安信证券信息技术部安全总监 聂君 - 金融行业企业安全建设之路

2020-02-27 649浏览

  • 1.关注企业安全最后一公里 金融行业企业安全建设 安信证券·聂君
  • 2.
  • 3.目录 CONTENTS 1 安全观安全 2 安全运营之路 3 企业安全建设思考
  • 4.安全 本质 安全 原则 安全 世界观
  • 5.互联网本来是安全的,自从有了研究安全的人,就变得不 安全了 信任。计算机用0和1定义整个世界,而企业的信息安全问 题是解决0和1之间的广大灰度数据,运用各种措施,将灰 度数据识别为0(不值得信任),或1(值得信任) 不同的信任假设决定了安全方案的复杂程度和实施成本, 安全需要平衡
  • 6.持续 改进 纵深 防御 非对称
  • 7.信息安全就是博弈和对抗,是一场人与 人之间的战争。交战双方所争夺的都是 信息资产的控制权,也就是在博弈和对 抗中,牢牢的把控住各类信息资产的控 制权。
  • 8.科学与艺术 管理与技术 业务与安全
  • 9.目录 CONTENTS 1 安全观安全 2 安全运营之路 3 企业安全建设思考
  • 10.体系化的安全防护措施和技术手段,如安全域隔离。初级SDL和 代码安全检视能力,对应用交付有自主评估和修补能力 非自身发现的互联网应用安全漏洞小于一定数量,对互联网网站 等高风险系统具备一定的态势感知和未知漏洞防护能力 内部系统能够有效防止非专业人员有意或者无意的数据泄露,能 发现对重要服务器和高价值终端的普通内部黑客攻击 满足监管合规要求,建设外规到内规,内规到检查,检查到整改 的合规链,内部违规违纪和内外部安全审计发现持续降低
  • 11.企业安全的 内容是什么 安全服务质 量保持在稳 定区间 安全工程 化能力
  • 12.企业安全的内容是什么
  • 13.安全服务质量保 持在稳定区间
  • 14.安全工程化能力
  • 15.架构 工具 资源
  • 16.安全防护 框架 安全运维 框架 安全度量 框架 安全验证 框架
  • 17.
  • 18.• ①网络安全 • ②平台和业务安全 • ③广义的信息安全 • ④IT风险管理、IT审计&内控 • ⑤业务持续性管理 • ⑥安全品牌营销、渠道维护 • ⑦CXO们的其他需求 传统行业,建议做①③④⑤ 对于互联网公司,建议做①②⑤ 金融行业,我建议做①③④,能力 强的安全团队,建议做①③④⑥⑦。
  • 19.数据分析 基础架构 平台 收集 监控 安全控制 侦查
  • 20.• 白盒检测(过程验证) • 黑盒检测(结果验证)
  • 21.• 白盒检测(过程验证) ① 验证安全Sensor安全监测功能有效; ② 验证安全Sensor所产生监测信息到SIEM平台的信息采集有效; ③ 验证SIEM平台的安全检测规则有效; ④ 验证告警方式(邮件、短信与可视化 展示平台)有效
  • 22.• 黑盒检测(结果验证) ① 安全众测 ① 红蓝对抗演习
  • 23.技术维度 安全运营 成效 安全满意 度和安全 价值
  • 24.• 减少资损(创收) • 降低系统性能压力(降本) • 智能预警威胁感知(提效) • 同人模型降低安全交付认证复杂度(提升用户体验) • 安全应急和危机公关(保持和提升品牌公信力) • 积累风险库和模型反驱动业务规则优化(反欺诈、降低坏账等) 比如风控系统做好了,以前需要发验证码的交易,现在不用 发了。提升客户体验,验证码费用大幅降低。某行风控系统 上线后,动码发送率降低七成。短时间节约几千万费用
  • 25.SIEM平台 标准化流程工具 安全控制自动 化工具
  • 26.① 单一检测条件规则 某个shell进程的cwd和exe组合起来不是/usr/sbin/sshd -> 可疑shell连接
  • 27.② 跨平台安全监测信息关联检测 防火墙Permit日志中Dst包含威胁情报注入的恶意IP或域名->木马等恶意软件?
