资源描述
本|期|看|点P04信息安全人员养成计划之信息收集篇P18浅谈企业数据安全防护之道目录P04 信息安全人员养成计划之信息收集篇全视角安P14 以资产视角看漏洞管理P18 浅谈企业数据安全防护之道P22 Docker 安全配置分析P31 银行大盗 Carbanak 源代码公布两年,竟无人知?P33 预计印度将超英国,成为银行卡诈骗第二大目标国P35 WannaCry 英雄认罪,或面临最高十年监禁业研究行P38 Apache Tomcat 远程代码执行漏洞 (CVE-2019-0232) 威胁预警通告P40 Apache HTTP Server 权限提升漏洞 (CVE-2019-0211) 威胁预警通告P42 Apache Axis 远程代码执行(CVE-2019-0227) 威胁预警通告P44 IE 和 Edge 浏览器 0-day 漏洞威胁预警通告P45 Cisco IOS XR 64 位软件高危漏洞(CVE-2019-1710)威胁预警通告P47 UC 浏览器潜在中间人攻击漏洞威胁预警通告洞聚焦漏P50 绿盟科技产品更新提示P52 新品发布绿盟科技数据安全解决方案P55 天啦噜,不用 VPN 也能登陆内网应用系统?品动态产绿盟科技金融事业部安全月刊2019年第4期SCONTENTS绿盟科技官方微信安全月刊在线阅读全视角安S安全月刊 / 2019.54安全视角信息安全人员养成计划之信息收集篇金融事业部 俞琛摘要: 今年是新中国成立70周年和澳门回归20周年,在大庆期间行业安全事件数量可能再次抬头。因而,金融机构都陆续启动重要保障。面对自身安全专岗人员不足,一种常见的做法是雇用外部团队合作。面对来势汹汹的安全威胁,外部合作和招募信息安全专业人才之外,内部培养信息安全人员也是企业安全团队建设的思路。行业发展迅猛,人才培养供不应求,约一半的信息安全人员是自学成才。这里大部分人都读过吴翰清白帽子讲WEB安全一书,“前言”里对“白帽子”的定义,“在信息安全领域素有黑帽、白帽一说,白帽子均以建设安全的互联网为己任”。为了提高读者对于信息安全人员的认知,召集更多有兴趣人士加入,将陆续编写文章介绍。考虑建立“信息安全人员养成计划”,信息收集篇、漏洞(缺陷)分析篇、渗透测试篇、漏洞(缺陷)加固篇共4个部分。本文作为开篇,概要介绍信息安全人员背景,剥去神秘面纱,使读者了解信息安全人员发展现状。同时,讲述信息安全技能信息收集及相关工作内容和工具,且分享相关实践。一、信息安全人员画像企业信息安全人员是否给人印象模糊,不苟言笑。本文如下尝试给读者描绘信息安全人员画像。谁是黑客黑客(hacker),原意并不是指非法入侵网络的破坏者,它的本意是指能在2019.5 / 安全月刊 5安全视角机,而我感觉工作中的科技元素让我兴奋不已。”据此,试着用特征词来描述:知识领域涉猎广、科技热情、热爱工作。今年3月在美国旧金山召开RSA大会,其中一个主题演讲嘉宾是一位16岁少女, Kyla Guru白天就读于伊利诺伊州迪尔菲尔德高中,晚上则是一名安全行业的超级女侠。同时,Guru创建了Bits NBytes Cybersecurity,这是一个全国性组织,现在已经与多个学区、Facebook和IBM等公司以及Discovery Education等教育平台建立了20多个国家级合作伙伴关系。Guru从教育这一独特视角来分享她对这个行业未来的看法,以及我们如何才能彻底改变这一现状。同时,信息安全女性就在你我身边。这个特别的她,作为一名渗透测试工程师入司,三年时间从青涩懵懂到技术工作独挡一面,日常工作非常刻苦,精神令人钦佩。如今,她的下一目标是成为金融行业优秀的安全专家。白帽子画像通常,外部招聘人员岗位要求1-3年相应工作经验,中高级岗位甚至要求5年。实际某些新兴技术自身,问世都不满3年。