鉴于丁磊是黄峥四大贵人之一,卡巴斯基2017年企业信息系统的安全评估报告

原标题:鉴于丁磊是黄峥四大贵人之一,1年前网易严选与拼多多合作

原标题:Facebook 利用 AI 识别表情包里的不当内容

原标题:卡巴斯基2017年企业信息系统的安全评估报告

图片 1

图片 2

引言

作者:龚进辉

Facebook 的审查人员无法审核人们在平台上发布的每一张图片,因此 Facebook
希望通过人工智能来帮助他们。在一篇博客文章中,Facebook 介绍了一个名为
Rosetta
的系统,它可以利用机器学习来识别图像和视频中的文本,然后将其转录为机器可读的内容。特别地,Facebook
发现这个工具有助于在表情包上转录文本。

卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。

据新浪科技报道,拼多多9月更新大版本,将“名品折扣”板块升级为“品牌馆”,使网易严选与其合作浮出水面。

文本转录工具并不是什么新鲜事,但 Facebook
却面临着不同的挑战,因为其平台量级巨大,以及其上的图像种类繁多。根据官方说法,Rosetta
现在已经上线,每天会从 Facebook 和 Instagram 上抓取 10
亿个图像和视频帧文本进行转录。

本文的主要目的是为现代企业信息系统的漏洞和攻击向量领域的IT安全专家提供信息支持。

据悉,早在2017年下半年,网易严选就在拼多多开设品牌旗舰店,至今已有1年。鉴于两家公司掌门人的密切关系(丁磊是黄峥四大贵人之一),网易严选与拼多多的合作并不出人意料。

目前还不清楚 Facebook
正在对这些数据进行怎样的处理。文章指出,这对于照片搜索和屏幕阅读器等基本功能非常有用。但看起来
Facebook
也开始把它放在更大的目标上,比如弄清楚什么样的内容更吸引人,更重要的是,可以找出哪些表情包、图片或视频中存在仇恨、侮辱等不当言论。

我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。下图显示了这些企业的行业和地区分布情况。

不过,双方合作似乎并不密切。网易严选相关负责人称并未在拼多多这一渠道上投入太多精力,只是试水而已。此言非虚,据我观察,网易严选在拼多多平台上开设的品牌旗舰店SUK并不多,而且销量有限,从侧面证实网易严选并未把拼多多当成主力渠道来经营,尽管后者如日中天。

Facebook表示,文本提取和机器学习正在被用于“自动识别违反我们的仇恨言论政策的内容”,而且该系统还支持多语言。鉴于
Facebook
众所周知的内容审核问题,一个能够自动标记可能有问题的图像的功能,对于
Facebook 来说应该会很有用。

目标企业的行业和地区分布情况

当然,双方合作不密切不代表没意义。网易严选拓展了新的销售渠道,拼多多则通过引入网易严选,后者对商品品质要求极为严苛,加上将“名品折扣”板块升级为“品牌馆”,向外界传递自身重视品质的信号,品牌拼团有质量保障,从而改变“山寨泛滥”、“假货丛生”等人设。

Facebook 利用 AI 识别表情包里的不当内容动点科技。返回搜狐,查看更多

图片 3

事实上,不管外界再怎么吐槽、质疑拼多多,起码其已出现改善的苗头,这点值得肯定。聊完合作聊当事人,其实,黄峥与丁磊颇有渊源,二者流传最广的轶事便是黄峥帮丁磊解决了一个技术难题。

责任编辑:

漏洞的概括和统计信息是根据我们提供的每种服务分别总结的:

黄峥是个标准的学霸,12岁就进入杭州外国语学校,1998年被保送进入浙江大学混合班(竺可桢学院前身),这是浙江大学最著名学院,主修计算机专业,混合班后来出来很多牛人,进入这个班级就意味着智商超群。

外部渗透测试是指针对只能访问公开信息的外部互联网入侵者的企业网络安全状况评估

内部渗透测试是指针对位于企业网络内部的具有物理访问权限但没有特权的攻击者进行的企业网络安全状况评估。

Web应用安全评估是指针对Web应用的设计、开发或运营过程中出现的错误导致的漏洞(安全漏洞)的评估。

浙大四年里,黄峥是学校风云人物,在他出国深造前,丁磊还找他帮过忙。“那天下课,回寝室上网,发现一个陌生人在MSN上加我说他是丁磊,正在研究一个技术问题,当时我还以为他是骗子。”黄峥回忆道。

