2020年FreeBuf金融安全前沿技術高峰論壇嘉賓演講PPT資料合集.rar

《2020年FreeBuf金融安全前沿技術高峰論壇嘉賓演講PPT資料合集.rar》由會員分享，可在線閱讀，更多相關《2020年FreeBuf金融安全前沿技術高峰論壇嘉賓演講PPT資料合集.rar（0頁珍藏版）》請在三個皮匠報告上搜索。

1、AI 驅動安全運營，助力自動自主防御體系構建 Fortinet華東區技術經理 卜嬋敏 2 41%初級招聘 缺乏經驗豐富的網絡安全與業人員 3M 缺口 全球網絡安全人力資源 56%組織 網絡安全分析師丌堪重負 Sources:1.“Reinventing Cybersecurity with Artificial Intelligence,”Capgemini,accessed January 27,2020 2.(ISC)CYBERSECURITY WORKFORCE STUDY,2018.3.“Is the Cybersecurity Skills Shortage Getting Wors

2、e?”ESG,May 10,2019 使用 ML/AI 盡可能減少人工操作 比如 惡意軟件/安全事件 分析 5年工作經驗的人要平均花費1-2周時間來分析安全事件 先進的 學習功能 將檢測時間從分鐘級降低到亞秒級 降低 檢測時間 AI在安全檢測領域的愿景/目標 安全分析師的成本安全分析師的成本*美元美元 人均年工資60K-95K美元 5-6 年工作經驗 技能需求技能需求 惡意軟件研究經驗 入侵事件調查分析能力 思考一下思考一下 入侵的直接成本和間接產生的商譽損失 一種能夠分攤當前安全分析師繁重工作的方法，并且能夠降低人為失誤 人工結合AI分析師組合團隊帶來的可能 *Based on https:

3、/ 安全分析師的成本-提供更好的ROI選擇 已經近一個世紀了 Fortinet Inc.All Rights Reserved.5 Turing,Kleene and Church 提出了機器學習方案 McCullouch and Pitts 為 Turing 人工神經員 提出了正式設計 AI 研究經費絕大多數來自于美國軍方 專家系統開始規?；瘧?Lisp vs.PC IBM Deep Blue 擊敗國際象棋大師 Kasparov AI 研究正式成為一門學科在Dartmouth College 第一次 AI 寒冬 在美國和英國，由于難以產出結果，削減大量資金 由于CPU算力提升，AI 被應用

4、到數據挖掘，醫療診斷 深度學習通過更大的算力，更多的數據和更好的數據結構設計獲得了成功 Fortinet 開始在AI技術方面進行產品化的研究,率先在網絡空間安全領域對機器學習進行迭代 2,700+AI 項目在 Google 被啟動 Elon Musk 呼吁對AI進行監管，before we hit 100 years Fortinet FortiAI 作為產品準備發布 IBM Watson 應用在肺癌診斷和治愈場景 Fortinet AutoCPRL 使用機器學習檢測惡意軟件 i.e.機器生成CRPL Fortinet 在Web 應用安全領域使用機器學習 Fortinet 收購 Zonefox

5、 人工智能的歷史-已經近一個世紀了 AI應用到網絡空間安全領域應用到網絡空間安全領域 反病毒引擎 沙箱 蜜罐 檢查蘋果核 額它壞了。來讓我嘗一口 額它壞了。AI 讓我描述一下它-開始腐爛了,味道也丌好.額它壞了。讓我放更多的蘋果 帶個陷阱。惡意代碼檢測-不同的檢測技術 假鴨子假鴨子 真真 鴨子鴨子 能走能走 能叫能叫 能游泳能游泳 特征 在機器學習和模式識別領域,一個特征是一個獨立可測量的性質，戒一種可被觀測到的現象的特征。FortiAI 對惡意軟件正是如此檢測的 人工智能/機器學習:我們希望它做到什么?干凈干凈/惡意惡意 特征數據庫 輸出輸出 輸入輸入 被選擇的樣本被選擇的樣本 已知已知 干

6、凈干凈/惡意惡意樣本樣本 特征特征 預訓練 步驟在FortiGuard 實驗室中已經完成，使用超過2000萬正常和惡意文件進行的訓練 持續進行訓練和升級 AI 訓練 文件文件 二進制腳本 特征抽取特征抽取 文本解析器(script),反匯編程序(PE)反混淆 解壓縮 代碼段代碼段 代碼段代碼段 平均每個文件 5000+輸入層 輸出層 FortinetFortinet專利專利 神經網絡（神經網絡（ANNANN）特征數據庫 600萬+特征 GPU硬件加速 特征匹配特征匹配 匹配 計數 優先考慮 分類分類 下載器 結果結果 =惡意惡意 (或正?；蛘?干凈干凈)特征檢測到的數量特征檢測到的數量 下載

7、器=26 木馬特征=5 勒索軟件=2 AI安全分析師-0day檢測 本地學習&分析 CIO 我們是否受到該病毒的感染?比如 WannaCry 我來查詢一下！FAI VSATM WannaCry Hash ABC 變種1 Hash DEF 變種2Hash GHI 變種N Hash JKL 爆發查詢 允許在網絡上搜索惡意軟件及其變種 相似度引擎 病毒爆發查詢和相似度搜索引擎 FortiAI 人工智能神經網絡 預訓練 未來學習 現場學習 訓練階段目標 最高檢出率 最低誤報率 FortiGuard 升級 ANN 升級 不最新威脅保持同步 持續訓練 人工 vs 機器 1 3 2 技術技術 人人 流程流程

8、 SecOps 分析員，管理安全技術，驅動安全解決方案 短板短板:InfoSec知識短缺知識短缺 一種檢測，調查和應對威脅的系統方法 短板短板:人工處理人工處理 提供威脅可見性和響應措施的產品短板短板:傳統檢測傳統檢測 傳統SecOps運行模式 1 3 2 技術技術 人人 流程流程 使用AI技術來擴展安全運營中心（SOC）幵縮小技能短板 將AI應用于識別，調查和響應威脅中的繁瑣過程中，增強實時性 應用AI提高檢測復雜威脅的速度 AI驅動的SecOps運行模式 用于AI驅動的SecOps的深度學習 準備準備 恢復恢復 計劃計劃 技術技術 流程流程 人人 No Yes 取證取證,威脅擦除威脅擦除,

9、報告和經驗積累報告和經驗積累 Yes:No Yes 是否恢復?No Yes Yes No Detection&Analysis Response 發現發現:SIEM 警告警告 主機主機,服務器服務器,安全安全/網絡設備網絡設備,應用應用 威脅情報威脅情報 分析分析:審核工具審核工具/日志抓包日志抓包,RE 病毒樣本病毒樣本,外部搜索外部搜索 初始動作初始動作:額外分析和監控額外分析和監控(蜜罐蜜罐/漏掃漏掃)包含包含?部屬部屬?測試和培訓測試和培訓 是否解決是否解決問題問題?中低危?高危?威脅處理動作:在接入層隔離主機、服務器 Hrs 發現和分析發現和分析 響應響應 自動化分析和響應 人類與業

10、知識和人工智能 調查 響應 發現 發現(1+hrs)假設在SOC儀表板上的100到1000的威脅警報中，選擇的威脅恰巧是勒索軟件，戒者由受影響的用戶直接發出警報 調查(4+hrs)登錄安全產品 查看日志/警報 使用內置和外部工具來驗證勒索軟件 進行外部研究 登錄安全產品以搜索WannaCry的橫向運動 創建緩解計劃 響應(2+hrs)隔離設備，網段 修復設備/還原備份 打補丁 解決問題 示例：WannaCry響應生命周期-僅使用傳統分析方法的SecOps 調查 響應 發現 發現(1 ms)AI:亞秒級 AI:自學勒索軟件新功能 調查(5 mins)AI:為WannaCry殺傷鏈提供全路徑威脅研

11、究 AI:識別第一個受WannaCry感染影響的用戶的橫向運動 SecOps:制訂緩解措施 響應(30 mins)AI不安全控制集成:隔離設備,網絡微分段 SecOps 跟進:修復還原設備 打補丁 解決問題 示例：WannaCry響應生命周期-使用深度神經網絡（AI）增強的SecOps 數據 日志 流量 應用 情報 算法 隨機森林 SVM 神經網絡 K-Means 場景 0Day/APT 云可視化 UEBA SOAR AI三要素 終端安全 防火墻 蜜罐 沙盒 網頁 郵件 3M+3M+4M+4M+1M+1M+250M+250M+100M+100M+每日分析每日分析 千億千億+安全事件安全事件 客

12、戶本地機器學習客戶本地機器學習 全球捕獲、分析全球捕獲、分析&機器學習機器學習 UEBA EDR WAF AIAI驅動的響應驅動的響應 日志審計 SIEM SOAR 虛擬分析師 分布式AI安全模型 45萬 客戶網絡 覆蓋所有主要威脅向量 信息訂閱 200+100B100B+事件 防御 已知攻擊 檢測 未知攻擊 情報 Playbooks,IR 最大安全研究團隊之一 8 個與用實驗室 覆蓋 31 個國家 每年58萬小時安全研究 Firewalls Web Emails Endpoints 全局AI驅動的威脅情報/訂閱服務 ESG驅動的金融客戶隱私保護體系建設實踐孔一童 諾亞控股 業務安全中心資深總

