2016年10月20號到22號三天�,聚集全中國互聯網技術及相關領域核心人才的交流大會 -- QCon在上海召開���。QCon(即全球軟件開發大會)是由InfoQ主辦的全球頂級技術盛會���,每年在倫敦����、舊金山、紐約�、東京�����、北京、上海等全球各個城市召開�����。大會采取嘉賓演講和自由討論兩種方式�����,邀請技術領域有五年及以上經驗的從業者�����,和在行業內已經形成深度影響力的專業技術團隊及負責人,分享和討論最新的技術前沿����,激發技術從業人員最大的潛能����。
長亭科技首席安全官王依民
QCon邀請到國內頂尖技術大拿��,各自分享其專業領域的前沿技術與思路���。大會演講包含了前端技術實踐�����、網絡安全攻防、移動開發新技術與實踐�����、大數據分析與應用等27個主題�,全方位解讀業界最新趨勢,帶來技術領域從前端到底層技術的深刻洞悉���。來自全球互聯網多個領域的高質量實踐總結:例如eBay分析平臺基礎架構部門高級軟件工程師分享了《構建React同構應用及優化》; 華為軟件云平臺資深架構師帶來了《大型企業云平臺架構和關鍵技術實踐》知識���;平安證券大數據服務組技術總監發表了《基于Hive/ES金融大數據指標系統》;北京長亭科技有限公司首席安全官王依民以《黑客達到目的的方式》為題講解了企業核心數據安全可能被攻破的路徑等��。
互聯網時代大潮來勢洶洶��,移動互聯的迅猛發展讓企業頭頂懸起達摩克利斯之劍�����。企業核心數據安全在一些情況下扼住了其動脈。今年9月中旬��,據騰訊科技��、香港文匯報等媒體報道稱:雅虎被名為“Peace”的黑客團體攻擊,五億用戶信息被盜取。這一巨大數據安全危機或將導致其同年7月與美國電信巨頭Verizon達成的48億核心資產收購協議泡湯;2016年7月18日,新京報頭條報道“30省份275名艾滋病患者遇詐騙電話”����,艾滋病感染者的個人信息遭大面積泄露�����,在互聯網時代,這些事件背后的原因與網絡安全的疏忽無法撇清關系�。
基于以上事實��,長亭科技首席安全官王依民在此次大會上,模擬黑客思維,詳細解析了獲取企業核心數據路徑中的四種手段���。以企業員工、運維、應用或者社會工程學等方式作為突破口,深度分析了安全風險暴露的影響和原因���。當下網絡環境中,任何有信息交互的地方都可能存在漏洞威脅。首先�����,當今黑客慣用的手段是從員工信息入手�����,多渠道搜集目標企業的員工信息并加以利用��,根據姓名字典等工具輔助拿到員工的工作郵箱、OA、VPN等內部系統的登陸名����,通過邏輯推理����、撞庫����、釣魚欺騙等方式獲取口令�;其次���,網站的運維管理過程中��,第三方組件升級的不及時也會成為黑客的惡意攻擊點,企業在建站過程中,會二次開發使用常見的開源CMS系統���,這些系統受黑客關注度高,漏洞暴露幾率大,而運維人員又非常容易忘記及時查補漏洞�,給黑客留下可乘之機��;或者使用struts等經常出現安全問題的應用框架,也極大增加了網站的安全風險;此外,在網站應用中隱藏較深的漏洞一般存在于沒有使用的JS或自有協議中�,這些隱藏點常規掃描器和滲透測試難以發現��;目前最為復雜且較難防御,并且成功率高的威脅是社會工程學攻擊,王依民例舉了長亭科技的以往案例�����,生動講解了如何通過社會工程學方法��,誘騙目標企業員工運行惡意執行代碼���,以達到竊取核心數據的目的�����。
知己知彼,百戰不殆適用于每一個戰場���,在企業網絡安全防護領域同樣。長亭科技利用同樣的經驗�,在網絡安全攻防場上與黑客斗智斗勇,為企業核心數據安全保駕護航����。
