網絡安全建設專題講座

新威脅環(huán)境下的

網絡安全建設提綱從xx安全看網絡戰(zhàn)網絡戰(zhàn)的組織與手法十四五期間安全規(guī)劃安全辦公與安全出行12網絡戰(zhàn)的組織與手法網絡戰(zhàn)的不對稱性VS現(xiàn)實世界的對戰(zhàn)雙方網絡空間的對戰(zhàn)雙方VS現(xiàn)實世界的實力對比網絡空間的實力對比歐美各國普遍將“網絡空間中的戰(zhàn)略威懾能力”作為網絡空間安全建設的指導原則，即將網絡空間中的攻擊能力、反制能力作為網絡空間安全的重要組成部分。例如，2017年3月英國發(fā)布的國家數(shù)字化戰(zhàn)略中指出網絡安全三大目標：防御、威懾和發(fā)展。其中，關于威懾的論述是，“監(jiān)測、理解、調查和阻斷針對英國的敵對攻擊行為，并追溯、起訴攻擊者；英國有能力實施進攻性措施，也有必要這么做?！睜幾h：網絡空間是否有主權？動網是否可以動武？困惑：網絡空間的戰(zhàn)略威懾能力并非與經濟能力成正比，相反，數(shù)字化程度越高的國家，面臨網絡打擊的威脅越大攻擊力是戰(zhàn)略威懾的基礎技術登峰造極武器量大先進低調難以發(fā)現(xiàn)政治目的明顯攻擊注重實效改變世界格局活動較頻繁網絡軍火商藝高人膽大頂級人才多各國攻擊組織與能力的特點礎第一世界國家美國：全球最發(fā)達的網絡安全產業(yè)，領域頂尖企業(yè)數(shù)十家俄羅斯：卡巴斯基，一家頂十家第二世界國家中國、以色列、韓國、英國、日本及部分西歐國家個人安全領域，中國在實力全球第一政企安全領域，中國是第二世界的排頭兵第三世界國家基本不具備自主可控能力，迫切期待外部技術與產品輸入網絡安全產業(yè)發(fā)展的三個世界熱門的APT組織與APT攻擊目標國APT組織及其活動的發(fā)現(xiàn)能力，是網絡戰(zhàn)防御能力的關鍵標志各國知名APT組織方程式組織最早發(fā)現(xiàn)：2015年披露者：卡巴斯基，斯諾登證實著名攻擊：震網病毒、永恒之藍疑似后臺：NSA（美國國家安全局，NationalSecurityAgency）武器庫泄密：影子經濟人評價：全球目前已知的，攻擊水平最高的APT組織，也是武器庫泄露最嚴重的APT組織索倫之眼最早發(fā)現(xiàn)：2016年披露者：賽門鐵克、卡巴斯基疑似后臺：NSA評價：技術水平不在方程式之下各國知名APT組織APT28最早發(fā)現(xiàn)：2014年披露者：TrendMicro、FireEye其他命名：PawnStorm、Sofacy、Sednit、FancyBear和Strontium著名攻擊：幫助親俄分裂分子追蹤烏克蘭部隊，造成炮兵部隊損失一半以上武器希拉里郵件門——直接改變世界歷史走向疑似后臺：俄羅斯軍事情報機構（GRU）評價：迄今為止，對全球政治、歷史發(fā)展影響最大的網絡攻擊組織各國知名APT組織Lazarus最早發(fā)現(xiàn)：2016年披露者：卡巴斯基、AlienVault實驗室和Novetta等著名攻擊：2013年針對韓國金融機構和媒體公司的DarkSeoul攻擊行動2014年針對索尼影視娛樂公司的攻擊2016年發(fā)生的，孟加拉央行被盜8100萬美元的SWIFT攻擊事件（疑似）疑似后臺：朝鮮評價：語不驚人死不休，每次攻擊都都驚天動地APT，高級持續(xù)性威脅幻獸系美人魚人面獅雙尾蝎黃金鼠肚腦蟲魔株系海蓮花摩訶草蔓靈花藍寶菇毒云藤超人系黃金眼2015年5月，APT組織海蓮花被披露。截至2019年初，奇安信威脅情報中心已累計截獲境內外APT組織40個盲眼鷹拍拍熊諾崇獅全球知名的網絡軍火商如果你足夠牛逼就請你足夠小心iOS三叉戟漏洞NSO以色列以色列被公認擁有全世界最先進的監(jiān)控技術，總部設在以色列的監(jiān)控公司多達27家NSOGroup是網絡間諜戰(zhàn)領域的領導者，它們的產品可追蹤智能手機上的任何活動其主要產品是Pegaus間諜軟件魚叉攻擊為什么叫“魚叉攻擊”而不叫“釣魚郵件”或“釣魚攻擊”？