華泰證券在金融安全風險運營的實踐（30頁）.pdf

《華泰證券在金融安全風險運營的實踐（30頁）.pdf》由會員分享，可在線閱讀，更多相關《華泰證券在金融安全風險運營的實踐（30頁）.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、華泰證券在金融安全風險運營的實踐姓名姓名華泰證券華泰證券 信息安全中心信息安全中心我們的故事不是”一個人的安全部”2015201520162016201820182020202020172017自研“泰坦”態勢感知自研“泰坦”態勢感知DevSecOpsDevSecOps理念理念系統性輸出建設實踐系統性輸出建設實踐項目項目SDLSDL實踐實踐數據驅動技術運營數據驅動技術運營紅藍對抗紅藍對抗安全響應中心安全響應中心成立成立引入引入MTTD/MTTRMTTD/MTTR指標指標引入引入killchainkillchain攻殺鏈模型攻殺鏈模型多源威脅情報多源威脅情報適應性安全架構適應性安全架構初識對抗初

2、識對抗假設攻陷假設攻陷基礎設施升級換代基礎設施升級換代建立建立SDLSDL體系體系9 9大安全職能細分大安全職能細分安全團隊成立安全團隊成立(5)(5)信息安全中心信息安全中心成立成立成立多職能團隊成立多職能團隊CARTACARTA框架框架MITRE ATT&CKMITRE ATT&CK框架引入框架引入工程化、自動化運營工程化、自動化運營假設內部威脅假設內部威脅三叉戟安全管理平臺三叉戟安全管理平臺棱鏡棱鏡UEBAUEBA項目安全顧問負責制項目安全顧問負責制DevSecOpsDevSecOps工具鏈工具鏈NOW實戰化轉型實戰化轉型現網實戰對抗現網實戰對抗潘多拉情報中心潘多拉情報中心宙斯盾外部反欺

3、詐宙斯盾外部反欺詐造父造父APIAPI安全檢測平臺安全檢測平臺20192019零信任零信任內部藍軍內部藍軍高頻現網實戰對抗高頻現網實戰對抗“WE“WE WANT YOU”WANT YOU”6+16+1大運營體系大運營體系指標驅動風險運營體系指標驅動風險運營體系安全風險運營安全風險運營融入融入ERMPERMP框架框架安全人員安全人員2020信息安全中心組織架構安全技術運營與攻防安全威脅與事件響應操作風險與數據安全工程效率與應用安全網絡安全基礎設施團隊到職能精細化分工安全技術運營與攻防職能精細化帶來的挑戰單一兵種無法打贏現代環境下網絡空間實戰THEN,HOW?“合成營”職能精細化帶來的挑戰安全技術

4、運營與攻防安全威脅與事件響應操作風險與數據安全工程效率與應用安全網絡安全基礎設施航空兵裝甲兵步兵電子對抗特種兵VS六大虛擬組織“大運營體系”項目與架構安全運營安全基礎設施運營GRC數據黑灰產對抗業務黑灰產對抗網絡空間入侵對抗安全態勢感知安全應急響應事件溯源等數據泄漏防護內部反欺詐等應用、數據、移動及云等領域安全架構及技術研發SDL過程運營安全治理風險管理合規體系外部反欺詐防薅羊毛業務惡意行為防控等客戶隱私保護個人信息相關法律落地特權、數據訪問權限網絡安全服務數據技術服務等HTSCHTSCHTSCHTSC網絡空間入侵對抗 運營指標日安全事件響應數日安全事件響應數MTTDMTTDMTTAMTTA安

5、全事件響應覆蓋率安全事件響應覆蓋率紅藍對抗覆蓋率紅藍對抗覆蓋率響應及溯源效能響應及溯源效能運營工程化與自動化率運營工程化與自動化率日安全威脅處理數日安全威脅處理數溯源覆蓋率溯源覆蓋率MTTRMTTR新技戰術識別與轉化數新技戰術識別與轉化數數據黑灰產對抗 運營指標識別及跟蹤外部數據泄露內部數據泄漏內部員工異常行為畫像業務黑灰產對抗 運營指標業務目標p能應對千萬能應對千萬/年級別的營銷活動年級別的營銷活動p保障保障X%X%的營銷資金投放的營銷資金投放p年接入保障業務場景數年接入保障業務場景數p紅藍對抗業務安全覆蓋紅藍對抗業務安全覆蓋周欺詐率周欺詐率日風控打擾率日風控打擾率黑產處置黑產處置MTTRM