13、監公司介紹332157120萬注冊客戶數人均交易量3367季度活躍客戶綜 合 金 融 服 務 平 臺財 富 管 理資 產 管 理海外業務開 放 性 的 產 品 和 服 務 平 臺戰略投資/數據系統/風控合規/市場品牌活動/培訓/投資者教育 渠道 開放平臺 投顧 主動管理 FOF 直投 資產配置 保險經紀 信托服務 投資者教育 理財師教育綜 合 服 務 香港 美國 加拿大 澳洲 新加坡14703私募公募數據來源：諾亞控股2020Q2財報什么是ESG3環境(E)社會(S)公司治理(G)識別風險提高投資回報發現長期價值全球范圍內的投資者將ESG評估納入投資決策體系ESG是英文Environmenta

14、l（環境）、Social（社會）和Governance（治理）的縮寫，是一種關注企業環境、社會、治理績效而非財務績效的投資理念和企業評價標準。什么是ESG4E-環境 投入（Input）：能源、水等資源的投入 產出（Output）：氣候變化、排放物、廢料等S-社會 領導力（Leadership）：可問責性、信息披露、發展績效等 員工（Employees）：多樣性、培訓、勞工關系等 客戶（Customers）：產品安全性、負責任營銷 社區（Communities）：人權、社會投資、透明度等C-治理 透明度（Transparency）獨立性（Independence）薪酬（Compensation）

15、股東權利（Shareholder Rights）等ESG內涵由環境方面（E）、社會方面（S）和治理方面（G）的具體評價指標界定。目前，雖然國際上尚未形成關于ESG的統一的權威定義，但不少機構、組織已提出了各自具有一定代表性的定義（以下標準以高盛為代表）能源使用、氣候變遷的變化對實體經濟的影響越發明顯 投資實例證明ESG投資對投資收益有正面貢獻 相關數據的收集與累計有相對規模的進展（世界銀行2019年全面公布ESG全球上市公司數據庫）各資產類別ESG與財務績效顯著正相關。數據來源：Deutsche AWMESG 受重視的原因ESG在北美和新興市場相對更加有效 數據來源：Deutsche AWM諾

16、亞與ESG6 2014年開始自發發起一年一度的諾亞財富可持續發展報告CSR report 已持續5年 近年來每次諾亞控股集團季報/年報發布，均主動披露在可持續發展上的舉措及成效 2019年諾亞成為中國最有公信力的主流財經媒體財新發起的“中國ESG30人論壇”，并擔任常務理事，發起ESG責任投資倡議。2020年5月，諾亞控股及旗下歌斐資產雙雙加入聯合國支持的負責任投資原則組織UN PRI。諾亞社會責任相關執行情況諾亞ESG自評估（基于MSCI評級）行業評分分布（資產管理與托管銀行）ESG驅動的客戶隱私保護提升措施ESG提升加強信息披露隱私政策更新實施ISO 29151認證通過ESG官網加強信息披

17、露https:/ 個人信息收集自查和隱私政策更新實施ISO 29151 認證-標準介紹實施ISO 29151 認證-標準介紹實施ISO 29151 認證認證準備關鍵考慮事項實施ISO 29151 認證認證準備梳理數據流轉流程編制個人信息清單實施ISO 29151 認證認證準備實施ISO 29151 認證認證準備隱私風險影響評估實施ISO 29151 認證認證準備編制適用性聲明實施ISO 29151 認證認證準備管理體系文件更新 增加隱私保護政策說明信息安全管理方針與政策 對于PII信息收集、使用、存儲和傳輸提出具體的安全防護措施要求數據安全管理辦法 規定PII信息的加密和展示脫敏規則敏感信息管

18、理規范實施ISO 29151 認證認證準備數據安全技術防護措施場景數據安全技術措施收集1）App 信息收集權限最小化存儲1）敏感信息存儲加密2）文檔加密系統傳輸1）https傳輸加密2）敏感信息加密傳輸3）網絡隔離使用1）前端顯示脫敏2）前端頁面顯示水印3）應用系統操作日志4）數據庫安全審計5）堡壘機6）DLP刪除1）介質廢棄消磁2）數據備份3）危險命令執行限制實施ISO 29151 認證若干注意事項1關于外包和分包中涉及PII的信息披露2關于個人信息的組織內部共享3關于PII信息的跨境傳輸存儲4客戶如何行使拒絕、撤回同意、賬號注銷的權利5關于數據保存期限到期后的處理6關于隱私政策用戶操作日志

19、的保存和追溯THANKS金融APP檢測那些事兒 宋鑫磊 中國金融認證中心（CFCA）資深信息安全官 從金科認證、安全認證、滲透測試中看金融領域對APP建設的要求及檢測方法#whoami 宋鑫磊，m0nst3r CFCA 關鍵字：-Web滲透-APP滲透-紅藍對抗-一點點逆向和Pwn-一點點PHP/Python/Golang/Java/JS-初級MS Office工程師 https:/m0nst3r.me Github:mr-m0nst3r 公司簡介 公司基本情況 國家重要的金融信息安全基礎設施之一 國內最大的電子認證服務機構 首批獲得電子認證服務許可的電子認證服務機構 信息安全綜合解決方案提供

20、商 提供可依賴的專家級服務 擁有電子銀行業垂直媒體中國電子銀行網 擁有一家專業從事互聯網支付的第三方支付子公司中金支付 公司簡介 業務板塊 電子認證 服務 互聯網 安全支付 互聯網 媒體 信息安全 產品 信息安全 服務 重點產品及服務重點產品及服務 -CFCACFCA全球信任體系證書全球信任體系證書 -CFCACFCA快速身份認證系統快速身份認證系統FIDO+FIDO+-無紙化手寫電子簽名系統無紙化手寫電子簽名系統 -安心簽安心簽電子合同簽署平臺電子合同簽署平臺 -云證通云證通可靠的移動電子簽名服務可靠的移動電子簽名服務 -網絡身份認證平臺網絡身份認證平臺 -電子證據保全系統電子證據保全系統

21、-信息安全服務信息安全服務安全評估、系統檢測安全評估、系統檢測 -信息安全服務信息安全服務產品檢測產品檢測 -軟件測評服務軟件測評服務 -交易監控及反欺詐系統交易監控及反欺詐系統 金融APP 認證 安全 APP認證 認證 金融科技產品認證 APP安全認證 金科認證 文件支撐 209號文金融科技（FinTech）發展規劃（20192021年）237號文關于發布金融行業標準加強移勱金融客戶端應用軟件安全管理的通知 檢測標準 JR/T 0092-2019移勱金融客戶端應用軟件安全管理規范 JR/T 0098.3-2012中國金融移勱支付 檢測規范 第3部分：客戶端軟件 T/PCAC 0006-201

22、9 條碼支付移勱客戶端軟件 檢測規范 （適用時）JRT 0171-2020 個人金融信息保護技術規范 金科認證 身份認證安全 未使用安全鍵盤，無防截屏功能 界面中用戶信息展示未脫敏 邏輯安全 申請冗余權限 安全功能設計 iOS客戶端軟件不具備防靜態、動態調試的抗攻擊能力 關鍵Activity組件可被任意調用 無ROOT、模擬器、越獄等風險環境檢測 密碼算法及密鑰管理 客戶端明文存儲密鑰 數據安全 客戶端運行日志中打印敏感信息 未對服務器證書進行強校驗 關鍵業務功能的數據包中未使用數據摘要算法進行完整性校驗 本地文件中有明文存儲的用戶信息 客戶端不存在會話超時邏輯，或用戶登出后會話仍有效 客戶端

23、安全檢測常見問題 金科認證 隱私政策常見問題 未明示收集使用個人信息的目的、方式和范圍 未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等 未經用戶同意收集使用個人信息 以默認選擇同意隱私政策等非明示方式征求用戶同意 利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項 未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息 未提供有效的更正、刪除個人信息及注銷用戶賬號功能 未建立并公布個人信息安全投訴、舉報渠道，或未在承諾時限內（承諾時限不得超過15個工作日，無承諾時限的，以15個工作日為限）受理并處理的 安全認證 文件支撐

24、 關于開展App違法違規收集使用個人信息專項治理的公告 中央網信辦、工業和信息化部、公安部、市場監管總局 關于開展App安全認證工作的公告 市場監管總局 中央網信辦 關于邀請參加2020年國家級檢驗檢測機構能力驗證計劃“移勱互聯網應用程序（App）個人信息安全測試”的通知 中國網絡安全審查技術與認證中心 檢測標準 信息安全技術 個人信息安全規范 GB/T 35273-2020 四部委發布的App違法違規收集使用個人信息行為認定方法 國標移勱互聯網應用程序（App）收集個人信息基本規范（征求意見稿）移勱互聯網應用程序（App）安全認證實施規則CNCA-APP-001 移勱互聯網應用程序（App）

