1、重要行业信息系统安全风险,李陆 (Lee) ,爱生活,爱工作爱家庭,爱老婆爱远行,也爱宅在家玩技术我不是黑客,也不是大牛我是不起眼的人,我和你一样在信息安全里平凡我是Lee,我来自绿盟科技,态势,拖库,能源,运营商,APT,金融,黑产,政府,网络战,运营商,工业,金融,政府,拖库,态势,黑产,APT,金融,工业,运营商,4-6亿,拖库,态势,黑产,APT,金融,工业,运营商,飞流直下三千尺,疑似银河落九天,娉娉袅袅十三余,豆蔻梢头二月初,姑苏城外寒山寺,鱼和熊掌不可兼得,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,APT特点及趋势周密完善且目标明
2、确的信息搜集不计成本的挖掘/购买0day漏洞多种方式组合渗透、定向扩散长期持续攻击,拖库,态势,黑产,APT,金融,工业,运营商,2005,06,07,08,09,10,11,12,13,14,暗鼠行动,伊朗核电站病毒,夜龙攻击,极光行动,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,终端机安全架构上分为现金类自助终端(有现金交互)和非现金类自助终端国内应用:银行、运营商、税务、政府、证券、传媒X86架构,windows操作系统,拖库,态势,黑产,APT,金融,工业,运营商,全触摸型自助服务终端机数字型:提供只有数字和基本功能按键的虚拟键盘;字母型
3、:提供英文字母(有些有符号)、数字虚拟键盘;无键盘、虚拟键盘型,拖库,态势,黑产,APT,金融,工业,运营商,金融类:自助缴费机、自助查询机、自助订票机等其他:排队机、优惠卷打印机等,拖库,态势,黑产,APT,金融,工业,运营商,键盘集成型自助服务终端机带触摸板的非标准金属键盘(屏蔽了shift,ctrl,alt,tab,win等功能键)数字加密盘型,拖库,态势,黑产,APT,金融,工业,运营商,金融类:自助报税机、自助订票机、网银体验机等其他:自助查询机等,拖库,态势,黑产,APT,金融,工业,运营商,通用保护程序屏蔽了功能键:ctrl、shift、alt、win、tab、鼠标右键等;保持自
4、身程序始终处于所有程序前段,并保持全屏;程序出错或结束自动锁屏并自动重启程序;只能允许访问自身域名(含子域名)及内网资源;禁止下载运行程序,自动结束当前窗口的系统交互(如:浏览附件),拖库,态势,黑产,APT,金融,工业,运营商,“帮助提示”1、将鼠标指针移至Flash界面、文字、控件按压超X秒弹出菜单;2、将某个控件、文字压按并拖拽到其他控件,触发错误窗口;3、输入错误字符触发弹窗;4、浏览器绕过;5、输入法绕过;6、蓝牙配对绕过;7、软件升级绕过;,拖库,态势,黑产,APT,金融,工业,运营商,“第三方交互”1、利用“打印”打印机调用;2、利用证书交互导入/导出;3、第三方组件、控件调用;
5、4、邮件地址超链接调用outlook;5、跨站;,拖库,态势,黑产,APT,金融,工业,运营商,“畸形数据”与架构问题1、提交畸形数据;2、通过非现金终端入侵现金终端;3、ATM自身架构问题;,出入钞闸口、读卡器通常是自身架构比较容易出问题的地方,插卡后ATM会检测出入钞模块、读卡器模块、打印机等硬件是否正常,如果必要硬件状态异常或者ATMC无法连接ATMP则会停止交易,在停止交易的过程中ATMC最容易产生错误;,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,专门攻击工业控制系统软件,震网病毒Stuxnet 的攻击目标直指西门子公司的SIMATIC
6、 WinCC 系统,这是一种运行于Windows平台的数据采集与监视控制(SCADA)系统,被广泛应用于钢铁、汽车、电力、运输、水利、化工、石油等工业领域。Stuxnet 利用了该系统的两个漏洞。这是一次专门针对工业控制系统的攻击变电站61860规约,拖库,态势,黑产,APT,金融,工业,运营商,重要的工业控制系统1、核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热;2、10人以上死亡或50人以上重伤;3、5000万元以上直接经济损失;4、影响100万人以上正常生活;5、对国家安全、社会秩序、经济建设和公共利益产生重大影
7、响等严重后果;系统类型1、数据采集与监控(SCADA)系统;2、分布式控制系统(DCS);3、可编程控制器(PLC);4、其他;,拖库,态势,黑产,APT,金融,工业,运营商,针对SCADA应用层的简单基线检查1、web端;常见的web漏洞:SQL注入、权限绕过、中间件、上传漏洞、弱口令;2、数据服务器弱口令、溢出;3、软件平台溢出、嗅探;,拖库,态势,黑产,APT,金融,工业,运营商,你的门禁卡安全吗?无人值守厂站、中心机房监控盲点、第三方维护人员、路过的人?!,拖库,态势,黑产,APT,金融,工业,运营商,拖库,态势,黑产,APT,金融,工业,运营商,对传统DDOS的防御?NTP Repl
8、y Flood(感谢NSFOCUS同事林鑫的研究)Monlist命令:返回NTP进行过同步的最后600个客户端IP地址;(发小包回大包)1、不能保证每台NTP服务器都有600个客户端相联,因此要伪造600个同步请求;2、向多个NTP服务器发送monlist命令,伪造源地址为攻击目标;攻击的成本1、网络上约有100-200台稳定支持monlist命令的NTP服务器;2、理想状况下一个monlist请求包可以返回自己大小300-500倍的返回包;3、那么10M的攻击量可以返回接近3G-5G的流量业务逻辑?正常操作不等于合法操作核心业务:CRM、4A平台重要业务平台外网可以直接访问?!重要业务平台(
9、营业厅)在凌晨任然可以充值?!第三方合作伙伴、软件供应商?运营商业务系统外包商质量参差不齐!,拖库,态势,黑产,APT,金融,工业,运营商,1、组网方式随意性强,缺乏统一规划2、网络区域之间边界不清晰,互连互通没有统一控制规范3、安全防护手段部署原则不明确,1、无法有效隔离不同业务领域,跨业务领域的非授权互访难于发现和控制2、不能及时的发现安全事件和响应3、第三方维护人员缺乏访问控制和授权4、关键服务器、信息资产的缺乏重点防护,现状:,问题:,拖库,态势,黑产,APT,金融,工业,运营商,结合承载网、业务系统及支撑系统的现状,建立持续保障机制,能够更好的保障网络上承载的业务。在保证安全的同时,
10、还要保障业务的正常运行和运行效率。,业务保障原则,业务,目标是保证业务的可靠性、连续性。充分认知业务对象,严谨定位业务范围。结合业务自身特性,准确识别和分析业务数据流。,拖库,态势,黑产,APT,金融,工业,运营商,明确防护需求,对系统、风险、安全需求进行分析和修正,从而建立组网原则。使整个网络变得更加简单,简单的网络结构便于设计防护体系。安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。,结构化原则,简化,目标是复杂的业务网络结构化、简单化。明确业务防护需求,充分识别业务风险。细化分解业务模块,便于使用、利于防护、利于管理。整体结构、安全域之间、功能和边界的简化、简洁。,政府,每天大约有12个政府网站被国外组织攻击,绿盟科技巨人背后的专家,P军队、公安涉密,绿盟科技巨人背后的安全专家,谢谢!,