6、TTRzz重大負面輿情數重大負面輿情數業務安全事件反制率業務安全事件反制率z安全基礎設施 運營指標標準化架構標準化架構覆蓋率覆蓋率監控覆蓋率監控覆蓋率故障故障MTTD/MTTRMTTD/MTTR彈性基礎設施彈性基礎設施覆蓋率覆蓋率微隔離與訪問控微隔離與訪問控制覆蓋率制覆蓋率安全基礎安全基礎自服務數量自服務數量安全基礎服務安全基礎服務工程化自動化率工程化自動化率項目與架構安全 運營指標安全評估覆蓋率安全評估覆蓋率安全工具鏈安全工具鏈DevOpsDevOps集成集成率率端到端安全交付效能端到端安全交付效能安全測試能力覆蓋率安全測試能力覆蓋率安全漏洞修復率安全漏洞修復率安全漏洞漏出率安全漏洞漏出率標

7、準化安全組件數標準化安全組件數軟件安全能力成熟度軟件安全能力成熟度隱私保護 運營指標隱私安全評估項目覆蓋率隱私安全評估項目覆蓋率業務場景隱私數據業務場景隱私數據ProfileProfile成熟度成熟度隱私安全問題整改完成率隱私安全問題整改完成率最小的成本將隱私安全法律法規轉落地為控制要求隱私保護措施內建落地數隱私保護措施內建落地數高風險隱私場景標準化數量高風險隱私場景標準化數量GRC推動公司建立完善的治理機制推動公司建立完善的治理機制1 1個委員會個委員會3 3個工作組（網安、數安、隱私個工作組（網安、數安、隱私/客戶數據保護）客戶數據保護）信息安全風險注冊機制信息安全風險注冊機制開展等保開展

8、等保2.02.0合規體系建設合規體系建設月度風險報告月度風險報告HOW？安全產品與平臺體系泰坦人工智能安全態勢感知泰坦，利用大數據、智能分析引擎 和 可視化等手段，結合威脅情報，對企業面臨的網絡攻擊進行檢測，快速、有效地為企業建立威脅檢測、分析、處置和全網安全態勢感知能力，使得企業的信息安全可知、可見、可控。棱鏡UEBA用戶行為分析平臺宙斯盾，基于設備指紋技術以及海量的設備安全數據、威脅情報數據和用戶行為數據，利用流式分析處理、數據挖掘和機器學習等關鍵技術，構建出獨有的以設備安全為核心的智能實時身份反欺詐模型,精準識別和預防各類互聯網身份欺詐風險，檢測如惡意注冊、薅羊毛等、搶優惠券，提升營銷效

9、果。宙斯盾業務反欺詐棱鏡，通過機器學習技術，對用戶的行為進行智能化分析，建立用戶風險畫像，實時檢測異常行為和未知威脅，及時發現內部用戶違規行為，如違規操作、帳號濫用、內部欺詐、數據泄露等。造父，通過流量、網管、標準API文檔等，自動發現識別API服務接口，標記敏感數據、登錄認證行為、特權行為，記錄API變更生命周期；自動發現暴漏在公網的API相關數據、憑證。對重要的API接口進行自動化滲透，發現存在的權限、邏輯漏洞；通過基線和算法模型，自動檢測多種攻擊，包括Bot攻擊、DOS攻擊、異常數據訪問行為等。造父API安全檢測平臺14253潘多拉情報中心潘多拉，基于大數據、NLP技術，實現互聯網中企業

10、相關聯情報的識別、采集、分析及匯聚，對外提供代碼泄露、企業輿情、業務情報等危害企業的情報中心服務。三叉戟，具有SDL全流程管理、應用安全風險畫像、漏洞全生命周期管理、DevSecOps工具鏈集成、自動化滲透測試工具集等功能，為企業提供應用安全一站式綜合管理平臺。三叉戟安全管理平臺6安全工具支撐體系安全編碼規范安全編碼規范ConfluenceIDEIDE集成安全工具集成安全工具Find Security Bugs(SAST)Black Duck（SCA）主機安全掃描主機安全掃描:Nessus配置基線安全掃描配置基線安全掃描Nessus黑盒安全測試黑盒安全測試(DAST/IAST)(DAST/IA

11、ST)AppScanAWVSWASOWASP ZAPArachni移動安全測試移動安全測試(MAST)(MAST)iJIAMIMBSF滲透測試滲透測試Burp SuiteSQLMapnoSQLMapMetasploitMitmproxyNetcatCurlWiresharkFiddlerApktoolDex2jarJEB安全專家知識庫安全專家知識庫WIKI輕量級威脅建模輕量級威脅建模HELIUS安全需求平臺開源組件治理開源組件治理Black DuckNexus firewall標準化與加固標準化與加固CIS Benchmark主機環境驗證測試主機環境驗證測試Tenable Nessus剩余安全

