白城意外险交流群

网站安全热点问题分析

优炫软件 2019-12-08 12:31:20

优炫,让数据

更安全!

关键词:网站安全热点问题



一、 网站泄漏个人信息成网络诈骗助推器


2016年网站信息泄露事件层出不穷,电信网络诈骗也成为高发的犯罪类型。半数以上的诈骗案件与个人信息泄露有关,如机票退改签、购物退款、冒充公检法、冒充熟人、银行卡盗刷等电信网络诈骗都是最典型的利用泄露的信息来行骗,使得受害者防不胜防。


大量的实际案例和研究表明,网站个人信息泄露已成为网络诈骗助推器。


中国互联网协会发布的《中国网民权益保护调查报告2016》同样可以看到,网民在网购过程中,遭遇“个人信息泄露”的占51%,84%因信息泄露受到骚扰、金钱损失等不良影响,一年因个人信息泄露等遭受的经济损失高达915亿元。


山东徐玉玉案中,犯罪分子在窃取其报考院校、助学金申请等信息后,伪装成教育局工作人员发放助学金进行诈骗。

经过警方调查,该信息是由黑客利用安全漏洞侵入了“山东省2016高考网上报名信息系统”网站获取的,且共窃取下载了60多万信息。



另外,在现如今网络黑产中,交易个人信息成为了整个产业链中重要的一环。今年12月《南方都市报》报道,仅需花费700元即可买到11项个人隐私信息,涉及个人航班记录、存款记录、开房记录、手机实时定位信息、手机通话记录等多项信息。


大量个人信息泄露,主要由两方面原因所致。一是因为网站存在安全漏洞,被黑客入侵;二是因为网站内部人员非法盗卖。


同时,互联网开放的特质使得大量数据类型丰富的信息资料暴露在网络上利用爬虫等工具采集、存储、追踪特定行为或人员的细节数据,即可实现开放数据挖掘这种方法一旦被犯罪分子应用到对网站的攻击中,威胁不容小觑。


从技术角度讲,网站的防护思路也需要转变,比如及时检测和避免公开数据被恶意抓取,采取技术手段强化数据安全存储与传输等



二、金融行业网站漏洞威胁更加复杂化


90%的全球金融企业认为自己存在数据安全风险……

2014年,165家国内P2P互联网金融平台由于黑客攻击,资金被洗劫一空……

2015年,骇人听闻的Carbanak犯罪团伙金融恶意攻击活动让网络金融犯罪变得众所周知。这家犯罪团伙的攻击目标包括超过30个国家的100多家银行及其他金融机构。自2013年以来,该犯罪团伙所窃取的金额或将高达10亿美元。



数据是金融行业的命脉,而内部数据安全管理的不慎,和针对金融企业的网络攻击,则是架在命脉上的一把尖刀,随时可能引起“大出血”。


在国内,金融这一“高危”行业与安全威胁赛跑的速度还不够快。


金融行业离“钱财”最近,因此金融行业网站漏洞受到黑客的关注也最多。据统计,2016年金融行业网站漏洞数量和高危漏洞数量都处于各行业前列。今年前11个月金融网站的漏洞曝出数量(超过1700个)、高危漏洞的数量(约700个)皆领先于教育培训、汽车交通、医疗卫生等行业。


其次,金融行业各细分领域的网站基本都曝出安全问题,尤其是以保险领域最为严重。例如,2016年4月份曝光的国内某保险协会网站存在的安全漏洞隐患可能导致8亿保单信息泄露,影响上亿用户。


第三,一些新兴的金融业务网站安全也同样出现不少问题。如某互联网金融社区主站存在SVN漏洞、汽车金融平台资车贷曝出信息泄露漏洞等,一定程度上和这些金融新业态的业务相关性较大,这些漏洞一旦遭利用将会导致网站内部信息和数据库数据遭窃取。


此外,今年多家第三方支付企业也曝出若干漏洞,一旦遭利用,将会影响平台用户的资金流动安全。据人民银行的消息,第三方支付牌照将停止新授权的颁发,也就是说现存的270家手里的牌照含金量极高,这些企业更应重视网站安全隐患。


最后,2016年金融领域APT攻击进一步加剧商业银行网络威胁的复杂化。例如,2016年7月发生的台湾第一银行ATM机“自动吐钱”事件也表明,在高级攻击面前,即便是隔离性最强的瘦终端设备,也同样面临巨大的安全威胁



三、 网站挂马攻击重新兴起


2016年网站挂马攻击再次兴起。攻击者在网页中嵌入恶意代码,当用户访问该网页时,嵌入的恶意代码利用浏览器本身或者Flash等插件的漏洞,在用户不知情的情况下下载并执行恶意木马。


