基础安全建设思考

李骁 aka 与非 ? bilibili - 基础安全建设 ? PINGAN Tech - 移动安全/SOC产品建设 ? Ctrip - 安全架构/反爬虫 基础安全scope ? 网络区域 1. 办公/职场 2. IDC(自建/租借) 3. 公有云 ? 技术领域 1. 终端安全(PC/Server) 2. 系统/中间件安全 3. 网络安全 4. 数据安全 ? 聚焦工作 1. 安全产品研发/运营 2. 应急响应 3. 专项治理 4. 红蓝对抗 ? 负责产品 1. 办公终端:网络准入、防病毒 2. 服务器:HIDS、蜜罐、容器安全、漏扫 3. 网络:IDS、WAF 概要 ? 0x01. 企业面临的变局与乱局 一. 变局:业务快速变化 二. 变局:技术更新迭代 三. 乱局:攻击从未停歇 ? 0x02. 基础安全建设历程 一.安全基线 二.安全产品 三.感知左移 四.红蓝对抗 ? 0x03. 思考与展望 0x01. 企业面临的变局与乱局 变局:业务快速变化 1.30 1.72 1.72 1.97 2.02 0 0.7 1.4 2.1 2.8 2019Q4 2020Q1 2020Q2 2020Q3 2020Q4 月活用户(亿) ? 用户量增长 ? 新的组织架构 / 业务部分 / 收购公司 ? 大潮退去,不再迭代也不下线的业务 ? 出海业务,合规、技术挑战 变局:技术更新迭代 ? 业务快速变化 -> 技术革新 -> 颠覆固有安全策略 ? 提升服务器利用率,推行容器化 HIDS不香了:如何监控容器内部行为? 传统的防火墙ACL怎么管理? ? 资源节省,推行gRPC(电池/流量/带宽/高性能) nginx -> envoy 基于 lua-nginx-module / Openresty 的WAF完全废弃 考虑故障降级到1.X的方案 ? 新的异地职场、疫情影响下的居家办公 VPN -> Zero Trust 员工体验优化、安全验证策略的挑战 乱局:攻击从未停歇 ? BORG —— 一个快速进化的僵尸网络 ? 2020年12月28日,腾讯宙斯盾首次捕获了该僵尸网络针对Docker的攻击 ? 利用kubelet API未授权访问RCE,具备内网扫描、传播能力 ? 2021年1月统计算力23KH/s,相当于1300+台i5 2300机器的挖矿算力 ? 2021年3月统计算力96KH/s,相当于5400+台i5 2300机器的挖矿算力 ? 2个月,4倍增长

