金融行业安全管控及实践

如果无法正常显示，请先停止浏览器的去广告插件。

1. 金融行业安全管控及实践演讲人：魏亚东全球敏捷运维峰会广州站

2. 个人介绍魏亚东 ⚫ 09年加入中国工商银行软件开发中心 ⚫ 工行三级经理，资深架构师。 ⚫ 杭州研发部数据库专家牵头人、开发中心安全团队成员 ⚫ 6年牵头技术管控和安全管控经验，实现业务价值的高质量快速交付 ⚫ 作为技术专家，为生产安全提供技术支持。 ⚫ 曾牵头教培、预付费等Saas产品线。 ⚫ 牵头数字生态基座（组装式应用程序Composable Applications ）等。全球敏捷运维峰会广州站

3. 从Log4j2核弹级高危漏洞说起 0-day漏洞：攻击者可以获得无限的权利——比如他们可以提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。年核弹级漏洞历程 • • Apache20天内升级5个版本，15包含RC1和RC2 应急响应 Apache Log4j2.15.0-rc1版本依然存在漏洞绕过 72小时超过84万次攻击 • 中国工信部收到网络安全专业机构报告 • 国外公布POC：大量网站存在问题阿里云安全团队向 • 检测流量太大,Fofa等网站一度崩溃 Apache 官方报告了 • 黑灰产们在挖矿勒索武器库上增加了该漏 Apache Log4j2 RCE漏洞洞的利用模块 11月24日不眠之夜：程序员被迫 12月9日 12月10日全球敏捷运维峰会广州站

4. 网络威胁日益严重 • 2017年勒索病毒“WannaCry”迅速席卷全球150个国家和地区，波及超过 20万台机器。 • 2022年3月黑客“RED-LILI”的黑客针对NPM存储库攻击，发布近800个恶意NPM包。 • 2022年5月俄最大银行遭到最严重DDoS攻击,峰值流量高达 450GB/秒。探测渗透驻留资产探测社会工程修改文件恶意邮件夺取控制防火墙服务识别漏洞扫描注册表等服务摆渡攻击删除文件入侵监测\防病毒开源情报服务漏洞设置恶意程序蠕虫病毒机密窃取漏洞扫描供应链条嗅探攻击代理隧道感染共享资源持久潜伏安全意识等传播全球敏捷运维峰会广州站瘫痪防护

5. 数据安全事件危害程度日益加剧数据泄露危害跃居前三 GDPR（21 年罚款）：网络黑产蓬勃发展 • 卢森堡对亚马逊罚款7.46亿欧，迄今为止单笔 • 19年拼多多过期优惠券Bug，一晚损失 200亿。罚款最高。 • 荷兰对 “抖音”国际版罚款75万欧元，中国企 • 22年4月，北美洲国家哥斯达黎加财政业第一次遭处罚。部大量敏感数据被盗，至少损失2亿美国内信息泄露罚款：元。 • 21年1月某大型银行湛江市分行因员工出售 31,465 条客户信息被罚款20万。数据安全危害程度日益加剧 • 风险基础安全(Risk Based Security)数据显示，2020年全球数据泄露达到360亿条。 • IBM《2021年数据泄露成本报告》，数据泄露事件平均带来424万美元损失。 • 《2021年数据泄露调查报告》指出，2021年数据泄露85%涉及人为因素。全球敏捷运维峰会广州站

6. 数据安全已上升到国家战略层面国际我国 • 2016 年欧盟颁布 GDPR 通用数据保护条 • 2016年《网络安全法》，鼓励数据安全保例》，2018年5月份正式生效，构建“泛欧护。 • 2021年《数据安全法》，将数据安全纳入数据市场” 。 • 2018年美国通过CLOUD 法案《澄清域外合法使用数据法案》，可合法访问境外数据，抢夺他国的“治外法权”。抢夺他国“治外法权” “长臂管辖”扩大跨境数据执法权 “内松外紧”主导数据战略 VS 保障体系 • 2022年人行金融科技发展规划，强调做好数据安全保护。主管部门各司其职监管新模式数据安全和网络安全防护谋求统一多法并轨、多标准并行全球敏捷运维峰会广州站

7. 金融行业安全管控的核心诉求及策略提升人员安全意识（网络安全的关键和核心） • 提升安全意识：避免被钓鱼、社会工程学等因素泄露 • 最小权限管控：文档加密+水印（隐写术），避免人员有意识泄露数据。实现安全左移，柔和嵌入现有开发体系 • 将安全工具嵌入DevOps流水线，建成高效安全门禁，自动化管控安全出口质量。 • 快速完成漏洞修补工作，降低安全漏洞强化运行时动态入侵检测 • 快速识别异常攻击行为：识别行为数据的的常见攻击路线。 • 持续风险评估能力，快速识别行为偏离快速响应 • 舆情影响范围快速聚焦 • 自动实现舆情分发和跟踪处置，提升应急响应时效全球敏捷运维峰会广州站

8. DevOps研发模式下的软件安全转变瀑布模式 DevOps • 过度依赖于专家的能力，不适应现在的网络安全生态 • 安全活动对于开发过程的影响降到最低 • 忽略项目组的安全意识培训，沦为“救火队” • 容器、云原生、微服务等新技术要求高度自动化全球敏捷运维峰会广州站

