科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全瑞星2011年度企业安全报告

瑞星2011年度企业安全报告

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

进入2011年以来,国内多个行业发生较为严重的安全事件。包括互联网行业的密码泄漏(拖库攻击)、网游行业遭到针对服务器的挂马攻击、教育科研网站遇到的“黑链攻击”等等,均给相关行业带来严重影响。

来源:ZDNET安全频道 2012年2月9日

关键字: 安全报告 瑞星

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

  详解“拖库”攻击

  2011年12月,天涯、CSDN等一批著名网站数据库连续外泄,数千万网民的账号、密码等个人资料被公开,形成了2011年末影响整个互联网的安全大事件,给本已脆弱的互联网安全造成了巨大冲击。由于此次密码外泄发生在网站服务器端,用户在遇到这样的安全问题时几乎束手无策。

  那么,“拖库”攻击是如何实施的,网站管理员应该注意哪些问题,“拖库”攻击有什么危害?本报告将对“拖库”攻击及其影响进行深入分析。

  (1)什么是“拖库”攻击?

  “拖库”本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。

  “拖库”的通常步骤为:第一,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。

  第二,通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后门获取服务器操作系统的权限。

  第三,利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。

  (2)“拖库”攻击的危害

  企业分为多种类型,“拖库”成功之后,黑客会对数据库进行深加工处理,根据其实用程度、透露信息的多少出售给相关需求方,各种数据的利用方式是不同的(下面谈到的企业,仅是为了举例所用,并非真实遭到黑客攻击)。

  媒体型互联网站

  CSDN、新浪均属于这一类,他们主要提供新闻资讯,用户在注册其账户时很少透露个人资料。如果遭到拖库攻击,泄漏的是邮箱账户和密码的组合。这样的数据库,黑客通常会利用其猜测其它网站的密码,或者收集邮箱账户做成数据库,卖给垃圾邮件发送者。

  SNS互联网站

  天涯、人人、微博都属于这一类。SNS网站会有较多的个人信息,除了常用邮箱账户、密码之外,还会有常用的QQ号、手机号、家庭住址、教育信息(同学关系)等。黑客可以利用这些资料进行网络诈骗、网络钓鱼、“QQ借钱诈骗”等。例如,当用户在某个SNS网站拿到了某个用户的社会关系,可以向其同学、好友等发送QQ消息,“我的支付宝里没钱了,你帮我买张手机卡吧”。这种诈骗的成功率会比没拿到资料之前提高若干倍。

  电商网站

  这些网站的数据库主要包含了用户的购买行为、住址、手机号、支付账号等信息,主要用于网络诈骗、网络营销等。黑客可以攻击大型网站,将那些具有购买能力、经常购物的用户资料出售给其竞争对手。

  根据相关数据,使用通常的广告方式,电商网站获取一个新用户的成本高达百余元。而购买这些黑客出售的资料,获取每个新用户的成本就会降低数十倍,甚至近百倍。而且这些灰色交易通常私下进行,被窃网站很难在短时间内发现。

  旅行、酒店类网站

  这些网站的数据更加全面,由于我国的酒店业要求身份证登记,所以一旦数据库外泄,会造成几乎所有的个人隐私曝光。例如,黑客可以根据客人订购的房间类型,推算其经济实力,进而对其进行网络诈骗;通过客人行程的变化、日程及所属公司,推算其公司运营机密等,这些都会带来严重后果。这些网站属于传统行业,相对来讲利润率较低,在安全上的投入不足,这就给用户带来更大的隐患。

  银行、证券类网站

  与上述企业一样,他们同样也掌握很多用户的信息,同样可能被拖库攻击。但有一点不同的是,银行和证券类网站属于安全等级较高的类型,他们一旦出现安全漏洞,在短时间内就会被黑客疯狂利用,造成巨大的金额损失。此前,某国家级银行曾经在手机验证流程上出现问题,在短短几个月就有数千万用户资金被窃,损失惨重。