25、安全認證實施細則CCRA-APPS-2019 安全認證 未說明收集使用的個人信息目的、類型、方式未說明收集使用的個人信息目的、類型、方式 申請權限或收集個人敏感信息時未同步告知目的申請權限或收集個人敏感信息時未同步告知目的 實際收集使用個人信息行為與聲明不一致 收集個人信息的行為超出必要范圍 未經同意向第三方提供個人信息 未提供有效的注銷賬號方式未提供有效的注銷賬號方式 未經用戶同意收集個人信息 強制捆綁授權強制捆綁授權 未提供刪除、更正或投訴舉報的功能或渠道 隱私政策未征得用戶明示同意隱私政策未征得用戶明示同意 客戶端個人信息收集使用檢測常見問題 APP認證 總結：正確了解自己，用正確的方式

26、，做正確的事兒 -隱私政策要明示用戶征得同意-隱私政策要說明收集使用的個人信息的目的、類型方式-申請權限和收集信息時要同步告知目的，不能捆綁授權-去除冗余、非必要權限-調查SDK收集個人信息的情況與權限-要保護用戶個人信息，正確處理與第三方共享-需要提供賬號注銷、刪除、投訴、更正、舉報功能或渠道，并及時響應處理-定向推送功能要可以關閉 -要使用安全鍵盤，做防截屏-正確處理用戶個人信息和金融信息-確保數據正確性和合法性-客戶端安全：硬編碼、導出組件、防調試、運行環境信息并上報風控 APP認證 安全鍵盤，防截屏安全鍵盤，防截屏 CFCA密碼控件，采用了虛擬安全軟鍵盤輸入或者硬鍵盤輸入，對輸入數據從

27、用戶輸入、數據存儲、內存數據轉換、傳輸到服務器整個過程進行全程加密。有效防止運行在客戶系統上的病毒、木馬、數據監聽、鍵盤劫持、鍵盤截屏等惡意程序的攻擊行為，從而有效的保護用戶輸入的敏感信息（如登錄密碼、支付密碼等），防止被非法獲取。APP認證 正確處理用戶個人信息和金融信息正確處理用戶個人信息和金融信息 CFCA FIDO+方案完美結合了FIDO技術和電子認證技術，用戶可以通過人臉識別、指紋識別等方式實現免密登陸和免密交易，擁有便捷性的同時，實現高安全性，并保障司法取證。適用于手機銀行、第三方支付、理財消費等互聯網金融和政府機構領域。免密登錄 采用刷臉/指紋等生物識別方式進行免密登錄 小額免密

28、支付 采用刷臉/指紋等生物識別方式進行小額免密支付 大額轉賬/支付 采用刷臉/指紋等生物識別方式替代短信驗證碼等、結合交易密碼進行大額轉賬和支付 安全性：采用PKI體系，服務器只存儲公鑰 便捷性：生物識別替代口令，不用輸入口令或者攜帶設備 私密性：生物識別信息存儲在本地，無口令丟失和信息泄露風險 統一身份認證標準：可以對接多種生物識別方式，接口統一，可以兼容各種設備和應用 APP認證 確保數據正確性和合法性確保數據正確性和合法性 云證通，基于第三方電子認證機構的簽名服務，面向移動應用提供符合法律效力、安全便捷數字簽名和認證服務。手機盾，是在移動終端上實現的基于硬件的、交互的、數字證書的電子認證

29、服務。APP認證 硬編碼、導出組件、防調試硬編碼、導出組件、防調試、防截屏、防截屏 CFCA移動應用安全加固解決方案，提供云加固平臺或本地部署的加固服務 APP認證 運行環境信息檢測運行環境信息檢測 終端感知平臺，是CFCA針對銀行客戶推出的用戶行為、終端安全等數據的采集、分析、展示產品,支持私有化部署。用戶 新增用戶 活躍用戶 用戶分布 用戶留存 使用次數 排名 使用時長 使用流量 設備信息 行為 埋點頁面瀏覽次數 埋點頁面停留時長 最近30日占比 最近7日占比 頁面訪問明細 點擊事件統計分布 流程及轉化率 使用頻率 使用時長 使用時段 時段分布 威脅 是否ROOT/越獄 是否為模擬器 是否

30、有危險框架 地理位置異常 網絡模式異常 風險設備統計 攻擊 界面劫持 動態調試 二次打包 So注入 Dex注入 程序外掛 系統加速 攻擊分布 惡意應用 木馬病毒 崩潰 閃退趨勢 閃退時間 錯誤日志 發生設備 閃退分布 APP認證 風控風控 交易監控及反欺詐系統是一套基于大數據分析的風險監控系統。通過機器學習和數據挖掘技術進行人工智能分析，識別出隱藏在海量交易中的極小概率的欺詐交易?？梢杂行У貙︺y行交易數據實時進行風險監控，降低欺詐風險；提高客戶滿意度。金融APP 安全 滲透測試 攻防演練 滲透測試 2018年12月，一個利用網上銀行APP漏洞非法獲利的犯罪團伙被上海警方抓獲。該團伙利用銀行AP

31、P安全漏洞，使用技術軟件成倍放大定期存單金額，從中非法獲利2800余萬元。用銀行卡轉賬，錢被原路退回后，轉入卡的余額反而增加了。2016年6月4日至12日，8天時間內，在上海工作的福建男子葉榅飛，利用銀行系統漏洞，轉賬超350次，獲利1125萬元。文件支撐 檢測標準 GB/T 20984 信息安全技術信息安全風險評估規范，2007 GB/T 31509-2015 信息安全技術 信息安全風險評估實施指南，2015 GB/T 18336.2-2015 信息技術安全技術信息技術安全性評估準則第2部分:安全功能要求，2015 OWASP滲透測試指南，2017 GB/T8567-2006計算機軟件文檔編

32、制規范，2006 GB/T9386-2008計算機軟件測試文件編寫規范，2008 GB/T25000.1-2010軟件質量要求與評價（SQuaRE）指南，2010 PTES滲透測試執行標準 網上銀行系統信息安全通用規范(JR/T 0068-2020)商業銀行應用程序接口安全管理規范 滲透測試 滲透測試常見問題 邏輯漏洞（前端、身份認證、密碼）命令執行 敏感信息泄漏 SQL注入 越權 任意文件上傳/下載 SSRF 驗證碼爆破 XSS 滲透測試 假設黑客無所不能 任何用戶的輸入都是不可信的 滲透測試 APP檢測 是時候展現真正的技術了.gif APP檢測 抓包 安裝Burp證書-設置代理-訪問ht

33、tp:/burp，下載證書-安裝證書：-直接“從SD卡安裝”-放入/etc/security/cacerts下(7.0系統)參考：https:/m0nst3r.me/android/Android-7-Burpsuite-%E6%8A%93%E5%8C%85.html APP檢測 抓包 證書信任鏈路-Xposed:SSLUnpinning-Frida:frida-codeshare masbog/frida-android-unpinning-ssl-f YOUR_BINARY APP檢測 抓包 透明代理-BurpSuite監聽80和443端口，并設置為透明代理模式-取消手機設置的代理-設置路

34、由重定向(root)-iptables-t nat-A OUTPUT-d 0.0.0.0/0-p tcp-j DNAT-to -刪除路由重定向-iptables-t nat-D OUTPUT-d 0.0.0.0/0-p tcp-j DNAT-to APP屏蔽了代理模式，或采取了DNS-Over-HTTP，或使用自定義Socket實現HTTP/HTTPS APP檢測 脫殼-第一代，Dex整體加固，基于Java本身提供的類加載技術，classes.dex被完整加密，放到apk的資源目錄下，運行時修改程序入口，將加密后的classes.dex在內存中解密，并讓虛擬機加載執行；脫殼時，hook dvm

35、DexFileOpenPartial等一些加載dex或者有dex文件結構體經過的函數，去攔截脫殼，或者直接搜索內存，匹配dex文件頭，然后dump dex文件 -第二代，函數抽取，將原apk中的核心方法的代碼指令提取出來單獨加密處理，當虛擬機要執行某個方法時，加固引擎才解密該方法的指令，并將解密后的指令交給虛擬機執行，脫殼時需要在系統解析函數的點攔截。-第三代，VMP虛擬機加固，將核心函數的指令提取出來并替換為自定義指令，應用執行到核心函數時，會跳轉到自己實現的虛擬機解釋執行自定義指令，脫殼需要長期跟蹤殼里的置換表，考慮到金融app中被vmp處理的函數少，且項目檢測周期短，恢復vmp殼處理過的

36、函數時間比較長，暫時不在這提。APP檢測 脫殼 目前市面大多數應用加的殼都是函數抽取，再強點，部分函數使用vmp。解決掉函數抽取的殼，基本就滿足App檢測的技術要求了，所有暫時只講函數抽取脫殼。函數抽取殼網上有一些不錯的工具，如fart，但是很容易被殼針對，比如殼對frida、xposed的檢測 使用定制過的xposed hook系統函數，攔截解析函數的點，主動遍歷App所有函數然后主動調用，在解析函數的點對抽取掉的函數進行恢復。APP檢測 加解密 目的：分析數據包，本地一些數據加密方式，加密是否合理 找加密算法常見思路-根據數據包里一些關鍵字，比如sign、xxlogin,定位代碼縮小分析范

