6月24日晚,复旦IT同学会特邀漏洞银行首席安全官李晓波为大家带来《漏洞那些事》分享活动,聚焦“漏洞的危害”、“白帽子(黑客)群体”、“网络安全攻防演练”等话题与校友展开线上交流。本次活动由漏洞银行合伙人金宣含担任嘉宾主持。
拥有8年信息安全经验的李晓波嘉宾,是一位资深的信息安全专家、ITIL专家,他擅长企业安全体系建设,分析并溯源安全事件。李晓波嘉宾长期为返利网、迈外迪、红星美凯龙等大型企业提供安全技术服务。
活动伊始,李晓波嘉宾通过分享两家知名企业的漏洞问题引发校友对信息安全的思考。数据表明,2011至2019年间,80%的知名网站数据曾遭遇入侵,导致核心数据泄露,而20%的大范围安全事故由致命漏洞引发。他指出,“漏洞是企业安全问题的最大原罪。漏洞防不胜防,可能在开发、测试、审查、运维等各环节出现。在漏洞银行上线的企业中,53%的网站发现了高危漏洞,而从上线到白帽子提交第一个高危漏洞最快的仅仅6分钟。我们虽无法完全避免漏洞,但可以通过各种手段尽早识别并修复漏洞,将危害降到最低。”
通过介绍单个漏洞最高悬赏额和白帽子人群画像分析,校友对白帽子群体产生了浓厚的兴趣。白帽子可以帮助企业发现漏洞问题,其中,58%的白帽子为自学成才,90%的白帽子年龄在35岁以下,且以男性居多。12%的白帽子漏洞奖励可达20000美元,1.1%的白帽子甚至高达350000美元。
据统计,企业平均需要14天来修复高危漏洞,而部分单位的高危漏洞平均修复周期为68天。李晓波建议大家尽量在3天内修复高危漏洞。2020年受勒索病毒影响最大的行业分别为服务业(15.87%)和制造业(15.24%),48.42%的受害者在遭受攻击后后会选择查杀病毒,26.24%的受害者选择第一时间联系技术人员。
黑客会通过规则漏洞、逻辑漏洞、身份漏洞、接口漏洞、通讯漏洞等诸多手段来实现对系统的攻击。李晓波嘉宾提醒大家在日常生活、工作中要注意分辨,在遭遇勒索攻击时建议第一时间断网,而非直接关机重启。
最后,李晓波嘉宾为大家详细介绍了网络安全攻防演习。一般在行动中,每支队伍由3至5人组成,他们在明确目标系统后,不限攻击路径, 只要获取到目标系统的权限、数据即可得分,同时,他们也被禁止了对目标实施破坏性的操作,必须得到批准后才可对目标系统的关键区域进行操作。在特定的一段时间内(一般为期15天),他们将对目标系统进行集中式的攻击。实际操作中,攻击方一般不会按照套路出牌,各类的攻击方式都会被采用。攻击方式以远程网络入侵为主,且不排除现场社工存在的可能性。若企业目标系统被攻破,则该企业宣告对抗失败。目前,红蓝对抗已成为新形势下关键信息系统网络安全保护工作的重要组成部分。演习通常是以实际运行的信息系统为保护目标,通过有监督的攻防对抗, 最大限度地模拟真实的网络攻击,以此来检验信息系统的实际安全性和运维保障的实际有效性。2016年,网络实战攻防演习尚处于起步阶段,仅有个别单位参与攻防演练过程。2017年,实战攻防演习开始与重大活动的网络安全保障工作紧密结合,开始由互联网侧发起直接攻击,并且攻击效果显著。2018年,网络实战攻防演习开始向行业和地方深入,红队开始更多地转向精准攻击和供应链攻击等新型作战策略。2019年,网络实战攻防演习工作受到了监管部门、政企机构和安全企业的空前重视,涌现了诸如0day漏洞攻击、身份仿冒、钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法。攻防对抗演练正逐年走向专业化。漏洞是网络安全永恒的待解决问题,随着IT建设的日渐复杂化,如今我们面对着更多的漏洞数量、更大的攻击面。鉴于由漏洞造成的安全危害加剧,我国也密集出台了一系列法律法规。虽然漏洞问题防不胜防,但通过借助更新、更先进的技术,可以大幅提升漏洞发现的效率和效果,尽可能地减轻企业、用户的损失。来源:公众号 上海复旦大学校友会
