網(wǎng)絡(luò)安全建設(shè)專題講座

新威脅環(huán)境下的

網(wǎng)絡(luò)安全建設(shè)提綱從xx安全看網(wǎng)絡(luò)戰(zhàn)網(wǎng)絡(luò)戰(zhàn)的組織與手法十四五期間安全規(guī)劃安全辦公與安全出行12網(wǎng)絡(luò)戰(zhàn)的組織與手法網(wǎng)絡(luò)戰(zhàn)的不對(duì)稱性VS現(xiàn)實(shí)世界的對(duì)戰(zhàn)雙方網(wǎng)絡(luò)空間的對(duì)戰(zhàn)雙方VS現(xiàn)實(shí)世界的實(shí)力對(duì)比網(wǎng)絡(luò)空間的實(shí)力對(duì)比歐美各國(guó)普遍將“網(wǎng)絡(luò)空間中的戰(zhàn)略威懾能力”作為網(wǎng)絡(luò)空間安全建設(shè)的指導(dǎo)原則，即將網(wǎng)絡(luò)空間中的攻擊能力、反制能力作為網(wǎng)絡(luò)空間安全的重要組成部分。例如，2017年3月英國(guó)發(fā)布的國(guó)家數(shù)字化戰(zhàn)略中指出網(wǎng)絡(luò)安全三大目標(biāo)：防御、威懾和發(fā)展。其中，關(guān)于威懾的論述是，“監(jiān)測(cè)、理解、調(diào)查和阻斷針對(duì)英國(guó)的敵對(duì)攻擊行為，并追溯、起訴攻擊者；英國(guó)有能力實(shí)施進(jìn)攻性措施，也有必要這么做?！睜?zhēng)議：網(wǎng)絡(luò)空間是否有主權(quán)？動(dòng)網(wǎng)是否可以動(dòng)武？困惑：網(wǎng)絡(luò)空間的戰(zhàn)略威懾能力并非與經(jīng)濟(jì)能力成正比，相反，數(shù)字化程度越高的國(guó)家，面臨網(wǎng)絡(luò)打擊的威脅越大攻擊力是戰(zhàn)略威懾的基礎(chǔ)技術(shù)登峰造極武器量大先進(jìn)低調(diào)難以發(fā)現(xiàn)政治目的明顯攻擊注重實(shí)效改變世界格局活動(dòng)較頻繁網(wǎng)絡(luò)軍火商藝高人膽大頂級(jí)人才多各國(guó)攻擊組織與能力的特點(diǎn)礎(chǔ)第一世界國(guó)家美國(guó)：全球最發(fā)達(dá)的網(wǎng)絡(luò)安全產(chǎn)業(yè)，領(lǐng)域頂尖企業(yè)數(shù)十家俄羅斯：卡巴斯基，一家頂十家第二世界國(guó)家中國(guó)、以色列、韓國(guó)、英國(guó)、日本及部分西歐國(guó)家個(gè)人安全領(lǐng)域，中國(guó)在實(shí)力全球第一政企安全領(lǐng)域，中國(guó)是第二世界的排頭兵第三世界國(guó)家基本不具備自主可控能力，迫切期待外部技術(shù)與產(chǎn)品輸入網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的三個(gè)世界熱門的APT組織與APT攻擊目標(biāo)國(guó)APT組織及其活動(dòng)的發(fā)現(xiàn)能力，是網(wǎng)絡(luò)戰(zhàn)防御能力的關(guān)鍵標(biāo)志各國(guó)知名APT組織方程式組織最早發(fā)現(xiàn)：2015年披露者：卡巴斯基，斯諾登證實(shí)著名攻擊：震網(wǎng)病毒、永恒之藍(lán)疑似后臺(tái)：NSA（美國(guó)國(guó)家安全局，NationalSecurityAgency）武器庫(kù)泄密：影子經(jīng)濟(jì)人評(píng)價(jià)：全球目前已知的，攻擊水平最高的APT組織，也是武器庫(kù)泄露最嚴(yán)重的APT組織索倫之眼最早發(fā)現(xiàn)：2016年披露者：賽門鐵克、卡巴斯基疑似后臺(tái)：NSA評(píng)價(jià)：技術(shù)水平不在方程式之下各國(guó)知名APT組織APT28最早發(fā)現(xiàn)：2014年披露者：TrendMicro、FireEye其他命名：PawnStorm、Sofacy、Sednit、FancyBear和Strontium著名攻擊：幫助親俄分裂分子追蹤烏克蘭部隊(duì)，造成炮兵部隊(duì)損失一半以上武器希拉里郵件門——直接改變世界歷史走向疑似后臺(tái)：俄羅斯軍事情報(bào)機(jī)構(gòu)（GRU）評(píng)價(jià)：迄今為止，對(duì)全球政治、歷史發(fā)展影響最大的網(wǎng)絡(luò)攻擊組織各國(guó)知名APT組織Lazarus最早發(fā)現(xiàn)：2016年披露者：卡巴斯基、AlienVault實(shí)驗(yàn)室和Novetta等著名攻擊：2013年針對(duì)韓國(guó)金融機(jī)構(gòu)和媒體公司的DarkSeoul攻擊行動(dòng)2014年針對(duì)索尼影視娛樂公司的攻擊2016年發(fā)生的，孟加拉央行被盜8100萬(wàn)美元的SWIFT攻擊事件（疑似）疑似后臺(tái)：朝鮮評(píng)價(jià)：語(yǔ)不驚人死不休，每次攻擊都都驚天動(dòng)地APT，高級(jí)持續(xù)性威脅幻獸系美人魚人面獅雙尾蝎黃金鼠肚腦蟲魔株系海蓮花摩訶草蔓靈花藍(lán)寶菇毒云藤超人系黃金眼2015年5月，APT組織海蓮花被披露。截至2019年初，奇安信威脅情報(bào)中心已累計(jì)截獲境內(nèi)外APT組織40個(gè)盲眼鷹拍拍熊諾崇獅全球知名的網(wǎng)絡(luò)軍火商如果你足夠牛逼就請(qǐng)你足夠小心iOS三叉戟漏洞NSO以色列以色列被公認(rèn)擁有全世界最先進(jìn)的監(jiān)控技術(shù)，總部設(shè)在以色列的監(jiān)控公司多達(dá)27家NSOGroup是網(wǎng)絡(luò)間諜戰(zhàn)領(lǐng)域的領(lǐng)導(dǎo)者，它們的產(chǎn)品可追蹤智能手機(jī)上的任何活動(dòng)其主要產(chǎn)品是Pegaus間諜軟件魚叉攻擊為什么叫“魚叉攻擊”而不叫“釣魚郵件”或“釣魚攻擊”？?jī)?yōu)點(diǎn)：目標(biāo)投放的精準(zhǔn)，成本低缺點(diǎn)：技術(shù)含量低，防御難度低抵御90%魚叉攻擊的要領(lǐng)：“陌生人”郵件的附件不要輕易打開下載郵件附件后一定先掃毒再打開；郵件附件在安全軟件的沙箱中打開水坑攻擊在目標(biāo)的必經(jīng)之路上設(shè)下埋伏優(yōu)點(diǎn)：隱蔽性強(qiáng)，殺傷力大缺點(diǎn)：精度有限，易誤傷平民水坑攻擊人面獅行動(dòng)中的特殊水坑利用第三方平臺(tái)攻擊APT攻擊的戰(zhàn)術(shù)實(shí)施攻擊初期：情報(bào)收集、火力偵查攻擊過(guò)程：周邊打擊、周期性襲擾攻擊成功：橫向移動(dòng)其他戰(zhàn)術(shù)：偽裝術(shù)、反偵查術(shù)、疲勞戰(zhàn)術(shù)、誘惑戰(zhàn)術(shù)、假期行動(dòng)火力偵查主機(jī)信息，主要包括操作系統(tǒng)信息、主機(jī)名稱、本地用戶名等。網(wǎng)絡(luò)信息，主要包括IP地址、網(wǎng)關(guān)信息等。應(yīng)用程序信息及相關(guān)版本信息，主要包括MicrosoftOffice和MicrosoftInternetExplorer版本信息等。磁盤信息、當(dāng)前進(jìn)程信息等。