微信号:infoqchina

介绍:有内容的技术社区媒体

互联网企业怎样构建一套高性比的防御体系 ?| 大咖说回放

2016-07-10 09:23 鲁航

回复:鲁航,获得直播完整版视频。

回复:InfoQ,加入大咖说直播交流群。

本视频时长1小时35分,建议在Wifi环境下观看。

1
如何构建高性价比的防御体系?

对于互联网企业,尤其是初创企业,需要知道最重要的东西是什么。不是你们账户里面那些钱,而是你们的时间。如何最好的利用现在的团队创造最好的价值,让自己的产品更早的发出声音,才是必要的。如果出现了安全问题,导致几天、甚至几个小时无法正常工作,造成的损失都是非常大的。关于如何构建一套高性价比的防御体系,我有三条建议分享给大家。

第一,花钱,由你们自身的业务需求和成本核算来决定。好好针对自己的环境做好防御,防御做的越完善,攻击成本就越高,成本越高,就越难。虽说是高性价比,首先得出点价,如果一点不出,那还谈什么性价比。我的建议就是花钱购买一个合适的云防御服务。

有些问题无法在我们自己的机房实际解决,现在网络中发生的攻击一般都是多重矢量攻击,攻击者已经不像以前那么容易被套路了。现在发生的攻击都是流量攻击+资源耗尽攻击的集合,在这两类攻击中,对于流量攻击,企业是无能为力的。因为机房的总带宽是有限的,并且对于一家公司来说,他们购买的带宽相对于攻击流量是不值一提的。

一家不是特别大的公司,他们web服务器的正常服务流量可能都不到50M,但是攻击一次就会达到10G以上,1G=1024M。我们可以选用一些便宜实惠的云防,作为保险业务来缓解自己遇到攻击后的损失。

第二,花一部分时间,对现有的服务进行一定限制。基本上来说,对于一家互联网企业,流量攻击是无法直接应对的,资源耗尽类攻击和内容攻击是可以针对进行防御或者提前部署消除风险的。

例如:对于web服务器的并发连接数,单ip的连接数,配置缓存区的最大请求限制,针对不同的目录设置不同的资源限制,尽可能最小限度的开放自己服务对于单个请求者的资源权限。

我们以nginx为例,在nginx的0.7版本,就提供了两个限制用户连接的模块:NginxHttpLimitZoneModule和NginxHttpLimitReqModule,可以根据条件限制并发连接数

那么除了nginx、apache也有很多第三方的防CC、防DDOS攻击的模块,比如比较常用的mod_evasive。

对于sql注入这种,踹开你家大门,直接去拿东西的做法,我们没有办法完全杜绝。因为怎么也得给自己留个门进出,最好的应对手段是进行参数化的查询和词法分析,随着sql注入方式的不断增加和更新,不断地分析自己数据库语句的词法,并且保证数据库版本的更新。

对于跨站攻击、遍历目录等,我们在网站程序的时候,一定要培养好一个合理的安全意识。比如对于特殊字符、特殊语句的过滤;对于输入长度输入类型的限制;对于文件上传和目录权限的控制都是需要我们注意的。当然最关键的,还是提高整个研发和运维团队的安全意识。

所有对外提供的服务都可能成为安全的突破口,但是增加一点套路,少一点真诚,也许攻击者多那么一点点麻烦,他就不想再攻击你了,或者说他部署的自动攻击扫描脚本就绕过你了,觉得你这套路深,他想回农村,不在你这浪费时间,所以花一点点时间在服务和服务器的配置上,是绝对有必要的。还有就是坚持奥卡姆剃刀原则:如无必要,勿增实体,不要增加没有必要的设备、服务和人员。

第三,也是最难做到的一件事,就是人的管理。对人的管理是非常难的,因为你也说不准谁明天就把你们公司大门砸了。人的变数很大,所以要尽可能的处理好权限在人身上的分配,关键位置由关键的人去把控,对于各种敏感操作定位到人,至少知道出了事,是谁导致的。

以最低限度开放权限和功能,以白名单方式应对访客和参数。合理分配环境权限,不在公共环境(包括网盘、云笔记)存放任何敏感信息,尤其是服务器的账号权限信息。

对于大多数企业来说,他们的网站中对于攻击者最关键的数据是用户的基本信息,因为他们可以通过获取到这些信息之后与其他攻击者拖的库进行信息交换,互通有无。达到扩大自己社工库的目的,随后利用这些库获取经济收益。我们尽量要做到的就是让不法之徒根本拿不到我们的数据,即使拿到了让他带不走,即使带走了让他用不了,即使用上了让他用不长(笑)。

2
涨姿势!网络安全的基本概

DDOS全称是distributed denial of service,分布式拒绝服务攻击,它是由最初始的DOS演变而来的。DOS不是操作系统,它是拒绝服务。

除了流量ddos攻击里还有另一大类——CC攻击,它的全称是ChallengeCollapsar,挑战崩塌。实际上CC攻击是一种找到你整个系统的资源短板,通过肉鸡不断去消耗你的资源,让你整个系统瘫痪,无法正常工作,实际上是一种木桶效应,在技术上是可防范的。不过防御技术要求就较高,需要针对你系统中部署的应用、服务等等进行各项配置的检查,甚至对于用户不同的请求进行甄别和分类。

