近日,由InfoQ主办的全球顶级技术盛会 -- QCon在上海召开。该大会采取嘉宾演讲和自由讨论两种方式,邀请技术领域有五年及以上经验的从业者,和在行业内已经形成深度影响力的专业技术团队及负责人,分享和讨论最新的技术前沿,激发技术从业人员最大的潜能。
此次QCon邀请到国内顶尖技术大拿,各自分享其专业领域的前沿技术与思路。大会演讲包含了前端技术实践、网络安全攻防、移动开发新技术与实践、大数据分析与应用等27个主题,全方位解读业界最新趋势,带来技术领域从前端到底层技术的深刻洞悉。来自全球互联网多个领域的高质量实践总结:例如eBay分析平台基础架构部门高级软件工程师分享了《构建React同构应用及优化》; 华为软件云平台资深架构师带来了《大型企业云平台架构和关键技术实践》知识;平安证券大数据服务组技术总监发表了《基于Hive/ES金融大数据指标系统》;北京长亭科技有限公司首席安全官王依民以《通往企业核心数据之路》为题讲解了企业核心数据安全可能被攻破的路径等。
互联网时代大潮来势汹汹,移动互联的迅猛发展让企业头顶悬起达摩克利斯之剑。企业核心数据安全在一些情况下扼住了其动脉。今年9月中旬,据腾讯科技、香港文汇报等媒体报道称:雅虎被名为“Peace”的黑客团体攻击,五亿用户信息被盗取。这一巨大数据安全危机或将导致其同年7月与美国电信巨头Verizon达成的48亿核心资产收购协议泡汤;2016年7月18日,新京报头条报道“30省份275名艾滋病患者遇诈骗电话”,艾滋病感染者的个人信息遭大面积泄露,在互联网时代,这些事件背后的原因与网络安全的疏忽无法撇清关系。
基于以上事实,长亭科技首席安全官王依民在此次大会上,模拟黑客思维,详细解析了获取企业核心数据路径中的四种手段。以企业员工、运维、应用或者社会工程学等方式作为突破口,深度分析了安全风险暴露的影响和原因。当下网络环境中,任何有信息交互的地方都可能存在漏洞威胁。首先,当今黑客惯用的手段是从员工信息入手,多渠道搜集目标企业的员工信息并加以利用,根据姓名字典等工具辅助拿到员工的工作邮箱、OA、VPN等内部系统的登陆名,通过逻辑推理、撞库、钓鱼欺骗等方式获取口令;其次,网站的运维管理过程中,第三方组件升级的不及时也会成为黑客的恶意攻击点,企业在建站过程中,会二次开发使用常见的开源CMS系统,这些系统受黑客关注度高,漏洞暴露几率大,而运维人员又非常容易忘记及时查补漏洞,给黑客留下可乘之机;或者使用struts等经常出现安全问题的应用框架,也极大增加了网站的安全风险;此外,在网站应用中隐藏较深的漏洞一般存在于没有使用的JS或自有协议中,这些隐藏点常规扫描器和渗透测试难以发现;目前最为复杂且较难防御,并且成功率高的威胁是社会工程学攻击,王依民例举了长亭科技的以往案例,生动讲解了如何通过社会工程学方法,诱骗目标企业员工运行恶意执行代码,以达到窃取核心数据的目的。
知己知彼,百战不殆适用于每一个战场,在企业网络安全防护领域同样。长亭科技利用同样的经验,在网络安全攻防场上与黑客斗智斗勇,为企业核心数据安全保驾护航。
a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。
粤公网安备 44030402000264号
