安全运营之道

季昕华 Benjurry

帐号泄漏 - 互联网公司相继沦陷 2011 年 12 月 21 日， CSDN 600 万帐号泄漏 2011 年 12 月 22 日，人人网、开心网、多玩网世纪佳

缘、珍爱网、美空网、百合网帐号泄漏 2011 年 12 月 27 日，天涯 4000 万帐号泄露 2011 年 12 月 28 日，当当、京东帐号泄漏 2011 年 12 月 29 日，中国工商银行、交通银行、民生

银行被爆出客户信息泄露 2012 年 1 月 4 日，新浪被爆帐号泄漏

APT 攻击 - 人为刀俎 2011 年 4-7 月， sony 大批用户资料泄漏 2011 年 3 月， RSA 发现攻击者已获得了至关重要的

SecurID 种子 2011 年 2 月，给美国政府和五角大楼服务的安全公司

HBGary 被入侵 美国宇航局， 2 年内 5408 次侵入和非法访问， 47 起

APT 事件， 13 次成功的 APT 侵入

盗号—完整产业链1. 获取号码 2. 清洗号码

1.2 木马

1.3 钓鱼

2.1 晒号

2.3.1 修改密码

2.3.2 修改个人资料

2.3.3 修改或申请密保

2.2 选号2.2.1 靓号

2.2.2 等级

2.3 修改用户信息2.2.3 Q 币

2.3.4 删除好友

3.2 卖靓号

3.1 盗 Q 币、装备3.1.1 盗装备

3.1.2 业务赠送

3.3 诈骗

3. 获利

3.4 参加营销活动

1.1 注册

每个环节：工具 + 人工

地下产业链

帐号库

APT 攻击

撞号攻击

营销广告

客户端攻击获取情报

服务器攻击获取权限

关系链获取

邮件 IM 微博

后台权限

域名权限

代码文档

家人 朋友 同事

游戏平台

支付平台

社交平台

洗号卖装备

转钱付款

广告、诈骗

名人用户隐私

针对性强，隐秘性好价值高

规模大，工具化集团化

自发性，娱乐性

人肉搜索

垃圾邮件

为什么？为什么？

敌暗我明

敌人安排线人探测

我方被动防守

原因

安全需要运营 安全需要运营

安全是动态的•业务在变•利益在变•环境在变•敌人在变•攻击手段在变

安全是持续对抗的过程 安全是不断优化的过程

组织架构组织架构 -- 安全运营的保障安全运营的保障

有没有团队团队向谁汇报

安全运营生命周期安全运营生命周期

扫描系统

配置系统 Agent 数据分

析

各种防护设备和措施

情报系统

• 改变敌暗我明状态改变敌暗我明状态• 数据、信息驱动数据、信息驱动• 小步快跑，持续优化小步快跑，持续优化• 自动化、系统化实现安全策略自动化、系统化实现安全策略

运营的目的运营的目的

• 掌握敌人情况，改变敌暗我明格局掌握敌人情况，改变敌暗我明格局

• 线人线人 && 染色染色 && 诱敌诱敌

• 检测和打击的分离检测和打击的分离

• 数据分析数据分析

• 多联对账多联对账

• 积极发动人民群众的力量，打人民战争积极发动人民群众的力量，打人民战争

• 争取业界支持争取业界支持

• 尊重白帽子尊重白帽子

• 和业界安全公司保持合作和业界安全公司保持合作

• 积极和主管部门沟通积极和主管部门沟通

• 化敌为友化敌为友

如何运营如何运营

线人线人 && 染色染色

犯罪分子

外部平台

用户

互联网企业

木马编写

盗号集团

洗信集团工具编

写集团广告 /诈骗

外部网站

入侵

访问 感染

密码泄漏

财产泄漏

盗密码 查道具

转财产

交易平台

入侵挂马

染色案例：盗号染色案例：盗号 && 挂机挂机

诱敌诱敌

检测检测 && 打击打击

• 检测逻辑要和打击逻辑分离检测逻辑要和打击逻辑分离• 网马查杀网马查杀 &IDS&IDS案例案例

• 基于不同链路的检测不容易被发现基于不同链路的检测不容易被发现• 基于移动设备特征的动态认证系统基于移动设备特征的动态认证系统

• 检测在平常时间，打击在关键时刻检测在平常时间，打击在关键时刻• 基于漏洞特征的检测不容易被绕过基于漏洞特征的检测不容易被绕过• 基于统计分析的检测不容易被绕过基于统计分析的检测不容易被绕过• 基于逻辑对账的检测不容易被绕过基于逻辑对账的检测不容易被绕过• 打击要有随机性，要组合成“网络”，要有防检打击要有随机性，要组合成“网络”，要有防检

测性测性

云计算让技术宅男们更有尊严云计算让技术宅男们更有尊严

欲求网络之安全不得不经网络之痛苦这过程，需要运营 !

Ucloud CEO 季昕华www.weibo.com/benjurry