互联网公司的安全风险
互联网公司的特点是业务技术以Web和App为主。
按照风险区域,可以分为在线业务和企业内部。
1. 在线业务
来自在线业务的风险包括Web安全风险、业务自身的安全风险及移动应用的安全风险。
1.1 Web安全风险
安全风险:
SQL注入漏洞、XSS跨站、越权、逻辑漏洞以及新兴的JSONP注入、SSRF、XML实体注入、Java反序列化,以及各种web框架漏洞、第三方组件漏洞、第三方接口漏洞等。
解决方案:
- 购买或采用开源WAF快速解决OWASP十大安全问题;
- 使用DAST(动态应用安全测试)、SAST(静态应用安全测试)、IAST(交互式应用安全测试)产品,如使用OpenVAS、Acunetix、Safe3 WVS、Burpsuit、Veracode、Fortify、SpotBugs、SonarQube、Google CodeSearchDiggity、Synopsys Seeker等对Web业务进行黑盒、白盒扫描和人工测试,解决线上主要漏洞;
- 部署RASP(运行时应用自保护)时应当使用自保护产品对Web进行自免疫保护,比如使用Prevoty、OpenRASP等;
- 提供安全代码过滤库和安全编码培训,如使用OWASP的ESAPI(Enterprise SecurityAPI,企业安全API)等可以提升代码的安全质量。
1.2 业务自身的安全风险
安全风险:
一般业务安全可以分为账户体系安全、交易体系安全、支付体系安全。
账户体系安全包括:撞库、盗号/洗号/养号、垃圾注册、暴力破解、短信轰炸、钓鱼攻击等;
交易体系安全包括:促销时恶意下单后退款、营销活动中“薅羊毛”、虚假交易刷排名等;
支付体系安全包括:欺诈、盗刷、洗钱、恶意提现、信用卡套现、优惠券套现等。
当然,业务不同,面临的业务风险也不一样。
如视频网站还涉及盗播盗看、广告屏蔽等方面的风险。
博客贴吧和即时通信平台涉及垃圾广告、低俗色情、违禁品、谣言等内容方面的安全。
解决方案:
- 针对业务特点,选择合适的第三方风控安全产品;
- 构建自有的安全风控平台。
1.3 移动应用的安全风险
安全风险:
Android应用上存在的Log敏感信息泄露、Web HTTPS校验错误忽略漏洞、Provider组件暴露漏洞、Activity安全漏洞、使用不安全的加密模式等40多种漏洞风险。
iOS应用上存在的未打开安全编译选项(-fobjc-arc、-fstack-protector-all、-pie)、不安全的随机数加密、后台模式敏感信息泄露(如打开了allowScreenShot配置)、不安全的剪贴板使用、不安全的反序列化(NSCoding、NSCoder)、SQLite注入、不安全的URL调用(registerForRemoteNotificationTypes、handleOpenURL)、不安全的数据存储、有漏洞的第三方组件(AFNetworking、ZipperDown)、含有后门的编译器(XcodeGhost)、溢出&UAF等几十种安全风险。
另外,Android和iOS移动应用还存在二次打包、反编译、破解、外挂、数据加密等安全加固问题。
解决方案:
- 采用商业方案对App进行漏洞扫描和安全加固来解决常见安全问题,这样的平台有很多,而且有些是免费的,如百度的MTC、360的App漏洞扫描、腾讯的金刚审计系统;
- 成立移动应用安全小组对手机应用进行深入的人工安全测试,比较好的免费开源测试产品有MobSF;
- 提供基础移动安全组件和安全编码培训、安全编码规范。
2. 企业内部
来自企业内部的安全风险包括来自员工的安全风险、口令安全风险及来自钓鱼攻击和社会工程学的安全风险。
2.1 来自员工的安全风险
安全风险:
数据泄露、代码泄漏等等
解决方案:
- 部署可以统一管理的EDR安全产品,在生产环境中统一使用堡垒机进行远程审计管理,采用DMS(Database Management System,数据库管理系统)审计进行数据库访问;
- 员工入职时进行安全培训,在入职前对重点员工进行背景调查,制定员工信息安全行为规范并进行考试,发布安全周刊并组织安全月活动,在员工离职时需要告知其安全须知,并进行安全审计;
- 对重点人群(如编程开发人员、BI大数据团队、清算结算人员以及业务运营人员等)建立隔离受控网络(如Ctrix瘦终端、云桌面),统一访问互联网的代理服务器,确保包括HTTPS在内的网络流量可审计;
- 建立基于机器学习的用户异常行为发现系统,如Splunk产品中的UEBA模块。
2.2 口令安全风险
安全风险:
弱口令等
解决方案:
- 通过弱口令扫描器(如Hydra或Medusa)检测公司员工账号和内网(如SSH、MySQL、RDP、Web后台等)所有涉及密码的系统服务,并责令修改密码以快速解决弱口令隐患;
- 建设基于OpenLDAP的统一单点登录系统,并使用基于TOTP方案的动态口令双因素认证(如针对客户端的FreeOTP或Google Authenticator)或RSA Key,若使用Wi-Fi等技术,则可以通过RADIUS协议实现双因素认证;
- 建立更加严格的基于FIDO U2F认证协议的实体安全密钥登录系统和BeyondCorp账户安全体系,如Google的Titan Security Key通过规定需要使用USB设备或蓝牙进行接入并按压才能登录解决了以往OTP易被钓鱼的风险。
2.3 来自钓鱼攻击和社会工程学的安全风险
安全风险:
邮件钓鱼、论坛和评论钓鱼、通信软件(QQ、微信等)钓鱼等
BYOD设备、OA、HR、ERP、邮箱、客服等第三方系统等
解决方案:
- 对员工进行相关安全意识培训,并不定期组织相关演练测试以验证培训效果,加强办公场地物理安全管控(如门禁和摄像监控),避免使用第三方通信软件建立的工作群;
- 强化对钓鱼攻击和利用社会工程学进行攻击的技术监控(如通过基于机器学习的内容识别系统和终端安全监控系统进行监控,终端安全监控方面的工具有Facebook开源的OSquery和微软的Sysmon),若要查看高风险文件(如Office文件、PDF文件、视频、邮件附件)则可利用沙箱技术进行隔离访问,对于浏览网页的高风险操作可以使用远程安全浏览产品(如Cigloo、WEBGAP、FireGlass);
- 加强BYOD设备的安全管理(MDM),如手机移动办公隔离的安全管理方案有三星的KNOX、Ctrix的XenMobile、IBM的MaaS360、SAP的MobileSecure、黑莓的UEM等。
3. 参考
《大兴互联网企业安全架构》–石祖文
互联网公司的安全风险相关推荐
- 咳血的独角兽丨互联网的幕后攻防
作者:半佛仙人 来源:半佛仙人(ID:banfoSB) 01 风险控制,"知道"的人多,"了解"的人少. 我想谈谈一些真实发生的案例,来给大家展示一下风险控制这 ...