優(yōu)點：目標投放的精準，成本低缺點：技術含量低，防御難度低抵御90%魚叉攻擊的要領：“陌生人”郵件的附件不要輕易打開下載郵件附件后一定先掃毒再打開；郵件附件在安全軟件的沙箱中打開水坑攻擊在目標的必經之路上設下埋伏優(yōu)點：隱蔽性強，殺傷力大缺點：精度有限，易誤傷平民水坑攻擊人面獅行動中的特殊水坑利用第三方平臺攻擊APT攻擊的戰(zhàn)術實施攻擊初期：情報收集、火力偵查攻擊過程：周邊打擊、周期性襲擾攻擊成功：橫向移動其他戰(zhàn)術：偽裝術、反偵查術、疲勞戰(zhàn)術、誘惑戰(zhàn)術、假期行動火力偵查主機信息，主要包括操作系統(tǒng)信息、主機名稱、本地用戶名等。網絡信息，主要包括IP地址、網關信息等。應用程序信息及相關版本信息，主要包括MicrosoftOffice和MicrosoftInternetExplorer版本信息等。磁盤信息、當前進程信息等?；鹆刹檫^程中所使用的木馬通常是一次性的周邊打擊——供應鏈攻擊供應鏈攻擊原理二戰(zhàn)中的跳島戰(zhàn)術供應鏈攻擊案例-震網病毒5家最早遭到攻擊的伊朗公司FooladTechnicInternationalEngineeringCo,網絡服務提供商，為伊朗工業(yè)設施（鋼鐵和電力）生產自動化系統(tǒng)BehpajoohCo.Elec&CO/Mp.Engineering,網絡服務提供商，開發(fā)自動化工業(yè)系統(tǒng)–全球范圍Stuxnet感染的源頭NedaIndustrialGroup（內達實業(yè)集團），電子元件供應商Control-GostarJahedCO/Mpany,網絡服務提供商KalaElectric，鈾濃縮離心機生產商供應鏈攻擊案例海蓮花（2015.05）首先攻擊國內某軟件公司在相關產品安裝和升級程序中植入后門該公司主要客戶是政府機構和企事業(yè)單位Havex木馬（2014）也被稱作蜻蜓（Dragonfly）和活力熊（EnergeticBear）攻擊工業(yè)控制系統(tǒng)（IndustrialControlSystems）相關供應商的網站，進一步替換相關軟件安裝包來進行木馬的傳播。NSA棱鏡計劃日期為2010年6月的文檔顯示：NSA雇員正在打開思科路由器的包裝箱，然后在路由器上安裝執(zhí)行特定任務的固件社會工程學偽裝郵件內容偽裝郵件身份偽裝使用國內常用郵箱163、126和yeah目的是隱藏自身國際身份使用特殊用戶名摩訶草組織魚叉郵件國內某特殊行業(yè)工業(yè)企業(yè)遭到的魚叉郵件文件視覺偽裝雙擴展名，采用RLO方式圖標偽裝快捷方式偽裝制作惡意快捷方式，指向惡意代碼如上圖中，不論點擊哪個快捷方式，最終運行的都是“cmd.exe/csystem.ini”疲勞戰(zhàn)術美人魚行動中的PowerPointOLE釣魚文檔執(zhí)行后的效果PowerPointOLE釣魚文檔中嵌入了多個PE文件誘惑戰(zhàn)術雙尾蝎組織的視頻與圖片誘餌藍寶菇組織核危機行動中的通信錄誘餌文件3十四五期間安全規(guī)劃十四五面臨的網絡安全形勢全面的數(shù)字化升級新型基礎設施建設5G基站建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網智慧城市、電子政務、數(shù)字經濟2C安全→2B安全網絡黑產→國家對抗辦公安全→生產安全外部威脅→內部威脅勒索病毒、挖礦木馬數(shù)據(jù)泄露、APT攻擊網絡安全法制升級美國的網絡安全預算為什么比中國多得多關鍵問題：投在哪？怎么投？2019年度中美網絡安全產業(yè)發(fā)展態(tài)勢對比（人民幣兌美元按2019年平均匯率1:6.98計算。匯率數(shù)據(jù)來源：Wind）中國美國相對比值網絡安全產業(yè)規(guī)?！?3.8億/￥585億＄447.4億/￥3123億1:5.3網絡安全產業(yè)規(guī)模占GDP比重0.58‰

