攻防对抗

企 业 脆 弱 性 与 攻 击 面 企业脆弱性与攻击面 常见redis、weblogic、Jboos、 Kibana命令执行与空口令 中间件服务 系统、DB弱口令、Dirty内核 提权、永恒之蓝、RDP0708 系统安全 信息泄露(源代码、业务数 据)、APT攻击 人 常规owasp攻击、业务逻辑漏 洞攻击 Web/移动应用 常见弱口令、默认口令、邮件 伪造钓鱼、病毒勒索企业邮箱 默认口令、弱口令、0day 安全设备不安全 网络/安全设备 02 安 全 防 护 思 路 安全防护思路——前提 01 02 03 高层领导支持 向上管理、贴合业务 结果导向、灵活多变 兄弟部门配合 换位思考、互惠互利 问题驱动、沟通协调 专业安全团队 管理推动、技术驱动 厚积薄发、态势可视 安全防护思路 内审内控 权限控制:最小权限、职责分离 行为审计:访问频率、Bash行为 日志中心监控 应用日志:告警阻断攻击行为 网络日志:攻击分析、威胁发现 主机日志:爆破、提权、反弹shell 边界安全防护 缩小攻击面、对外服务探测、脆弱性检测、 应用防火墙、ACL白名单、失效策略删除 基线合规加固 数据库、操作系统、网络设备、 安全设备、中间件 安全管理 03 重 保 前 的 防 护 手 段 重保安全防护——预防整改阶段 重保安全防护——应急响应处置 《应急响应处置方案》 ? 工作原则 ? 信息安全事件分级 ? 信息安全事件分类 ? 组织机构职责 ? 监测预警手段机制 ? 应急响应方式方法 ? 责任追究 重保安全防护——工作部署总结 监控巡检 C 安全预警 W 阻断封禁 B 优化总结 A 风险修复、上层汇报 策略优化、工具优化 威胁情报共享: 0day、IP信誉库、事件 安全意识宣贯: 钓鱼、数据泄露、私搭wifi 应用安全、业务安全 安全设备、网络设备 系统安全、数据库 网络层:IP地址拦截 应用层:恶意用户封禁 留几个思考问题安全设备不安全怎么办 APT攻击者入职后偷数据,甲方能防 多久 大型攻防演练行动能否从甲乙方对抗 变为甲乙方混战 THANK YOU 感谢聆听 招聘 岗位:安全开发 技能:Java Python 联系方式:lichenjs@cdeledu.com 安全+ 专注于安全行业,通过互联网平台、 线下沙?、培训、峰会、?才招聘等多种形式,致 力于创建亚太地区最好的甲乙双方交流、学习的平 台,培养安全?才,提升行业整体素质,助推安全 生态圈的健康发展

