證券行業(yè)在金融安全風險運營的實踐

1、證券行業(yè)在金融安全風險運營的實踐技術(shù)創(chuàng)新，變革未來我們的故事不是”一個人的安全部”20152016201820202017自研“泰坦”態(tài)勢感知 DevSecOps理念系統(tǒng)性輸出建設(shè)實踐 項目SDL實踐數(shù)據(jù)驅(qū)動技術(shù)運營紅藍對抗安全響應中心成立 引入MTTD/MTTR指標引入killchain攻殺鏈模型多源威脅情報適應性安全架構(gòu) 初識對抗假設(shè)攻陷基礎(chǔ)設(shè)施升級換代 建立SDL體系9大安全職能細分安全團隊成立 (5)信息安全中心成立 成立多職能團隊 CARTA框架MITRE ATT&CK框架引入 工程化、自動化運營 假設(shè)內(nèi)部威脅三叉戟安全管理平臺 棱鏡UEBA項目安全顧問負責制 DevSecOps工具

2、鏈NOW實戰(zhàn)化轉(zhuǎn)型 現(xiàn)網(wǎng)實戰(zhàn)對抗 潘多拉情報中心宙斯盾外部反欺詐 造父API安全檢測平臺2019零信任 內(nèi)部藍軍高頻現(xiàn)網(wǎng)實戰(zhàn)對抗“WE WANT YOU”6+1大運營體系指標驅(qū)動風險運營體系 安全風險運營融入ERMP框架 安全人員20信息安全中心組織架構(gòu)安全技術(shù)運營與攻防安全威脅與事件響應操作風險與數(shù)據(jù)安全工程效率與應用安全網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施團隊到職能精細化分工安全技術(shù)運營與攻防職能精細化帶來的挑戰(zhàn)單一兵種無法打贏現(xiàn)代環(huán)境下網(wǎng)絡(luò)空間實戰(zhàn) THEN, HOW?“合成營”職能精細化帶來的挑戰(zhàn)安全技術(shù)運營與攻防安全威脅與事件響應操作風險與數(shù)據(jù)安全工程效率與應用安全網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施航空兵裝甲兵步兵電子對

3、抗特種兵VS六大虛擬組織“大運營體系”項目與架構(gòu)安全運營安全基礎(chǔ)設(shè)施運營GRC數(shù)據(jù)黑灰產(chǎn)對抗業(yè)務(wù)黑灰產(chǎn)對抗網(wǎng)絡(luò)空間入侵對抗安全態(tài)勢感知 安全應急響應 事件溯源等數(shù)據(jù)泄漏防護 內(nèi)部反欺詐等應用、數(shù)據(jù)、移動及云 等領(lǐng)域安全架構(gòu)及技術(shù) 研發(fā)SDL過程運營安全治理 風險管理 合規(guī)體系外部反欺詐 防薅羊毛業(yè)務(wù)惡意行為防控等客戶隱私保護個人信息相關(guān)法律落地特權(quán)、數(shù)據(jù)訪問權(quán)限 網(wǎng)絡(luò)安全服務(wù)數(shù)據(jù)技術(shù)服務(wù)等HTSCHTSCHTSCHTSC網(wǎng)絡(luò)空間入侵對抗 運營指標日安全事件響應數(shù)MTTDMTTA安全事件響應覆蓋率紅藍對抗覆蓋率響應及溯源效能運營工程化與自動化率日安全威脅處理數(shù)溯源覆蓋率MTTR新技戰(zhàn)術(shù)識別與轉(zhuǎn)化

4、數(shù)數(shù)據(jù)黑灰產(chǎn)對抗 運營指標識別及跟蹤外部數(shù)據(jù)泄露內(nèi)部數(shù)據(jù)泄漏內(nèi)部員工異常行為畫像業(yè)務(wù)黑灰產(chǎn)對抗 運營指標業(yè)務(wù)目標能應對千萬/年級別的營銷活動保障X%的營銷資金投放年接入保障業(yè)務(wù)場景數(shù)紅藍對抗業(yè)務(wù)安全覆蓋周欺詐率日風控打擾率黑產(chǎn)處置MTTRz重大負面輿情數(shù)業(yè)務(wù)安全事件反制率z安全基礎(chǔ)設(shè)施 運營指標標準化架構(gòu) 覆蓋率監(jiān)控覆蓋率故障MTTD/MTTR彈性基礎(chǔ)設(shè)施 覆蓋率微隔離與訪問控 制覆蓋率安全基礎(chǔ) 自服務(wù)數(shù)量安全基礎(chǔ)服務(wù) 工程化自動化率項目與架構(gòu)安全 運營指標安全評估覆蓋率安全工具鏈DevOps集成率端到端安全交付效能安全測試能力覆蓋率安全漏洞修復率安全漏洞漏出率標準化安全組件數(shù)軟件安全能力成熟

