2017年11月18日,由IT趣学社举办的“大话运维保障之道沙龙” 在广州举行。大话运维保障之道系列技术沙龙,以目前最火热的互联网技术和运维体系为核心,本期更是以《云计算时代的安全和智能运维》为主题,汇集了互联网运维方面的资深专家分享交流,沙龙现场火爆参会人员多达150人。知道创宇云安全作为唯一一家云安全厂商获邀参加本次沙龙,充分表明了运维业界对知道创宇安全技术攻坚能力的高度认可。知道创宇高级安全顾问沈瑞在沙龙上发表了《千里之堤毁于蚁穴 发现一切安全漏洞》的演讲。
沈瑞在演讲中提到:“随着互联网+的发展,越来越多企业互联网化,运维不单单是简单的运维,如果企业网站系统有技术漏洞对运维工作者来说则是非常严重的问题,这意味着运维工作者不单单需要保障网站的正常运作,还需要时时刻刻担心并想办法解决漏洞引发的危害。日前,由漏洞引发的拖库使12306、联通等大型公司用户信息发生泄漏,造成了极大影响。此外,据CNcert数据显示,2015年国内近2.5万个网站被篡改,其中仅政府网站被篡改数为898个。对于如此之多的安全事件,通常企业用了很多硬件设备,做了层层防御仍不见效。”
沈瑞表示:“其实,因漏洞引起的各式各样的损失不计其数,网页被篡改、网页被挂博彩暗链、色情暗链、信息泄露等诸如此类的案例不单单发生在我国,国际案例也数不胜数,香港比特币交易Bitfinex平台权限被盗,用户损失7000万美金; 苹果4000万个iCloud账户遭黑客勒索,用户需支付30~50美金才可解锁。由此可见,,业务漏洞及技术漏洞都会给企业带来巨大的经济损失及运维阻碍。”
黑客如此猖狂,企业应当如何应对呢?沈瑞提出:“渗透测试是针技术漏洞、业务逻辑漏洞最为行之有效的方式。KSA渗透测试能够通过P(计划)D(实施)C(检查)A(处理)对漏洞实施全面检查、1DAY漏洞预警、定期检查/复查的方式形成检测闭环,做到发现‘一切’漏洞。”
沈瑞还向与会人员介绍了“什么是KSA渗透测试”。KSA渗透测试主要分为三大部分:渗透测试、APP应用渗透测试、业务系统渗透测试。其主要测试流程包括:信息收集、威胁建模、漏洞挖掘、漏洞利用、后渗透、报告撰写、复测七大方面。渗透测试主要针对线上业务进行超级安全体检,为企业量身定制体检方案,包含业务逻辑性检测、渗透测试报告解读、安全开发技术培训等。APP应用渗透测试主要针对IOS、Android数据传输安全。业务系统渗透测试主要包含业内常规服务内容如信息泄漏、文件上传、注入漏洞等,而最具特色的则是业务逻辑漏洞挖掘,包括截获和修改金额漏洞、规避交易限制漏洞、请求重放漏洞、欺骗密码找回漏洞等。
知道创宇拥有国内顶尖的安全服务团队和丰富的安全项目经验,其中涉及政府、金融、能源、教育、交通等多个领域。安全专家和服务团队在2014和2015年连续两届荣获国内最高水平网络攻防大赛——“中国网络安全攻防大赛”(CTF)的冠军。知道创宇旨在为各行各业提供更高效的运维途径,让企业运维变得轻松而不失高安全性。