《第三只眼看办公网安全教学课件.ppt》由会员分享,可在线阅读,更多相关《第三只眼看办公网安全教学课件.ppt(29页珍藏版)》请在三一办公上搜索。
1、第三只眼看办公网安全,迅雷安全中心方勇,2,自我介绍,迅雷安全中心经理。迅雷安全团队主要负责迅雷的产品业务安全、服务网安全和办公网安全。,议题大纲,办公网安全的挑战,大量重要资产,直接影响所有业务和信息系统。黑客数量快速增长。黑客攻击技术快速发展,攻击方式变幻无穷。已知的安全防御手段无法PK未知的漏洞和后门。传统的安全防御体系已经基本失效。,4,5,信息安全建设的观点,办公网安全实战踩点,6,踩点行为研究,收集员工的信息。邮箱、SNS、QQ号和邮件列表。攻击方式:Google、Baidu、SNS网站和官网。工具:theHarvester攻击成本:相当低,7,如何应对踩点攻击,加强企业招聘、客服
2、等平台的建设,避免泄露人员信息。加强企业内部安全教育,提高员工安全意识。建立合适的安全制度,并定时监督。,8,办公网安全实战钓鱼,9,钓鱼行为研究,什么是钓鱼攻击?通过各种方法让鱼执行钓者的任务。钓鱼的分类:以0day漏洞见长,鱼哪怕稍微碰一下鱼钩,就立即上钩。以社会工程见长,需要花心思哄鱼上钩。攻击方式:邮件IM,10,钓鱼行为研究(2),钓鱼四要诀:选好钓位,选准钓饵,备好钓具,练好钓技。钓鱼攻击的行为特征:各式各样的欺骗邮件带附件攻击成本:低成本:时间、耐心。愿者上钩。高成本:0day。不愿也上钩。,11,如何应对钓鱼攻击,盯紧邮件服务器邮件杀毒用户异常登录监控做好杀毒终端杀毒网关杀毒打
3、好补丁Windows补丁第三方软件补丁,12,桌面接入控制系统,商业系统:Symantec、Netscreen、Cisco、H3C、北信源、联软无法检测第三方软件漏洞。性能问题。私隐问题。兼容问题。免费系统:DIY尽量小的影响桌面系统。Linux+Activex+补丁检查程序。,13,办公网安全实战人肉,14,人肉行为研究,人肉攻击的方法:通过无线网络攻击窃取接入密码通过流氓AP攻击直接物理攻击成功应聘某个岗位,直接攻击企业内部。攻击成本:较大物理上接近目标器材,15,如何应对人肉攻击,管好无线Radius?证书?双因素?隔离。无线用户使用独立的网络,不接入办公网。Client Isolati
4、on。防止流氓AP员工私自安装的AP:制度禁止员工私自安装AP,收集MAC地址检测。黑客安装的AP(airsnarf):隔离。做好应聘人员背景调查,16,开展敌后游击战,17,办公网安全实战渗透,18,渗透行为分析,黑客思路:在扎根、扩大权限的同时找东西。攻击方式:扫描端口、漏洞、弱密码和共享。破解密码并尝试登陆。安装不同的后门。网络欺骗。攻击成本:工具:扫描,数据分析,文件查找,密码破解,后门时间太快容易被发现太慢也容易被发现,19,如何应对扫描和密码破解,审计和访问控制AD集中审计全网干掉135,139,445端口动态VLAN引入双因素认证各种成本手机短信扫描(端口、漏洞、共享和弱密码)的
5、特征IP地址一对多,目的端口相对固定数据包行为短时间内大量重复,20,后门的分类和部署方式,按公开程度分。私有、小范围公开和完全公开。按协议分。UDP TCP ICMP FTP SMTP HTTP按行为分。正连(被动)和 回连(主动)。按性质分。干活用,尽量方便。回生用,尽量隐蔽。BIOS,引导区。公开私有混合部署,多种协议混合部署;正连回连混合部署;大量干活,少量回生。,21,如何检测后门,22,如何应对欺骗,欺骗的类型:ARP欺骗:MAC-IPCAM欺骗:MAC-PORT行为特征:大量ARP包元素对应关系变化频繁应对方法:Arp监控Cisco Port Security,23,办公网安全实战收货,24,收货行为分析,收货:黑客从办公网下载数据的过程。收货的方式:用后门直接下载用邮件发送结合包转发程序用HTTP/FTP+Socks多线程下载(HTran)行为特征:超长连接Socks4/5协议持续大量PSH-ACK,如何应对收货,监控超长连接TcpdumpNetflow监控Socks4/5协议HiPPIEL7filter监控上传流量 Panabit,26,27,办公网安全最佳实践,28,致谢,深圳市迅雷网络技术有限公司地址:中国广东省深圳市南山区高新技术产业园南区 飞亚达大厦3层西座电话:(0755)2699 6887 传真:(0755)2699 6974,