5、度隱私保護 運營指標隱私安全評估項目覆蓋率業(yè)務(wù)場景隱私數(shù)據(jù)Profile成熟度隱私安全問題整改完成率最小的成本將隱私安全法 律法規(guī)轉(zhuǎn)落地為控制要求隱私保護措施內(nèi)建落地數(shù)高風險隱私場景標準化數(shù)量GRC推動公司建立完善的治理機制1個委員會3個工作組（網(wǎng)安、數(shù)安、隱私/客戶數(shù)據(jù)保護）信息安全風險注冊機制月度風險報告開展等保2.0合規(guī)體系建設(shè)HOW？安全產(chǎn)品與平臺體系泰坦人工智能安全態(tài)勢感知泰坦，利用大數(shù)據(jù)、智能分析引擎 和 可視化等手段，結(jié)合威 脅情報，對企業(yè)面臨的網(wǎng)絡(luò)攻擊進行檢測，快速、有效地為企 業(yè)建立威脅檢測、分析、處置和全網(wǎng)安全態(tài)勢感知能力，使得企業(yè)的信息安全可知、可見、可控。宙斯盾業(yè)務(wù)反欺

6、詐宙斯盾，基于設(shè)備指紋技術(shù)以及海量的設(shè)備安全數(shù)據(jù)、威脅情報 數(shù)據(jù)和用戶行為數(shù)據(jù)，利用流式分析處理、數(shù)據(jù)挖掘和機器學習等 關(guān)鍵技術(shù)，構(gòu)建出獨有的以設(shè)備安全為核心的智能實時身份反欺詐 模型,精準識別和預防各類互聯(lián)網(wǎng)身份欺詐風險，檢測如惡意注冊、 薅羊毛等、搶優(yōu)惠券，提升營銷效果。棱鏡UEBA用戶行為分析平臺棱鏡，通過機器學習技術(shù)，對用戶的行為進行智能化分析， 建立用戶風險畫像，實時檢測異常行為和未知威脅，及時發(fā)現(xiàn)內(nèi)部用戶違規(guī)行為，如違規(guī)操作、帳號濫用、內(nèi)部欺 詐、數(shù)據(jù)泄露等。造父API安全檢測平臺造父，通過流量、網(wǎng)管、標準API文檔等，自動發(fā)現(xiàn)識別API服務(wù)接口，標 記敏感數(shù)據(jù)、登錄認證行為、特權(quán)

7、行為，記錄API變更生命周期；自動發(fā)現(xiàn) 暴漏在公網(wǎng)的API相關(guān)數(shù)據(jù)、憑證。對重要的API接口進行自動化滲透，發(fā) 現(xiàn)存在的權(quán)限、邏輯漏洞；通過基線和算法模型，自動檢測多種攻擊，包括Bot攻擊、DOS攻擊、異常數(shù)據(jù)訪問行為等。14253潘多拉情報中心潘多拉，基于大數(shù)據(jù)、NLP技術(shù)，實現(xiàn)互聯(lián)網(wǎng)中企業(yè) 相關(guān)聯(lián)情報的識別、采集、分析及匯聚，對外提供代碼泄露、企業(yè)輿情、業(yè)務(wù)情報等危害企業(yè)的情報中心服務(wù)。三叉戟安全管理平臺三叉戟，具有SDL全流程管理、應用安全風險畫像、漏 洞全生命周期管理、 DevSecOps工具鏈集成、自動化 滲透測試工具集等功能，為企業(yè)提供應用安全一站式綜合管理平臺。6安全工具支撐體系

8、安全編碼規(guī)范ConfluenceIDE集成安全工具Find Security Bugs(SAST)Black Duck（SCA）安全專家知識庫WIKI輕量級威脅建模HELIUS安全需求平臺開源組件治理Black DuckNexus firewall標準化與加固CIS Benchmark主機環(huán)境驗證測試Tenable Nessus剩余安全風險報告JIRA漏洞修復計劃JIRA代碼簽名signtoolAPP加固iJIAMI外部“藍軍”與內(nèi)部滲透測試主機安全 WEB 安全 NTADLP EDR蜜罐 沙箱 防病毒補丁管理 UEBA棱鏡PRISM安全態(tài)勢感知(NGSOC)泰坦 TITANS漏洞管理三叉戟T

