大型企业威胁情报运营与思考.李中文.final
大规模复杂系统下的威胁
? 如何构建威胁情报能力
? 如何评价威胁情报能力建设的好坏
? 威胁情报生命周期与威胁情报体系建设
? 威胁情报的闭环与运营
Intro
? Id: e1knot
? 美团点评集团(3690.HK)信息安全中心基础设施安全团队
? 负责集团内威胁情报与态势感知的能力建设
? 多年安全数据与威胁情报分析和运营经验
? ISC2017、DEFCON China等会议的Speaker
大规模复杂系统下的威胁
? 业务数据多:核心系统日均PV超过数十亿级
? 业务规模大:数百个复杂业务应用系统,代码总数超过亿行
? 资产列表长:数百万级别的IDC资产、软件资产和终端资产
? 资产类型杂:数十万种不同种类和版本的中间件和开源组件
? 告警数量多:N多种设备可以产生告警,日均产生数以万计的告警
? 企业威胁现状:每年安全上砸了那么多钱可还是因为安全问题损失惨重
大规模复杂系统下的威胁
组件漏洞
僵木蠕
配置合规
X-Day
漏洞
业务系统
缺陷
逻辑漏洞
密钥证书
泄露
越权漏洞
POI/UGC
爬取
刷好/差 评
刷单/外 挂
App
篡改
基础设施 业务系统 业务数据
如何构建威胁情报的能力
? 只买买买真的能解决
问题么? ? 如何评价威胁情报对
信息安全产生了作用? ? 威胁情报团队的绩效
怎么给?
威胁情报数据的运营之殇
威胁情报很重要
虚假情报一大票
应急全靠朋友圈
口口相传得情报
情报数据千万兆
能运营的就几条
消息滞后很痛苦
业务损失不知道
假情报泛滥 消息不对称 无效情报多 消息滞后影响
威胁情报能力的灵魂N问 ? 买买买了很多威胁情报数据和服务 —— 这些服务和数据是否用起来? ? 威胁情报数据和服务已经和资产对接 —— 威胁情报的质量如何? ? 威胁情报有效情报数量占比高于30% —— 是否能产生有效的情报通知? ? 威胁情报平台可以推送有效的情报 —— 是否有人跟进这些情报? ? 有对应的安全运营同学处理了威胁情报 —— 是否跟进闭环? ? 所有的情报已经闭环处理完毕
- 2021-07-06
- 阅读38
- 下载0
- 23页
- pdf