等級保護制度實施的技術支撐與解決之道.pdf

1、360企業安全等級保護制度實施的技術支撐與解決之道陳洪波目錄新形勢 新挑戰新時代 新等保新思路 新能力新形勢 新挑戰新的攻防態勢改變業務安全保護模式互聯網帶來日新月異的變化，業務應用面臨瞬息萬變的局勢互聯網時代，信息安全運營模式和管理機制需要突破創新新形勢下的攻防態勢改變了保護模式傳統現在動機技術興趣政治經濟利益范圍外部威脅內外配合威脅手段滲透入侵木馬僵尸網絡源頭靜態固定移動動態變化威脅拒絕服務信息數據泄漏風險風險可控風險很大失控個人威脅黑客團體威脅經濟犯罪威脅恐怖主義及國家級威脅業務網絡安全風險有組織有目的的網絡犯罪互聯網業務系統安全漏洞僵尸、木馬、病毒、蠕蟲移動信息風險DDoS攻擊網絡釣魚

2、APT攻擊信息泄露外包風險內控風險內網系統安全問題內網重要系統“高級攻擊”87%的攻擊發現源自外部報告應用架構挑戰：虛擬化、云計算、移動應用等技術引入，改變了傳統的IT架構，帶來管理便捷的同時，也引入了新的安全威脅。從基礎設施的保護到應用系統的安全，需要多層次，分重點的防護體系管理制度挑戰：管理制度也需要對應變化。已有的組織機構設置和人員隊伍逐漸難以滿足業務需求，信息安全標準規范建設急需加強，信息安全文化建設和意識強化培訓需要持續擴展威脅變化挑戰：隨著新技術的不斷發展，攻擊者的手段和攻擊也在不斷發展變化，傳統的監測技術相對固化，越來越難以有效地識別攻擊，也就難以防御和應對。近期發生一系列信息安

3、全事件也表明了這一挑戰的嚴重性運營能力挑戰：內外部的安全形勢變化，導致了安全運維的工作內容和工作量都在快速變化。大量的重復性運維工作需要自動化手段支持，未知攻擊泛濫需要快速獲取外部專家支持，業務需求的提高需要相應提高響應速度，都是對運營能力的挑戰。業務信息安全面臨新的安全挑戰Gartner:2017年11大頂尖信息安全技術1.云平臺負載安全保護（CWPP）2.遠程瀏覽器技術(Remote Browser)3.欺騙技術(Deception)4.終端檢測和響應（EDR）5.網絡流量分析（NTA）6.管理檢測和響應（MDR）用戶和實體行為分析（UEBA）7.微分段(Micro segmentatio

4、n)8.軟件定義邊界（SDP）9.云訪問安全代理（CASB）10.OSS安全掃描和軟件組成分析技術11.容器安全(Containersecurity)重點行業 態勢嚴峻丨平均每天泄露110萬條金融數據丨97%的大型企業遭受業務安全攻擊2016年因為業務安全問題帶來的損失比上年增加18%$4450億政府網站成為被篡改/掛暗鏈的高危對象新時代 新等保新時代的等級保護2.0提出了更高要求新時代，新等保物理和環境安全網絡和通信安全網絡架構訪問控制安全審計入侵防范惡意代碼防范設備和計算安全身份鑒別訪問控制安全審計入侵防范惡意代碼防范資源控制應用和數據安全身份鑒別訪問控制安全審計軟件容錯資源控制數據完整性

5、數據保密性數據備份恢復個人信息保護技術要求安全策略和管理制度安全策略制定和發布評審和修訂管理要求人員錄用安全意識教育培訓外部人員訪問管理人員離崗安全管理機構和人員崗位設置授權和審批審核和檢查人員配備溝通和合作安全建設管理定級備案自行軟件開發外包軟件開發安全方案設計產品采購和使用工程實施系統備案測試驗收系統交付服務商供應商選擇安全運維管理環境管理設備維護管理漏洞和風險管理資產管理介質管理網絡和系統安全管理密碼管理變更管理惡意代碼防范管理備份與恢復管理安全事件處置應急預案管理邊界防護通信傳輸集中管控剩余信息保護管理制度配置管理外包運維管理移動終端管控數據完整性鏡像與快照保護接口安全網絡設備防護應用

6、管控軟件審核與檢測應用軟件來源管理監控和審計管理無線使用控制無線使用控制移動應用軟件開發云服務商選擇供應鏈管理等級保護2.0全新升級，對云計算、移動互聯、物聯網、工業控制等重要系統提出了新要求云計算安全擴展要求移動互聯安全擴展要求工業控制系統安全擴展要求新形勢下等級保護的能力建設思路等級保護2.0是一套新形態下的體系化要求以積極防御思想落實符合等級保護要求的安全保護和運營體系依賴進化 信息安全規劃 安全管理體系 安全域劃分 安全加固 補丁管理 安全防護措施 縱深防御體系縮小攻擊面消耗攻擊資源遲滯攻擊不依賴人 持續檢測響應深度威脅分析追蹤溯源響應處置 人的對抗能力 數據收集 情報挖掘 情報分析驗