12、風險報告剩余安全風險報告JIRA漏洞修復計劃漏洞修復計劃JIRA代碼簽名代碼簽名signtoolAPPAPP加固加固iJIAMI外部“藍軍”與內部滲透測試外部“藍軍”與內部滲透測試主機安全主機安全WEB WEB 安全安全NTANTADLPDLPEDREDR蜜罐蜜罐沙箱沙箱防病毒防病毒補丁管理補丁管理UEBAUEBA棱鏡PRISM安全態勢感知安全態勢感知(NGSOC)(NGSOC)泰坦 TITANS漏洞管理漏洞管理三叉戟TRIDENT潘多拉情報中心潘多拉情報中心宙斯盾反欺詐宙斯盾反欺詐造父造父APIAPI安全檢測安全檢測WAFWAFNGFWNGFW宙斯盾反欺詐宙斯盾反欺詐NGFWNGFWWAFW

13、AFATP(Terminal)ATP(Terminal)Incident ResponseIncident Response溯源溯源IDAOllyDbg威脅情報威脅情報(Threat IntelligenceThreat Intelligence)商業情報開源情報業務情報業務情報數據泄漏情報數據泄漏情報潘多拉情報中心潘多拉情報中心資產管理資產管理Black Duck三叉戟 TRIDENT源代碼靜態掃描源代碼靜態掃描(SAST)(SAST)SonarQube(Find Security Bugs)CobraBandit開源組件安全掃描開源組件安全掃描(SCA)(SCA)Black DuckDoc

14、kerDocker安全掃描安全掃描Container Security(Tenable)PreventPreventHTSCHTSCHTSCHTSCHTSC融合SCRUM敏捷方法的安全大運營模式大運營輪值負責人大運營工作列表任務列表周運營回顧會每日站會1周沖刺大運營輪值負責人運營指標分析運營計劃會大運營虛擬團隊敏捷宣言敏捷宣言個體與交互勝過過程和工具響應變化勝過遵循計劃精益求精勝過簡單執行HTSCHTSC應用安全移動安全安全響應安全攻防HTSC項目與架構安全大運營安全評估小組安全評估小組項目與架構安全大運營職責項目與架構安全大運營職責負責項目的安全評估，進行安全架構設計、安全需求分析、項目安全

15、建設SDL全過程跟蹤等，向研發團隊交付端到端安全解決方案。組員來自職能團隊，專家領域包括：安全架構、應用安全、隱私安全、數據安全、業務安全、移動安全、云安全、安全測試等。項目與架構安全-SDL（BSI）框架A A 可行可行性性B B 立項立項C C 需求需求D D 架構架構&設計設計E E 編碼編碼F F 測試測試G G 上線上線H H 運行運行I I 下線下線1安全可行性評估C1 安全需求標準庫E1 安全編碼D1受攻擊面分析I2下線安全評估F2移動安全測試J 知識與技能G1待產環境安全部署H2補丁更新與漏洞修復1供應商安全評估J2安全規范與標準J4安全技術培訓J5安全意識宣貫J6安全內外部交

16、流B2合同安全條款評估B3項目安全策略D2威脅建模D3安全設計說明書E2 源代碼CI安全測試E3開源組件CI安全測試D4 運行環境與部署架構G3剩余風險評級與接受I3數據安全清理與歸檔E4代碼安全人工審核H3持續威脅監控與運營B4項目安全保障定級I4IT權限回收H4重大變更安全評估C2項目安全調查問卷C3:安全需求說明書C4:安全基線交付清單F1動態安全測試G2安全驗證與滲透測試F3容器安全測試F4內外部滲透測試G4IT權限開通H1持續漏洞與補丁管理I1系統下線觸發J1安全制度J3安全指南與最佳實踐移動安全測試MAST交互式安全測試IAST項目與架構安全-DevSecOps內部滲透測試二進制加

17、固android源代碼安全掃描SAST開源組件安全掃描SCAIDE安全工具集成R&DR&D開源組件防火墻輕量威脅建模Threat ModelDEVDEVSITSIT安全風險報告外部滲透測試UATUATPROPRO生產環境部署驗證安全編碼剩余安全風險報告自動化資產注冊三叉戟三叉戟泰坦泰坦容器安全掃描SCM架構與設計BUILD編碼GUI/接口測試UT業務驗收功能/系統測試sonar lint單元測試打包代碼掃描GUI/接口測試性能/容量測試上線審批生產環境上線加固及標準化的加固及標準化的基礎設施與平臺基礎設施與平臺內部安全內部安全組件倉庫組件倉庫黑盒安全掃描DAST標準化資源發放制品庫制品庫（PRPR）制品庫制品庫（PRPR）制品庫制品庫（PRPR）業務黑灰產對抗 全鏈路治理運營體系業務黑灰產對抗 基礎支撐三叉戟三叉戟棱鏡SO？網絡空間入侵對抗 DAILY REPORT業務黑灰產對抗 DAILY REPORT軟件安全成熟度度量