（GDP:＄14.4萬億）2.09‰

（GDP:＄21.4萬億）1:3.6網絡安全產業(yè)規(guī)模占數(shù)字經濟（DE）比重1.78‰（DE：＄4.7萬億）3.64‰

（DE：＄12.3萬億）1:2.0網絡安全預算占IT預算比重1.84%4.78%1:2.6網絡安全產業(yè)規(guī)模同比增速22.3%7.0%3.2:1安全建設思想的發(fā)展進化圍墻式安全典型代表：老三樣殺毒、防火墻、入侵檢測外掛式安全（安全上云）典型代表：安全大腦云查殺、威脅情報內生安全典型代表：零信任PKS體系、一體化訪問控制依賴于基礎設施固有安全性什么是內生安全建設信息化系統(tǒng)內在的免疫力免疫系統(tǒng)與免疫能力寫在DNA中與每一細胞中的能力內生安全思想中的關鍵詞信息化系統(tǒng)vs信息系統(tǒng)信息系統(tǒng)：基礎的IT、網絡和服務系統(tǒng)。如有線網絡、無線網絡、數(shù)據(jù)庫、非業(yè)務性的網站（只有內容，不能辦理業(yè)務）。信息化系統(tǒng)，經過信息化改造的生產與辦公系統(tǒng)，是與業(yè)務緊密結合的信息系統(tǒng)。如：OA系統(tǒng)、稅務系統(tǒng)、自動化生產系統(tǒng)等。信息化系統(tǒng)不能獨立存在，離開業(yè)務環(huán)境就沒有實際意義。數(shù)據(jù)驅動安全1.0：互聯(lián)網安全大數(shù)據(jù)賦能企業(yè)2.0：互聯(lián)網安全大數(shù)據(jù)+企業(yè)安全大數(shù)據(jù)+人的運營3.0：互聯(lián)網安全大數(shù)據(jù)+企業(yè)安全大數(shù)據(jù)+業(yè)務大數(shù)據(jù)+IT、業(yè)務、安全聯(lián)合運營數(shù)據(jù)驅動安全是技術思想，內生安全是建設思想新一代身份安全重構企業(yè)級網絡縱深防御數(shù)字化終端及接入環(huán)境安全面向云的數(shù)據(jù)中心安全防護面向大數(shù)據(jù)應用的數(shù)據(jù)安全防護面向實戰(zhàn)化的全局態(tài)勢感知體系面向資產/漏洞/配置/補丁的系統(tǒng)安全工業(yè)生產網安全防護內部威脅防控體系密碼專項實戰(zhàn)化安全運行能力建設應用安全能力支撐安全人員能力支撐物聯(lián)網安全能力支撐業(yè)務安全能力支撐十大工程五大任務內生安全框架落地的“十大工程、五大任務”甲方視角、信息化視角、全景視角內生安全框架落地的“十大工程、五大任務”如果把網絡安全類比消防建設誰的工程，誰的任務基本概念十大工程，五大任務（簡稱“十工五任”），是指大型政企機構在進行信息化規(guī)劃建設過程中，必須關注的十個主要的安全問題，和五個關鍵的安全能力建設問題三個視角全局視角（信息化）甲方視角信息化視角內生安全，從安全框架開始

新一代企業(yè)網絡安全框架通過系統(tǒng)工程方法建設信息化系統(tǒng)內在免疫力130+個信息化組件79類網絡安全組件29個安全域場景網絡安全規(guī)劃建設的“超級公式”