7、證 攻擊溯源 法律手段 對抗措施 自我防衛行為架構安全被動防御積極防御威脅情報進攻反制架構設計縱深防御分析響應掌握敵情先發制人新形勢下等級保護的能力建設思路 敏感業務數據的全生命周期控制與審計 敏感數據的集中管理（文件集散）重要敏感數據的保護以數據安全為核心以防線失守為假設以應用安全為重點以威脅情報為手段 外部合作共建威脅情報系統 利用威脅情報系統提前化解威脅 利用威脅情報系統全面溯源攻擊 構建基于威脅情報的網絡攻擊防御體系 將業務應用作為安全的入口與第一道防線 構建并利用業務應用的白名單系統 對重點/危險業務應用采用沙箱隔離等技術手段 對業務應用可訪問的數據與權限進行限制與監控 迅速發現已經

8、被攻破的設備 迅速控制并處置被滲透的設備 回查攻擊全過程，并總結經驗聚焦等保護2.0的核心安全能力新思路 新能力構建等級保護2.0下的創新型安全運營能力對數據的深度分析是安全運營的靈魂建設基于安全運營的創新型能力安全分析終端威脅數據全流量網絡數據網絡出入口管控數據安全管理數據網絡終端/主機應用數據分析工具云端威脅情報數據數據分析互聯網資產梳理重要析產梳理異常資產持續監測資產畫像資產安全數據分析漏洞驗證安全隱患深挖（找線頭）威脅情報分析/追蹤溯源數據分析實時監控安全態勢感知數據通報安全事件安全事件釋疑安全監控日常安全分析報告安全事件協同處置安全專項協同處置行業信息安全通報協同處置數據是提升安全運

9、營能力的關鍵要素網絡和通信：基于用戶行為梳理資產互聯網資產梳理互聯網資產暴露面掃描互聯網域名梳理網站可訪問情況梳理建立互利網暴露資產信息列表內部重要資產梳理新增資產監測內部網絡資產信息收集和整理建立內部重要資產列表資產畫像(基于流量采集)基于互聯網梳理資產邊界，針對新增資產進行監測和報警網絡和通信：基于大數據檢測內部威脅攻擊面管控主動發現組織內部攻擊面，并對攻擊面進行識別，找出不當暴露和非法暴露的攻擊面。違規操作發現并定位違規拷貝數據、越權訪問、非法業務查詢等操作事件內部攻擊發現并識別來自內部的掃描、惡意探測、密碼嘗試破解等攻擊行為。漏洞管理發現未知漏洞、修復漏洞、漏洞的持續管理攻擊面漏洞內部

10、攻擊違規操作內部威脅 攻擊面管控：正常暴露、非法暴露、不當暴露、供應鏈暴露 漏洞管理 內部攻擊：非法掃描、惡意探測、暴力破解等 違規操作：越權訪問、非法業務數據查詢、違規拷貝/復制數據等 跨越網絡邊界與訪問控制的全鏈路分析 持續監控與分析終端行為數據，并結合外部威脅情報的數據，分析組織內部已經被攻陷的終端設備和計算：基于威脅情報檢測終端失陷主機上有Web shellRedis成功爆破行為反彈shell通過注入非法獲取數據發現服務器上存在Tunnel內部失陷主機whoamiid.bash_historyifconfigunamepasswdcmd_bannerver發現特征socksteamvi

11、ewIRCHTTP Proxy與文件傳輸關聯，排除404與重復URL，內置SQLMAP回掃內置危險存儲過程寫Shell內部執行發現爆破行為后，記錄該爆破IP是否存在成功登陸行為。Wheather：判斷應用系統是否遭到入侵（是否）When：什么時間入侵了應用系統（時間）Who：是誰入侵了應用系統（攻擊源）How：應用系統如何被入侵（手段）Why：攻擊者在入侵后做了什么（目的）What：安全事件帶來的損失（后果）基于全流量的深度分析風險應用和數據：業務應用系統安全客戶端程序安全進程安全敏感信息安全密碼軟鍵盤安全組件安全安全策略網絡通信安全服務器安全業務邏輯安全中間件安全WEB安全靜態分析工具 反編

