大规模复杂系统下的威胁 ? 如何构建威胁情报能力 ? 如何评价威胁情报能力建设的好坏 ? 威胁情报生命周期与威胁情报体系建设 ? 威胁情报的闭环与运营 Intro ? Id: e1knot ? 美团点评集团(3690.HK)信息安全中心基础设施安全团队 ? 负责集团内威胁情报与态势感知的能力建设 ? 多年安全数据与威胁情报分析和运营经验 ? ISC2017、DEFCON China等会议的Speaker 大规模复杂系统下的威胁 ? 业务数据多:核心系统日均PV超过数十亿级 ? 业务规模大:数百个复杂业务应用系统,代码总数超过亿行 ? 资产列表长:数百万级别的IDC资产、软件资产和终端资产 ? 资产类型杂:数十万种不同种类和版本的中间件和开源组件 ? 告警数量多:N多种设备可以产生告警,日均产生数以万计的告警 ? 企业威胁现状:每年安全上砸了那么多钱可还是因为安全问题损失惨重 大规模复杂系统下的威胁 组件漏洞 僵木蠕 配置合规 X-Day 漏洞 业务系统 缺陷 逻辑漏洞 密钥证书 泄露 越权漏洞 POI/UGC 爬取 刷好/差 评 刷单/外 挂 App 篡改 基础设施 业务系统 业务数据 如何构建威胁情报的能力 ? 只买买买真的能解决 问题么? ? 如何评价威胁情报对 信息安全产生了作用? ? 威胁情报团队的绩效 怎么给? 威胁情报数据的运营之殇 威胁情报很重要 虚假情报一大票 应急全靠朋友圈 口口相传得情报 情报数据千万兆 能运营的就几条 消息滞后很痛苦 业务损失不知道 假情报泛滥 消息不对称 无效情报多 消息滞后影响 威胁情报能力的灵魂N问 ? 买买买了很多威胁情报数据和服务 —— 这些服务和数据是否用起来? ? 威胁情报数据和服务已经和资产对接 —— 威胁情报的质量如何? ? 威胁情报有效情报数量占比高于30% —— 是否能产生有效的情报通知? ? 威胁情报平台可以推送有效的情报 —— 是否有人跟进这些情报? ? 有对应的安全运营同学处理了威胁情报 —— 是否跟进闭环? ? 所有的情报已经闭环处理完毕