37、圍-分析觸發某些事件的界面，從界面布局id縮小分析范圍。比如點登陸時，通過分析登陸按鈕id，定位到對應點擊事件的代碼，一般附近就有加密代碼-前兩種找關鍵字有點碰運氣的感覺，分析界面速度比較慢，可以結合ddms，結合hook去分析-android自帶工具ddms跟蹤某個過程，比如登陸過程，收集所有執行過的函數-frida解析ddms生成的文件，批量hook，打印函數字符串，此時會暴露所有加密前后的字符串，快速定位加解密代碼。（這兒使用ddms的結果跟蹤是考慮到大批量hook應用所有函數容易崩潰，而且打印時無用信息太多）-當加解密代碼定位到很小的范圍，剩下就真需要看我們逆向人員的功底，逆向混淆代碼

38、，匯編，調試、過反調試的能力了 APP檢測 加解密 DDMS hook APP檢測 加解密 S S APP檢測 Burpy https:/ 逐漸崩潰逐漸崩潰.gif.gif APP檢測 Burpy https:/ Processor-全部功能由一個Burpy類提供，更靈活-支持流量自動加密簽名、自動解密 -Imagination is the limit.APP檢測 Burpy APP數據包 BurpSuiteBurpSuite 解密 Burpy py腳本 Server 加密 Burpy py腳本 import base64 class Burpy:def _init_(self):pass

39、def _test(self,param):return magic(param)def encrypt(self,header,body):return header,body def decrypt(self,header,body):return header,body def b64encode(self,header,body):return header,base64.b64encode(body.encode(utf-8)def processor(self,payload):return payload+burpyed APP檢測 Burpy headerfirst_line=

40、GET/core.php?web_id=1261015159&t=z HTTP/1.1 APP檢測 Burpy APP檢測 Burpy APP檢測 Burpy APP檢測 Burpy APP檢測 Burpy+Frida APP檢測 Burpy+webdriver+selenium APP檢測 Burpy+webdriver+selenium APP檢測 Burpy+OCR 鳴謝-FreeBufFreeBuf -K0r4djiK0r4dji -曹中全曹中全 -任彥宇任彥宇 THANKS 再談金融移動應用安全 常鵬天 太平金科 高級安全工程師 移動應用安全的威脅 數據泄露 惡意的應用APP 自身/

41、仿冒 無線網絡接入問題 設備丟失、用戶身份、賬戶信息和認證密鑰丟失 終端，外部環境的變化多樣 手機，PAD 智能電視，智能手機 物聯設備 5G 快速發展 遠程辦公 云的大規模應用 移動應用安全的技術發展路線 BYOD時代移動應用管理MAM App delivery App security App updating User authentication User authorization Version checking Push services Reporting and tracking 移動應用安全的技術發展路線 移動設備管理MDM Software Distribution Th

42、e ability to manage and support mobile application including deploy,install,update,delete or block.Policy Management Development,control and operations of enterprise mobile policy.Inventory Management Beyond basic inventory management,this includes provisioning and support.Security Management The en

43、forcement of standard device security,authentication and encryption.Service Management Rating of telecom services.CYOD 強管控 最大的問題對設備依賴 移動應用安全的技術發展路線 移動內容管理MCM Multi-channel content delivery Content access control Specialized templating system Location-based content delivery 移動應用安全的技術發展路線 全棧的解決方案-沙箱 數

44、據全生命周期包括數據存儲、數據使用、數據共享、數據傳輸的管理 去除MDM功能，保護個人隱私，提升用戶體驗 提供企業內部應用的分發渠道 APP打包安全賦能 安全組件 安全閱讀器，安全郵箱，安全瀏覽器 沙箱實施關切點 用戶使用范圍（企業內部，外部客戶）建議分開部署 接入APP的范圍（企業APP的收集，分類，根據業務類型，辦公，業務支持，業務類型，2C業務）統一入口 初期：為了平滑過渡提供安全SDK給已有統一入口APP賦能，提供安全防護能力 后期：隨著沙箱APP對接數量增多，逐步推廣沙箱 業務功能和安全功能的取舍 防止截屏功能，業務功能上需要截屏報障 國密的要求 新一代移動應用安全 身份認證 一次登

45、錄 全網漫游 MFA多因素認證 生物識別 人臉 人聲 技術深度融合 PC端和移動端深度融合 數字身份邊界可信 外部環境的感知 基于時間，位置等多維度的變化的感知 持續動態的認證 最終達到 可信的人員 終端可信 行為可信 訪問可信 持續檢測 THANKS 多元化金融應用安全防護 瑞數All in one WAAP解決方案吳劍剛瑞數信息 技術總監利用合法業務邏輯模擬合法操作大量使用“工具”高效率和規?；嘣吹皖l多特征傳統安全很難識別批量注冊、撞庫及暴力破解惡意爬取金融產品、敏感數據虛假交易和交易篡改漏洞掃描和零日漏洞探測營銷資源惡意搶占、薅羊毛在線交易對外業務市場營銷活動數據服務注冊及登錄金融行業

46、面臨的安全風險與挑戰應用安全防護需求業務變化業務變化業務變化威脅變化威脅變化攻擊手段變化攻擊手段變化防護理念變化防護理念變化（看不起、看不到、看不懂、跟不上 預測、防御、監控、響應）APIAPI管理管理/防護防護安全協同業務安全協同業務CCCC攻擊攻擊主動防御主動防御業務攻擊業務攻擊微服務應用安全促進業務安全促進業務APP應用自動化攻擊自動化攻擊APPAPP攻擊防護攻擊防護設備聯動設備聯動無漏洞攻擊無漏洞攻擊安全從屬業務安全從屬業務Web應用人工滲透人工滲透WebWeb攻擊防護攻擊防護漏洞攻擊漏洞攻擊靜態規則靜態規則應用安全防護需求的演進20192019年中國年中國互聯網網絡安全態勢互聯網網絡

47、安全態勢2019年上半年阿里云Web應用安全報告2019年Web應用漏洞占CNVD收錄漏洞的23.3%2019年針對國內網站的纂改數量19萬個2019年，每個月的攻擊次數都成遞增趨勢，到5月 每個月攔截的攻擊超過19億，6月份攔截的攻擊突破20億中國Web應用安全現狀42.07%46.63%50.32%51.82%60.13%62.94%63.28%65.64%57.93%53.37%49.68%48.18%39.87%37.06%36.72%34.36%0%10%20%30%40%50%60%70%80%90%100%能源電力醫療出版行業教育互聯網運營商金融政府自動化工具流量人類流量注：數據

48、來源瑞數信息2019年 Bots自動化威脅報告自動化工具流量 VS 人類流量 1/3的Web API調用來自瀏覽器 2/3的Web API調用來自手機、游戲主機、智能電視 API安全挑戰巨大注：數據來源Akamai 2019 Q1API 流量增長迅速01020403GartnerGartnerAPI API 保護保護不光保護內部使用的 Web 應用和 API 還保護面向公眾的 Web 應用和 APIDDoS DDoS 保護保護CC 攻擊防御BotBot 保護保護區別自動化流量和人類用戶，并對這兩類流量實施適當的控制；WAFWAF盡量提高已知和未知威脅的檢測率和捕獲率；到 2023 年，30%以

49、上面向公眾的 Web應用將受到云 Web 應用和 API 保護（WAAP）服務的保護，與目前的 10%相比將有巨大提升。分布式拒絕服務（DDoS）防御、bot 管理服務、API 保護和 WAF 等功能，可以為 Web 應用提供更好的安全保護。四個核心原則四個核心原則Gartner WAAP 體系架構安全前置、動態對抗全訪問記錄、AI 分析通過動態技術，針對自動化攻擊建立全方位主動防御體系，從而形成事前，事中，事后安全風險閉環，消除用戶信息安全體系建設中的“安全孤島”問題，適應當前復雜多變的網絡和應用環境，保障信息系統的動態、長期安全。WebWebH5H5APP/APP/小程序小程序APIAPI

50、WWA AA AP P平平臺臺業務場景業務場景WebWeb攻擊防護攻擊防護APPAPP攻擊防護攻擊防護APIAPI 管理管理/保護保護業務攻擊防護業務攻擊防護功能層功能層動態令牌動態令牌動態驗證動態驗證動態混淆動態混淆動態封裝動態封裝設備指紋設備指紋威脅模型威脅模型生成信譽庫生成信譽庫攻擊者畫像攻擊者畫像信譽數據輸信譽數據輸入輸出入輸出定時器定時器軟攔截軟攔截動態挑戰動態挑戰CCCC防御防御基于有監督和無監督學習模式下的智能基于有監督和無監督學習模式下的智能AIAI識別引擎識別引擎APIAPI管理管理/防護防護動態動態WAFWAFBotBot防護防護AIAI+動動態態策策略略層層可編程對抗可編