- 腾讯2018Q4:手游立功 广告支付不乐观
腾讯公布 2018 年四季报:营业收入 848.96 亿元,同比上升 28%,高于一致预期2%:扣非净利润 197.30 亿,同比上升 13%,高于一致预期5%. 2018 年四季度,手游收入同比上升 ...
- 警惕!银行风控模型或将“摇身一变”,成为风险缔造者
作者 | 祝世虎 来源 | 现代金融风险管理 头图 | CSDN下载自视觉中国 2011年,美联储发布了<模型风险管理监督指南(SR11-7)>(<SRLetter 11-7: Su ...
- 数据库架构优化的12种组合方式与风险解读
韩锋 阿里云高级产品专家 dbaplus社群联合发起人,CCIA(中国计算机协会)常务理事: Oracle ACE,具有丰富的一线数据库架构.设计.开发经验,著有<SQL优化最佳实践>&l ...
- QCon上海2015精彩演讲前瞻:一线互联网公司架构实践
QCon上海2015将于10月15日~17日在上海·光大会展中心国际大酒店举行.我们邀请了国内外一线互联网公司的技术负责人.架构师,来分享他们的实践经验.目前已经确定大部分演讲议题,讲师邀请工作即将结 ...
- 如何防范Fintech创新中的人工智能、大数据、区块链、云计算技术风险?
8月14日晚间,京东集团发布了2017年第二季度业绩.除了京东集团的业绩情况,还值得注意的一点是,京东金融重组已于2017年6月30日完成交割,京东金融的财务数据将不再纳入京东集团的合并财务报表. 据 ...
- 国内一线互联网公司内部面试题库
原文链接:https://github.com/JackyAndroid/AndroidInterview-Q-A/blob/master/README-CN.md 欢迎在GitHub或者掘金上关注我 ...
- 干货 | 国内互联网公司是如何做微服务实践的?(附PPT下载)
微服务的概念最早由Martin Fowler与James Lewis于2014年共同提出,并随着Netflix最佳实践的发布而为业界所知.如今,在国内有了大量的微服务实践案例,5月18日,网易云联合云 ...
- 中小型互联网公司微服务实践-经验和教训
上次写了一篇文章叫Spring Cloud在国内中小型公司能用起来吗?介绍了Spring Cloud是否能在中小公司使用起来,这篇文章是它的姊妹篇.其实我们在这条路上已经走了一年多,从16年初到现在. ...
最新文章
- 2022斯坦福AI指数报告出炉!中国霸榜AI顶会,但引用量最低
- 使用blas做矩阵乘法
- Java可视化编程,基于布局管理器的UI设计
- LoadRunner 脚本语言认识
- for遍历list scala_面试官问:List 如何一边遍历,一边删除?
- 这样的递归调用,你看出来了?
- 这哥们到底是应聘的还是来收购公司的?| 今日趣图
- div 隐藏_div的position属性
- SQL Server 2008 各种DateTime的取值范围
- Android学习总结(4)——Andorid Studio熟练使用
- 计算机描绘的基因结构图,利用IBS软件画基因mRNA的结构图
- 【Spring Boot】28.开发热部署
- SpringMVC接收json数据转对象中的一些问题(415错误的解决)
- 一篇极好的Git 总结
- Hadoop之常用端口号
- js实现table中td单元格合拼并求和
- 用pytest实现POM模型
- 整流二极管的细节分析
- python电影名称词云_python wordcloud 对电影《我不是潘金莲》制作词云
- 【附章4包装类】包装类的顶级理解
热门文章
- cmake 在安装mysql_cmake安装mysql
- redis+php微博,redis+php实现微博(三)微博列表功能详解
- Redis内存回收和持久化策略
- aioserve oracle,oracle进程关不掉的问题??新手问题
- 路飞学城django
- php class setter,设置器 - Setters《 PHP 面向对象 》
- jq中ajax请求跨域,用JQuery实现简单的Ajax跨域请求
- 计算机控制专业代码,专业代码080605.doc
- 全局安装python_python pip 安装与使用
- idea热部署devtools