腾讯科技讯 4月16日消息,迅雷安全中心经理方勇在2009腾讯安全技术峰会上表示网络地下产业链有2.6亿的经济价值碍,所以黑客一定会盯着网络公司。
方勇认为安全人员和入侵者的较量其实就是成本的较量,黑客要黑网络公司,其实他都需要时间、金钱和物质上面的成本。
他建议网络公司好好权衡,如果有比较多的资源网络公司可以投入比较多的资源对付黑客,如果网络公司资源不是太丰富,则可以采取四两拨千斤的方法。
迅雷安全中心经理方勇(腾讯科技配图)
2009腾讯安全技术峰会4月16日在深圳麒麟山庄国际会议厅举行。腾讯科技做现场直播。
以下是迅雷安全中心经理方勇演讲实录:
方勇:很荣幸能参与到这个会议里面,和大家一起讨论与办公网安全相关的话题。首先自我介绍一下,我是迅雷安全中心经理方勇,我们的安全团队主要负责迅雷的一些产品和业务的安全、服务安全以及办公网安全这三大块。
这次讨论分三个部分,第一部分是展示办公网安全相关的挑战。第二部分是通过一些实际的案例来看办公网的安全实战。最后是总结。
首先是挑战。地下产业链有2.6亿的经济价值,所以黑客一定会盯着我们,最直接的办法,以往可能会通过WEB,现在大家对WEB关注相对比较多,现在通过控制办公网,包括文档、内部管理系统,还有一些充值系统都会在办公网里面很容易地接触到。
另外就是黑客的数量在快速地增长,现在大家也关注到网上很多“黑客培训班”之类的,一个不需要很高深的计算机水平的人看一些教程可以快速地掌握黑客技术。同时这个黑客技术也是发展相当快的,两三年之内,各种各样的技术让我们有点跟不过来的感觉。
更重要的是在传统的一些已知安全防御手段无法跟我们现在一些未知的安全漏洞和后门抗衡。因为我们传统的防御手段是通过一些安全教程或者一些论坛来学习到,我们作为安全人员很难获取到所有的未知的安全漏洞和后门。传统的防御系统基本失效。
看一下这几个图,这是国外一个相当大的企业在安全方面、在软件方面其实是相当有建树的,他有各种各样的防御手段,比如反病毒、IPS、防火墙,但他最后还是被攻击了,从这个图上就可以很清楚地看到。这个图上有很多他们相关的信息。
再看一下这一张图,有很多安全设备,也有防火墙、IPS,还有WEB防火墙,网络发展也很好,还有DMZ,但他最后还是被黑客入侵了,黑客进入他们一个管理员的电脑,然后把这个文件窃取出来了。所以从这张图可以看到传统的防火墙、IPS对现在的黑客来说效果不是很明显。
这是一个密码工具的报告图,可以看出挺复杂的,但是只要通过一个简单的软件,在一个普通的PC里面,大概跑两天两小时左右就可以把77.916%的密码跑出来,这里一共是2898个账号,跑出了2200个。
我们经常会看到有人说密码要设置多复杂,但是这个密码已经是挺复杂的了,但是结果一样还是这么简单被破解了。另外中国有个安全研究人员,他在一台普通的PC机上,一个15位的而且是包含键盘上所有字符的Windows密码,不需要一分钟就可以被破解出来。
在实战之前我们先来点“虚”的,讲一下信息安全建设的观点,安全是一种手段,它不是目的。我作为安全人员在实施安全项目的过程中感触挺深的,如果我们把目的定到安全的时候,我们会情不自禁被引到相对极端的情况,这时候我们可能会做一些钻牛角尖的事情,所以希望这个我们可以避免。
第二是我们安全人员和入侵者的较量其实就是成本的较量,我们安全人员做防护和入侵人员、黑客他要黑我们,其实他都需要时间、金钱和物质上面的成本。所以我们需要在这一块好好地权衡一下,如果我们有比较多的资源我们可以投入比较多的资源,如果我们资源不是太丰富,我们可以采取四两拨千斤的方法。
再就是我们安全人员是产品人员也是客服人员,我们的受众他可能是我们的同事也可能是我们的用户,这时候我们必须要很好地考虑用户体验,不能说这个产品或者这个安全项目最后可以把安全指数提高很多,但是用户却受不了,这是和我们的目的是适得其反的。
另外就是1+1+1+1>4,为什么这么说呢?我们可以使用一个轻量级的防御手段来达到我们的目的,而不是使用重量级的,因为黑客他不一定可以连续通过几个相对简单的槛,所以我们在设计安全项目的时候可以考虑使用一些轻快级的手段来帮助我们的用户使用更安全。