51、程對抗業務威脅感知動態技術1數據共享第三方數據輸入第三方數據輸入/輸出輸出WebWeb訪問數據訪問數據APPAPP數據數據APIAPI網關數據網關數據接入渠道接入渠道瑞數WAAP整體架構瀏覽器瀏覽器WebWeb服務器服務器移動移動AppApp對應用層的HTML代碼進行動態變幻動態變幻動態驗證運行環境驗證，以甄別“人”還是“自動化”如：對抗模擬瀏覽器及自動化的攻擊瑞數瑞數WAAPWAAP平臺平臺動態封裝網頁底層代碼變換并封裝，隱藏攻擊入口，如：對抗一般掃描其及爬蟲動態混淆提交的客戶端敏感數據進行混淆變化，保護數據，防篡改如：對抗中間人攻擊動態令牌一次性的頁面動態令牌，確保執行正確的業務邏輯如：對

52、抗重訪攻擊或越權Bot 防護：動態安全保護應用及業務安全全面防護全面防護有效識別與阻擋多源低頻、模擬業務邏輯、網頁零日漏洞等新興攻擊。輕量管理輕量管理主動防御主動防御威脅透視威脅透視不依賴傳統特征碼、閾值、打補丁和策略規則，通過隱藏攻擊入口，令漏洞掃描工具及模擬正常業務操作的工具完全失效。無需修改任何應用服務器代碼，客戶端無需配置。獨特和細粒度的Bot行為透視，準確定位攻擊通過機器人威脅清洗提供優質有效的威脅數據。自動化工具自動化工具快速演進快速演進腳本 Bots模擬瀏覽器及一般操作的Bots模擬業務邏輯及高級擬人Bots真人攻擊核心優勢：高級自動化工具防護防Bot效果：無規則，防0day漏洞

53、攻擊利用0day漏洞攻擊已經成為主要攻擊手段，2019年攻防演練中曝出7種0day漏洞，2020年攻防演練中曝出36種0day漏洞，和Web相關的零日漏洞全部被瑞數攔截，動態安全技術無規則防護0day漏洞攻擊。l 區別于IP限頻的防御技術，基于專利技術動態令牌技術，可以防護各種CC攻擊，業務正常訪問爬蟲程序打碼平臺黑產掃描搜索引擎欺詐短信轟炸程序黃牛無頭瀏覽器 公積金保信息 專家號 薅羊毛 航空票務 身份信息 工商信息 交易截取 敏感信息泄漏 服務器壓力暴增 拖庫/撞庫風險 名譽損失 內容篡改 金錢損失90%機器人流量BotsBots模擬模擬核心技術：動態驗證核心技術：動態驗證有效解決了Aja

54、x調用的問題，支持URL令牌等多種形式插入插入CookieCookie的實現的實現原理原理專利技術：動態令牌專利技術：動態令牌通過對客戶端訪問環境的真實性驗證、用戶行為檢測以及訪問軌跡等實現人機識別。效果效果AjaxAjax請求防護請求防護防護具有JS執行能力的工具CC 防護：應用層DDoS防護AIAI 智能威脅智能威脅引擎引擎手工攻擊手工攻擊防護防護手工攻擊手工攻擊手工攻擊手工攻擊手工攻擊手工攻擊已知漏洞已知漏洞攻擊攻擊非應用漏洞非應用漏洞攻擊攻擊零日漏洞零日漏洞攻擊攻擊動態安全動態安全引擎引擎工具攻擊工具攻擊防護防護X XX XX XX X掃描探測掃描探測(自動化）自動化）應用層應用層DD

55、oS/CC(DDoS/CC(自動化）自動化）多源低頻多源低頻手工攻擊手工攻擊手工攻擊手工攻擊手工攻擊手工攻擊零日探測零日探測(自動化）自動化）X XX XX XWAF 防護：動態引擎+智能引擎 豐富的指紋和工具特征 實時介入交互的信息采集 不依賴設備特征的“唯一標識”客戶端指紋不依賴于設備客戶端指紋不依賴于設備行為分析模型精準行為分析模型精準輕規則輕維護輕規則輕維護 全訪問日志記錄 數百萬真實樣本訓練 用戶異常行為識別模型 異常行為檢測模型讓威脅檢測更智能 機器學習實現攻擊識別AIAI智能智能威脅檢測引擎威脅檢測引擎動態安全引擎動態安全引擎無規則、防工具無規則、防工具高效率、零誤報高效率、零誤

56、報易使用、輕維護易使用、輕維護前端采集，精準人機識別每個請求實時判斷是否工具改變規則設置調優產生誤報的局面無需人員做規則調整和策略升級動態雙引擎WAF的核心優勢WAF防護效果：止于漏洞嗅探、漏洞隱藏防護前的掃描防護后的掃描隱藏漏洞隱藏網頁目錄結構感知感知保護保護發現發現監控監控 通過插入 JS 或集成 SDK 感知被防護的 API 對來源環境進行感知對異常API請求進行攔阻、限速、欺騙或打碼等響應動作發現與建立API清單，對API進行可視化展現API資產管理監控API的運行情況監控API的請求、行為和異常情況API 管理&防護自動生成API列表，對API接口的訪問情況一目了然，實現API資產管

57、理。API API 自動發現構建API API 畫像APIAPI全渠道感知動態響應防護快速預覽各個業務的API情況，包括使用情況、異常情況、訪問來源等。各類API來源應用進行集成，可以對來源環境和用戶行為進行感知。動態響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。API 管理&防護的核心優勢全日志記錄融合分析Web/H5訪問API訪問APP訪問小程序訪問瑞數瑞數WAAPWAAP平臺平臺安全威脅分析平臺安全威脅分析平臺基于信譽自動攔截端點采集人機識別態勢感知Web/APP服務器API 應用服務器全訪問記錄，業務融合全訪問記錄，業務融合統一安全威脅防護與聯動數據輸入/輸出“工具”的規模

58、化業務風險 業務邏輯安全問題 未知威脅問題防漏洞探測防零日漏洞防應用 DDoS防代碼分析應用安全數據安全防爬蟲防內鬼防數據遍歷防拖庫賬號安全防撞庫防暴力破解防批量注冊防短信轟炸防虛假交易防交易篡改防黃牛黨防薅羊毛交易欺詐瑞數WAAP解決方案的防護場景020103040506全業務、全渠道統一接入跨業務數據融合和共享全訪問記錄、攻擊溯源業務威脅感知和風險呈現實時防護和可編程對抗靈活、開放的API接口瑞數WAAP解決方案的優勢2012-2015瑞數信息正式成立國內首家“動態安全”防護廠商2017動態安全技術列入工信部網絡安全示范項目攜手IDC發布數字化轉型安全報告2016IDC中國“互聯網+”產業

59、創新企業100強“推出新一代動態安全產品“第五屆中國創新創業大賽”電子信息行業企業組第二名稱號2019入選IDC中國業務安全之反欺詐創新者榜單入選安全牛中國網絡安全100強企業瑞數信息C輪融資一億元發布動態安全2.0系列產品2018獲得高新企業認證及ISO9001、14001、20000、24001、27001證書發布雙引擎動態WAF靈動RiverSafeplus3款瑞數動態應用保護設備成功列入中央政府采購名單THANKS安全防護常態化之路 朱輝 中國外匯交易中心 中匯信息技術（上海）有限公司 安全防護常態化之路 中國外匯交易中心（以下簡稱交易中中國外匯交易中心（以下簡稱交易中心）是中國金融業

60、的重要基礎設施心）是中國金融業的重要基礎設施 交易服務交易服務 銀行間外匯市場 由人民幣外匯市場、外幣對市場和外幣拆借市場及相關衍生品市場組成 銀行間本幣市場 由貨幣市場、債券市場及相關衍生品市場組成 交易后服務交易后服務 交易確認 交易沖銷 交易直通處理 信息服務信息服務 實時市場數據 基準數據 交易數據庫 安全防護常態化之路 可可靠靠性性 高高性性能能 可可擴擴展展性性 安安全全性性 可可維維護護性性 可可操操作作性性 可可移移植植性性 全球化能力：能夠支持現有接口，也能符合國際標準全球化能力：能夠支持現有接口，也能符合國際標準 靈活性：能夠快速增加新產品和新功能靈活性：能夠快速增加新產品

61、和新功能 成本效益：系統運作、維護、升級和改造都符合成本最優成本效益：系統運作、維護、升級和改造都符合成本最優 生命力：擁有強大的生命力，可以持續滾動發展，持續創新生命力：擁有強大的生命力，可以持續滾動發展，持續創新 多功能：支持多種交易方式和個性化服務多功能：支持多種交易方式和個性化服務 高服務水平：提供市場領先水平的高可用、高可靠的服務高服務水平：提供市場領先水平的高可用、高可靠的服務 多產品：支持跨多資產類別的多個市場多產品：支持跨多資產類別的多個市場 IT人的挑戰（續）正文：微軟雅黑 16號 安全防護常態化之路 正文：微軟雅黑 16號 安全防護常態化之路 請問安全防護常態化之路怎么走？