  企业内网拖库

  这是一类专门针对企业内部网络数据库的攻击,尽管有些单位采用了“核心业务与互联网物理隔离”的方式预防黑客攻击,但该网在有些情况下对公众有限度开放,尤其是带有WIFI节点的网络,极其容易遭到黑客通过WIFI接入企业内网,窃取内网数据库。

  2011年9月,福州某三甲医院发现,每隔一个月左右,医院内部信息系统的数据库就会留下“统方”痕迹,各种药品每月的实际处方量情况,被医院外部的人所掌握。后来,医院值守的工作人员发现,医院的数据库又出现异常情况,通过软件定位,发现异常端口的位置位于其中一座大楼的一层。工作人员立即赶到,把正在窃取医院数据的两名黑客抓住,黑客随即被扭送到派出所。据了解,一家三甲医院一个月的“统方”,最高可以卖到数十万元。

  (3)黑客“拖库”攻击的常用方法

  根据瑞星互联网攻防实验室的统计,目前针对服务器端的黑客攻击,主要分为漏洞利用、弱口令及默认配置利用、远程运维风险、内部运营疏忽等。

  1、漏洞利用是最容易出问题的大类。由于Web应用的开放性,Web应用程序越来越多,其带来的安全漏洞必然会随之增加,而且这些漏洞通过传统的网络安全设备无法识别,使得企业即使配置了传统的防火墙等设备,也无法阻止黑客针对这些漏洞的攻击。

  2、弱口令和默认配置带来的危险。由于安全涉及到的软硬件设备非常庞大,包括操作系统、数据库、应用程序、路由器、移动终端等等,几乎所有的部分都可能有默认密码、默认账户权限等,如果安装部署的时候未改动,这些默认密码和设置就会被黑客利用,进而发动攻击。

  3、远程运维风险。事实上,很多企业、网站都会给员工开通远程维护权限,比如网络编辑可以在家里发布文章、网络管理员可以远程维护服务器,由于在远程维护中涉及到多个环节,根本没办法做到像公司环境下那样的安全。例如,家里使用的PC经常会上不同的网站,可能被木马入侵,而公司里只允许安装商业程序的PC相对而言就会好很多。在这种情况下,远程运维就会存在一定风险。

  4、内部运营风险。这包括内部员工的权限分配疏忽、不适当地服务器维护制度、数据库备份被滥用等等。事实上,CSDN外泄的数据库,就是因为未曾加密的数据库备份被放在服务器上,使得黑客可以进行直接下载。

  (4)如何预防“拖库”攻击

  针对上述风险,瑞星认为,应对企业传统安全产品、流程及运营进行全方位改造,以适应越来越恶劣的安全形势。

  1、企业安全涉及多个部分,包括操作系统、数据库、WEB应用等软件,也包括服务器、路由器、网关等硬件,在部署如此庞杂繁复的IT系统时,应把安全作为首要考虑因素,尤其是网商、支付等涉及到大量普通用户的行业,更应该强调安全和效率的和谐统一,在两者发生冲突时,应把安全放在第一位。

  2、安全管理的动态化和长期化。作为整个系统中最薄弱的环节,应用安全是最需要网络管理者关注的部分。尤其是目前漏洞、攻击方法层出不穷,以往每个月定时打补丁、查漏洞的方式已经不适应目前的安全需要,网络管理者应该把安全管理作为一种动态的行为,从系统建设开始生命周期,风险评估、安全加固、风险审计应该贯穿于整个过程中。

  3、利用自动化工具来提升安全检测效率。在这方面,瑞星提供了许多简单有效的解决方案。2011年12月,瑞星公司发布了国内首个网站密码保护方案——“瑞星网站密码安全检测系统”。此系统可对网站密码库的安全性进行深度检测,扫描包括SQL注入、弱口令、XSS跨站攻击等弱点,并给出专业的分析报告和修复建议,帮助网站保护用户密码库。

  4、在关键业务模块和核心领域,应做专业安全风险检测。在关键业务启动前,可以先由专业团队进行渗透性攻击测试,根据测试结果优化安全管理流程,对于容错性、安全风险等做出全面评估和修改。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章