  • 2021-06-22
  • 阅读147
  • 下载0
  • 19页
  • pdf

汽车制造业信息安全形势与建设分享

合规环境趋紧 国家法规 ? 《网络安全法》及若干 解释 ? 《数据安全法》 ? 《个人信息保护法》 01 行业监管 ? 工信部对汽车制造业的 关注加强 ? 《工业控制系统信息安 全行动计划(2018— 2020年)》 02 准入标准 ? 国内车联网安全标准 ? TISAX认证 ? ISO/SAE 21434《道 路车辆-信息安全工程》 ? UN/ECE/WP29 03 第3页/共64页 外部形势严峻 ? 勒索软件等新型攻击模式突破了工控网络的隔离限制,降低了对制造业的攻击门槛; ? “震网”病毒以来,工控系统的安全漏洞呈现逐年增多的趋势,而制造业占比最高; ? 车联网安全成为热门议题,车辆的安全漏洞呈上升趋势。 资料来源:工业控制系统安全国家地方联合工程实验室 第4页/共64页 业务发展压力 5G 海外 战略 车联网 自动 驾驶 工业互 联网 协同 办公 数字化转型过程中的技术创新与变革引发新的安全风险 新技术的引入、新系统的上线不仅是对传统业务形态的颠覆,也是对原 有安全策略的挑战。 “走出去”战略对数据管控边界提出挑战 全球化业务扩展、跨界跨行业合作过程中,对数据共享与控制能力上需 要有新的解决方案 不断演变的工作形态需有相适应的安全能力 核心商业机密的非结构化转变,新的办公形式加大对移动办公、协同办 公场景的需求 智慧 园区 智能 网联 第5页/共64页 面对挑战 01. 历史包袱重 02. IT基础薄弱 03. 获取资源难度大 04. 面对变革转型压力 05. 人员结构复杂 06. 自主可控有限 第6页/共64页 主要风险 ? 员工违规操作与不当行为,泄露公司涉密数据 ? 外部入侵公司网络,窃取公司涉密数据 ? 合作第三方未尽到涉密数据保护义务 ? 新业务发展引发新的数据泄露风险 公司涉密数据遭到泄露 ? 未达行业信息安全标准无法上市 ? 违反跨境数据传输、个人隐私保护相关法规面临 较重处罚 安全合规问题使业务推进受阻 ? 工控环境感染病毒导致设备停摆 ? 设备或系统操作不当导致停产 ? 外部人员入侵工控网络,恶意停止设备运转 生产因安全事件导致中断 ? 已上市车辆产品出现安全漏洞 ? 供应链引发的产品安全漏洞 ? 运营中的信息系统发现信息安全漏洞 公司研发或产品存在安全漏洞 第7页/共64页 数据防泄漏 设计 识别 管控 ? 风险监控 ? 技术管控措施 ? 流程化管理措施 持续优化监控 ? 涉密数据定义与识别 ? 保护策略的定义 ? 数据使用业务场景的识别 数据需求识别 ? 管控措施 ? 监控措施 ? 接口设计 管控方案设计 传输 第8页/共64页 安全防护能力建设 ? 权限控制 ? 接口安全 ? 开发安全 信息系统 ? 数据备份 ? 防泄密保护 ? 数据加密 ? 数据脱敏 数据安全 ? 网络隔离 ? 访问控制 ? 无线安全 ? 异常监测 网络安全 ? 终端准入 ? 防病毒 ? 白名单 业务终端 ? 运维管控 ? 设备加固 ? 漏洞管理 ? 日志收集 主机安全 ? 出入控制 ? 机房管理 ? 监控 物理环境 通过安全运营、安全治理保障防护手段有效 第9页/共64页 合规与认证 ISO 27001 ? 通用性标准 ? 多个标准参考依据 ? 必须无重大偏差 ? 适用于各行业,包括整 车厂 TISAX ? 27001扩展要求 ? VDA准入门槛 ? 包含部分隐私保护内容 ? 必须所有满足控制项 ? 适用于零部件、供应链 厂商 ISO 21434 ? 为车辆研发提供参考 ? 2020年2月发布草案, 2021年计划转化为国标 ? 汽车生命周期各个阶段的 安全保障 第10页/共64页 整车研发 概念 开发 生产 开发 验证 运营 管理 突发 事件 风险 管理 退役 参考ISO21434搭建整车生命周期业务。包括网络安全整体管理、风险管理,开发过程、运营维护。 第11页/共64页 几点建议 ? 组织建设 ? 自主能力 ? 安全意识提升 ? IT整体能力兼顾 ? 共享交流

  • 2021-06-22
  • 阅读145
  • 下载0
  • 12页
  • pdf

电子邮件攻击趋势与应对.最佳实践分享

电子邮件攻击趋势与应对 最佳实践分享 郑聿铭 Disclosure Case studiesandexamplesfromour experiencesand activities working for a variety of customers,anddo not represent our work for any one customerorset of customers. In many cases, facts have been changed to obscure the identity of our customersandindividuals associated with our customers. ?2019 FireEye ?2019 FireEye 邮件安全是老生常谈? Gartner 2019 Gartner 2020 ?2019 FireEye 电子邮件威胁现状 92% 的攻击从邮件开始 高级威胁持续快速演变 #1 vector for cyber attacks 邮件高级威胁分类 1. 仿冒攻击(BEC) 2. 恶意附件 3. 恶意链接URL ?2019 FireEye ?2019 FireEye 恶意软件攻击与无恶意软件攻击 7 MALWARE MALWARE-LESS 被阻止的攻击中没有 恶意软件 90%? 仿冒 ? CEO欺诈 ? 鱼叉式网络钓鱼 ? 供应链 欺诈 被阻止的攻击中 包含恶意软件 10%? 病毒 ? 勒索软件 ? 蠕虫 ? 间谍软件 ? 特洛伊木马 Source: FireEye (August 2018). Get One Step Ahead of Email Threats, Email Threat Report for January-June 2018. ?2019 FireEye 8 $125亿 全球因CEO欺诈而蒙受的损失 ?2019 FireEye 9 92% 攻击始于电子邮件 2810亿 每天发送的电子邮件 ?2019 FireEye 10 78 日 发现数据泄露的平均时间 $390万 平均每次泄露的损失 ?2019 FireEye 全球的企业电邮攻击 (BEC) 正在增长 11 Source: Beazley (March 2019). 2019 Breach Briefing. 133% 2017-2018 BEC 增长 2018 年被 BEC 针对的行业 Financial Institutions 金融机构 27% Healthcare 卫生保健 22% Education 教育 12% Professional Services 专业的服 务 11% ?2019 FireEye 您确定您的团队不会点击