火力偵查過(guò)程中所使用的木馬通常是一次性的周邊打擊——供應(yīng)鏈攻擊供應(yīng)鏈攻擊原理二戰(zhàn)中的跳島戰(zhàn)術(shù)供應(yīng)鏈攻擊案例-震網(wǎng)病毒5家最早遭到攻擊的伊朗公司FooladTechnicInternationalEngineeringCo,網(wǎng)絡(luò)服務(wù)提供商，為伊朗工業(yè)設(shè)施（鋼鐵和電力）生產(chǎn)自動(dòng)化系統(tǒng)BehpajoohCo.Elec&CO/Mp.Engineering,網(wǎng)絡(luò)服務(wù)提供商，開發(fā)自動(dòng)化工業(yè)系統(tǒng)–全球范圍Stuxnet感染的源頭NedaIndustrialGroup（內(nèi)達(dá)實(shí)業(yè)集團(tuán)），電子元件供應(yīng)商Control-GostarJahedCO/Mpany,網(wǎng)絡(luò)服務(wù)提供商KalaElectric，鈾濃縮離心機(jī)生產(chǎn)商供應(yīng)鏈攻擊案例海蓮花（2015.05）首先攻擊國(guó)內(nèi)某軟件公司在相關(guān)產(chǎn)品安裝和升級(jí)程序中植入后門該公司主要客戶是政府機(jī)構(gòu)和企事業(yè)單位Havex木馬（2014）也被稱作蜻蜓（Dragonfly）和活力熊（EnergeticBear）攻擊工業(yè)控制系統(tǒng)（IndustrialControlSystems）相關(guān)供應(yīng)商的網(wǎng)站，進(jìn)一步替換相關(guān)軟件安裝包來(lái)進(jìn)行木馬的傳播。NSA棱鏡計(jì)劃日期為2010年6月的文檔顯示：NSA雇員正在打開思科路由器的包裝箱，然后在路由器上安裝執(zhí)行特定任務(wù)的固件社會(huì)工程學(xué)偽裝郵件內(nèi)容偽裝郵件身份偽裝使用國(guó)內(nèi)常用郵箱163、126和yeah目的是隱藏自身國(guó)際身份使用特殊用戶名摩訶草組織魚叉郵件國(guó)內(nèi)某特殊行業(yè)工業(yè)企業(yè)遭到的魚叉郵件文件視覺偽裝雙擴(kuò)展名，采用RLO方式圖標(biāo)偽裝快捷方式偽裝制作惡意快捷方式，指向惡意代碼如上圖中，不論點(diǎn)擊哪個(gè)快捷方式，最終運(yùn)行的都是“cmd.exe/csystem.ini”疲勞戰(zhàn)術(shù)美人魚行動(dòng)中的PowerPointOLE釣魚文檔執(zhí)行后的效果PowerPointOLE釣魚文檔中嵌入了多個(gè)PE文件誘惑戰(zhàn)術(shù)雙尾蝎組織的視頻與圖片誘餌藍(lán)寶菇組織核危機(jī)行動(dòng)中的通信錄誘餌文件3十四五期間安全規(guī)劃十四五面臨的網(wǎng)絡(luò)安全形勢(shì)全面的數(shù)字化升級(jí)新型基礎(chǔ)設(shè)施建設(shè)5G基站建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網(wǎng)智慧城市、電子政務(wù)、數(shù)字經(jīng)濟(jì)2C安全→2B安全網(wǎng)絡(luò)黑產(chǎn)→國(guó)家對(duì)抗辦公安全→生產(chǎn)安全外部威脅→內(nèi)部威脅勒索病毒、挖礦木馬數(shù)據(jù)泄露、APT攻擊網(wǎng)絡(luò)安全法制升級(jí)美國(guó)的網(wǎng)絡(luò)安全預(yù)算為什么比中國(guó)多得多關(guān)鍵問(wèn)題：投在哪？怎么投？2019年度中美網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展態(tài)勢(shì)對(duì)比（人民幣兌美元按2019年平均匯率1:6.98計(jì)算。匯率數(shù)據(jù)來(lái)源：Wind）中國(guó)美國(guó)相對(duì)比值網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模＄83.8億/￥585億＄447.4億/￥3123億1:5.3網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模占GDP比重0.58‰