  • 2021-06-22
  • 阅读140
  • 下载0
  • 14页
  • pdf

.浅谈大中型软件企业信息安全建设

浅谈大中型软件企业信息安全建设 2020年11月27日 科大讯飞安全架构师 钱君生 议题概要 在业界,谈论互联网、金融或运营商安 全建设的比较多,谈论大中型软件企业安全 建设比较少。实际上,大中型软件企业在当 下的IT企业中占有很大的比重,就大中型软 件企业的信息安全建设来说,与互联网企业、 金融企业存在着很大的差异性。本次分享将 结合大中型软件企业安全建设的过程,讨论 相关实践细节。 关于我 OWASP中国安徽区域负责人,现就职科大讯飞集 团公司,任安全架构师,是开源图书《BurpSuite 实战指南》、《API安全技术与实战》(机械工业 出版社)编写者。 Contents 01 大中型软件企业业务特点 业务形态以2B交付为主、产品 交付与项目交付并存…… 02 业务对安全建设的挑战 安全职责、预算、投入均 不对等、安全环境复杂…… 03 安全建设实践思路 多模型融合的安全体系、关键安 全策略…… 议题大纲 04 未来展望 未来想做的事…… 大中型软件企业业务特点 大中型软件企业业务特点 ? 业务形态以2B交付为主 ? 产品交付与项目交付并存 ? 客户对象主要是企事业单位 ? 业务开展以项目制形式 ? 通常需要开展招投标和采购活动 ? 系统集成和软件产品集成 ? 业界有甲方爸爸一说,客户在业务中占主导 地位 ? 企业的业务开展围绕收益展开 ? 在不断的项目交付过程中,积累自己的基础平台 或产品; ? 典型的产品如ERP、HRM、CRM、OA等 ? 围绕项目建设内容,采用产品交付+定制来完成 项目交付 业务对安全建设的挑战 1 安全职责、预算、投入均不对等 | ? 安全事件板子打在客户方,肉疼在厂商 ? 甲方爸爸关心安全,但往往没银子 ? 安全工作必须要做 ? 利润或收益减少,投入可能无收益 2 安全环境复杂难以标准化 | ? 不同的项目,环境不一样 ? 不同的客户,要求不一样 ? 不同的行业,标准不一样 ? 不同的预算,内容不一样 3 业界最佳实践参照样本缺乏 | ? 业界谈论金融、互联网企业多,谈论软件企业的少 ? 业界最佳实践参照样本少,有头部企业做得好,但很少公开说 ? 更多的是落后同时代的其他IT企业,在摸着石头过河 多模型融合安全建设思路 ? 安全建设思路围绕业务的生命周期开展 【图片来源/网络】 业务对象:信息系统 ? SAMM ? SDL ? 等保 ? ISSE 落地实施关键安全策略 分级分类策略 01 底线管控策略 02 DevSecOps管道化策略 04 数字化平台运营策略 05 公共组件策略 03 分级分类策略 ? 为什么要分级分类 ? 内外部安全要求不一样 ? 产品成熟度不一样 ? 安全投入不一样 ? 如何分级分类 ? 从定性和定量两个方面制定分类标准 ? 挑选对安全影响至为关键的指标 ? 常用指标项 产品成熟度 系统重要性 风险暴露面 监管要求 中断成本 业务连续性要求 指标项评分*指标权重 底线管控策略 ? 为什么要底线管控 ? 明确最低安全要求 ? 防止安全投入不足 ? 如何底线管控 ? 发布底线要求(精简、明确、利于执行、周期调整) ? 制定底线管理办法 ? 建立审查和惩奖机制 ? 常用底线管控样例 ? 合规性管控底线,比如:APP应用必须参考《APP违法违规收集使用个人信息行为认定方法》进 行上线前合规检测 ? 技术路线选型管控底线,比如:禁止使用GPL协议产品或代码;禁止使用fastjson ? 运维部署管控底线,比如:禁止存在高危漏洞的应用系统上线发布;禁止高危端口对互联网开放; 公共组件策略 安全组件库 系统A1 系统A2 系统… 系统An ESAPI 统一认证平台 防破解系统 API网关 安全文件存储 数据安全平台 业务模块1 业务模块2 安全组件1 业务模块1 业务模块2 安全组件2 业务模块1 安全组件n 业务模块1 业务模块2 安全组件n ? 专业的人做专 业的事 ? 通过安全组件 的复用,降低 软件架构的安 全风险 输入型攻击 身份认证 会话管理 访问控制 代码破解 API安全 文件与资源安全 数据隐私 安全审计平台 日志与审计 OWASP安 全验证类型 产品示例 安全组件n DevSecOps管道化策略 代码仓库 自动化测试 关键评审 开发人员提交代码 到代码仓库 自动化安全测试 质量管理 自动化发布 数据库 防火墙 云虚机 持续集成 持续发布 基础设施 数字化运营策略 安全BP:项目管理系统数据 质量工程师:质量审计数据 漏洞扫描平台:漏洞扫描系统数据 渗透测试工程师:人工渗透测试数据 DevSecOps平台 系统收集 系统收集 安全扫描平台 日常收集 数据汇集 数据分析 安全运营分析 决策/改进措施 ? 安全事件数、安全事件危害等级 安全事件 ? 线上发现问题数、底线管控

  • 2021-06-22
  • 阅读141
  • 下载0
  • 16页
  • pdf

.企业安全防护.EDR建设实践与思考.朱海星

1、EDR与企业防护 2、EDR建设与运营 3、对抗与提升 DR(Endpoint DetectionandResponse),由Gartner在2013年提出, 起初叫ETDR,2015年改为EDR。 Detection ? E-端点:网络中任意的终端设备,包括办公PC、 移动设备、服务器设备、云上虚拟机、IoT设备等 ? D-检测:采集分析端点数据,发现端点安全风险、 检测黑客攻击、检测可疑行为等 ? R-响应:安全风险快速响应,包括漏洞修复、入 侵阻断追溯、可疑事件调查等 腾讯自研EDR – 洋葱 12 3 4 5 终端资产一体化管理 针对服务器安全检测能力,并实现了对 全网服务器端点资产的全面管控。 端点安全的基线检测 依据腾讯自身业务防护实践,提供了端口 配置、口令配置、账号配置的基线检测, 可实现企业面临安全威胁的实时检测。 安全事件的精准溯源 通过对服务器端的登录信息、操作信息, 建立行为分析模型,实现对异常操作进 行异常操作溯源分析。 漏洞风险的实时预警 结合自身服务器防护经验,针对服务器 中间件、数据库、操作系统提供漏洞检 测能力,实时监测发现漏洞风险。 入侵攻击的主动检测 提供主动检测、实时发现入侵检测;提 供Web木马、反弹木马、异常网络通、 提权攻击、弱口令等检测功能。 融

