来自乌云的安全建议

迄今为止,越来越多的公司被卷入数据泄密事件当中,其中最让人担忧的就是用户的账户密码信息,一旦账户密码信息被获取,攻击者就可以借用账户密码去登录用户的业务系统,获取相应的信息。譬如登录进游戏系统窃取装备,登录进微博发广告或者欺诈信息,登录进购物网站访问用户手机、住址、订单、购物记录等信息等等,以获取更多的利益。利益永远是攻击者追逐的最终目标。

迄今为止,越来越多的公司被卷入数据泄密事件当中,其中最让人担忧的就是用户的账户密码信息,一旦账户密码信息被获取,攻击者就可以借用账户密码去登录用户的业务系统,获取相应的信息。譬如登录进游戏系统窃取装备,登录进微博发广告或者欺诈信息,登录进购物网站访问用户手机、住址、订单、购物记录等信息等等,以获取更多的利益。利益永远是攻击者追逐的最终目标。

为何这么不安全

其实很早我们和一些互联网公司就发现一个奇怪的现象,传统的暴力破解密码等较为成熟的攻击手段发生了改变。另外一种攻击手法越来越多——直接拿一批账号密码去业务系统上进行尝试,这一动作变得相当普遍。尽管账号密码不一定是正确的,但是可以明显看出是用户的正常密码,而且一次失败就不再进行尝试,其实这个时候大量的账号密码数据泄露已经发生了,业界有一个名词来指代这种行为,叫“撞库”。

如何变得安全

作为一个互联网厂商,如果想让自己变得安全,有两种方式。

第一种是让自己在黑客眼里变得没有价值,如果攻击成本和收益不成比例,相信黑客一定不会攻击你的。这里对于密码而言,最好的方式就是将你的密码加密,并且使得逆向不可能,譬如常见的一用户一加密,每个用户生成单独的足够复杂的盐,然后用盐对密码进行加密,这样会使得你的密码库对于黑客攻击的吸引会较小,一些公司可以通过这种方式减免风险。

第二种方式自然就是让自己足够的安全,这一点很困难。但是对于某些公司来说必须这么做,因为也许不是你的用户密码信息重要,你的业务已经决定了你的敏感性,譬如游戏公司、微博、社区、购物以及邮箱等等,这些业务注定是黑客的目标,这个时候只能提升自身的安全性以避免遭受攻击时受到损失。

但是这次的事件一样说明了一个问题,躺着中枪的事现在太多了。互联网这么大,各大公司的用户重合度非常高,很可能一家的数据库被入侵了,就发生了前面到别家撞库的现象。所以即使暂时没有被直接披露数据库泄露的厂商和企业,在做好自身安全建设的同时,也建议及时做出反应。对已经泄露的用户进行及时提醒,修改账号、密码。对于业务系统的登录日志要定期审计,重点包括单IP多账号尝试登录的情况。如果有很明显是可能躺着中枪的现象,要及时作出响应。

如果要做到自身的足够安全,这是一项艰巨和艰难的工作。安全本身的范畴就较广,但绝对不能是在出了事故之后找一些人来临时解决。最好的安全应该是自始至终就有人为安全负责,将安全落实到公司的流程制度规范以及基础技术架构里去,形成完善的安全体系,并且持续更新迭代。如果以前没有这方面制度,就从现在开始建设;如果没有团队,就可以先找一些公司或者外部顾问。但是记住,不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链,当然作为一个与外部安全社区沟通的平台,乌云也是值得关注的。

(责任编辑:闫小琪)

顶一下
(1)
50%
踩一下
(1)
50%
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
图片资讯

针锋相对 四招防御APT攻击

针锋相对 四招防御APT攻击

APT即“Adavanced Persistent Threat”,是指针对明确目标的持续的、复杂的网络攻击。...[详细]

浏览器必备的五大安全附加组件

浏览器必备的五大安全附加组件

随着云计算和基于Web的业务应用程序的兴起,尽可能的保证浏览器安全已成为关键。并非...[详细]

未来无线路由需要改进的地方

未来无线路由需要改进的地方

对于一般人来说,现有无线路由器的主要目是让手机和平板等设备连上网络,方便自己在特...[详细]

怎样在不同网络安全需求下创建DMZ区

怎样在不同网络安全需求下创建DMZ区

安全区的定义在建立安全网络过程中起着至关重要的作用。DMZ (Demilitarized Zone)是网...[详细]

教你如何利用Wireshark监测无线网络

教你如何利用Wireshark监测无线网络

计算机安全始终是一个让人揪心的问题,网络安全则有过之而无不及。无线网络是黑客们最...[详细]