信息化規(guī)劃范圍⊙十大工程五大任務－安全體系建設現(xiàn)狀＝關鍵安全建設任務（協(xié)同聯(lián)動、整體運行）安全建設全景十工大工程，五大任務信息化建設目標安全建設現(xiàn)狀關鍵安全建設任務如果沒有“十大工程，五大任務”，我們該如何排查網絡安全的建設盲點？運氣or經驗？4安全辦公與安全出行

內網為保證辦公安全，政企機構往往會把內部網絡與互聯(lián)網隔離開來。私自搭建WiFi熱點，并將內網中的設備與熱點相連，將會在內網邊界上打開突破口，使網絡隔離完全失效。一旦內網出現(xiàn)突破口，木馬、病毒、黑客，都會乘虛而入。WannaCry勒索蠕蟲會攻擊隔離網設備的重要原因之一就是有員工在內網之中自搭亂建WiFi熱點。內網必須禁止隨身WiFi私建WIFI熱點的風險WiFi易成突破口，私建網絡是禍根

電子郵箱電子郵件是政企機構辦公的重要工具。中國境內企業(yè)級電子郵箱活躍用戶規(guī)模約為1.2億。企業(yè)級用戶平均每天收發(fā)到電子郵件約16.1億封。特別提示：切勿使用辦公郵箱注冊游戲、購物、社交、論壇等第三方應用賬戶，否則會有如下風險：您的辦公郵箱中會收到很多垃圾郵件。一旦第三方應用平臺被黑，您辦公郵箱的帳號和密碼也可能會同時泄露，造成郵件中的機密外泄。辦公郵箱密碼泄露，可能引發(fā)連鎖反應，進而泄露機構內網帳號，導致內網被黑客入侵。辦公郵箱不亂用，到處注冊風險多

竊密郵件2016年6月，一封帶毒郵件盜走日大型旅社800萬用戶資料。勒索郵件下面這封不起眼的郵件攜帶了一個ZIP格式的附件，解壓后生成一個JS文件，它實際上是一個勒索軟件，一旦點擊打開，電腦中所有的辦公文檔、照片、視頻都會被加密，只有向勒索者支付贖金后才能解密。勒索軟件中招后屏幕的現(xiàn)象郵件附件常帶毒，陌生來源勿打開

郵件顯示名郵件地址郵箱域名郵箱帳號電子郵箱收件人的信息由郵件顯示名和郵件地址兩部分組成，而郵件地址又是由郵箱帳號和郵箱域名組成。特別提示：顯示名很容易被仿冒郵件的顯示名通?？梢杂砂l(fā)件人任意編寫.騙子們經常把郵件顯示名偽裝成：管理員、XX機構、XX領導等。郵箱帳號也可能被仿冒不仔細看很難分辨。所以，收到郵件不能光看顯示名，還要認真查看發(fā)件人的郵件地址以及郵箱域名，稍不留心就可能上當受騙。收信看清發(fā)件人，冒名頂替要當心2016年美國大選，黑客組織冒充Google郵件系統(tǒng)安全管理員給希拉里競選團隊負責人發(fā)信，騙取了負責人的郵箱密碼，盜取并公布了希拉里競選團隊的機密郵件，最終使得希拉里敗選，特朗普上臺。希拉里競選團隊成員WilliamRinehart收到的偽裝成Google安全團隊的魚叉郵件OA釣魚冒充系統(tǒng)管理員發(fā)送的欺詐郵件被稱為OA釣魚。OA釣魚多用于盜號。OA釣魚最危險，美國大選也中招安全性升級OA釣魚手法OA釣魚的目的是誘騙受害者在虛假的登錄頁面上輸入帳號和密碼，進而實現(xiàn)盜號。OA釣魚的“理由”有很多，左邊幾個都是，您能認得出嗎？郵箱擴容郵箱停用員工離職郵箱搬家騙你上當有理由，仿冒登錄盜帳號

盡量不要在微信上談工作微信是比較開放的社交環(huán)境，不適合談論工作。辦公社交建議使用企業(yè)級社交軟件。保存文件盡量不要用密字保存文件時文件名盡量不要包含密、秘密、保密、絕密等字樣，這些字很容易被黑客盯上。T不在電腦桌前電腦要鎖屏電腦鎖屏，既可以防止他人偷窺到自己電腦中的文件，又可以防止他人胡亂操作損壞文件。下班以后一定要關閉電腦很多人為圖方便，下班以后不關電