  • 28.③ 针对长时间缓慢低频度攻击的检测规则 内网单台机器对同一个域名的查询达到某个阈值(如10分钟内1000个查询)->DNS Tunnel?
  • 29.• SIEM健康度 ① 安全监测信息采集器失效 ② SIEM检测规则失效; ③ 安全告警失效; ④ 安全告警处理失效; • Sensor的安全性 ① 控制指令仅允许固化的指令,严禁在 Sensor端预留执行系统命令接口; ② 更新包必须经过审核之后上传至更新Server 保存,更新仅允许选择更新Server上已有的安 装包,最好校验更新包的MD5 ; ③ 控制指令下发时必须人工审核确认后才执行;
  • 30.• 安全事件处理流程 • 安全运营持续改进流程
  • 31.攻防安全团队 CSO 业务安全团队 SRC 渠道建设 …… 应用安全 Web安全 …… 架构安全 安全运维 …… 安全产品 HIDS …… 账号安全 账号风控体系 …… 产品风控1 主要业务场景之一 的风控,例如欺诈 产品风控2 主要业务场景之一 的风控,例如交易 安全 安全团队负责人 安全管理岗 负责安全制度、安全规范、安全流 程、安全检查、安全内控、安全审 计、安全月报、监管报表和汇报等 安全技术岗 负责全部门安全设备日常运维 (IPS、WAF等等)、安全防护技 术项目实施、应用上线安全检测、 SDL、安全应急响应等
  • 32.目录 CONTENTS 1 安全观安全 2 安全运营之路 3 企业安全建设思考
  • 33.• 安全运营 • 安全趋势 • 安全合规 • 安全考核 • 安全汇报
  • 34.难点 失效 白名单 Or 黑名单 什么样的安全 和安全运营
  • 35.• 企业自身基础设施成熟度不高 • 安全运维不能包治百病 • 难以坚持
  • 36.• 单点检测深度不足 • 覆盖率不足 • 安全运维平台可用性出了问题 • 告警质量问题 • 人的问题
  • 37.• 黑名单的优点:假阳性较低,认知理解容易; 缺点:漏报率高,靠概率和运气; • 白名单的缺点:假阳性较高,运营成本高, 所以需要安全检测具有自学习能力,形成自 动或半自动可收敛的安全检测规则; • 白名单可能会越来越受到重视
  • 38.•适合自己的就是最好的 •投入和收益比最大 •企业安全建设三个阶段 ①基础安全建设; ②系统建设阶段; ③安全高阶建设。
  • 39.• 一级:自发级 • 二级:基础级 • 三级:自动化级 • 四级:智能级 • 五级:天网级 需求是一辆自行车,结果来了一辆专机
  • 40.安全度量 历史问题免疫 安全成为属性
  • 41.• 低成本、有效 • 一套体系,各路神仙 • 外规到内规,内规到检查、检查 到整改,整改到考核的合规链
  • 42.• 平行团队考核 • 安全团队考核
  • 43.• 高级管理层 • IT部门、总经理 • 安全团队
  • 44.世界变好了吗 反恐,越反越恐!
  • 45.好读书,不求甚解,足球、军事,兴趣广泛。 金融业企业安全建设微信群 有兴趣加入的朋友请关注微信公众号“君哥的体历”(扫 右侧二维码),后台留言,微信号+公司名称,验证身份 后入群。 和我交流・君哥的体历
  • 46.人生最美好的莫过于各种经历和难忘的体验,过程 比较痛苦的,结果都还比较好。如果大家和我一样, 在企业做安全中遇到各种颇为“痛苦”的体历,过 后你一定会感谢和怀念这份体历的。 聂君・君哥的体历