  • 2021-06-22
  • 阅读184
  • 下载0
  • 36页
  • pdf

零信任实践.从远程办公开始

联软与零信任网络访问 ~2004 网络访问控制 (NAC)架构 2004 Jericho Forum 去网络边界化,限制基于网络的隐式授权 2010 Forrester提出 “Zero Trust”概 念 2014 Google发布 “BeyondCorp” 2017 O’Reily出版 <Zero Trust Networks> 2019 NIST SP 800-207 Draft 2004 中国最早的NAC厂商 2012 基于终端代理的进程级 网络访问授权 2011 基于角色的场景化 动态最小授权 2013 EMM 可信接入代理 人员、设备、应用 分层独立授权 2015 无口令战略 PC 移动智能设备联动 2017 基于零信任架构的SDP 产品 2019 UEM统一端点管理战略2020 华为、安恒零信任生态 SDP+UEM的软件定义 访问战略 美国国家标准与技术研究院 发布SP800-207: Zero Trust Architecture 草案第二版本。 2020年: 构建可控的互联世界 构建可控的互联世界 联软一直致力于推动零信任的发展 今年,CSA大中华区率先在国内推出零信任专家 认证CZTP,CZTP是零信任领域首个面向个人的 安全认证。 官方授予联软:种子讲师 一名,认证讲师 两名。 入选 《CCSIP 2020中国网络安全产业全景图》 标准的制定与赋能 大量客户实践 构建可控的互联世界 构建可控的互联世界 NIST NCCoE 《实现零信任架构》草案版 (2020年3月发布) NIST NCCoE 《实现零信任架构》正式版 (2020年10月发布) 零信任最新变化:从理念走向落地 构建可控的互联世界 构建可控的互联世界 零信任主要落地方向与产品 构建可控的互联世界 SDP 与 零信任 Gartner:ZTNA=SDP NIST:SDP作为ZTA推荐实现方案 CSA:SDP是零信任的最高级实现方案 构建可控的互联世界 构建可控的互联世界 技术层面 ? 代理程序支持哪些操作系统 ? 是否支持SPA ? 是否集成UEM,对设备进行安全状态评估 ? 是否集成UEM作为数据采集,集成UEBA 进行上下文分析,进行持续信任评估 以上来自Gartner 2020 ZTNA市场指南 ROI层面 ? 是否可以解决已存在的安全现实问题和 发现未知的安全威胁? ? 是否可以在未来一定时间范围为信息化 系统的发展持续提供安全保障? ? 是否可以顺畅对接现有安全投资,在此 基础上还需要多大的持续安全投入? ? 是否可以满足上级机构和国家对于信息 化系统的安全检查要求? 实施层面 整体规划、分步建设、逐步验证 ? 以终为始确定愿景 ? 根据业务重要程度及风险影响进行优先 级排序 ? 优先在新场景中验证 零信任架构增强 ? 现有的NAC/EPP/AV/EDR/SIEM/威胁情 报等安全建设对零信任起到增强的作用 ? 要充分考虑集成和融合 以上来自中国信通院 企业评估ZTNA(SDP)从哪些方面来考虑 构建可控的互联世界 构建可控的互联世界 联软SDP产品架构 加密隧道 控制平面 数据平面 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 可信API代理 个人/企业设备 业 务 访 问 CRM OA 邮件 业务C 业务A 业务B 私有云 公有云 数据中心 外部应用 接口调用个人计算环境 多域安全沙箱 本地磁盘 多域安全沙箱 可信接入代理 UEBA 威胁情报 SIEM IAM 态势感知 资产管理 安全应用 个人应用 可信接入代理 SPA1 计算环境 物理环境威胁 环 境 感 知 全面身份化 基线 行为 持续信任评估 基线 应用 设备 人员 234 数据安全组件 端点安全组件 安全分析组件 身份与访问管理组件 构建可控的互联世界 SPA SPA 非法终端 SPA验证通过 控制器开放TCP端口 控制器不做回应 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 个人计算环境 安全计算环境 本地磁盘 安全计算环境 默认不相信任何连接,对核心资 产进行隐藏: ? 满足最小授权 ? 缓解对核心资产的扫描探测 ? 缓解DDos攻击 ? 缓解漏洞利用 ? 缓解非法爬取价值 安全应用 个人应用 1 合法报文 构建可控的互联世界 全面身份化 SPA 身份人员身份 账号密码 多因素 生物特征 员工状态 验证正确 扫码登录 指纹在职 设备归属 设备os 设备标识 软件标识 BYOD Windows 硬件ID 助手ID 证书校验 安全版本 通过通过 设备身份 应用身份 控制平面 数据平面 临时、动态身份标识 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 构建可控的互联世界 环境感知 SPA 物理位置 曾经登陆 登陆时间 上海是正常 普通环境

  • 2021-06-22
  • 阅读146
  • 下载0
  • 32页
  • pdf