平安科技安全平台部 董晓琼-企业内部风险管控的破冰与探索

2020-02-27 677浏览

  • 1.GOPS 全球运维大会2017·上海站
  • 2.企业内部风险的破冰探索 董晓琼 平安科技安全平台部 GOPS 全球运维大会2017·上海站
  • 3.董晓琼 携程旅行网-信息安全总监 平安科技- 安全平台部 GOPS 全球运维大会2017·上海站
  • 4.目录 1 企业内部风险 2 解构-升维与降维 3 员工风险识别框架 4 技术内外的安全思考 GOPS 全球运维大会2017·上海站
  • 5.企业风险聚焦 GOPS 全球运维大会2017·上海站 员工风险
  • 6.安全动因 国内外监管标准趋严 n 《中华人民共和国网络安全法》于2016 年11月7日发布,自2017年6月1日起施 行 n 欧洲议会于2016年4月27日通过《一般 数据保护条例》,该条例将对中国企业 的移动应用安全,以及数据收集、处理 和交易产生重大影响。 GOPS 全球运维大会2017·上海站 行业内迫切度、重要度 n 金融行业管控驱动 n 行业竞争环境 n 用户信任、企业的价值驱动 内部驱动 驱动力 误操作 利用 滥用 违规
  • 7.目录 1 企业内部风险 2 解构-升维与降维 3 员工风险识别框架 4 技术内外的安全思考 GOPS 全球运维大会2017·上海站
  • 8.多维解构 GOPS 全球运维大会2017·上海站
  • 9.Sec Incident GOPS 全球运维大会2017·上海站 01 员工风险事件的发现机制 05 02 信息泄露的途径 1、邮件泄露 2、USB/Ukey 3、应用系统漏洞缺陷 4、文件打印 5、DB运营 6、IM传输 7、数据中转站-跳板机 8、蓝牙、红外 9、外部数据合作 10、GitHub、网盘等 11、大数据平台等 03 信息泄露的动机 1、经济利益驱动 3、员工不满恶意报复 5、员工跳槽资本 2、员工操作不规范 4、员工滥用误用导致 04 “敏感”信息获取来源 1、业务应用系统 2、接口、应用端 3、对外数据合作-违规获取、传输、及分析数据 4、数据库、大数据平台 5、来自跳板、打印 6、测试环境(存在真实用户数据)等 泄露的原因
  • 10.事件响应能力: l 事件响应机制及方式 l 事件响应效率 数据丰富度及能力: l 所需数据范围及来源 l 数据的Owner l 数据采集及分析框架 升维思考 基础管控能力: l 检测规则-分析和运营 l 全局、一线安全运营现状 GOPS 全球运维大会2017·上海站 现状 基础管控手段: l 基础控制在泄露途径上的覆 盖 l 部署灵活度、及扩容机制 l 所采用的产品是否能够检测 -检测机制、自定义能力 -产品的APIs支持等 组织管理/架构: l 组织架构、职责是否明确 l 基础管控框架 l 安全管控策略/流程是否健全 l 现有奖惩体系
  • 11.GOPS 全球运维大会2017·上海站 01 基础数据匮乏、数据通道障碍、获取、分析成本高 基础控制手段:专业领域能力强,有较强的局 02 限性、功能单一化、数据独立化,不能适应及 应对协同作战的趋势 03 较多产品还停留在规则匹配的模式下,未知风险 的监控、预测水平低(智能化) 04 风险不能及时掌握,预警能力弱 05 响应机制较为单一,与企业管控需求差距较大
  • 12.员工风险监控平台: 1、建立一套通过多风险特征、结合 员工日常属性特征、行为等进行风 险决策依据的平台; 平台 通 数据及数据平台通 1、员工相关数据源打通 2、数据采集、获取和存储-框架支持 3、数据查询与分析 -按集团维度 -按专业公司 数据 通 可视 化 员工风险可视化: 1、实时监控、自动预警 2、风险趋势仪仪表化 3、风险一目了然、全盘掌握; GOPS 全球运维大会2017·上海站
  • 13.目录 1 企业内部风险 2 风险解构-升维与降维 3 员工风险识别框架 4 技术内外的安全思考 GOPS 全球运维大会2017·上海站