62、安全防護常態化之路 未知的漏洞 加解密基石的動搖 攻防新技術 持續專項攻擊 保持敬畏，永遠有不曾見識過的力量 正視風險 安全防護常態化之路 安全沒有一勞永逸安全沒有一勞永逸 邊界一定會被突破邊界一定會被突破 做好長期和風險相處的準備做好長期和風險相處的準備 合理投入 安全防護常態化之路 攻防的本質是人與人的對抗 安全占IT投入保持持續在合適比例 平衡關系 安全防護常態化之路 安全和業務發展 安全和易用性 團結群眾 保持紅線和底線 安全和可用性 安全防護常態化之路 量化思維 有了不等于有用 漏報率 誤報率 訪問控制策略梳理 資產梳理 實事求是，做好最基礎工作 漏洞修復 安全防護常態化之路 自我自

63、我 監督監督 01 02 03 05 04 外部產品的安全風險 外部服務合作的安全風險 方案落地的風險 安全運營的風險 安全策略是否落實到安全團隊自身 安全防護常態化之路 保持開放合作共贏的態度。關注數據分析相關算法在安全應用上的突破。和志同道合者一起奔跑。THANKS 實戰解讀金融行業攻防演練張志鵬斗象安全顧問目錄CONTENTS攻擊方思路及案例金融行業攻防對抗概述防守方戰術及案例金融科技推動的產業技術演進時間：時間：20世紀70年代中后期技術條件：技術條件：計算機時間：時間：20世紀90年代中后期技術條件：技術條件：計算機互聯網時間：時間：2010年前后技術條件：技術條件：計算機互聯網大數

64、據/云時間：-技術條件：計算機互聯網大數據/云人工智能/起步階段起步階段金融電子化發展階段發展階段信息化/互聯金融當前階段當前階段數據金融/機器輔助決策未來趨勢未來趨勢智慧金融/機器決策金融的發展優化了社會資源的配置，近年來，在“互聯網+”、”金融科技“的推動下，金融行業也始終站在技術的前沿，代表科技的強動力我國金融科技發展的我國金融科技發展的N N個階段個階段起步階段：起步階段：以早期的計算機及局域網為主，計算機逐步代替手工操作，并實現全流程的電子化；發展階段：發展階段：中國接入全球互聯網、金融信息化/互聯網金融的時代隨之到來，主要體現的是渠道信息化；當前階段：當前階段：移動互聯網時代的到來

65、推動大數據、云計算技術的崛起，信息技術正在逐步滲透到金融業務核心部門，機器成為金融決策的重要輔助，同時正在邁向自主決策的智慧金融時代。金融網絡安全是關鍵金融安全威脅無處不在金融安全威脅無處不在系統入侵敲詐勒索內部安全澳大利亞P&N銀行發生數據泄露2020年1月，西澳大利亞州 P&N Bank 在服務器升級期間遭遇網絡攻擊，發生數據泄露。作為西澳大利亞州最大銀行，該銀行提供儲蓄、貸款產品、保險和財務規劃服務，擁有 14 家分行。本次攻擊中，該銀行客戶關系管理系統中的個人信息和敏感賬戶信息被泄露。黑客從網絡攻擊中竊取 10 萬西澳大利亞人的信息。2020年4月，“金融數據泄露門”引發軒然大波，有境

66、外社交網站及黑客論壇上出現多份公開出售中國金融機構客戶信息的帖子，疑似數百萬條客戶數據資料在暗網被標價兜售，涉及多家金融機構。數據包括姓名、身份證號、手機號、存款數據、家庭住址等多項隱私信息，且售價低廉。暗網中的數據售賣風波2019年，網絡犯罪團伙Silence利用專門構建的漏洞和工具打入各種銀行網絡，從孟加拉的銀行至少偷走了300萬美元，給銀行帶來慘重損失APT團伙的漏洞攻擊金融，是最懂安全的行業，也是最易受到攻擊的行業攻防對抗下的金融安全檢驗和提高網絡安全應急響應能力培養和提升網絡安全人才實戰能力有效強化網絡安全風險意識通過攻防演練發現安全漏洞與風險，找到網絡安全防護的短板，檢驗網絡安全風

67、險通報機制、網絡威脅情報共享機制以及應急響應方案的合理性，并在演練后總結優化。實戰能力和技術水平是網絡安全人才的核心能力，面向真實系統開展網絡攻防演練，與在規模、復雜度、網絡狀態都是仿真靶場的情況無法比擬，能更好鍛煉實戰能力，選拔人才。體驗和感受網絡被攻破的后果是效果最好的網絡安全意識教育，有助于各領域管理和技術人員發現網絡安全威脅，了解網絡攻擊帶來的巨大危害，更能增強對網絡風險認知的直觀性和緊迫性。政策引導業務需求市場驅動2016年2017年2018年2019年2020年護網行動組織：公安/網安角色：裁判/攻擊方/防守方規則：（1）攻擊方-獲取權限、獲取數據、遠程控制等（2）防守方-發現攻擊

68、、消除威脅、應急響應等公安部、民航局、國家電網；重點政府部門；重點企事業單位；政府、能源、金融、電信、廣電、交通、民航、公共事業；公有云、物聯網等。規模攻擊者理論偵查跟蹤武器構建載荷投遞漏洞利用安裝植入命令控制目標達成從外部獲取資源信息，確認是否攻擊。Eg.電郵、社工、參會名單等選中攻擊目標，尋找漏洞并形成攻擊的過程。Eg.漏洞發現等利用已知漏洞和技術進行定向攻擊過程。Eg.惡意軟件、惡意代碼等受害者系統上運行惡意代碼。Eg.點擊惡意郵件等在目標系統安裝惡意代碼。Eg.創建特權賬戶、自啟服務進程等建立控制目標系統路徑。Eg.建立C&C隧道、APT攻擊等實現預期目標.Eg.盜取/篡改數據等駭客（

69、hacker）黑客（cracker）攻擊者理論偵查跟蹤武器構建載荷投遞漏洞利用安裝植入命令控制目標達成從外部獲取資源信息，確認是否攻擊。Eg.電郵、社工、參會名單等選中攻擊目標，尋找漏洞并形成攻擊的過程。Eg.漏洞發現等利用已知漏洞和技術進行定向攻擊過程。Eg.惡意軟件、惡意代碼等受害者系統上運行惡意代碼。Eg.點擊惡意郵件等在目標系統安裝惡意代碼。Eg.創建特權賬戶、自啟服務進程等建立控制目標系統路徑。Eg.建立C&C隧道、APT攻擊等實現預期目標.Eg.盜取/篡改數據等駭客（hacker）黑客（cracker）攻擊隊分工攻擊隊總控中心HR&行政財務部門應急部門質量部門后勤保障信息搜集組漏洞

70、挖掘組漏洞分析組工具組內部支持社工組外部攻堅.外網打點內網滲透外網打點內網滲透外網打點內網滲透攻擊組1攻擊組2攻擊組3攻擊隊手段-武裝工具物理攻擊武器庫需求擺渡工具（USB、智能插座等等）無線設備基礎支撐工具（網絡接入、身份隱藏）無人機基礎支撐工具（網絡接入、身份隱藏）網絡接入（統一的設備，例如筆記本、VPN）匿名上網卡攻防對抗中攻擊思路標題文本預設信息搜集標題文本預設標題文本預設0104030201信息搜集企業組織架構、上下游關系、網絡架構、IT資產、員工信息、文檔信息、郵箱、代碼.02建立據點通用漏洞、信息泄露、弱口令、口令字典、魚叉、水坑、釣魚、網馬、遠控馬、Web漏洞、RCE、信息收集

71、利用、0day.03內網滲透內網掃描、域控、核心資產、配置管理系統、堡壘機、VPN、內網拓撲發現、主機信息搜集、內網橫移.04目標獲取隱蔽隧道、webshell、遠控木馬、痕跡清理、正反向代理.攻擊技巧情報搜集歷史漏洞漏洞平臺IT 資產互聯網域名IP地址開放端口中間件信息郵箱信息企業員工郵箱郵件系統地址郵件發送格式文檔 信息系統使用說明入職培訓材料供應商相關系統源碼系統使用文檔系統內置賬戶組織架構總部單位架構下屬單位架構人員信息資產信息攻擊技巧建立據點010203JeecmsDrupal TRS PHPcmsDiscuzDedecmsCMS漏洞WeblogicWebsphereJbossTom

72、cat Jetty中間件漏洞Struts2 ThinkPHPShiro FastJsonSpring開發框架和組件OWASP top 10通用漏洞供應鏈攻擊文檔信息泄露代碼審計-0day攻擊技巧內網滲透獲取權限確定目標信息收集 網絡連接 進程列表 命令執行歷史記錄 數據庫信息 當前用戶信息 管理員登錄信息 總結密碼規律 補丁更新頻率 郵件服務器權限 OA系統權限 版本控制服務器權限 集中運維管理平臺權限 統一認證系統權限 域控權限 攻擊技巧內網橫移在哪里？去哪里？怎么去？網絡連接 traceroute信息 路由表信息 hosts信息 進程列表 命令執行歷史記錄 數據庫信息 當前用戶信息 管理員