信息安全行业亦是如此。全球知名漏洞众测平台Hackone在其发布的一份年度报告中统计白帽子的一些属性。信息安全人员尤其白帽子们也是充满朝气的年纪。数据显示,18-24岁区间占比最高,合并18-34岁区域约占了82%。图 RSAC2019 Kyla Guru主题演讲计算机上创造艺术与美的人。近年来,从硅谷Facebook对“The Hacker Way”(黑客之道)的极力推崇,到“hackathon”(黑客马拉松)在顶尖程序员和科技爱好者之间的盛行。都意味着,代表着创新、自由、分享与开放的黑客文化的回归与重新流行。黑客史就是一部计算机史。史蒂夫沃兹尼亚克、比尔盖茨、理查德斯托曼、马克扎克伯格等著名黑客的传奇个人史,见证了个人计算机革命、开源运动、硅谷互联网商业的发展,而新涌现的“生物黑客”、“创客”等黑客精神的继承者,将引领着技术的未来。天才黑客、信息自由的捍卫者、被誉为“互联网之子”的Aaron Swartz的意外逝世,让人们重新思考互联网前进的方向,在任何一个时代,黑客都将挑战主流观念,促进人们反思。信息安全行业女性读过一篇有关信息安全行业女性专访的文章,Tracy Maleeff是一名独立的信息安全专业人士,主要工作是向企业客户提供安全研究和社交媒体咨询等服务。文章写到部分专访内容,描述“我有图书馆与信息科学硕士学位,而且我个人也非常热爱图书管理员这份工作。但是我觉得我能做的远远不止这些,在我此前的工作经历中或多或少会涉及到高科技和计算安全月刊 / 2019.56安全视角图 白帽子年龄分布白帽子征集令HackerOne共有超过 16.6 万在册白帽子,一共提交了 7.2 万多个漏洞,平台累计发放奖励 2350 万美元奖金。其年度报告数据显示,在中国高级白帽的漏洞奖金收入是软件工程师平均薪资的 3.7 倍。大多数收入来源都是大型企业安全响应中心提供。以上,概要介绍信息安全人员目前生存状况、年龄分布、工作方式等。如果你认同这个特征属性,对这个群体感兴趣,不妨接着继续往下读,了解白帽子初始技能信息收集。图 国内某平台集合50余家安全响应中心入口特别提示,对于非自有网站或信息资产的端口扫描等信息收集行为,必须获得站点拥有者的明确(书面)授权,从而避免违法违规风险。2019.5 / 安全月刊 7安全视角二、信息安全技能之信息收集不同攻击方式,攻击过程存在差异,如简单渗透以发现问题为目的,需熟悉常见漏洞,及漏洞发现、漏洞验证方法。再如,入侵系统以获取权限为目的,目标是获取最高权限,要求思路清晰,提权经验丰富。简单来说,常见攻击过程包含信息收集、探测、渗透攻击到实施恶意行为等步骤。图形化描述攻击过程通常采用攻击链,其样式如图。图 攻击链示例为了识别脆落点,信息收集必定不可或缺。信息收集相关内容逐项说明如下:收集Web域名 开放端口收集Web域名信息whois,可以访问中国互联网络信息中心(cnnic/) 进行Whois查询。子域名是在顶级域名下的域名,收集的子域名越多,可用信息也就越完整。可以利用Google和Bing这样的搜索引擎进行搜索查(site:xxx)。Google还支持额外的减号运算符,以排除我们对“网站:wikimedia - -store”不感兴趣的子域名。当然,可以选择成熟工具进行子域名信息查询,如查询cctv域名信息,见截图。收集开放端口情况,最常用的就是神器Nmap/Zenmap【附注1】,其支持Window/Linux/Mac OS,简单任务在日常办公电脑上运行就好。如需要定期运行和导出详细报告,可以选择商用工具。为了方便读者理解常用端口与常见服务/协议关系,如下提供端口/服务协议对照表。安全月刊 / 2019.58安全视角图 绿盟科技威胁情报平台查询cctv域名信息表 常见端口/服务协议对照表
展开阅读全文