  • 2021-06-22
  • 阅读150
  • 下载0
  • 21页
  • pdf

技术供应商的合规与安全.娄鹤.1

1. 概述 2. 净网行动 3. 典型案件解析 4. 两高司法解释的解读 5. 企业安全建议 1. 概述 观察 ? 网络(信息、数据)安全得到国家高度重规 ? 等保制度(新理念)推劢国内安全行业高速发展 ? 技术领域的立法速度加快,纳入监管范围 ? 全面打击网络犯罪(空间、数量) ? 新运用、新模式、新罪名的挑战 2. 净网行动 截至2019年9月30日,公安机关在“净网2019”行动中已侦破涉 网案件40743件,共抓获犯罪嫌疑人55832名。 3. 案件解析 ? 非法删帖案 ? 虚假流量案 ? 简历大盗案 非法删帖案 案件概述: 因在百度搜索引擎帮劣安利等公司非法删帖,迪思公关等四家被告单位被判处非 法经营罪,幵处罚金;迪思公司总裁劣理兼大数据中心负责人姜炜等五名个人 被判有期徒刑幵处罚金。 罪名:刑法第二百二十五条第(四)项 非法经营罪 两高《关亍办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》 违法事实及分析: ? 经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活劢。 通过互联网向上网用户有偿提供删帖服务属亍“等服务活劢”的情形,应当叏得国家相关管 理部门的许可。 ? 迪思公司等接受委托为客户提供有偿删帖服务,被告人吴秋敏、何伟在网上大量承接他人委托 的删帖业务,从事有偿删帖服务,扰乱了信息网络服务市场管理秩序,违反了国家规定。 ? 单位负责人的刑事责仸。通过QQ找到“职业删帖人”,将其部门搜集的相关帖文链接发给后 者进行删帖,删帖完成后,姜炜向公司申报幵支付费用,向被告人支付删帖费用。上述行为, 可以认定被告人姜炜为迪思公司犯非法经营罪的直接责任人。(发包行为) 虚假流量案 案件概述: 在公安部组织开展的“净网2019”与项行劢中,北京警方将涉嫌破坏计算 机信息系统罪,研发上线名为“星援”App用亍制造假流量的犯罪团伙共 4人抓获,其中包括公司法人蔡某某(目前已被批捕),他们正是明星蔡 徐坤一条微博“转収量过亿”的幕后水军。 罪名:刑法第二百八十六条 破坏计算机系统罪 违法事实及分析: ? “星援”App:是一款模拟微博客户端,通过破解微博加密算法实 现批量转发微博内容的应用软件。粉丝通过App充会员登陆新浪微 博账号,便可以在自己的微博账号下绑定多个微博小号,绑号数量 从十几个到几千丌等。绑定之后便可享受批量转发、签到、养号等 功能,使数据短时间内翻倍。 ? 该App的模式实质上是违背实名制的要求,通过批量开小号建立 自劢转发机制,干扰了微博原来设计的统计转发数量的功能。 ? 该APP在半年的时间内牟利800万元,同时扰乱了市场秩序。 转发量:9999万 简历大盗案 案件概述: 按照公安部“净网2019”与项行劢部署,北京警方破获备受关注的巧达 科技非法获取计算机信息系统数据案,巧达科技公司被查封,公司全体 200余人被送至看守所了解情况,最终公司法人王某某等36人被检察机 关依法批准逮捕。 罪名:刑法第二百八十五条 非法获叏计算机信息系统数据罪 违法事实及分析: ? 号称拥有中国最大的简历数据库。这些简历信息等数据被用在教育培训、保险、招聘 等行业,为巧达科技带来了大量收入。2017年,该公司全年收入4.11亿元,净利润 1.86亿元。 ? 非法获叏个人数据:通过利用大量代理IP地址、伪造设备标识等技术手段,绕过招聘 网站服务器防护策略,窃取存放在服务器上的用户数据,非法获取的简历超过2亿条。 ? 从丌同网站窃取来的信息被重新合幵、排列,重名或是信息丌全的信息经过“再比 对”后形成完整的简历和用户画像。 ? 窃取数据过程中,因传输数据量过大导致报案公司服务器数十次中断服务,影响上千 万用户正常访问,带来严重的经济损失。 案件归纳 ? 案件类型新颖 ? 罪名适用多样(不限于计算机类型犯罪) ? 豪华团队+知名投资人+高增长 ? 单位犯罪为主 ? 直接责任人入刑 4. 重要法律规定及解析 ? 《中国人民共和国刑法》 ? 《中华人民共和国刑法修正案(九)》 ? 《中华人民共和国网络安全法》 ? 《关亍开展APP违法违觃收集使用个人信息与项治理的公告》 ? 《关亍开展APP侵害用户权益与项整治工作的通知》 ? 最高人民法院、最高人民检察院、公安部、司法部发布《关亍办理利用信 息网络实施黑恶势力犯罪刑事案件若干问题的意见》 ? 《关亍办理非法放贷刑事案件若干问题的意见》 ? 《关亍办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》 ? 《关亍办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 ? 《关亍办理非法利用信息网络帮劣信息网络犯罪活劢等刑事案件适用法律 若干问题的解释》 计算机犯罪种类 《中华人民共和国刑法》 第285条:非法侵入计算机信息系统罪 第

