2016年10月20號到22號三天,聚集全中國互聯(lián)網(wǎng)技術及相關領域核心人才的交流大會 -- QCon在上海召開�。QCon(即全球軟件開發(fā)大會)是由InfoQ主辦的全球頂級技術盛會�,每年在倫敦、舊金山�、紐約、東京����、北京�����、上海等全球各個城市召開�。大會采取嘉賓演講和自由討論兩種方式�,邀請技術領域有五年及以上經驗的從業(yè)者,和在行業(yè)內已經形成深度影響力的專業(yè)技術團隊及負責人�����,分享和討論最新的技術前沿�,激發(fā)技術從業(yè)人員最大的潛能���。
長亭科技首席安全官王依民
QCon邀請到國內頂尖技術大拿���,各自分享其專業(yè)領域的前沿技術與思路����。大會演講包含了前端技術實踐、網(wǎng)絡安全攻防、移動開發(fā)新技術與實踐、大數(shù)據(jù)分析與應用等27個主題���,全方位解讀業(yè)界最新趨勢,帶來技術領域從前端到底層技術的深刻洞悉。來自全球互聯(lián)網(wǎng)多個領域的高質量實踐總結:例如eBay分析平臺基礎架構部門高級軟件工程師分享了《構建React同構應用及優(yōu)化》���; 華為軟件云平臺資深架構師帶來了《大型企業(yè)云平臺架構和關鍵技術實踐》知識;平安證券大數(shù)據(jù)服務組技術總監(jiān)發(fā)表了《基于Hive/ES金融大數(shù)據(jù)指標系統(tǒng)》;北京長亭科技有限公司首席安全官王依民以《黑客達到目的的方式》為題講解了企業(yè)核心數(shù)據(jù)安全可能被攻破的路徑等��。
互聯(lián)網(wǎng)時代大潮來勢洶洶�,移動互聯(lián)的迅猛發(fā)展讓企業(yè)頭頂懸起達摩克利斯之劍。企業(yè)核心數(shù)據(jù)安全在一些情況下扼住了其動脈。今年9月中旬�����,據(jù)騰訊科技��、香港文匯報等媒體報道稱:雅虎被名為“Peace”的黑客團體攻擊�����,五億用戶信息被盜取���。這一巨大數(shù)據(jù)安全危機或將導致其同年7月與美國電信巨頭Verizon達成的48億核心資產收購協(xié)議泡湯����;2016年7月18日��,新京報頭條報道“30省份275名艾滋病患者遇詐騙電話”,艾滋病感染者的個人信息遭大面積泄露,在互聯(lián)網(wǎng)時代�,這些事件背后的原因與網(wǎng)絡安全的疏忽無法撇清關系�����。
基于以上事實,長亭科技首席安全官王依民在此次大會上,模擬黑客思維�����,詳細解析了獲取企業(yè)核心數(shù)據(jù)路徑中的四種手段�。以企業(yè)員工、運維、應用或者社會工程學等方式作為突破口���,深度分析了安全風險暴露的影響和原因。當下網(wǎng)絡環(huán)境中����,任何有信息交互的地方都可能存在漏洞威脅�。首先��,當今黑客慣用的手段是從員工信息入手���,多渠道搜集目標企業(yè)的員工信息并加以利用�,根據(jù)姓名字典等工具輔助拿到員工的工作郵箱���、OA��、VPN等內部系統(tǒng)的登陸名�,通過邏輯推理�����、撞庫�、釣魚欺騙等方式獲取口令�;其次��,網(wǎng)站的運維管理過程中�,第三方組件升級的不及時也會成為黑客的惡意攻擊點����,企業(yè)在建站過程中,會二次開發(fā)使用常見的開源CMS系統(tǒng)��,這些系統(tǒng)受黑客關注度高�����,漏洞暴露幾率大����,而運維人員又非常容易忘記及時查補漏洞����,給黑客留下可乘之機;或者使用struts等經常出現(xiàn)安全問題的應用框架����,也極大增加了網(wǎng)站的安全風險���;此外�����,在網(wǎng)站應用中隱藏較深的漏洞一般存在于沒有使用的JS或自有協(xié)議中,這些隱藏點常規(guī)掃描器和滲透測試難以發(fā)現(xiàn)�����;目前最為復雜且較難防御���,并且成功率高的威脅是社會工程學攻擊��,王依民例舉了長亭科技的以往案例��,生動講解了如何通過社會工程學方法,誘騙目標企業(yè)員工運行惡意執(zhí)行代碼�,以達到竊取核心數(shù)據(jù)的目的�。
知己知彼���,百戰(zhàn)不殆適用于每一個戰(zhàn)場����,在企業(yè)網(wǎng)絡安全防護領域同樣。長亭科技利用同樣的經驗�����,在網(wǎng)絡安全攻防場上與黑客斗智斗勇�����,為企業(yè)核心數(shù)據(jù)安全保駕護航����。
