平臺基礎架構部門高級軟件工程師分享了《構建React同構應用及優化》; 華為軟件云平臺資深架構師帶來了《大型企業云平臺架構和關鍵技術實踐》知識;平安證券大數據服務組技術總監發表了《基于Hive/ES金融大數據指標系統》;北京長亭科技有限公司首席安全官王依民以《黑客達到目的的方式》為題講解了企業核心數據安全可能被攻破的路徑等。
互聯網時代大潮來勢洶洶,移動互聯的迅猛發展讓企業頭頂懸起達摩克利斯之劍。企業核心數據安全在一些情況下扼住了其動脈。今年9月中旬,據騰訊科技、香港文匯報等媒體報道稱:雅虎被名為“Peace”的黑客團體攻擊,五億用戶信息被盜取。這一巨大數據安全危機或將導致其同年7月與美國電信巨頭Verizon達成的48億核心資產收購協議泡湯;2016年7月18日,新京報頭條報道“30省份275名艾滋病患者遇詐騙電話”,艾滋病感染者的個人信息遭大面積泄露,在互聯網時代,這些事件背后的原因與網絡安全的疏忽無法撇清關系。
基于以上事實,長亭科技首席安全官王依民在此次大會上,模擬黑客思維,詳細解析了獲取企業核心數據路徑中的四種手段。以企業員工、運維、應用或者社會工程學等方式作為突破口,深度分析了安全風險暴露的影響和原因。當下網絡環境中,任何有信息交互的地方都可能存在漏洞威脅。首先,當今黑客慣用的手段是從員工信息入手,多渠道搜集目標企業的員工信息并加以利用,根據姓名字典等工具輔助拿到員工的工作郵箱、OA、VPN等內部系統的登陸名,通過邏輯推理、撞庫、釣魚欺騙等方式獲取口令;其次,網站的運維管理過程中,第三方組件升級的不及時也會成為黑客的惡意攻擊點,企業在建站過程中,會二次開發使用常見的開源CMS系統,這些系統受黑客關注度高,漏洞暴露幾率大,而運維人員又非常容易忘記及時查補漏洞,給黑客留下可乘之機;或者使用struts等經常出現安全問題的應用框架,也極大增加了網站的安全風險;此外,在網站應用中隱藏較深的漏洞一般存在于沒有使用的JS或自有協議中,這些隱藏點常規掃描器和滲透測試難以發現;目前最為復雜且較難防御,并且成功率高的威脅是社會工程學攻擊,王依民例舉了長亭科技的以往案例,生動講解了如何通過社會工程學方法,誘騙目標企業員工運行惡意執行代碼,以達到竊取核心數據的目的。
知己知彼,百戰不殆適用于每一個戰場,在企業網絡安全防護領域同樣。長亭科技利用同樣的經驗,在網絡安全攻防場上與黑客斗智斗勇,為企業核心數據安全保駕護航。
