【IT168 厂商动态】2016年10月20号到22号三天,聚集全中国互联网技术及相关领域核心人才的交流大会--QCon在上海召开。QCon(即全球软件开发大会)是由InfoQ主办的全球顶级技术盛会,每年在伦敦、旧金山、纽约、东京、北京、上海等全球各个城市召开。大会采取嘉宾演讲和自由讨论两种方式,邀请技术领域有五年及以上经验的从业者,和在行业内已经形成深度影响力的专业技术团队及负责人,分享和讨论最新的技术前沿,激发技术从业人员最大的潜能。
QCon邀请到国内顶尖技术大拿,各自分享其专业领域的前沿技术与思路。大会演讲包含了前端技术实践、网络安全攻防、移动开发新技术与实践、大数据分析与应用等27个主题,全方位解读业界最新趋势,带来技术领域从前端到底层技术的深刻洞悉。来自全球互联网多个领域的高质量实践总结:例如eBay分析平台基础架构部门高级软件工程师分享了《构建React同构应用及优化》; 华为软件云平台资深架构师带来了《大型企业云平台架构和关键技术实践》知识;平安证券大数据服务组技术总监发表了《基于Hive/ES金融大数据指标系统》;北京长亭科技有限公司首席安全官王依民以《通往企业核心数据之路》为题讲解了企业核心数据安全可能被攻破的路径等。
互联网时代大潮来势汹汹,移动互联的迅猛发展让企业头顶悬起达摩克利斯之剑。企业核心数据安全在一些情况下扼住了其动脉。今年9月中旬,据知名门户网站、香港文汇报等媒体报道称:雅虎被名为“Peace”的黑客团体攻击,五亿用户信息被盗取。这一巨大数据安全危机或将导致其同年7月与美国电信巨头Verizon达成的48亿核心资产收购协议泡汤;2016年7月18日,新京报头条报道“30省份275名艾滋病患者遇诈骗电话”,艾滋病感染者的个人信息遭大面积泄露,在互联网时代,这些事件背后的原因与网络安全的疏忽无法撇清关系。
基于以上事实,长亭科技首席安全官王依民在此次大会上,模拟黑客思维,详细解析了获取企业核心数据路径中的四种手段。以企业员工、运维、应用或者社会工程学等方式作为突破口,深度分析了安全风险暴露的影响和原因。当下网络环境中,任何有信息交互的地方都可能存在漏洞威胁。首先,当今黑客惯用的手段是从员工信息入手,多渠道搜集目标企业的员工信息并加以利用,根据姓名字典等工具辅助拿到员工的工作邮箱、OA、VPN等内部系统的登陆名,通过逻辑推理、撞库、钓鱼欺骗等方式获取口令;其次,网站的运维管理过程中,第三方组件升级的不及时也会成为黑客的恶意攻击点,企业在建站过程中,会二次开发使用常见的开源CMS系统,这些系统受黑客关注度高,漏洞暴露几率大,而运维人员又非常容易忘记及时查补漏洞,给黑客留下可乘之机;或者使用struts等经常出现安全问题的应用框架,也极大增加了网站的安全风险;此外,在网站应用中隐藏较深的漏洞一般存在于没有使用的JS或自有协议中,这些隐藏点常规扫描器和渗透测试难以发现;目前最为复杂且较难防御,并且成功率高的威胁是社会工程学攻击,王依民例举了长亭科技的以往案例,生动讲解了如何通过社会工程学方法,诱骗目标企业员工运行恶意执行代码,以达到窃取核心数据的目的。
知己知彼,百战不殆适用于每一个战场,在企业网络安全防护领域同样。长亭科技利用同样的经验,在网络安全攻防场上与黑客斗智斗勇,为企业核心数据安全保驾护航。
)
