Download
1 / 32
320 likes | 500 Views
重要行业信息系统安全风险. 李陆 ( Lee ) lilu2@nsfocus.com. 爱生活,爱工作 爱家庭,爱老婆 爱远行,也爱宅在家玩技术 我不是黑客,也不是大牛 我是不起眼的人,我和你一样在信息安全里平凡 我是 Lee ,我来自绿盟科技 wataru@eviloctal.com. 黑产. 拖库. 网络战. APT. 金融. 政府. 运营商. 能源. 金融. 工业. 运营商. 政府. 态势. 4-6 亿. 态势. 拖库. 黑产. APT. 金融. 工业. 运营商. 普通青年. IT 青年. 文艺青年.
E N D
重要行业信息系统安全风险 • 李陆 (Lee) • lilu2@nsfocus.com
爱生活,爱工作爱家庭,爱老婆爱远行,也爱宅在家玩技术我不是黑客,也不是大牛我是不起眼的人,我和你一样在信息安全里平凡我是Lee,我来自绿盟科技wataru@eviloctal.com爱生活,爱工作爱家庭,爱老婆爱远行,也爱宅在家玩技术我不是黑客,也不是大牛我是不起眼的人,我和你一样在信息安全里平凡我是Lee,我来自绿盟科技wataru@eviloctal.com
黑产 拖库 网络战 APT 金融 政府 运营商 能源 金融 工业 运营商 政府 态势
4-6亿 态势 拖库 黑产 APT 金融 工业 运营商
普通青年 • IT青年 • 文艺青年 han-shansi.location()!∈[gusucity] hold?fish:palm FLZX3000cY4yhl9day ppnn13%dkst-Feb.1st 123456 1234567 12345678 123456789 11111111 1qaz2wsx 1q2w3e qwerasdf 5201314 飞流直下三千尺,疑似银河落九天 娉娉袅袅十三余,豆蔻梢头二月初 姑苏城外寒山寺 鱼和熊掌不可兼得 态势 拖库 黑产 APT 金融 工业 运营商
态势 拖库 黑产 APT 金融 工业 运营商
APT特点及趋势 • 周密完善且目标明确的信息搜集 • 不计成本的挖掘/购买0day漏洞 • 多种方式组合渗透、定向扩散 • 长期持续攻击 态势 拖库 黑产 APT 金融 工业 运营商
极光行动 夜龙攻击 伊朗核电站病毒 暗鼠行动 06 07 08 09 10 11 12 13 14 2005 态势 拖库 黑产 APT 金融 工业 运营商
态势 拖库 黑产 APT 金融 工业 运营商
终端机安全 • 架构上分为现金类自助终端(有现金交互)和非现金类自助终端 • 国内应用:银行、运营商、税务、政府、证券、传媒 • X86架构,windows操作系统 态势 拖库 黑产 APT 金融 工业 运营商
全触摸型自助服务终端机 • 数字型:提供只有数字和基本功能按键的虚拟键盘; • 字母型:提供英文字母(有些有符号)、数字虚拟键盘; • 无键盘、虚拟键盘型 态势 拖库 黑产 APT 金融 工业 运营商
金融类:自助缴费机、自助查询机、自助订票机等金融类:自助缴费机、自助查询机、自助订票机等 • 其他:排队机、优惠卷打印机等 态势 拖库 黑产 APT 金融 工业 运营商
键盘集成型自助服务终端机 • 带触摸板的非标准金属键盘(屏蔽了shift,ctrl,alt,tab,win等功能键) • 数字加密盘型 态势 拖库 黑产 APT 金融 工业 运营商
金融类:自助报税机、自助订票机、网银体验机等金融类:自助报税机、自助订票机、网银体验机等 • 其他:自助查询机等 态势 拖库 黑产 APT 金融 工业 运营商
通用保护程序 • 屏蔽了功能键:ctrl、shift、alt、win、tab、鼠标右键等; • 保持自身程序始终处于所有程序前段,并保持全屏; • 程序出错或结束自动锁屏并自动重启程序; • 只能允许访问自身域名(含子域名)及内网资源; • 禁止下载运行程序,自动结束当前窗口的系统交互(如:浏览附件) 态势 拖库 黑产 APT 金融 工业 运营商
“帮助提示” • 1、将鼠标指针移至Flash界面、文字、控件按压超X秒弹出菜单; • 2、将某个控件、文字压按并拖拽到其他控件,触发错误窗口; • 3、输入错误字符触发弹窗; • 4、浏览器绕过; • 5、输入法绕过; • 6、蓝牙配对绕过; • 7、软件升级绕过; 态势 拖库 黑产 APT 金融 工业 运营商
“第三方交互” • 1、利用“打印”打印机调用; • 2、利用证书交互导入/导出; • 3、第三方组件、控件调用; • 4、邮件地址超链接调用outlook; • 5、跨站; 态势 拖库 黑产 APT 金融 工业 运营商
