《103曾垚-基于攻防社區的企業安全風險管理(22頁).pdf》由會員分享,可在線閱讀,更多相關《103曾垚-基于攻防社區的企業安全風險管理(22頁).pdf(22頁珍藏版)》請在三個皮匠報告上搜索。
1、火線安全 聯合創始人 曾垚01風險來自于哪里02基于社區的安全風險管理風險 來自于哪里Where does the risk come fromSQL注入越權RCE越權企業互聯網攻擊面Restful、GraphQL、RPC、Tomcat、Android、IOS、IOT、Spring Boot、DubboMySQL、Oracle、Redis、Kafka、ActiveMQ、Zabbix、Jenkins、F5 Linux、Windows、vSphere、ESXi、k8s、HarborFeiQ、QQ、微信、釘釘、飛書、Exchange、Coremail、騰訊企業郵、Gmail、致遠OA、CISCO S
2、SL VPNGithub、Gitlab、Coding、阿里云效、碼云、百度網盤、百度文庫、數據論壇、語雀、confluence、暗網論壇 API接口 中間件 客戶端軟件 開源組件 微服務 Serverless 數據庫 消息中間件 可視化運維 RDS SLB 操作系統 虛擬機 Kubernetes 鏡像倉庫 AWS、aliyun、騰訊云 業務代碼 業務數據 密碼憑證 內部資料 IM系統 郵件系統 OA系統 VPN系統 采購系統 客服系統 招聘系統 銷售系統數據管理基礎環境辦公系統業務應用運維服務供應鏈傳統資產多云化傳統IDS+辦公網+公有云+私有云資產邊界寬泛化IP、域名、接口、容器、組件、賬號
3、、秘鑰、云服務、業務云服務資產管理方式復雜化CMDB、流量分析、主機監控、黑盒監控資產管理難度越來越大社區漏洞分布業務邏輯接口安全運維服務基礎環境安全意識漏洞監控 CVE、CNNVD、CNVD Github、exploitdb、安全社區賬號邏輯支付邏輯權限體系數據重放消耗攻擊弱密碼問題SQL注入SSRF反序列化XSS漏洞文件上傳組件漏洞任意命令執行服務未授權服務弱密碼服務配置不當服務軟件漏洞弱密碼配置不當環境未隔離密鑰泄漏容器權限提升OSS配置錯誤 代碼泄漏文檔泄漏憑證泄漏云化過程帶來監控難度大更多新型漏洞攻擊漏洞頻發運營成本持續增高漏洞接收漏洞驗證漏洞處置1.滲透測試2.攻防演習3.漏洞掃描
4、4.漏洞通報1.有效性驗證2.漏洞分級3.漏洞影響評估1.修復建議2.工單處置3.漏洞復測基于社區的安全風險管理資產梳理社區資源分配協同賦能漏洞管理策略運營能力沉淀持續檢測漏洞管理互聯網眾測模式的漏洞快速收斂基于DevSecOps可持續的漏洞持續運營復盤沉淀兜底查漏1.封閉邀請審核準入制度封閉邀請審核準入制度2.強實名人臉認證強實名人臉認證3.多重保密協議在線簽約多重保密協議在線簽約資產收集LayerLayer子域名挖掘機子域名挖掘機OneForAllOneForAllsubDomainsBrutesubDomainsBrute8000萬萬Whois數據數據50億證書數據億證書數據500萬萬I
5、CP數據數據1000萬萬URL數據數據1800萬域名解析數據萬域名解析數據170萬萬APP應用數據應用數據43億億IP定位數據定位數據2800萬郵箱數據萬郵箱數據豐富的第三方集成豐富的第三方集成 企業微信 釘釘 飛書 微信公眾號 短信 郵件 OpenAPI WebHook豐富的第三方集成上線后發現漏洞風險更大、修復成本更高能持續在軟件上線前發現更多安全問題才能降低成本SAST:白盒代碼掃描DAST:黑盒動態掃描IAST:交互式動態污點分析SCA:開源組件安全分析低侵入式的數據采集端獨特的應用數據倉儲中心設計開放的社區生態持續貢獻高效零誤報的技術優勢具備可持續運營的產品設計等超過 100 家用戶的真實落地