  • 2021-06-22
  • 阅读140
  • 下载0
  • 21页
  • pdf

金融企业安全建设痛点实践

Last login: Sun Sep 10 on ttys000 ? ~ whoami Sven ? ~ uname –a 安信证券 刘亦翔-安全管理岗 2020.9.10 英文名:Sven 信息安全从业6年 负责安全攻防、安全运营、DevSecOps 相关工作。 独立运营微信公众号《极思》。 2017年ASRC、AFSRC、JSRC top 白帽 子。 场景案例 场景案例 1. 我没有时间处理这个任务 2. 你说是漏洞就是漏洞 3. 这个弱口令无法修复 4. 不修不修就不修 你咋的 5. 互扛撕逼找领导 协作简史 2017年(明怼阶段) 安全:我们检测出有漏洞,你们修复吧? 运维:你说是漏洞就是漏洞啊,把业务修挂了你负责啊? 安全:系统被攻破了,你负全全责吗? 运维:这漏洞修不了因为xxx、还有xxx,还有xxxx。 安全:行,不修你签字负全责吧。 2018年 (暗战阶段) 安全:上线要过安全检测啊。 开发:好,我们会过的(然后悄悄的绕过)。 开发:出了个漏洞,这个你们检测过啊?你没查出来你负全责。 安全:... ... 协作简史 2019年(同舟共济) 开发:这个我们是这样设计的,你看有没有安全问题? 安全:好的,我们评审后觉得可以,出事一起抗。 2020年(同步规划-建设-运营) 项目组A:DevOps项目安全需求你们写。 项目组B:容器安全项目安全需求你们写。 思考分析 企业生命周期、运行逻辑 与安全策略 创业期 发展期 守业期 改革期 夕阳期 组织(地位) 流程 (引导) ?工具(效率) 制度 (控制)?文化(认可) 行业特性 银行、证券、保险等 金融行业 互联网 行业 政府行业 教育行业 金融行业 业务? 容易招攻击者 ? 线上业务众多 ? 业务关联复杂 IT? 历史包袱重 ? 机房和IDC多 ? 供应商强依赖 驱动力 ? 监管合规 ? 安全事件 ? 安全风险 人员? 老领导众多 ? 元老员工众多 ? 人员关系复杂 组织结构和规划、团队生命周期与安全策略 企业战略 规划 业务规划 ...... 信息技术 规划 安全规划 研发规划 运维规划 和安全策略 成立期(突破) 适应期(调整) 运营期(融合) ...... 任务优先级、关系类型与安全策略 年度绩效任务 领导安排任务 同事协作任务 自主发起任务 差序格局图 “差序格局”是发生在亲 属关系、地缘关系中的, 以自己为中心像水波纹 一样推及开,愈推愈远, 愈推愈薄且能放能收, 能伸能缩的社会格局, 且它随自己所处时空的 变化而产生不同的圈子。 驱动/驱动力和安全策略 考核 双向考核 多奖少罚 协作 求同存民 合作共赢 专家 利害驱动 严谨专业 人情 诚信为基 守望相助 魅力 人畜无害 乐于助人 规划驱动 风险驱动 事件驱动 合规驱动 驱动力类型 协作七步 ? 师出有名 第一 ? 目标共赢 第二 ? 思考角度 第三 ? 和谐沟通 第四 ? 让渡选择 第五 ? 双向考核 第六 ? 共同承担 第七 解决实践 解决总体80%的问题 安全文化为基 ? 原则宣传 ? 入职培训 ? 在职培训 ? 组队活动 活动 ? 定位=队友 ? 地位=管理 ? 能力=专家 ? 定位=队友 效果 师出有名 第一 规划驱动 风险驱动 事件驱动 合规驱动 解决总体80%的问题 目标共赢 第二 成果共享 ? 项目成果 ? 任务成果 奖励机制 ? 绩效奖励 ? 实物奖励 协作机制 ? 加入职责 ? 领导确认 表扬机制 ? 榜样效应 思考角度 第三 为对

  • 2021-06-22
  • 阅读137
  • 下载0
  • 24页
  • pdf