9、RIDENT潘多拉情報中心 宙斯盾反欺詐造父API安全檢測WAF NGFW宙斯盾反欺詐NGFW WAFATP(Terminal)Incident Response 溯源IDAOllyDbg威脅情報(Threat Intelligence)商業(yè)情報開源情報業(yè)務(wù)情報數(shù)據(jù)泄漏情報 潘多拉情報中心 資產(chǎn)管理Black Duck三叉戟 TRIDENT源代碼靜態(tài)掃描(SAST)SonarQube( Find Security Bugs)CobraBandit開源組件安全掃描(SCA)Black DuckDocker安全掃描Container Security(Tenable)黑盒安全測試(DAST/IAS

10、T)AppScanAWVSWASOWASP ZAPArachni移動安全測試(MAST)iJIAMIMBSF主機安全掃描:Nessus配置基線安全掃描Nessus滲透測試Burp SuiteSQLMapnoSQLMapMetasploitMitmproxyNetcatCurlWiresharkFiddlerApktoolDex2jarJEBPreventHTSCHTSCHTSCHTSCHTSC融合SCRUM敏捷方法的安全大運營模式大運營輪值負責人大運營工作列表任務(wù)列表周運營回顧會每日站會1周沖刺大運營輪值負責人運營指標分析運營計劃會大運營虛擬團隊敏捷宣言個體與交互 勝過 過程和工具 響應變化

11、勝過 遵循計劃 精益求精 勝過 簡單執(zhí)行HTSCHTSC安應移安全用動全響安安攻應全全防HTSC項目與架構(gòu)安全大運營安全評估小組項目與架構(gòu)安全大運營職責負責項目的安全評估，進行安全架構(gòu)設(shè)計、安全需求分析、 項目安全建設(shè)SDL全過程跟蹤等，向研發(fā)團隊交付端到端安全 解決方案。組員來自職能團隊，專家領(lǐng)域包括：安全架構(gòu)、應用安全、 隱私安全、數(shù)據(jù)安全、業(yè)務(wù)安全、移動安全、云安全、安全測 試等。項目與架構(gòu)安全 - SDL（BSI）框架A 可行 性B 立項C 需求D 架構(gòu)& 設(shè)計E 編碼F 測試G 上線H 運行I 下線1安全可行性評估C1安全需求 標準庫E1安全編碼D1受攻擊面 分析I2下線安全 評估F

12、2移動 安全測試J 知識與技能G1待產(chǎn)環(huán)境 安全部署H2補丁更新 與漏洞修復1供應商安全評估J2安全規(guī)范 與標準J4安全技術(shù)培訓J5安全意識宣貫J6安全內(nèi)外部交流B2合同安全條款評估B3項目 安全策略D2威脅建模D3安全設(shè)計 說明書E2源代碼CI 安全測試E3開源組件CI 安全測試D4運行環(huán)境與 部署架構(gòu)G3剩余風險 評級與接受I3數(shù)據(jù)安全清理與歸檔E4代碼安全 人工審核H3持續(xù)威脅監(jiān)控與運營B4項目安全保障定級I4IT權(quán)限 回收H4重大變更安全評估C2項目安全調(diào)查問卷C3:安全需求說 明書C4: 安全基 線交付清單F1動態(tài) 安全測試G2安全驗證 與滲透測試F3容器 安全測試F4內(nèi)外部滲透測試G4IT權(quán)限 開通H1持續(xù)漏洞與補丁管理I1系統(tǒng)下線觸發(fā)J1安全制度J3安全指南 與最佳實踐移動 安全測試MAST交互式 安全測試 IAST項目與架構(gòu)安全 - DevSecOps內(nèi)部滲透測試二進制加固android源代碼安 全掃描 SAST開源組件 安全掃描 SCAIDE安全工具集成R&D開源組件防火墻輕量威脅建模Threat ModelDEVSIT安全 風險報告外部滲透測試UATPRO生產(chǎn)環(huán)境部署驗證安全編碼剩余安全 風險報告自動化資產(chǎn)注冊三叉戟泰坦容器安全掃描SCM架構(gòu)與設(shè)計BUILD編碼GUI/接口測試UT業(yè)務(wù)驗收功能/系統(tǒng)測試s