12、譯工具：apktool 靜態分析：IDA，jeb，Hopper 砸殼工具：dumpdecrypted動態分析工具 數據包分析：WireShark，BurpSuite 調試工具：Jdb，IDA，debugserver，lldb，libimobiledevice 內存搜索：MemSpector，Memscan 注入工具：InjectSo，Cycript 界面劫持：HijackActivity Hook框架：Xposed，Theos 代理工具：Drony面向業務應用系統服務、移動終端APP（IOS/安卓），深度分析業務應用潛在漏洞。安全開發小組QA工程過程小組EPG架構組信息安全管理投產管理組安全成

13、果審計安全開發流程定義安全開發健康檢查安全開發流程改進共享安全開發專家庫產品中具體安全架構技術研究產品安全架構與產品線安全架構的符合性安全開發環境管理知識產權數據保護投產方案安全評審投產技術基線安全開發管理安全開發過程開始獲取和開發執行操作與維護發布階部署段培訓需求設計實施測試發布響應微軟 SDL設計驗證滲透測試安全開發流程安全開發工具安全開發安全需求威脅建模安全設計CSDLOWASP TOP 10通過評估風險改進業務應用全生命周期安全代碼安全分析云計算：主動發現的云端業務安全云端訪問流向圖VPCVPCVRvFWvIPSvAVvSwitchvWAFWEB1WEB2APP1APP2DB1DB2行

14、為記錄HAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGVRvFWvIPSvAVvSwitchvWAFWEB1WEB2APP1APP2DB1DB2行為記錄HAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGHAVHFWHIPSHGWEB訪問本地APPAPP訪問本地DB安全行為分析安全行為分析WEB訪問異地APPAPP訪問本地DBVDC以攻防視角分析云計算環境下的業務安全云安全分析工程師第0層 現場設備層第1層 現場控制層第2層 過程監

15、控層第3層 生產管理層生產數據、設備狀態算法策略生產數據設備狀態控制邏輯工程師工程師操作員值班員工程師調度員操作員工程師人機交互、權限審計生產數據設備狀態配置文件控制邏輯配置文件下裝報表、歷史數據、人機交互、權限審計調度指令計劃指令工藝指令重要生產信息統計數據以太網232/485/總線/以太網用戶數據網絡以太網軟硬件MES系統：計劃排產系統、生產調度系統等SCADA、HMI等PLC、DCS控制單元和RTU等傳感器和執行器等異常監測分析重點監測：工控系統通信網數據異常、失陷主機探測深度分析：工控系統安全隱患及暴露面分析、數據流異常分析閉環管控：工控系統風險管控、安全處置工控系統：數據流異常監測分

16、析監測分析人員基于等級保護網絡和通信、設備和計算、應用和數據要求的整體安全分析基于數據分析的安全運營漏洞SQL/反序列攻擊反序列化Web shell違規訪問反彈shell釣魚郵件僵尸木馬內部掃描基于域名攻擊隧道非法攻擊面內部威脅內部失陷外部攻擊數據安全分析內部威脅分析內部失陷分析外部攻擊分析通過風險分析，發現內部存在的不合理的暴露面、漏洞、違規訪問和內部攻擊等威脅，實現精細內部威脅管控，提升單位內部安全基線基于全流量數據，分析資產異常行為、服務器高危行為、非常規服務、數據庫危險操作、郵件內容安全、服務器非法外聯、賬戶風險、WEB攻擊威脅等方面，發現單位內部已經感染的主機和終端。通過全流量數據分

17、析，及時發現來自外部的攻擊，并結合威脅情報大數據對疑似的攻擊事件進行定位和定性，支持對事件進行調查和溯源。全流量風險分析事件分析處置研判對可疑的安全事件和失陷主機結合云端威脅情報大數據進行分析、研判、追蹤和溯源，協助單位完成安全威脅的深度處置?；跀祿治龅陌踩\營Text in here數據工具流程人新型的安全崗位：安全監控崗：實時監控，安全預警通報；數據分析崗：數據分析、驗證和解釋；云端追蹤溯源崗：云端情報分析，深挖問題，追蹤溯源；事件處置崗：各類安全事件技術處置；信息通報崗：行業信息安全事件通報；資產情報漏洞情報威脅情報安全事件風險趨勢工具腳本告警規則威脅情報引入分析計算協助通報資產情報報告漏洞驗證結果安全數據分析報告溯源分析報告安全事件協同處置信息安全通報輸出安全運營崗位及分析流程基于數據分析的安全運營安全監控崗數據分析崗信息通報崗事件處置崗溯源分析崗以積極防御思想構筑符合等級保護2.0要求的安全運營體系，打造合規要求與核心安全能力的完美融合積極防御的等級保護2.0等級保護標準體系定級指南基本要求設計要求測評要求安全通用要求工控系統安全擴展要求云計算安全擴展要求移動互聯安全擴展要求大數據安全擴展要求物聯網安全擴展要求謝謝