《李維春-安信證券安全運營實踐分享(21頁).pdf》由會員分享,可在線閱讀,更多相關《李維春-安信證券安全運營實踐分享(21頁).pdf(21頁珍藏版)》請在三個皮匠報告上搜索。
1、安信證券安全運營實踐分享李維春 安信證券安全總監目錄一、公司介紹二、安全建設歷程三、安全運營四、安全運營心得一、公司介紹公司總部設于深圳,成立于2006年在北京、上海、廣州、汕頭和佛山等地45家分公司、333家證券營業部控股股東為國家開發投資公司控股的國投資本股份有限公司四家控股子公司:安信國際、安信乾宏投資、國投安信期貨、安信證券投資公司具有證券行業全業務牌照,2009-2018年連續10年獲A級以上評級二、安全建設歷程1、全面風險評估,制定未來三年工作規劃2、互聯網高危資產梳理及高危風險處置3、建立自主滲透測試能力及漏洞管理機制4、建立SDL管理機制及開發規范快速止血階段1、基于縱深防御的
2、理念,分層建設安全運營中心、威脅感知與分析、WAF、IPS等手段2、建立信息安全管理體系,通過ISO27001認證3、建立安全意識培訓體系及考核機制4、夯實技術實力,代表國投集團參加央企首屆網絡安全攻防大賽并取得優良成績全面建設階段1、通過護網攻防演練、紅藍對抗、安全眾測等檢查機制運轉的有效性,不斷提升安全運營能力2、安全運營流程化、規范化管理3、管理制度更新優化4、DevSecOps、容器云安全、安全沙箱等新技術落地優化提升階段2015年-2016年2017-2018年2019年-三、安全運營防護運維監測分析響應處置糾正預防驗證度量資源&能力流程&機制入侵檢測/防御抗DDoSNGFWHDLP
3、數據脫敏水印數據庫審計漏洞掃描APP安全應用安全 網絡安全服務器安全終端安全用戶安全身份認證堡壘機網頁防篡改WAF郵件安全防病毒EDR網絡準入IM監控容器安全公有云安全黑白盒檢測SDL網絡隔離安全基線補丁管理HIDS防病毒VPN堡壘機上網行為管理網絡白名單物理安全蜜網外設管理蜜罐機房安全網絡流量分析云安全外包安全意識培訓CTFIAAS安全技能培訓3.1 安全防護補丁管理3.2 安全運維健康度檢查檢查Sensor安全監測功能是否正常運行檢查Sensor到管理后端的網絡通路是否通暢檢查Sensor所產生的告警信息到SOC平臺的信息采集是否正常運行檢查告警通知(郵件、短信與可視化 展示平臺)是否正常
4、運行檢查Sensor、系統接入點是否變更、被規避檢查流程控制點是否生效、發生變更、被規避健康度問題糾正和預防3.3 安全監測分析SyslogSyslog、RsyslogRsyslog、WinlogbeatWinlogbeat、SMBSMB、DBDB、FileFile、SNMPSNMP日志日志源源日志日志采集采集日志日志集中集中日志日志分析分析數據數據展示展示工單情報碰撞自動化運營數據同步數據消費數據消費安全告警集中展示和處理安全運營UseCase樣例日志來源:Sysmon檢測規則:index=_your_sysmon_data_ EventCode=10 TargetImage=C:WINDO
5、WSsystem32lsass.exe(GrantedAccess=0 x1410 OR GrantedAccess=0 x1010 OR GrantedAccess=0 x1438 OR GrantedAccess=0 x143a OR GrantedAccess=0 x1418)CallTrace=C:windowsSYSTEM32ntdll.dll+*|C:windowsSystem32KERNELBASE.dll+20edd|UNKNOWN(*)|table _time hostname user SourceImage GrantedAccess安全運營UseCase樣例日志來源:W
6、indows Security Event Log&Sysmon檢測規則:logsource:product:windows service:securitydetection:selection:EventID:4624 LogonType:10 SourceNetworkAddress:-:1 -127.0.0.1 condition:selectionfalsepositives:-Unknownlevel:high安全運營UseCase樣例日志來源:防病毒數據庫檢測規則:未刪除隔離成功的蠕蟲、木馬病毒如何挖掘分析場景、UseCase合規型 依據規范制度,制訂檢測規則 可以包括覆蓋面、健
7、康度、正常率攻防型 單個安全設備的檢測 攻擊路徑的檢測(例如ATT&ACK)奇技淫巧的檢測補充 攻防演練、檢查審計、事件處理中發現的問題 情報監測3.4 響應處置SOC日志中心告警中心Usecase關聯分析情報分析Tier1Tier2System Admin問題升級問題升級協調處理協調處理深入分析深入分析IP、域名、HASH封堵賬號封堵事件處理。提交工單提交工單HelpDesk惡意樣本PCAP等安全、應用、OS等日志3.5 糾正與預防不合規 糾正 挖掘不合規原因,納入ITIL“問題管理”規則不清,或沒有規則 商定規則 審批通過 執行改進,或專項任務實施改進ITIL“問題管理”每周回顧,尋找共性
8、、多發常發的問題 組織分析原因和解決方案 審批通過 專項任務實施改進3.6 驗證與度量 度量指標 防護覆蓋面:安全工具覆蓋率、正常率100%運維:系統、流程健康度100%監測分析:高危風險30分鐘發現率100%響應處置:高危風險及時修復率100%糾正預防:重復問題發生數每年少于5%結果驗證紅藍對抗(計劃中)每年2次攻防演練每年行業攻防演練每年3-4次專項審計(系統、流程、人)3.7 資源和能力2016年安信證券首屆CTF大賽2017年安信證券第二屆CTF大賽2018年安信證券代表國投集團參加央企首屆網絡安全攻防大賽2018年安信證券第三屆網絡安全技能大賽70%:在好的平臺上實戰20%:以老帶新10%:培訓、知識庫3.8 機制與流程復盤對標 每日運營開例會、存紀要 每周挖掘問題 每季度走訪學習同行驗證 處置人和驗證人分開 定期有審計、攻防演練來驗證評價 基于度量指標,以達成率、提升率進行評價 安全團隊與系統負責人的安全績效一致 獎勵主動改進行為自動化 逐步實現自動化,讓干活的人更開心四、安全運營心得一、以終為始,強調解決問題、可執行,強調解決問題和預防問題兩手抓二、尊重人性。人是最靠不住的,但是安全運營也最離不開人三、尊重墨菲定律,盡快堵住可能出問題的口子四、不要被新概念、新工具迷惑五、以攻促防,讓攻防演練成為常態后續的一些設想達成目標績效、度量指標一致自動化可視化