賴東方-業務安全風險演化剖析（28頁）.pdf

1、內容簡介內容大綱內容大綱現狀要點難點經驗分享說明分享說明 純屬個人觀點 與公司無關 僅供參考 歡迎交流為什么關注業務安全企業根基高危漏洞事故多發隱藏最深 SQL注入 XSS CSRF SSRF MITM RCE 網絡/系統層漏洞 不安全的服務配置 溢出 惡意文件上傳越來越難挖的漏洞exploit-db web vulnerability 2016 部分類型的漏洞在減少安全問題的成因更復雜部分類型漏洞修復成本在提升傳統漏洞掃描器的價值在降低滲透測試-紅藍對抗修復漏洞-消化漏洞安全對抗-安全運營獨立漏洞-組合漏洞巨石-SOA-Service Mesh部分安全趨勢通用性低沒有cve編號風險場景變化多

2、端漏洞成因復雜部分漏洞修復周期長、修復成本高大量業務需求無法通過用戶端直接測試業務風險/漏洞的相對特點哪來的漏洞更痛？眾測 暗網 同事 渠道客服護網SRC不同視角的業務安全近三成的業務風險無法快速修復近七成的業務風險難以滲透發現中高風險漏洞的主要來源業務安全事故的觸發因素業務安全現狀業務安全評估關系梳理 業務安全評估的概念 在傳統安全評估基礎上，對業務更全面更針對性的評估。需要額外梳理業務的關系 業務流程與各個系統的關系 業務流程與各個部門的關系 業務在各階段的數據處理環境安全物理安全網絡安全主機安全應用安全數據安全業務安全信息和內容安全傳統安全評估業務安全評估組織角度管理角度技術角度安全要素

3、攻擊面信任面與信任邊界業務流程分析威脅識別能力風險消化控制業務風險思維模型基礎CIA職責分離權限控制可審查溯源行業合規韌性監控和預警業務安全要素在線業務風險 業務層漏洞 黑產、欺詐、風控 特定場景觸發的缺陷關聯企業 渠道 合作方 上下屬公司供應鏈 第三方SDK 在線服務 產品之坑 部署風險內部架構 基礎組件 平臺對接監管合規 業務所屬行業規范 安全法規 隱私保護從來源看業務風險業務安全專家人才非常稀缺缺乏成熟的工具、服務、標準信息非常不對稱 幾乎找不到一個人能講清楚一個產品線的核心設計和實現外部力量效果有限 難以接觸業務環境、難以觸發業務場景、難以理解業務原理和風險 對風險和事故理解不足 白帽

4、子聚焦于邊界風險業務安全為什么難做業務安全專家能力要求Application Security Verification Standard 4.0初級水平：主要通過滲透測試、代碼審計，業務邏輯漏洞、被動事后響應。（SDL后端）中級水平：切入到業務需求評審、業務設計。（往SDL前端拓展）高級水平：深入業務、行業、各部門架構體系，理解關鍵業務功能實現、數據鏈、架構安全設計。結合所有信息獲取手段和評估手段，尋找、規避、控制風險。業務風險挖掘水平層次ToC邊界安全ToB接口、數據ToBC邊界數據與接口內部架構邏輯劃分、中臺和組件業務功能模塊、活動模塊部門責任與關注點分析賬戶體系自動化攻擊平臺建設運營、

5、數據分析合規縱深防御和監控互聯網業務安全工作細分 惡意用戶被使用的風險 正常用戶被攻擊和利用的風險 正常/非正常用戶業務數據和行為 集成賬戶和跨平臺的賬戶會話體系賬戶安全工作梳理業務接口梳理接口分類接口分類 用戶請求接口 渠道合作接口 內部接口接口安全接口安全 傳輸/存儲 認證/權限 監控/預警 內容限制（范圍、數量）業務邏輯流的處理順序前后銜接不能饒過具有基本的防欺騙、篡改、抵賴、信息泄露和權限提升的保護包括對數據范圍、數量、自動化攻擊的檢測、限制、預警機制對所有業務流模塊考慮了被濫用和惡意使用評估競態條件/拒絕服務梳理在技術條件和業務場景的使用范圍、被封裝后的使用場景合規要求（隱私保護傳輸

6、、存儲、使用等），第三方模塊風險及合規評估后端業務功能檢查要求-ASVS業務風控之攻擊鏈條攻擊能力：用什么方法能攻擊我？攻擊路徑和流程？攻擊意愿：有多想攻擊我？攻擊動機：有什么好處？攻擊目標：是否只針對我？為何針對我？攻擊成本：要用到哪些資源？攻擊收益：攻擊收益？攻擊前提：什么場景才能完成攻擊？基礎信息資產 IP、端口、banner信息 服務、接口、版本業務資產 部門權限、接口人員 賬戶體系、敏感字段 合作渠道、外部接口 功能模塊、接口資料 現存風險、信任區域 Service Mesh業務安全資產梳理 監測和攔截要錯開數據維度，確保能夠識別攻擊變化 監控和攔截的策略進化：1.單一特征庫匹配攔截

7、2.行為特征攔截3.字符和行為組合匹配、上下文關聯4.智能化預警檢測、機器學習協助發現業務安全數據分析經驗接口攻擊數據運營普通的匯報 評估的目標范圍 業務安全漏洞發現了多少 修復了多少 總體安全評價深入的匯報 業務安全需求分析 歷史事故和發現風險分析 遺留風險、潛在隱患及中長期應對手段 各個部門和架構的業務風險關聯分析 同行事件分析與我司對應情況 企業業務變化趨勢導致的業務風險變化 后續的業務安全工作計劃如何做一個業務安全風險匯報業務一定是帶著弱點上線的三成的業務安全風險很難或者無法直接解決要記錄、接受、消化存在的風險要從風險鏈條來看待和應對風險梳理信任安全域來找出關鍵的接口和風險建立縱深業務安全體系業務安全值得長期沉淀積累勿過于依賴技術手段，調研、運營非常重要嘗試建立業務功能風險運營體系，以適應業務和架構的不斷變化業務安全建設經驗點滴