内容安全不仅仅存在于网站安全中,也存在与服务器安全中,攻击者可以根据网站程序的漏洞、服务器提供服务端口的漏洞,发现整套系统的薄弱之处,获取一些关键信息,拿到服务器权限或者关键数据。最后达到攻击的目的,也许是拖库,也许是弄死你。

3
鲁鲁的安全问题处理指南

(1)降低个人安全风险。其实这个很简单,就是密码设置复杂点。在这里给大家分享一个我自己的密码设置的规则,就是利用成语、诗句等等把密码抽象出来。比如我的密码是「白云千载空悠悠」,密码就会设置成「cloud1000Yearnulluu」。还有一个方法,就是在你所有的密码后面加一秒,就是「+1s」,这样你的密码就会变得很高级,特殊符号、数字、字母都有了。

有一种东西,叫社工库,全名叫社会工程学数据库,这里面有很多很多数据,比如某些酒店泄露出来的开房数据,某些网站泄露出来的账号密码等等。大家可以找到这些开放出来的社工库,去搜索一下自己的常用用户名、邮箱、密码是否在这里面已经被泄露了,如果有的话,那么可能你的其他账户也就不安全了。

(2)降低企业安全风险。企业安全风险要从多个角度去处理,一个是企业的安全意识问题,一个是人的问题,其实在企业安全中,最难确定的就是人的问题。

(3)发生攻击时,如何应对?首先确定攻击的类型,是什么样的攻击,对症下药。

流量型攻击 – 寻求抗D机房,云安全。

资源耗尽型攻击 – 重新配置自己的服务选项,配置,提高自身的短板。

内容攻击 – 渗透服务,安全巡检。

(4)攻击已经发生之后,如何尽可能减少风险和损失?防患于未然,加固系统,购买防御类的服务。专业的事情交给专业的人去做。

4
揭秘安全圈的黑色产业链

(1)游戏私服 — 传奇私服

攻击小组通过攻击网络游戏私服的搭建者,让他们的玩家在一段时间之内无法登陆游戏,然后再向私服的搭建者收取一定的「保护费」。因为私服的搭建本身就走在法律的边缘,是不受现在法律保护的,实质上是一种知识产权的侵权行为,所以一般遇到这种情况,很多私服的搭建者会向攻击者妥协,给钱了事。这样不仅助长了攻击者的气焰,也给他们提供了实质性的利益增加了他们再去攻击别人的信心。

(2)个人数据 — 倒卖数据,每人几毛

之前在QQ群里面,有这样一类群,叫「数据交流」,这种群就是用来倒卖个人信息的,明码标价。甚至现在这些群也存在,只是变更了自己的名字。那我们的信息值多少钱呢?我可以告诉大家——五毛,有的甚至只要三毛。这些多半是信用卡开户信息,身份证信息,电话,住址等等。

(3)食色性也 — 成人网站

成人网站靠什么赚钱呢?大家都是在上面下下片,看看视频,学习一下陆家嘴酒店的装修欣赏一下窗外的风景。大家下次去上农企论坛的时候看一看,能不能在上面找到广告。成人网站由于每天超高的点击量,导致其投放广告的收益非常大。

我是一个nba的球迷,非常喜欢看篮球,今年总决赛骑士对勇士,第七场异常精彩、引人入胜,据说最后一节比赛的最后两分钟,整个克利夫兰的成人网站访问量比平日减少了23%,大家都去看篮球了,反过来想,没有总决赛的日子,大家都在上草榴(大笑)。

大部分的收益都来自于成人用品广告、播放器广告、赌博广告、服务电话等。我也是上网查到的,我根本没上过什么草榴啊什么五月天什么的,大家听听就算了(笑)。

小Q说

不知不觉间,InfoQ大咖说已经陪大家走过了8期直播,2个月的时间。这8个宝贵的夜晚,我们不断地摸索着、试错着,踩过很多坑,出过很多状况。承蒙各位江湖儿女的抬爱,InfoQ大咖说不断刷新着直播观看的人数,小Q在这儿向大家道一声谢谢,有你们的支持,小Q有信心把我们的直播办得更好!

有位用户朋友,八点半还未下班,不愿错过学习机会的他,在会议室打开投影仪就地观看直播。

更多的用户朋友们看完直播仍旧意犹未尽,不断追问会有回放吗?什么时候出文字整理的内容?


看到大家对于学习如饥似渴的态度,小Q很是欣慰,这证明我们做的是正确且有意义、有价值的事情!愿InfoQ大咖说,能成为所有技术人成长路上的助推器!我们会和你们,一起成长!

关乎InfoQ公众号,回复关键词「InfoQ」,加入大咖说直播交流群,不错过下期大咖说。


本文系InfoQ原创首发,未经授权谢绝转载。

 
InfoQ 更多文章 Q新闻丨为什么敏捷开发在亚洲实行不了;java单元测试框架之争 沈剑:58到家「通用实时」消息平台架构的实现细节是什么? | 视频+PPT下载 敏捷已死?错!3招助你炼出一个更好的技术团队! 包建强:为什么我说Android插件化从入门到放弃? Google为什么要把数十亿行代码放到一个库中?
猜您喜欢 决战大数据:百度重技术 阿里主交易 腾讯忙社交 2016微软开发者峰会视频回放--微软爱Linux Linux 中的网桥技术 【干货】你不得不知道的11款BI工具 基于订阅的服务通讯架构体系