本出版物包含卡巴斯基实验室专家检测到的最常见漏洞和安全缺陷的统计数据,未经授权的攻击者可能利用这些漏洞渗透公司的基础设施。

丁磊之所以向黄峥请教,因为他在网上看到黄峥的一篇文章。当时,黄峥入选了浙大与梅尔顿基金会合作的培养计划,可以拥有一台电脑和一年免费上网时间。这就出现黄峥在MSN上初次接触丁磊把其当成骗子的啼笑皆非的一幕。最终,在黄峥的帮助下,丁磊遇到的难题得以圆满解决。

针对外部入侵者的安全评估

或许是为了感谢黄峥的帮忙,丁磊成为黄峥的引路人,给他介绍了一个叫段永平的82级浙大老学长。段永平是中国商界举足轻重的大佬,被称为“OPPO、vivo之父”。这位独具慧眼的大佬出现,彻底改变了黄峥的人生轨迹,对其择业、创业等重要抉择都提供独到的建议和指导,使其一路走来顺风顺水。

我们将企业的安全等级划分为以下评级:

因此,说丁磊、段永平是黄峥生命中的贵人一点也不为过。返回搜狐,查看更多

非常低

中等偏下

中等偏上

责任编辑:

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。

安全级别为非常低对应于我们能够穿透内网的边界并访问内网关键资源的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获得关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

安全级别为高对应于在客户的网络边界只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

目标企业的经济成分分布

图片 4

目标企业的安全等级分布

图片 5

根据测试期间获得的访问级别来划分目标企业

图片 6

用于穿透网络边界的攻击向量

大多数攻击向量成功的原因在于不充分的内网过滤、管理接口可公开访问、弱密码以及Web应用中的漏洞等。

尽管86%的目标企业使用了过时、易受攻击的软件,但只有10%的攻击向量利用了软件中的未经修复的漏洞来穿透内网边界(28%的目标企业)。这是因为对这些漏洞的利用可能导致拒绝服务。由于渗透测试的特殊性(保护客户的资源可运行是一个优先事项),这对于模拟攻击造成了一些限制。然而,现实中的犯罪分子在发起攻击时可能就不会考虑这么多了。

建议:

除了进行更新管理外,还要更加注重配置网络过滤规则、实施密码保护措施以及修复Web应用中的漏洞。

图片 7

利用 Web应用中的漏洞发起的攻击

我们的2017年渗透测试结果明确表明,对Web应用安全性的关注仍然不够。Web应用漏洞在73%的攻击向量中被用于获取网络外围主机的访问权限。

在渗透测试期间,任意文件上传漏洞是用于穿透网络边界的最广泛的Web应用漏洞。该漏洞可被用于上传命令行解释器并获得对操作系统的访问权限。SQL注入、任意文件读取、XML外部实体漏洞主要用于获取用户的敏感信息,例如密码及其哈希。账户密码被用于通过可公开访问的管理接口来发起的攻击。

建议:

应定期对所有的公开Web应用进行安全评估;应实施漏洞管理流程;在更改应用程序代码或Web服务器配置后,必须检查应用程序;必须及时更新第三方组件和库。

用于穿透网络边界的Web应用漏洞

图片 8

利用Web应用漏洞和可公开访问的管理接口获取内网访问权限的示例

图片 9

第一步

利用SQL注入漏洞绕过Web应用的身份验证

第二步

利用敏感信息泄露漏洞获取Web应用中的用户密码哈希

第三步

离线密码猜测攻击。可能利用的漏洞:弱密码

第四步

利用获取的凭据,通过XML外部实体漏洞(针对授权用户)读取文件

第五步

针对获取到的用户名发起在线密码猜测攻击。可能利用的漏洞:弱密码,可公开访问的远程管理接口

第六步

在系统中添加su命令的别名,以记录输入的密码。该命令要求用户输入特权账户的密码。这样,管理员在输入密码时就会被截获。

第七步

获取企业内网的访问权限。可能利用的漏洞:不安全的网络拓扑

利用管理接口发起的攻击

虽然“对管理接口的网络访问不受限制”不是一个漏洞,而是一个配置上的失误,但在2017年的渗透测试中它被一半的攻击向量所利用。57%的目标企业可以通过管理接口获取对信息资源的访问权限。