  • 14.员工风险识别框架 事件层 员工风险看板 Dashboard 分析引擎层 实时分析层 Flink (Storm) Rule Management Rule Engine AI模型平台 数据层 终端控制层-基础数据 Report Protal Incident Library Staff Risk Profile Zeus安全感知 离线分析与查询平台 ES 查询平台 交互式分析平台Zeeplin 离线模型平台 机器学习MLlib Spark Streaming 基础服务 BBSSPPrrooffiliele BB//WW//GGLLisistt RRisiskkCCoonnttrrool l LLoocckk 衍生数据-员工画像 衍生数据-系统画像 基础控制层 账户认证 数据脱敏与加密 权限认证 文件打印 门禁与考勤 邮件DLP 系统访问控制 IM监控 上网行为 水印跟踪 终端HDLP 行程管理 邮件DLP 人脸识别等 GOPS 全球运维大会2017·上海站
  • 15.员 工 风 险 看 板 平 台 架 构 GOPS 全球运维大会2017·上海站
  • 16.架构调整 Framwork 1.0 GOPS 全球运维大会2017·上海站 Framwork 2.0
  • 17.规则引擎-规则类型 基础 规则 1、单位时间内流量规则 2、多场景的组合关联规则 3、匹配规则 4、复杂规则(自定义条件匹配类) Rule/ Rule Sets 画像 规则 1、员工画像规则: 如常用设备、员工常出入职场、员工工作时长、员 工在岗状态、离职倾向、系统访问频度等 2、系统画像规则:系统所属公司、访问量、访问高峰、访问频率、 应用访问类型、活跃用户数量区间、用户分布区域等 事模规后型则 1、在线模型规则 2、离线模型分析 GOPS 全球运维大会2017·上海站
  • 18.画像服务的应用 l业务系统画像 业务系统访问量、访问用户属性、访问用户量、访问区域等以标签方式进行抽象描 述 l员工风险画像 将员工的自然属性、社会属性、工作习惯、访问习惯、兴趣度等以标签方式进行抽 象描述 应用举例: AD账户监控: 现有规则所用的数据维度,登陆时间、登 陆IP、登陆账号、登陆状态、账号锁定或修改密码的操 作行为 GOPS 全球运维大会2017·上海站
  • 19.应用举例: AD账户监控: 现有规则所用的数据维度,登陆时间、登陆IP、登陆账号、登陆状 态、账号锁定或修改密码的操作行为 监控规则: 1)单位时间内的同一账号的认证次数 2)单位时间内同一IP访问不同账号的认证次数 3)单位时间内不同IP同一账号的认证次数 4)单位时间内同IP的认证失败次数 5)单位时间内同IP不同账号的密码修改次数 6)非工作时间段的账号认证频度及次数(基于整体AD用户,而非个人属性) 7)离职员工的账号登陆认证成功监控等 通过画像产生的衍生规则: 1)基于每个员工的工作时长、勤奋指数的规则 2)常用设备、IP、主机、职场区域、常登陆系统等的监 控规则 3)离职倾向指数超高的员工行为监控 4)基于涉敏指数的员工高风险监控等 GOPS 全球运维大会2017·上海站
  • 20.GOPS 全球运维大会2017·上海站
  • 21.目录 1 企业内部风险 2 风险解构-升维与降维 3 员工风险识别框架 4 技术内外的安全思考 GOPS 全球运维大会2017·上海站
  • 22.• 技术内番外 • 架构平滑切换-适应业务场景 • 数据维度-数据资料的再加工 • 技术外番外 • 技术之外安全人员关注重点 • 安全思维/业务思维 冲突 • 打开双赢局面:业务需求为导向,寻求平衡及角色转换 • 安全人员:价值输出 GOPS 全球运维大会2017·上海站
  • 23.想第一时间看到 高效运维社区公众号 的好文章吗? 请打开高效运维社区公众号,点击右上角小人,如右侧所示设置就好 GOPS 全球运维大会2017·上海站