（GDP:＄14.4萬(wàn)億）2.09‰

（GDP:＄21.4萬(wàn)億）1:3.6網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模占數(shù)字經(jīng)濟(jì)（DE）比重1.78‰（DE：＄4.7萬(wàn)億）3.64‰

（DE：＄12.3萬(wàn)億）1:2.0網(wǎng)絡(luò)安全預(yù)算占IT預(yù)算比重1.84%4.78%1:2.6網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模同比增速22.3%7.0%3.2:1安全建設(shè)思想的發(fā)展進(jìn)化圍墻式安全典型代表：老三樣殺毒、防火墻、入侵檢測(cè)外掛式安全（安全上云）典型代表：安全大腦云查殺、威脅情報(bào)內(nèi)生安全典型代表：零信任PKS體系、一體化訪問(wèn)控制依賴于基礎(chǔ)設(shè)施固有安全性什么是內(nèi)生安全建設(shè)信息化系統(tǒng)內(nèi)在的免疫力免疫系統(tǒng)與免疫能力寫在DNA中與每一細(xì)胞中的能力內(nèi)生安全思想中的關(guān)鍵詞信息化系統(tǒng)vs信息系統(tǒng)信息系統(tǒng)：基礎(chǔ)的IT、網(wǎng)絡(luò)和服務(wù)系統(tǒng)。如有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、非業(yè)務(wù)性的網(wǎng)站（只有內(nèi)容，不能辦理業(yè)務(wù)）。信息化系統(tǒng)，經(jīng)過(guò)信息化改造的生產(chǎn)與辦公系統(tǒng)，是與業(yè)務(wù)緊密結(jié)合的信息系統(tǒng)。如：OA系統(tǒng)、稅務(wù)系統(tǒng)、自動(dòng)化生產(chǎn)系統(tǒng)等。信息化系統(tǒng)不能獨(dú)立存在，離開業(yè)務(wù)環(huán)境就沒有實(shí)際意義。數(shù)據(jù)驅(qū)動(dòng)安全1.0：互聯(lián)網(wǎng)安全大數(shù)據(jù)賦能企業(yè)2.0：互聯(lián)網(wǎng)安全大數(shù)據(jù)+企業(yè)安全大數(shù)據(jù)+人的運(yùn)營(yíng)3.0：互聯(lián)網(wǎng)安全大數(shù)據(jù)+企業(yè)安全大數(shù)據(jù)+業(yè)務(wù)大數(shù)據(jù)+IT、業(yè)務(wù)、安全聯(lián)合運(yùn)營(yíng)數(shù)據(jù)驅(qū)動(dòng)安全是技術(shù)思想，內(nèi)生安全是建設(shè)思想新一代身份安全重構(gòu)企業(yè)級(jí)網(wǎng)絡(luò)縱深防御數(shù)字化終端及接入環(huán)境安全面向云的數(shù)據(jù)中心安全防護(hù)面向大數(shù)據(jù)應(yīng)用的數(shù)據(jù)安全防護(hù)面向?qū)崙?zhàn)化的全局態(tài)勢(shì)感知體系面向資產(chǎn)/漏洞/配置/補(bǔ)丁的系統(tǒng)安全工業(yè)生產(chǎn)網(wǎng)安全防護(hù)內(nèi)部威脅防控體系密碼專項(xiàng)實(shí)戰(zhàn)化安全運(yùn)行能力建設(shè)應(yīng)用安全能力支撐安全人員能力支撐物聯(lián)網(wǎng)安全能力支撐業(yè)務(wù)安全能力支撐十大工程五大任務(wù)內(nèi)生安全框架落地的“十大工程、五大任務(wù)”甲方視角、信息化視角、全景視角內(nèi)生安全框架落地的“十大工程、五大任務(wù)”如果把網(wǎng)絡(luò)安全類比消防建設(shè)誰(shuí)的工程，誰(shuí)的任務(wù)基本概念十大工程，五大任務(wù)（簡(jiǎn)稱“十工五任”），是指大型政企機(jī)構(gòu)在進(jìn)行信息化規(guī)劃建設(shè)過(guò)程中，必須關(guān)注的十個(gè)主要的安全問(wèn)題，和五個(gè)關(guān)鍵的安全能力建設(shè)問(wèn)題三個(gè)視角全局視角（信息化）甲方視角信息化視角內(nèi)生安全，從安全框架開始

