《冰与火之歌:企业安全的攻与防》

微风

2019/03/24 发布于 技术 分类

文字内容
1. 冰与火之歌 企业安全的攻与防 冰与火之歌 —— 企业安全的攻与防 携程信息安全 携程信息安全 凌云 凌云
3. 关于我 凌云 10年信息安全从业经验 待过乙方:绿盟科技 也待过甲方:1号店 中国平安等 目前在携程担任信息安全总监 关注电商业务安全,企业研发安全 信息安全,安全产品设计及合规审计 CISA、ISO27001LA认证 微博:linkboy_凌云
4. 四块大陆
5. 应用安全篇
6. 应用安全 编码问题的低级漏洞 要想涨工资,先得修漏洞
7. 新水桶理论 安全开发生命周期 SDL 培训 安全制度 技术培训 意识培训 需求分析 产品设计 安全需求 风险识别 安全设计 风险分析 威胁建模 编码 测试 开发安全手册 安全测试 安全工具 渗透测试 安全API 维护 安全响应 安全预警
8. 双月刊,打造安全意识
9. 事前管控,抓大放小 1.身份鉴别 2.授权管理 3.访问控制 4.系统安全审计 5.通信安全 6.数据安全 7.抗抵赖 8.软件容错 9.资源控制 1.1密码支持 1.2账户策略 1.3辅助安全设备 2.1 功能授权 3.1 系统内访问控制 3.2 系统外访问控制 4.1 WEB应用访问日志完备性 4.2 用户认证日志完备性 4.3 应用操作日志完备性 4.4 后台日志完备性 4.5 日志信息安全存储 5.1 通讯协议 5.2 通讯安全认证 6.1 用户数据的输入与输出 6.2 用户数据保密性 6.3 用户数据完整性鉴别 6.4 用户数据的存储 7.1 原发抗抵赖 7.2 接收抗抵赖 7.3 数字证书 8.1 降级容错 8.2 受限容错 9.1 内部资源控制 9.2 外部资源控制
10. 事中自动化,扩大覆盖面 • 被动扫描,主动感知
11. 水平权限自动化检测 • 通过自定义Cookies访问含有订单信息的页面 • 自动化检测水平权限问题
12. 攻击可视化 通过storm抓取攻击数据 • 分析“黑客”爱好 • 反向验证网站安全情况 • 提炼规则到自研WAF
13. 运维安全篇
14. 针对运维的攻击案例 口令攻击 WIFI万能钥匙 Github 泄密
15. 运维安全 痛点:  黑客多途径撕开企业防御体系  内部网络不设防,安全意识单薄  运维安全老三样杀毒软件、防火墙、IDS无法有效防御  不够高大上,关注度低
16. 基于大数据的运维安全平台 管理平台 处理平台 安全报表 事件管理 规则引擎/流 程处理 资产查询 流程平台 基础平台 监控告警 ACL管理 SQL监控 数据库脱敏 漏洞监控 HIDS 基线巡检 密钥管理 堡垒机 证书管理 蜜罐 …… 工具 数据源对接 安全策略 口令扫描 日志分析 LDAP Salt 安全标准 应急流程 漏洞扫描 …… DNS …… 权限策略 ……
17. 基于ES的离线数据分析
18. 基于STORM的流式计算
19. APT监控
20. 业务安全篇
21. 风险点
22. 黑产是一门生意 自动化操作,社会分工,情报共享 有组织,有纪律,有文化,还有钱 “四有”团伙
23. 黑产是一门生意 IPHONE 5C 5S 成本 200元 猫池自动接手机验证码 全自动化操控
24. 魔高一尺,道高一丈 防御类型 规则类 特点 事后总结 事前防御 先苦后甜 误报较少 防御手段 破解手段 反制方式 IP限制 海量代理 云主机IP,IP黑 名单,反向探测, 主动爬取 图片、短信验证 码 OCR识别,打 码平台 动态升级,数据 共享,规则识别 设备伪造 设备指纹,虚拟 机识别,深度学 习 人肉分布式 交叉分析 海量样本训练: 鼠标滑动、按键 习惯、访问轨迹、 DGA算法 设备限制 算法类 事前分析 事中防御 误报较多 帐号识别、人机 识别、机器学习
25. 验证码自动升级 第一道防线验证码 1.参数可配 2.自动挑战 3.中文验证 4.滑块验证
26. 风控系统的报表化、可视化
27. 风控系统的报表化、可视化 天反时为灾 地反物为妖---左传 黄牛在0点到4点,大量参加活动,异于常人。
28. 风控系统的报表化、可视化
29. 数据安全篇
30. DT时代,内鬼频出 2012年,1号店离职员工泄漏90W用户数据,售价500元 2014年,支付宝员工从2010年起下载20G用户数据售卖 2016年,3名京东员工通过ERP系统,导出用户数据售卖 2016年,银行内部员工泄漏数据贩卖
31. 数据生命周期 传输加密 内容过滤 权限管控 数据脱敏 创建 数据分级 数据分类 使用 存储 安全合规 加密存储 密钥管理 传递 安全合规 更改 日志审计 行为监控 销毁
32. 安全合规—指导方针 • ISO27001、PCI,等级保护3级
33. 数据规范 管什么 怎么管
34. 基于用户行为的权限审计
35. 数据库查询限制
36. 最后的小广告 • https://security.ctrip.com 携程云安全平台 • Github Scan、漏洞监控、手机小号黑名单等
37. 谢谢