73、登錄信息 總結密碼規律 補丁更新情況 域控 集中運維管控平臺 配置管理系統 使用域認證的應用 堡壘機用系統 與當前機器存在業務交互 應用v系統 常規漏洞 弱口令 口令復用 商業系統 代碼審計-0day 文檔信息泄露 攻擊技巧隱蔽隧道目標可連通外網反向隧道 FRP EwsocksCobaltstrike 其他可直接訪問目標機器 VPN SSH隧道 Sock5代理 其他目標服務器不能 連通外網正向http隧道 reGeorg reDuh 自研隧道 其他攻擊技巧寶典：弱口令脆弱口令很多企業員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號拼音或

74、簡單的 變形做密碼，或者123456、888888、生日、身份證后6位、手機號后6位等 做密碼。導致通過信息收集后，生成 簡單的密碼字典進行枚舉即可攻陷郵 箱、OA等賬號。還有很多員工喜歡在多個不同網站上 設置同一套密碼，并且與其在公司的 辦公密碼相同，其密碼早已經被泄露 并錄入到了社工庫中。一旦通過社工 庫碰撞出其密碼，就能直接登錄該員 工的辦公系統，進而進一步進行攻擊 操作。針對未啟用SSO驗證的內網業務系統，均習 慣使用同一套賬戶密碼。這導致從某一途徑 獲取了其賬戶密碼后，通過憑證復用的方式 可以輕而易舉的登錄了此員工所使用的其他 業務系統中，為打開新的攻擊面提供了便捷；同樣有很多管理員

75、為了管理方便，用同一套 密碼管理不同服務器。當一臺服務器被攻陷 并密取到密碼后，進而可以擴展至多臺服務 器甚至造成域控制器淪陷的風險很多通用系統在安裝后會設置默認管理 密碼，然而管理員從來沒有修改過密碼，如admin/admin、test/123456、admin/admin888等密碼廣泛存在于內 外網系統后臺，一旦進入后臺系統便有 很大可能性獲得服務器控制權限。密碼泄露相同口令默認口令攻擊技巧人是最弱的，也是最難的水坑攻擊釣魚鏈接魚叉攻擊社工欺騙控制員工經常訪問的 場景，如某某網站。植入代碼或惡意程序 誘使員工訪問或下載，并借此控制員工辦公 機獲得接入內網權限。通過郵箱、即時通信 軟件等工

76、具發送釣魚 鏈接，誘使員工訪問 并輸入賬號、密碼等 信息，并使用員工賬 號接入內網或登錄辦 公平臺。通過郵箱向某些員工 定向發送含有惡意程 序附件的釣魚郵件，誘使其點擊執行，以 實現對員工辦公計算 機的控制，繼而獲得 接入內網權限。通過偽裝成人力資源、跨部門同事、客戶、合作伙伴等員工可信 賴人員，并借此欺騙 以獲得賬號、權限或 其他滲透可用信息。意想不到的區域我們不是只會“硬鋼”，也懂“迂回”。防守方的目標顯性目標隱性目標減少失分增加得分威脅發現能力安全防護能力應急處置能力安全運營能力攻防演練方法論規劃自查演練應急應對總結循環往復確認企業級戰略目標及規范流程：XX章程XX規范XX說明.充分認知

77、企業安全狀態：資產梳理漏洞與風險識別安全加固安全防護、檢測與響應體系.模擬實戰進行驗證：沙盤演練內部演練外部演練.日常保障過程中的應急：事件追蹤溯源快速恢復保障團隊協作流程順暢.定期回顧，持續關注：xxx事件總結報告與時俱進，對規劃內容校對與更新.護網防守戰術板備戰備戰階段階段戰后戰后階段階段實戰實戰階段階段備戰階段實戰階段戰后階段安全整改加固、內容包括系統資產梳理、安全基線檢查、網絡安全策略檢查、Web安全檢測、關鍵網絡安全風險檢查、安全措施梳理和完善、應急預案完善與演練等技術合理的安全組織架構、工作計劃、技術方案&工作內容、責任分配、溝通與匯報機制、指揮應急專家管理運營開展并落實技術檢查、

78、整改和安全監測、預警、分析、驗證和處置等運營工作-防踩點：防踩點：github敏感信息、社工庫敏感信息、自我收集-收斂受攻擊面：收斂受攻擊面：攻擊路徑梳理、互聯網受攻擊面收斂、外部接入網絡梳理-縱深防御：縱深防御：漏洞掃描、訪問控制、集權、src-核心守護：核心守護：DC、互聯網出口、數據庫、郵件-整體監控：整體監控：流量、主機、日志、情報關鍵事件復盤、總結報告、總結會關鍵事件復盤、總結報告、總結會折騰不是目的，實力才是道理THANKS構建下一代安全防御和響應體系常顥上海碳澤信息科技有限公司-聯合創始人關于碳澤成立于2017年總部位于上海，在深圳、北京、杭州、成都、長沙、香港設有分支機構主要管

79、理和研發人員都具有豐富的信息安全行業經驗公司80%以上為研發和技術支持人員高新技術企業，雙軟認證上海市“科創計劃”創新資金立項項目RAPID7中國區總代理、技術支持中心、本地化合作伙伴在國內外擁有眾多的各行業客戶上海碳澤信息科技Tanze.io“碳澤”，字形合乎陰陽五行，而地球所有生物皆為碳基生物。在此意為以人為本；“澤”取自易經第五十八卦卦名，上上卦，兌為澤，剛內柔外，同卦相疊；澤為水，兩澤相連，兩水交流，上下相和，團結一致關于碳澤為什么需要具人的精力是有限的，而且人工很貴的，重復性的工具交給工具來進行，效率更高人力成本默默無聞，自動運行，承上啟下，與人工相結合效率更高，時間更少工具優勢解決

80、方案概覽安全編排和自動化響應平臺，流程加速，自動協調，簡化流程Web安全審計系統，全語言，高擴展性，報告直觀，支持漏洞驗證企業自動化滲透測試系統，漏洞驗證，社會工程，自動高效收集信息多維度網絡及系統安全風險管理系統，覆蓋全面，精準評估玉衡漏洞管理系統搖光深度安全檢測系統千乘SOAR平臺開陽Web安全評估系統解決方案差異性 突破傳統漏洞掃描產品的單一局限，資產和漏洞一體化管理和監控，解決國內長期以來對漏洞只“掃”不“管”的局面 集成自動化滲透測試系統，國內唯一真正的閉環漏洞風險管理平臺，解決漏洞自動驗證的難題 原生的分布式漏洞管理系統，適應各種復雜的網絡環境，尤其是大中型組織 漏洞庫數量比肩國際

81、頂級漏洞管理廠商搖光自動化滲透測試系統漏洞驗證玉衡漏洞管理系統漏洞掃描解決方案概覽構建下一代安全防御和響應體系我們解決什么問題威脅情報態勢感知EDR其他資源SecDevOps工單系統安全專家IT運維身份管理SOC漏洞管理郵件系統SIEM云WAFIPSIDS沙箱防火墻碳澤專注于幫助大中型組織構建下一代安全防御和響應體系安全運營現狀盡管技術直在進步，但信息安全仍然是個密集型業告警太多資源不足手工處理頻繁重復什么是SOAR是一種技術能力，這種技術使組織能夠收集由安全運營團隊通過監視獲得的輸入。例如，來自SIEM和其他安全系統的告警，利用這些告警可以進行事件分析和分類，可以結合人員和機器的能力并根據標

82、準工作流程幫助對事件響應活動進行定義、確定優先級以及推動標準化。SOAR工具允許組織以數字工作流程格式定義事件分析和響應過程。-Gartner:Emerging Technology Analysis:SOARSOAR（Security OrchestrationAutomation Response）安全運營三要素DIY自建開箱即用自建SOAR平臺所需的時間總是遠超預期簡化流程，更快、更高效準確地應對困擾和威脅障礙太多，需要專家推動，成本增加，周期變長大量節省人力成本和投資回報，提高效率花費在構建上的時間使員工無法專注于其他工作通過集成和自動化工作流程中獲得更多價值引進新流程或擴展時，維護成

83、本增加人人工運營流程技術DIY自建開箱即用的平臺解決方案特點連結您的工具建造工作流l 各種安全工具無法相互連接并協調工作l 這些工具可繼續單獨使用，但基于相同的編排結果數據集l 讓每個工具都能發揮最大的潛力與功能l 一直以來安全工具都沒有真正的結合在一起使用l 沒有一定的編程能力，在工具間構建自動化難度很大l 千乘SOAR平臺幫助簡化運營，便捷地定制工作流解決方案特點l 在不放棄決策權的情況下使手動重復性流程自動化l 將人工決策點加入自動化工作流程并讓您來選擇l 自動化完成重復性任務，安全人員專職工作時間不浪費提高運營效率l 通過重復任務自動化來降低告警噪音，脫離告警疲勞l 通過自動任務細化、

84、調查等，更快地消除誤報并處理威脅l 專職人員脫離瑣碎工作，均衡工作負荷，提升工作效率運用人工決策安全自動化最佳實踐最好的安全態勢是建立在效率和響應時間之上的01將重復的手動任務簡化為連貫的自動化工作流自動化安全工作流更高效且不易出現人為錯誤0302安全自動化最佳實踐工具選擇時機安全自動化的兩個最重要組成部分 安全工具 安全流程（定義的任務）時機成熟時引入自動化 流程（任務）很容易重復，不需要太多人為干預 流程（任務）占用了太多時間讓某人手動完成 需要解決人才缺口或無法承擔更多的費用來雇傭更多的安全人員 經常出現被攻擊的情況 團隊正在經歷告警疲勞 解決問題的時間變長了解哪些任務是自動化的理想選擇