新一代企業(yè)網(wǎng)絡(luò)安全框架通過(guò)系統(tǒng)工程方法建設(shè)信息化系統(tǒng)內(nèi)在免疫力130+個(gè)信息化組件79類網(wǎng)絡(luò)安全組件29個(gè)安全域場(chǎng)景網(wǎng)絡(luò)安全規(guī)劃建設(shè)的“超級(jí)公式”

信息化規(guī)劃范圍⊙十大工程五大任務(wù)－安全體系建設(shè)現(xiàn)狀＝關(guān)鍵安全建設(shè)任務(wù)（協(xié)同聯(lián)動(dòng)、整體運(yùn)行）安全建設(shè)全景十工大工程，五大任務(wù)信息化建設(shè)目標(biāo)安全建設(shè)現(xiàn)狀關(guān)鍵安全建設(shè)任務(wù)如果沒有“十大工程，五大任務(wù)”，我們?cè)撊绾闻挪榫W(wǎng)絡(luò)安全的建設(shè)盲點(diǎn)？運(yùn)氣or經(jīng)驗(yàn)？4安全辦公與安全出行

內(nèi)網(wǎng)為保證辦公安全，政企機(jī)構(gòu)往往會(huì)把內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離開來(lái)。私自搭建WiFi熱點(diǎn)，并將內(nèi)網(wǎng)中的設(shè)備與熱點(diǎn)相連，將會(huì)在內(nèi)網(wǎng)邊界上打開突破口，使網(wǎng)絡(luò)隔離完全失效。一旦內(nèi)網(wǎng)出現(xiàn)突破口，木馬、病毒、黑客，都會(huì)乘虛而入。WannaCry勒索蠕蟲會(huì)攻擊隔離網(wǎng)設(shè)備的重要原因之一就是有員工在內(nèi)網(wǎng)之中自搭亂建WiFi熱點(diǎn)。內(nèi)網(wǎng)必須禁止隨身WiFi私建WIFI熱點(diǎn)的風(fēng)險(xiǎn)WiFi易成突破口，私建網(wǎng)絡(luò)是禍根

