互联网公司的特点是业务技术以Web和App为主。
按照风险区域，可以分为在线业务和企业内部。

1. 在线业务

来自在线业务的风险包括Web安全风险、业务自身的安全风险及移动应用的安全风险。

1.1 Web安全风险

安全风险：
SQL注入漏洞、XSS跨站、越权、逻辑漏洞以及新兴的JSONP注入、SSRF、XML实体注入、Java反序列化，以及各种web框架漏洞、第三方组件漏洞、第三方接口漏洞等。

解决方案：

购买或采用开源WAF快速解决OWASP十大安全问题；
使用DAST（动态应用安全测试）、SAST（静态应用安全测试）、IAST（交互式应用安全测试）产品，如使用OpenVAS、Acunetix、Safe3 WVS、Burpsuit、Veracode、Fortify、SpotBugs、SonarQube、Google CodeSearchDiggity、Synopsys Seeker等对Web业务进行黑盒、白盒扫描和人工测试，解决线上主要漏洞；
部署RASP（运行时应用自保护）时应当使用自保护产品对Web进行自免疫保护，比如使用Prevoty、OpenRASP等；
提供安全代码过滤库和安全编码培训，如使用OWASP的ESAPI（Enterprise SecurityAPI，企业安全API）等可以提升代码的安全质量。

1.2 业务自身的安全风险

安全风险：

一般业务安全可以分为账户体系安全、交易体系安全、支付体系安全。

账户体系安全包括：撞库、盗号/洗号/养号、垃圾注册、暴力破解、短信轰炸、钓鱼攻击等；

交易体系安全包括：促销时恶意下单后退款、营销活动中“薅羊毛”、虚假交易刷排名等；

支付体系安全包括：欺诈、盗刷、洗钱、恶意提现、信用卡套现、优惠券套现等。

当然，业务不同，面临的业务风险也不一样。

如视频网站还涉及盗播盗看、广告屏蔽等方面的风险。

博客贴吧和即时通信平台涉及垃圾广告、低俗色情、违禁品、谣言等内容方面的安全。

解决方案：

针对业务特点，选择合适的第三方风控安全产品；
构建自有的安全风控平台。

1.3 移动应用的安全风险

安全风险：

Android应用上存在的Log敏感信息泄露、Web HTTPS校验错误忽略漏洞、Provider组件暴露漏洞、Activity安全漏洞、使用不安全的加密模式等40多种漏洞风险。

iOS应用上存在的未打开安全编译选项（-fobjc-arc、-fstack-protector-all、-pie）、不安全的随机数加密、后台模式敏感信息泄露（如打开了allowScreenShot配置）、不安全的剪贴板使用、不安全的反序列化（NSCoding、NSCoder）、SQLite注入、不安全的URL调用（registerForRemoteNotificationTypes、handleOpenURL）、不安全的数据存储、有漏洞的第三方组件（AFNetworking、ZipperDown）、含有后门的编译器（XcodeGhost）、溢出&UAF等几十种安全风险。

另外，Android和iOS移动应用还存在二次打包、反编译、破解、外挂、数据加密等安全加固问题。

解决方案：

采用商业方案对App进行漏洞扫描和安全加固来解决常见安全问题，这样的平台有很多，而且有些是免费的，如百度的MTC、360的App漏洞扫描、腾讯的金刚审计系统；
成立移动应用安全小组对手机应用进行深入的人工安全测试，比较好的免费开源测试产品有MobSF；
提供基础移动安全组件和安全编码培训、安全编码规范。

2. 企业内部

来自企业内部的安全风险包括来自员工的安全风险、口令安全风险及来自钓鱼攻击和社会工程学的安全风险。

2.1 来自员工的安全风险

安全风险：

数据泄露、代码泄漏等等

解决方案：

部署可以统一管理的EDR安全产品，在生产环境中统一使用堡垒机进行远程审计管理，采用DMS（Database Management System，数据库管理系统）审计进行数据库访问；
员工入职时进行安全培训，在入职前对重点员工进行背景调查，制定员工信息安全行为规范并进行考试，发布安全周刊并组织安全月活动，在员工离职时需要告知其安全须知，并进行安全审计；
对重点人群（如编程开发人员、BI大数据团队、清算结算人员以及业务运营人员等）建立隔离受控网络（如Ctrix瘦终端、云桌面），统一访问互联网的代理服务器，确保包括HTTPS在内的网络流量可审计；
建立基于机器学习的用户异常行为发现系统，如Splunk产品中的UEBA模块。

2.2 口令安全风险

安全风险：

弱口令等

解决方案：

通过弱口令扫描器（如Hydra或Medusa）检测公司员工账号和内网（如SSH、MySQL、RDP、Web后台等）所有涉及密码的系统服务，并责令修改密码以快速解决弱口令隐患；
建设基于OpenLDAP的统一单点登录系统，并使用基于TOTP方案的动态口令双因素认证（如针对客户端的FreeOTP或Google Authenticator）或RSA Key，若使用Wi-Fi等技术，则可以通过RADIUS协议实现双因素认证；
建立更加严格的基于FIDO U2F认证协议的实体安全密钥登录系统和BeyondCorp账户安全体系，如Google的Titan Security Key通过规定需要使用USB设备或蓝牙进行接入并按压才能登录解决了以往OTP易被钓鱼的风险。

2.3 来自钓鱼攻击和社会工程学的安全风险

安全风险：
邮件钓鱼、论坛和评论钓鱼、通信软件（QQ、微信等）钓鱼等
BYOD设备、OA、HR、ERP、邮箱、客服等第三方系统等

解决方案：

对员工进行相关安全意识培训，并不定期组织相关演练测试以验证培训效果，加强办公场地物理安全管控（如门禁和摄像监控），避免使用第三方通信软件建立的工作群；
强化对钓鱼攻击和利用社会工程学进行攻击的技术监控（如通过基于机器学习的内容识别系统和终端安全监控系统进行监控，终端安全监控方面的工具有Facebook开源的OSquery和微软的Sysmon），若要查看高风险文件（如Office文件、PDF文件、视频、邮件附件）则可利用沙箱技术进行隔离访问，对于浏览网页的高风险操作可以使用远程安全浏览产品（如Cigloo、WEBGAP、FireGlass）；
加强BYOD设备的安全管理（MDM），如手机移动办公隔离的安全管理方案有三星的KNOX、Ctrix的XenMobile、IBM的MaaS360、SAP的MobileSecure、黑莓的UEM等。

3. 参考

《大兴互联网企业安全架构》–石祖文

互联网公司的安全风险相关推荐

咳血的独角兽丨互联网的幕后攻防
作者:半佛仙人来源:半佛仙人(ID:banfoSB) 01 风险控制,"知道"的人多,"了解"的人少. 我想谈谈一些真实发生的案例,来给大家展示一下风险控制这 ...
腾讯2018Q4：手游立功广告支付不乐观
腾讯公布 2018 年四季报:营业收入 848.96 亿元,同比上升 28%,高于一致预期2%:扣非净利润 197.30 亿,同比上升 13%,高于一致预期5%. 2018 年四季度,手游收入同比上升 ...
警惕！银行风控模型或将“摇身一变”，成为风险缔造者
作者 | 祝世虎来源 | 现代金融风险管理头图 | CSDN下载自视觉中国 2011年,美联储发布了<模型风险管理监督指南(SR11-7)>(<SRLetter 11-7: Su ...
数据库架构优化的12种组合方式与风险解读
韩锋阿里云高级产品专家 dbaplus社群联合发起人,CCIA(中国计算机协会)常务理事: Oracle ACE,具有丰富的一线数据库架构.设计.开发经验,著有<SQL优化最佳实践>&l ...
QCon上海2015精彩演讲前瞻：一线互联网公司架构实践
QCon上海2015将于10月15日~17日在上海·光大会展中心国际大酒店举行.我们邀请了国内外一线互联网公司的技术负责人.架构师,来分享他们的实践经验.目前已经确定大部分演讲议题,讲师邀请工作即将结 ...
如何防范Fintech创新中的人工智能、大数据、区块链、云计算技术风险？
8月14日晚间,京东集团发布了2017年第二季度业绩.除了京东集团的业绩情况,还值得注意的一点是,京东金融重组已于2017年6月30日完成交割,京东金融的财务数据将不再纳入京东集团的合并财务报表. 据 ...
国内一线互联网公司内部面试题库
原文链接:https://github.com/JackyAndroid/AndroidInterview-Q-A/blob/master/README-CN.md 欢迎在GitHub或者掘金上关注我 ...
干货 | 国内互联网公司是如何做微服务实践的？（附PPT下载）
微服务的概念最早由Martin Fowler与James Lewis于2014年共同提出,并随着Netflix最佳实践的发布而为业界所知.如今,在国内有了大量的微服务实践案例,5月18日,网易云联合云 ...
中小型互联网公司微服务实践-经验和教训
上次写了一篇文章叫Spring Cloud在国内中小型公司能用起来吗?介绍了Spring Cloud是否能在中小公司使用起来,这篇文章是它的姊妹篇.其实我们在这条路上已经走了一年多,从16年初到现在. ...

互联网公司的安全风险

1. 在线业务

1.1 Web安全风险

1.2 业务自身的安全风险

1.3 移动应用的安全风险

2. 企业内部

2.1 来自员工的安全风险

2.2 口令安全风险

2.3 来自钓鱼攻击和社会工程学的安全风险

3. 参考

互联网公司的安全风险相关推荐

最新文章

热门文章