85、創建真正的防護和響應體系從高層業務開始要保護的資產已知威脅優先級別內部資源StartFinish流程類型綠色流程（短期）設計流程（長期）要嘗試解決什么問題這個問題繁還是簡這個問題的規模大小這個問題的優先級已知這個問題的哪些信息不知道哪些信息用真實用例測試流程讓非創建人測試流程流程是否實現了目標流程是否提高了效率流程是否和面臨的威脅相關流程是否超過了它所需的時間確定需要的流程考慮流程類型設計安全流程測試安全流程重估鞏固完善哪些長期問題需要解決何時正式引入流程工作流舉例-垃圾郵件細化創建工單檢測URL分析可疑內容掃描檢測終端搜索相似郵件攔截郵件黑洞DNS全員告警從開始到結束所需的全部時間3-5分鐘

86、自動化前3-5分鐘10分鐘/URL30分鐘/Scan5-10分鐘5-15分鐘5分鐘3-5分鐘75分鐘自動化后2分鐘人工決策自動化前自動化后釣魚郵件調查工作流舉例-威脅情報落地從開始到結束所需的全部時間增強檢測能力(例如：更新DNS沉洞)插入Indicator(s)(IP,DomainFilename/hash)基于數據集調查(終端、網絡、Security/SIEM)允許分析師補救或搜集更多的相關信息生成Artifact揭示攻擊者的TTPs(戰術、技術、步驟)報告狩獵結果并通知相關團隊4小時2分鐘人工決策自動化前自動化后自動化前自動化后3-5分鐘0.5-1小時/數據集5-10分鐘/artifac

87、t1-3小時5分鐘千乘DashBoardGartner 2020THANKS金融行業數據新基建安全風險合規挑戰與應對錢偉峰安言咨詢 副總經理分享內容目錄合規要求安全風險能力建設1金融行業數據安全合規要求概覽2金融行業數據安全合規風險分析3金融行業數據安全能力建設金融行業數據安全風險合規要求一覽法律法規網絡安全法數據安全法（待頒布）個人信息保護法（待頒布）最高法、最高檢關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋App違法違規收集使用個人信息行為認定方法關于加強銀行卡安全管理預防和打擊銀行卡犯罪的通知個人信息和重要數據出境安全評估辦法（征求意見稿）個人信息出境安全評估辦法（征求意見稿）

88、行業合規要求銀行業金融機構數據治理指引商業銀行信息科技風險管理指引銀行業金融機構信息科技外包風險監管指引中國人民銀行關于進一步加強銀行卡風險管理的通知標準層面GB/T 35273-2020 個人信息安全規范GB/T 22239-2019 網絡安全等級保護基本要求JR/T 0171-2020 個人金融信息保護技術規范JR/T 0197-2020 金融數據安全 數據安全分級指南GB/Z 28828-2012 信息安全技術公共及商用服務信息系統個人信息保護指南JR/T 0171網絡安全等級保護行業監管要求網絡安全法信息安全合規清單信息安全合規映射表信息安全合規映射思路合規要求梳理合規要求映射調研訪談

89、制度調閱現場檢查國家法律法規行業監管要求國內/國際標準現狀與合規對比分析合規分析總體思路銀保監-銀行業監管要求1銀行業金融機構數據治理指引銀保監發 22號【2018】2關于加強網絡信息安全與客戶信息保護有關事項的通知銀監辦發 2號【2017】3中國銀監會非現場監管暫行辦法銀監發 53號【2016】4關于加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知銀監辦發 187號【2014】5關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見銀監發 39號【2014】數據安全相關合規要求梳理示例控制域控制目標控制項標準要求監管名稱條款正8運行8.1 運行的規劃和控制8.1 運行的規劃

90、和控制為了滿足信息安全要求以及實現6.1中確定的措施，組織應規劃、實現和控制所需要的過程。組織還應實現為達到6.2中確定的信息安全目標一系列計劃。中華人民共和國網絡安全法第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；合規映射示例合規分析成果示例金融行業數據安全風險合規分析針對數據安全相關合規要求，開展合規

91、分析，識別差距并分析風險數據安全合規分析（對標JR/T 0171）C3C2C1 銀行卡磁道數據（或芯片等效信息）、卡片驗證碼（CVN和CVN2）、卡片有效期、銀行卡密碼、網絡支付交易密碼；賬戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄密碼、交易密碼，查詢密碼；用于用戶鑒別的個人生物識別信息。賬戶開立時間、開戶機構；基于賬戶信息產生的支付標記信息；C2和C3類別信息中未包含的其他個人金融信息。金融業機構內部使用的個人金融信息個人金融信息主體的信息安全與財產安全造成一定影響 可識別特定個人金融信息主體身份與金融狀況的個人金融信息 用于金融產品與服務的關鍵信息用戶鑒別信息個人金融信息主體的信息

92、安全與財產安全造成嚴重危害個人金融信息主體的信息安全與財產安全造成一定危害 支付賬號及其等效信息，如支付賬號、證件類識別標識與證件信息（身份證、護照等）、手機號碼。賬戶（包括但不限于支付賬號、證券賬戶、保險賬戶）登錄的用戶名。用戶鑒別輔助信息，如動態口令、短信驗證碼、密碼提示問題答案、動態聲紋密碼；若用戶鑒別輔助信息與賬號結合使用可直接完成支付，則屬于C3類別信息。直接反映個人金融信息主體金融狀況的信息，如個人財產信息（包括網絡支付賬號余額）、借貸信息；用于金融產品與服務的關鍵信息，如交易信息（如交易指令、交易流水、證券委托、保險理賠）等。用于履行了解你的客戶要求，以及按行業主管部門存證、保全

93、等需要，在提供產品和服務過程中手機的個人金融信息主體照片、音視頻等影像信息。其他能夠識別出特定主體的信息，如家庭地址等級別名稱危害信息舉例個人金融數據分級標準（基于JR/T 0171）數據資產識別與分級結構化數據非結構化數據半結構化數據數據文件級別與0171對照影響5NA國家安全；公眾權益-非常嚴重4C3公眾權益-嚴重；個人隱私-非常嚴重；企業合法權益-非常嚴重3C2公眾權益-中等/輕微；個人隱私-嚴重；企業合法權益-嚴重2C1個人隱私-中等/輕微；企業合法權益-中等1NA企業合法權益-輕微JR/T 0171JR/T 0197GB/T 35273/金融行業數據安全整體治理架構數據安全管理過程數

94、據安全管理環境內部環境外部環境數據安全管理要素管理人員頂層設計整體規劃組織職責工作機制數據安全管理對象數據安全管理能力法律法規監管要求國家/行業標準數據安全合規要求產生使用傳輸存儲銷毀商業秘密（規劃、拓撲圖、重要技術參數、個人信息、技術防護策略等）內部信息（制度、流程、規范、內部公開發文等）公開信息管理類業務類技術類 依法采集 合規采集 責任歸屬 分類定級 權限管控 訪問記錄 數據脫敏 泄露檢測 數據傳輸控制 傳輸標準定義 傳輸通道定義 加密標準定義 數據存儲要求 數據備份策略 備份定期檢驗 數據恢復策略 銷毀前提條件 數據銷毀方式 數據銷毀記錄 銷毀結果驗證 領導層的重視與支持 數據安全管理

95、現狀 數據安全技術防護現狀 法律法規要求 行業監管要求 整體數據安全環境促成因素 提升管理效率 加強防護效果 優化資源配置 避免重復投資管理數據 數據安全治理領導小組 數據安全管理部門 數據所有者 數據使用者管理工具 對標差距分析工具 數據安全風險評估工具 數據安全檢查表 評估、檢查相關數據 技術工具報表、報告 風險改進跟蹤數據信息安全事件處理流程風險感知安全運營資產管控環境防護數據運維安全管控數據業務安全管控 定義異常行為 確定異常行為判定要素 從現有數據中搜集要素 設計異常行為告警規則 在UEBA或態勢感知平臺上實現 持續使用、更新、調優風險建模風險特征匹配模型持續應用風險庫已知風險歷史事件最佳實踐相關標準審計結果安全大數據分析數據安全風險感知能力建設風險建模數據安全風險感知能力建設平臺建設監控預警采集分析I/O通道基礎數據治理決策VPN接入辦公終端服務器生產終端防病毒DLP郵件審計終端安全堡壘機準入數據庫安全SIEM態勢感知威脅情報其它分析平臺風險告警應急響應主動干預風險監控信息安全管理委員會信息安全部門確立治理目標、框架，明確組織架構、職責分工、風險準則等根據風險模型自動分析、預警數據安全風險，必要時進行主動干預或阻斷采集各類設備、系統日志，對日志進行集中保存和標準化處理借助各類產品、設備對各類I/O通道進行管控，提供日志識別統計各類數據資產，了解數據資產的分布和使用情況