通过管理接口获取访问权限通常利用了以下方式获得的密码:

利用目标主机的其它漏洞(27.5%)。例如,攻击者可利用Web应用中的任意文件读取漏洞从Web应用的配置文件中获取明文密码。

使用Web应用、CMS系统、网络设备等的默认凭据(27.5%)。攻击者可以在相应的文档中找到所需的默认账户凭据。

发起在线密码猜测攻击(18%)。当没有针对此类攻击的防护措施/工具时,攻击者通过猜测来获得密码的机会将大大增加。

从其它受感染的主机获取的凭据(18%)。在多个系统上使用相同的密码扩大了潜在的攻击面。

在利用管理接口获取访问权限时利用过时软件中的已知漏洞是最不常见的情况。

图片 10

利用管理接口获取访问权限

图片 11

通过何种方式获取管理接口的访问权限

图片 12

管理接口类型

图片 13

建议:

定期检查所有系统,包括Web应用、内容管理系统(CMS)和网络设备,以查看是否使用了任何默认凭据。为管理员帐户设置强密码。在不同的系统中使用不同的帐户。将软件升级至最新版本。

大多数情况下,企业往往忘记禁用Web远程管理接口和SSH服务的网络访问。大多数Web管理接口是Web应用或CMS的管理控制面板。访问这些管理控制面板通常不仅可以获得对Web应用的完整控制权,还可以获得操作系统的访问权。获得对Web应用管理控制面板的访问权限后,可以通过任意文件上传功能或编辑Web应用的页面来获取执行操作系统命令的权限。在某些情况下,命令行解释程序是Web应用管理控制面板中的内置功能。

建议:

严格限制对所有管理接口(包括Web接口)的网络访问。只允许从有限数量的IP地址进行访问。在远程访问时使用VPN。

利用管理接口发起攻击的示例

第一步 检测到一个只读权限的默认社区字符串的SNMP服务

第二步

通过SNMP协议检测到一个过时的、易受攻击的思科IOS版本。漏洞:cisco-sa-20170629-snmp(
.
com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp)。

该漏洞允许攻击者通过只读的SNMP社区字符串进行提权,获取设备的完全访问权限。利用思科发布的公开漏洞信息,卡巴斯基专家Artem
Kondratenko开发了一个用来演示攻击的漏洞利用程序(
第三步
利用ADSL-LINE-MIB中的一个漏洞以及路由器的完全访问权限,我们可以获得客户的内网资源的访问权限。完整的技术细节请参考
最常见漏洞和安全缺陷的统计信息

最常见的漏洞和安全缺陷

图片 14

针对内部入侵者的安全评估

我们将企业的安全等级划分为以下评级:

非常低

中等偏下

中等偏上

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。安全级别为非常低对应于我们能够获得客户内网的完全控制权的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获取关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

安全级别为高对应于在渗透测试中只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

在存在域基础设施的所有项目中,有86%可以获得活动目录域的最高权限(例如域管理员或企业管理员权限)。在64%的企业中,可以获得最高权限的攻击向量超过了一个。在每一个项目中,平均有2-3个可以获得最高权限的攻击向量。这里只统计了在内部渗透测试期间实践过的那些攻击向量。对于大多数项目,我们还通过bloodhound等专有工具发现了大量其它的潜在攻击向量。

图片 15

图片 16

图片 17

这些我们实践过的攻击向量在复杂性和实践步骤数(从2步到6步)方面各不相同。平均而言,在每个企业中获取域管理员权限需要3个步骤。

获取域管理员权限的最简单攻击向量的示例:

攻击者通过NBNS欺骗攻击和NTLM中继攻击拦截管理员的NetNTLM哈希,并利用该哈希在域控制器上进行身份验证;

利用HP Data
Protector中的漏洞CVE-2011-0923,然后从lsass.exe进程的内存中提取域管理员的密码

获取域管理员权限的最小步骤数

图片 18

下图描述了利用以下漏洞获取域管理员权限的更复杂攻击向量的一个示例:

使用包含已知漏洞的过时版本的网络设备固件

使用弱密码

在多个系统和用户中重复使用密码

使用NBNS协议

SPN账户的权限过多

发表评论

电子邮件地址不会被公开。 必填项已用*标注