尽管2010年以来,得益于国内安全浏览器的普及和第三方打补丁工具的普及,针对国内用户的挂马攻击的事件呈现持续大幅下降的趋势,但2015年-2016年以来,网页挂马在国内又重新流行,黑客针对网站的挂马活动再次活跃,并呈现一定程度爆发趋势。


诱发挂马攻击在国内死灰复燃的主要原因有以下三个方面


1) Hacking Team大量攻击代码泄漏

2015年7月臭名昭著的黑客公司Hacking Team泄露了大约400G的内容,其中包括一些漏洞利用工具产品的源代码,即刻引起国内黑客的注意。例如,当月就出现含有上述代码的下载器木马,对受害者电脑实施恶意下载、广告弹窗等攻击行为。

同时,由于这些泄露出来的源代码快速扩散,PC端原本不温不火的流氓推广类木马也逐渐有抬头之势,靠广告推广赚钱的黑产分子死灰复燃,从而导致监测到的挂马攻击不断增多。


2) Flash漏洞增多,修复周期较长

2015年以来,Flash被先后曝出多个高危安全漏洞,极具利用价值。例如,2015年被发现的CVE-2015-5122、CVE-2015-5119漏洞已经成为大量挂马程序的“靶子”。

与微软漏洞不同,作为一种浏览器插件,Flash版本的更新和漏洞修复并没有有效的定期推送机制,往往只能依赖于浏览器及相关软件厂商(很多软件自带网页播放功能),或者是用户自主的手动更新,而且即便是有的浏览器给出了Flash插件的升级提示,很多用户也会视而不见。这就使得Flash漏洞可能比微软漏洞能够更加长期,普遍的存在于用户电脑或手机中,给攻击者留下了充分的空间。


3) 敲诈者病毒的流行间接推动了挂马产业发展

2015年,特别是2016年以来,敲诈者病毒在国内的攻击增长迅速。根据《2016敲诈者病毒威胁形势分析报告(年报)》,全年约有497万台电脑用户遭遇敲诈者病毒攻击。

由于敲诈者病毒的攻击门槛低,溯源难,收益高,造成了敲诈者病毒的大量传播,而挂马攻击又是各类木马传播的最常用的方式。所以敲诈者病毒的攻击者开始大量的向挂马攻击者购买挂马服务,从而间接推动了挂马产业的活跃度,并使得挂马攻击成为敲诈者病毒在国内发动攻击的最主要方式。


被植入的非法网页 


四、 智能硬件容易遭劫持,安全隐患迭出


2016年10月,大半个美国用户遭遇了一次7小时的集体“断网”事件,事故原因是美国大型DNS服务提供商Dyn公司遭遇DDos攻击,影响了Twitter、亚马逊、Paypal和其他多家知名网站,“打瘫了大半个美国”,堪称遭遇“网络911”。据了解,此次DDos攻击的发起者竟是感染Mirai的数十万台智能摄像头。


智能硬件类型的漏洞,其中包括智能机器人、智能停车门禁系统、智能音箱、自动售卖系统等最为典型,曝出的漏洞包括数据劫持、设备劫持等,可以实现对智能设备的远程控制,甚至可以不花钱购买商品。


而影响更大的智慧交通领域,2016年白帽子还曝出若干智能停车场的漏洞隐患,黑客可以不需接触(距离10m都可以)就能复制任意车主的停车卡。手法高明的黑客甚至可对系统进行爆破,危害整个系统安全


优炫核心数据保护解决方案是从操作系统安全、数据库安全防护、用户行为管控三个层面来保护核心数据的安全。通过部署核心数据保护解决方案,可实现操作系统主动防护功能,阻止内、外部人员对操作系统的攻击行为,可实现对访问核心数据系统的自然人“管理透明化、审计信息化”要求,实现全网的运维安全;对用户敏感数据进行加密处理和审计,可避免信息泄露、介质丢失、非法拷贝等泄密事件;

通过优炫一体化智能运维管理系统(SIMO),随时随地了解核心系统的运行状态,实现核心业务系统运行的安全管理和预警。

安全其实就是这样一种形态,平时不出状况看不到安全的效果,一旦爆发数据泄露事件,无论对于企业还是用户本身,甚至国家信息安全,其损失不可估量。业务在发展,安全领域攻与防的对抗将长期持续。

转自《2016中国网站安全漏洞形势分析报告》


公司网址:www.uxsino.com

服务热线 :400-650-7837

股票简称:优炫软件

股票代码:430208

专注、激情、创新、共享

扫描二维码

关注优炫

Copyright © 白城意外险交流群@2017