“畸形数据”与架构问题 • 1、提交畸形数据; • 2、通过非现金终端入侵现金终端; • 3、ATM自身架构问题; 出入钞闸口、读卡器通常是自身架构比较容易出问题的地方,插卡后ATM会检测出入钞模块、读卡器模块、打印机等硬件是否正常,如果必要硬件状态异常或者ATMC无法连接ATMP则会停止交易,在停止交易的过程中ATMC最容易产生错误; 态势 拖库 黑产 APT 金融 工业 运营商
态势 拖库 黑产 APT 金融 工业 运营商
专门攻击工业控制系统软件 震网病毒Stuxnet 的攻击目标直指西门子公司的SIMATIC WinCC 系统,这是一种运行于Windows平台的数据采集与监视控制(SCADA)系统,被广泛应用于钢铁、汽车、电力、运输、水利、化工、石油等工业领域。Stuxnet 利用了该系统的两个漏洞。这是一次专门针对工业控制系统的攻击 变电站61860规约 态势 拖库 黑产 APT 金融 工业 运营商
重要的工业控制系统 • 1、核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热; • 2、10人以上死亡或50人以上重伤; • 3、5000万元以上直接经济损失; • 4、影响100万人以上正常生活; • 5、对国家安全、社会秩序、经济建设和公共利益产生重大影响等严重后果; • 系统类型 • 1、数据采集与监控(SCADA)系统; • 2、分布式控制系统(DCS); • 3、可编程控制器(PLC); • 4、其他; 态势 拖库 黑产 APT 金融 工业 运营商
针对SCADA应用层的简单基线检查 • 1、web端; • 常见的web漏洞:SQL注入、权限绕过、中间件、上传漏洞、弱口令; • 2、数据服务器 • 弱口令、溢出; • 3、软件平台 • 溢出、嗅探; 态势 拖库 黑产 APT 金融 工业 运营商
你的门禁卡安全吗? • 无人值守厂站、中心机房监控盲点、第三方维护人员、路过的人?! 态势 拖库 黑产 APT 金融 工业 运营商
态势 拖库 黑产 APT 金融 工业 运营商
对传统DDOS的防御? • NTP Reply Flood(感谢NSFOCUS同事林鑫的研究) • Monlist命令:返回NTP进行过同步的最后600个客户端IP地址;(发小包回大包) • 1、不能保证每台NTP服务器都有600个客户端相联,因此要伪造600个同步请求; • 2、向多个NTP服务器发送monlist命令,伪造源地址为攻击目标; • 攻击的成本 • 1、网络上约有100-200台稳定支持monlist命令的NTP服务器; • 2、理想状况下一个monlist请求包可以返回自己大小300-500倍的返回包; • 3、那么10M的攻击量可以返回接近3G-5G的流量 • 业务逻辑?——正常操作不等于合法操作 • 核心业务:CRM、4A平台 • 重要业务平台外网可以直接访问?!!! • 重要业务平台(营业厅)在凌晨任然可以充值?!!! • 第三方合作伙伴、软件供应商? • 运营商业务系统外包商质量参差不齐!!! 态势 拖库 黑产 APT 金融 工业 运营商
计算域 维护域 网络域 服务域 现状: 问题: 1、组网方式随意性强,缺乏统一规划 2、网络区域之间边界不清晰,互连互通没有统一控制规范 3、安全防护手段部署原则不明确 1、无法有效隔离不同业务领域,跨业务领域的非授权互访难于发现和控制 2、不能及时的发现安全事件和响应 3、第三方维护人员缺乏访问控制和授权 4、关键服务器、信息资产的缺乏重点防护 态势 拖库 黑产 APT 金融 工业 运营商
业务 • 目标是保证业务的可靠性、连续性。 • 充分认知业务对象,严谨定位业务范围。 • 结合业务自身特性,准确识别和分析业务数据流。 业务保障原则 结合承载网、业务系统及支撑系统的现状,建立持续保障机制,能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。 态势 拖库 黑产 APT 金融 工业 运营商
简化 • 目标是复杂的业务网络结构化、简单化。 • 明确业务防护需求,充分识别业务风险。 • 细化分解业务模块,便于使用、利于防护、利于管理。 • 整体结构、安全域之间、功能和边界的简化、简洁。 结构化原则 • 明确防护需求,对系统、风险、安全需求进行分析和修正,从而建立组网原则。使整个网络变得更加简单,简单的网络结构便于设计防护体系。安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。 态势 拖库 黑产 APT 金融 工业 运营商
绿盟科技——巨人背后的安全专家 P军队、公安涉密
