江南天安科技俞华辰:谁动了我的网站

原创
安全
由51CTO举办的WOT”互联网+”时代大数据技术峰会上,来自北京江南天安科技有限公司技术总监俞华辰做了以《谁动了我的网站》为主题的演讲。俞老师从当前的网站安全状况谈起,对攻击的溯源进行了解析,并通过案例来说明。本文章是把本次分享的干货亮点整理成文字形式,呈献广大的用户。

由51CTO举办的WOT”互联网+”时代大数据技术峰会上,来自北京江南天安科技有限公司技术总监俞华辰做了以《谁动了我的网站》为主题的演讲。俞老师从当前的网站安全状况谈起,对攻击的溯源进行了解析,并通过案例来说明。本文章是把本次分享的干货亮点整理成文字形式,呈献广大的用户。

当前网站安全状况

针对我国境内网站的仿冒钓鱼站点成倍增长,境外攻击、控制事件不断增加,中国网站安全问题形势依然严峻!

网站管理者对于管理边界以及网络设备、设施使用情况并不明晰。当管辖范围内信息系统被挂上反动、博彩、色情页面时,我们甚至都不知道它的存在。

目前,信息资产管理者,面对领先的黑客技术,不知道自己的网站问题出现在哪里,抓不着黑客,或者被入侵了还不知道,而且取证难,防御滞后等问题,管理者真是压力大责任大!

江南天安科技俞华辰:谁动了我的网站

到底是谁黑了我的网站?

当你的网站被黑了,肯定是网站或者服务器等有漏洞。那你的网站究竟被谁黑了?攻击者通过什么方式攻击的?攻击时间持续多长?攻击者正在使用什么手段开展攻击?一系列的安全事件,造成什么样的影响?这个攻击者是来自个人还是极端组织?攻击的背景是什么?

那么对以上这些问题,是否能在大数据环境下追溯到攻击源头,找到以上问题的答案呢?

通过攻击溯源,可以实现三W,即是:Why,Who,Where。

Why:为什么黑客能攻击进来,采用了哪些攻击手段,哪些黑客工具。

Who:找到攻击者的身份、个人信息以及网络指纹。

Where:发现安全事件的轨迹,找出攻击者的历史轨迹。

那么,怎样溯源呢?通过威胁情报分析。

江南天安科技俞华辰:谁动了我的网站

如上图,主要分基本信息、处理引擎、云端信息、沙箱信息四个版块。基本信息配置了黑客的IP地址,包括他的经纬度,以及黑客所处的大概位置。左下角云端信息中的开放端口,是指黑客的C段的开放端口。当攻击溯源设备发现一条攻击后,会自动对黑客的IP进行云端的反扫描,会扫整个C端。在右上角的处理引擎中,云端规则会判断黑客使用什么样的攻击方法,攻击是否成功。因为旁路设备是对整个的网络流量进行检测,所以基本判断这些东西还是判断比较准确的。

溯源结果可以让你知道,什么时间攻击者第一次访问了你的网站,用了什么样的攻击方法。在某时某刻又做了怎样的攻击,所有这些可以通过程序自动记录。

江南天安科技俞华辰:谁动了我的网站

江南天安科技俞华辰:谁动了我的网站

江南天安科技俞华辰:谁动了我的网站

演讲最后,俞老师与大家分享了关于蜜罐的利用。他表示:“密罐是我们现在用来搜集黑客信息的最主要的来源。”

江南天安科技俞华辰:谁动了我的网站

 

收集到的信息如何用呢?将程序导入公司团队自主研发的自动扫描程序N-MAX,专门用来扫描端口服务和其他的用途。然后通过密罐去获取更多的密罐,像滚雪球一样,越来越大,从而获得更多的信息。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2020-01-10 09:06:10

Activity系统 通信

2012-12-12 09:56:40

EC2AWSAmazon

2010-08-26 15:34:12

2016-10-19 11:00:26

2023-12-13 10:36:38

Long算法代码

2021-01-08 09:35:41

LinuxHistory命令

2021-04-19 07:35:01

Linuxhistory命令

2021-04-26 10:24:52

Linux 开发操作系统

2015-12-10 19:27:28

2015-06-05 15:47:47

2014-06-11 10:06:09

2010-05-20 09:29:14

谷歌微软云计算

2015-10-09 11:02:02

2011-12-30 14:35:20

2011-01-25 09:24:00

2022-07-25 09:40:41

内存00M

2011-04-14 13:39:15

jar包

2017-06-03 16:26:05

2015-04-17 10:30:13

2020-03-24 14:57:05

戴尔
点赞
收藏

51CTO技术栈公众号