网络安全建设PPT课件

黑客开始成为 一个产业
经验老道且极具 耐心
1990
病毒
1990–2000
1995
2000
蠕虫
2000–2005
2005
间谍软件
2005–2010+
2010
2015
APT网络攻击
Today +
2020
安全术语
• 什么是漏洞
安全漏洞是信息系统在生命周期的各个阶段（设计、实现、运维等过程） 中产生的某类问题，这些问题会对系统的安全（机密性、完整性、可 用性）产生影响。
下面给出一个利用高危漏洞-利用sql注入 getshell的实例。
SQL注入getshell流程
SQL注入getshell流程
黑客通过扫描，发现sql注入漏洞
使用sqlmap注入得到管理员账号密码
解密密码
利用账号登录后台，上传webshell
思路2－拿下某一PC
入侵思路
至此，黑客已经得到了一台内网主机的权限。 下一步就是利用该跳板机横向移动，内网渗透。获 取内网中更有价值的信息。 例如erp系统，或者其他数据服务器。
计算机病毒防范
安装病毒防护程序并及时更新病毒特征库； 在以下情况注意病毒防范：
✓ 下载电子邮件附件时； ✓ 在网络上下载文件时； ✓ 使用移动存储介质时； ✓ 安装不明来源的软件时； ✓ 浏览网页时；计算机使用过程中发现异常时
浏览网页安全
使用安全浏览器（如：火狐等安全浏览器） 收藏经常访问的网站 安装杀毒软件，开启实时防护功能，并保持更新； 对超低价、超低折扣、中奖等诱惑要提高警惕； 警惕色情、赌博、反动等非法网站，避免访问； 防止网页自动记住账号密码
• webshell
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执 行环境，也可以将其称做为一种网页后门。
安全术语
• 0day漏洞
通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还 没有开发出安全补丁的漏洞
• exploit
简称exp，漏洞利用
安全术语
邮件钓鱼如何防范
应警惕的邮件内容：
✓伪造发件人信息 ✓模仿单位领导 ✓索取个人信息
进行网上交易时要注意做到以下几点：
✓核对网址 ✓选妥和保管好密码、做好交易记录。 ✓避免公用计算机使用网上交易系统； ✓不通过搜索引擎上的网址或不明网站的链接进入。 ✓在网络交易前，对交易网站和交易对方的资质全面了解。
Bug
漏洞
漏洞与Bug并不等同，他们之间的关系基本可以描述为：大部分的Bug影 响功能性，并不涉及安全性，也就不构成漏洞；部分的漏洞来源于Bug， 但并不是全部，它们之间只是有一个很大的交集。
安全术语
• 什么是攻击
利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的 数据进行的攻击。包括主动攻击：篡改、伪造消息数据和拒绝服务攻 击（DDOS）等，被动攻击：流量分析、窃听等
信息安全建设交流
目前面对网络安全形势
95% 行业被恶意流量作为攻击目标
100% 行业员工访问过带有恶意代码的网站
“黑灰产”规模庞大，网络犯罪受利益驱使, 门槛低 黑客入侵手法更加智能，具备更强的能力去侵入行业的网络 勒索病毒、未知恶意代码具备较强破坏力 内鬼隐藏较深，难以发现
钓鱼-手法初级
工作环境安全
禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎 废弃或待修磁介质转交他人时应经管理部门消磁处理 离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏 应将复印或打印的资料及时取走 UKEY不使用时应及时拨出并妥善保管 禁止将手机和无线（例如：360wifi等）连接办公电脑（内网）
• Apt攻击
高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络 攻击的攻击形式
攻击者视野……
黑产攻击链展示
入侵服务器
窃取机密信息 （图纸、财务报 表、客户信息）
攻击者
批量入侵网 站，挂马、 恶意代码浏 览器漏洞，
入侵终端
盗取银行、证券、 游戏账号
控制终端
传播病毒
组件僵尸网络
终端防护
• 提权
提高自己在服务器中的权限，主要针对网站入侵过程中，当入侵某一网 站时，通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。
• 跳板
跳板，简单来说，就是为了隐藏自己的地址，让别人无法查找到自己的 位置。
安全术语
• 拖库
网站遭到入侵后，黑客窃取其数据库。
• 社会工程学
一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷 阱进行诸如欺骗、伤害等危害手段取得自身利益的手法，已成迅速上 升甚至滥用的趋势。
• 什么是入侵
网络入侵（hacking）通常是指具有熟练地编写和调试计算机程序的技 巧，并使用这些技巧来获得非法或未授权的网络或文件访问，入侵进 入公司内部网的行为
• 区别
入侵是指任何威胁和破坏系统资源的行为，攻击是入侵者为进行入侵所 采取的技术手段和方法。
安全术语
• 后门
绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就 是方便以后再次秘密进入或者控制系统。
横向移动
横向移动
扫描内网
横向移动
获取核心数据
内网沦陷
组建僵尸网络
所有文件被勒索软件加密为Байду номын сангаасP4文件
安全意识…
犯过以下的错误吗?
将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 不安装防病毒软件，或者病毒库更新不及时 不能保守秘密，口无遮拦，上当受骗，泄漏敏感信息 使用无线或者随意将无关设备连入工作网络 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视内部人员的问题
那么，坏小子是如何一步 步入侵该内网服务的呢？
内网说明：内网中有若干网段。外网服务器区，内网服务器区，办 公pc区。各个网段通过路由器互相通信。
入侵思路
为了入侵内网erp/oa系统，黑客必须首先拿到内网中的一台主机权限，将 其作为跳板机横向移动，继续入侵erp系统。
如何获得内网中 的一台主机权限
思路1-拿下某服务器
出售、牟利
服务器防护
出售、牟利
重定向流量， 提高网站点击
拒绝服务攻击 （勒索）
获取 金钱
情景说明
跳板1 web
Internet
坏小子
门户
攻击目标 OA/ERP
技术部
财务部
跳板2 pc
vlan10 192.168.10.0/24
某天，坏小子接到一个入 侵某企业内网erp/oa系统 的活，但是该系统只对内 网开放，公网上的坏小子 无法直接访问。