電子郵箱電子郵件是政企機(jī)構(gòu)辦公的重要工具。中國(guó)境內(nèi)企業(yè)級(jí)電子郵箱活躍用戶規(guī)模約為1.2億。企業(yè)級(jí)用戶平均每天收發(fā)到電子郵件約16.1億封。特別提示：切勿使用辦公郵箱注冊(cè)游戲、購(gòu)物、社交、論壇等第三方應(yīng)用賬戶，否則會(huì)有如下風(fēng)險(xiǎn)：您的辦公郵箱中會(huì)收到很多垃圾郵件。一旦第三方應(yīng)用平臺(tái)被黑，您辦公郵箱的帳號(hào)和密碼也可能會(huì)同時(shí)泄露，造成郵件中的機(jī)密外泄。辦公郵箱密碼泄露，可能引發(fā)連鎖反應(yīng)，進(jìn)而泄露機(jī)構(gòu)內(nèi)網(wǎng)帳號(hào)，導(dǎo)致內(nèi)網(wǎng)被黑客入侵。辦公郵箱不亂用，到處注冊(cè)風(fēng)險(xiǎn)多

竊密郵件2016年6月，一封帶毒郵件盜走日大型旅社800萬(wàn)用戶資料。勒索郵件下面這封不起眼的郵件攜帶了一個(gè)ZIP格式的附件，解壓后生成一個(gè)JS文件，它實(shí)際上是一個(gè)勒索軟件，一旦點(diǎn)擊打開，電腦中所有的辦公文檔、照片、視頻都會(huì)被加密，只有向勒索者支付贖金后才能解密。勒索軟件中招后屏幕的現(xiàn)象郵件附件常帶毒，陌生來(lái)源勿打開

郵件顯示名郵件地址郵箱域名郵箱帳號(hào)電子郵箱收件人的信息由郵件顯示名和郵件地址兩部分組成，而郵件地址又是由郵箱帳號(hào)和郵箱域名組成。特別提示：顯示名很容易被仿冒郵件的顯示名通?？梢杂砂l(fā)件人任意編寫.騙子們經(jīng)常把郵件顯示名偽裝成：管理員、XX機(jī)構(gòu)、XX領(lǐng)導(dǎo)等。郵箱帳號(hào)也可能被仿冒不仔細(xì)看很難分辨。所以，收到郵件不能光看顯示名，還要認(rèn)真查看發(fā)件人的郵件地址以及郵箱域名，稍不留心就可能上當(dāng)受騙。收信看清發(fā)件人，冒名頂替要當(dāng)心2016年美國(guó)大選，黑客組織冒充Google郵件系統(tǒng)安全管理員給希拉里競(jìng)選團(tuán)隊(duì)負(fù)責(zé)人發(fā)信，騙取了負(fù)責(zé)人的郵箱密碼，盜取并公布了希拉里競(jìng)選團(tuán)隊(duì)的機(jī)密郵件，最終使得希拉里敗選，特朗普上臺(tái)。希拉里競(jìng)選團(tuán)隊(duì)成員WilliamRinehart收到的偽裝成Google安全團(tuán)隊(duì)的魚叉郵件OA釣魚冒充系統(tǒng)管理員發(fā)送的欺詐郵件被稱為OA釣魚。OA釣魚多用于盜號(hào)。OA釣魚最危險(xiǎn)，美國(guó)大選也中招安全性升級(jí)OA釣魚手法OA釣魚的目的是誘騙受害者在虛假的登錄頁(yè)面上輸入帳號(hào)和密碼，進(jìn)而實(shí)現(xiàn)盜號(hào)。OA釣魚的“理由”有很多，左邊幾個(gè)都是，您能認(rèn)得出嗎？郵箱擴(kuò)容郵箱停用員工離職郵箱搬家騙你上當(dāng)有理由，仿冒登錄盜帳號(hào)

盡量不要在微信上談工作微信是比較開放的社交環(huán)境，不適合談?wù)摴ぷ?。辦公社交建議使用企業(yè)級(jí)社交軟件。保存文件盡量不要用密字保存文件時(shí)文件名盡量不要包含密、秘密、保密、絕密等字樣，這些字很容易被黑客盯上。T不在電腦桌前電腦要鎖屏電腦鎖屏，既可以防止他人偷窺到自己電腦中的文件，又可以防止他人胡亂操作損壞文件。下班以后一定要關(guān)閉電腦很多人為圖方便，下班以后不關(guān)電