成长性的互联网公司的数据安全-乌云-章华鹏.pdf

“成⻓性互联⺴公司的数据安全” –章华鹏@wooyun 关于我 • 乌云⽩帽⼦:goderci,boooooom • 百度，企业安全，云加速WAF • 乌云，唐朝安全巡航(tangscan) ⺫录 • 数据时代成⻓性互联⺴公司的现状 • 企业⾯临的安全问题 • 数据时代的解决⽅案的思考 成⻓性互联⺴公司现状 • 云端基础设施的接⼊ • 数据开放 • 传统⾏业的互联⺴化 云端基础设施的接⼊ • 数据源的多元化 • 移动终端 • 物联⺴ • ⻋联⺴ • 数据存储的边界正在消失 数据开放互联 • 开放共赢 • 数据流变的更加复杂 传统企业的互联⺴化 • P2P⾦融 • 打⻋ ⾯临的安全问题 • 云(基础设施)安全 • 数据开放带来的安全问题 • 传统企业互联⺴化的安全需求难题 基础设施安全 • 背景： • 企业越来越轻，越来越专注 • 云作为互联⺴的基础设施承载了越来越多的数据 • 企业很关注基础设施的安全 • 挑战：数据集中化存储导致安全变成⼀个重要属性 基础设施云安全(1) • 云存储的基础设施安全 基础设施云安全(1) • 越权导致任意账号密码重置 • 直接可登陆任意⽤户账号，获取数据 移动终端的数据安全(2) • 短信云服务的数据安全 移动终端的数据安全(2) • 管理后台未授权访问导致数据泄露 • sql注⼊等其他安全问题 云引擎数据安全 • 公有云引擎的数据安全问题 云引擎数据安全 • ⽂件压缩的特性导致代码部署绕过沙盒 数据开放 • 数据开放导致整个数据流变得更加复杂 • ⽤户的数据受到攻击⾯变的更⼲ • 业务的上下游的安全问题 电⼦商务合作联盟 • 电⼦商务合作联盟的数据安全(订单数据) 电⼦商务合作联盟 • 管理后台暴⼒破解 传统企业互联⺴化 • 安全需求很强烈 • ⽤户量⼤ • 业务敏感 • 对安全并不熟悉 • 安全⼈才的稀缺 P2P⾏业严重的安全问题(1) 共279条记录 P2P⾏业严重的安全问题(2) • 翼⻰贷某站未授权访问+命令执⾏导致⼗⼏亿资⾦可随意操作 P2P⾏业严重的安全问题(2) • 未授权访问 • DNS遍历 • 管理后台识别 数据时代的云安全 • 严峻的安全形势 • 在场的⼤部分企业都存在⾼危安全问题 数据时代的云安全 • 数据时代，业务形态在改变 • 传统安全解决⽅案已经⽆法满⾜需求 • 新的解决⽅案? 新的解决⽅案 • 核⼼需求：企业安全的核⼼是问题发现的能⼒ • 数据时代解决⽅案： • 搭建平台