9. 安全及风险管理（DevSecOps）标准框架图中国信通院《研发运营一体化（DevOps）能力成熟度模型第6部分：安全及风险管理》一种以应用安全为核心的端到端的全新安全理念与实践模式： • 控制通用风险 • 控制开发过程风险 • 控制交付过程风险 • 控制运营过程风险原则：人人为安全负责 · 安全左移 · 全流程的安全内建 · 安全闭环强调安全是每个人的责任，指将安全内嵌到应用的全生命周期，在安全风险可控的前提下，帮助企业提升IT效能，更好地实现研发运营一体化。全球敏捷运维峰会广州站

10. 工行安全管控探索历程 Gartner发布报告《DevSecOps》对模型及配套方案进行分析 • • 工行开启 DevOps 安全工具链建设安全团队测试 2017年 2 1 2016年 RSAC 2017 首次引入 DevSecOps 业务研发中心负责安全验收 2020年 4 3 5 2019年 2018年 DevSecOps黄金流水线建设 • • 轻量级安全工具链日益丰富 DevOps取得阶段性成果全球敏捷运维峰会广州站

11. 工行DevSecOps能力建设目标-一个提升，2个降低提升应用安全开发技术水平及人员能力 • 搭建统一应用安全平台 • 打通研发过程各节点安全活动 • 构建面向软件开发生命周期的闭环安全管理能力 • 沉淀安全专家能力为安全资产降低应用风险漏洞数 • 过程控制及安全技术 • 应用漏洞提前规避及事先发现 • 实现安全左移，降低发布前应用安全漏洞数构建开发运营一体化的安全管理及技术体系降低应用监管合规风险 • 将合规性要求事先纳入应用系统开发需求 • 提升应用持续性合规符合能力 • 降低合规风险全球敏捷运维峰会广州站 • • • • • 建立应用安全体系建立与之对应的安全平台研发阶段引入安全活动及工具提升安全开发管理技术水平提升安全质量

12. DevSecOps能力体系：工行建设路径 • 将应用安全技术及能力固化到企业共用的开发框架、制品库及微服务中 • 将应用安全从一种后期构建能力变成原生能力安全能力原生化 • 构建DevSecOps安全流水线 • 提升安全工作效率 • 降低对人员安全能力依赖安全能力技术化与服务化安全管理过程化、可视化 • 将安全控制及安全管理从事后延伸到整个软件开发及运维过程 • 建立面向软件生命周期的安全能力 • 实现安全左移及过程管理，将安全风险及软件缺陷消灭在上线前 • 通过量化数字指标，指导软件安全体系的演化及优化。全球敏捷运维峰会广州站

13. DevSecOps能力体系构筑覆盖需求分析、设计、开发、测试、发布及运营环节的安全能力，实现安全左移及过程控制工行DevSecOps安全体系安全开发及管理流程应用安全流程及策略应用安全需求规范安全设计规范安全人才培养体系安全分级及评估体系应用安全开发规范应用安全测试规范组织架构与岗位角色部门流程角色发布安全审核权限应用安全运维策略安全管理及技术平台 --平台支持-- 管理要求平台化|技术规范策略化全流程覆盖|全应用覆盖安全知识库 --知识库— 专家能力软件化专家能力资产化安全测试知识库软件制品库安全培训库安全工具中间件安全工具能力抽象安全工具能力组合检测结果自动关联分析安全开发知识库安全工具自动编排漏扫工具 --顶层架构-- 有管理、有流程有规范，有考核指标安全知识库安全基线库安全管理及标准体系应用安全合规性技术规范应用安全开发管理平台安全开发自动安全测试安全需求审核建设目标安全技术规范及合规要求应用安全管理体系安全需求分析体系层级源码扫描工具交互式扫描工具隐私检测制品库管理应用加固安全工具链安全运维工具工行软件DEVOPS体系（代码仓库，持续集成，容器, IDE开发工具）全球敏捷运维峰会广州站研发DevOps工具 --工具及DevOps整合-- 降低使用门槛提升人工效率提供闭环安全能力

14. DevSecOps能力体系：全流程闭环安全管控能力需求分析环节研发过程安全应用安全需求设计环节应用安全设计安全测试用例需求分析环节运维安全事件响应及溯源安全能力沉淀安全需求缺失设计环节安全设计缺陷 ⚫ 运营安全问题闭环追踪 ⚫ 安全问题回溯开发者 ⚫ 安全问题回溯引入源头问题修复跟踪开发环节测试环节发布环节合规认证安全配置开发环节代码缺陷第第三三方方组组件件缺缺陷陷运营环节运维安全配置基线测试及发布审核测试环节发布环节测试用例缺失测试工具漏报 ⚫ 基于缺陷组件横向排查 ⚫ 基于缺陷代码横行排查 ⚫ 基于安全配置横向排查应用横行排查全球敏捷运维峰会广州站发布标准缺陷 ⚫ 安全设计沉淀为知识库 ⚫ 安全开发沉淀为安全组件 ⚫ 安全测试沉淀为工具规则安全能力沉淀运维安全事件

15. DevSecOps能力体系：全流程闭环安全管控能力全量流水线存量代码拉取 S AST 扫描 ... S CA扫描 ... 阶段容器安全扫描领域业界情况计划威胁建模普遍采用轻量级checklist、安全知识库方式开发 IDE安全插件同下静态代码扫描（SAST）腾讯（Sonar、semgrep、CodeQL、Coverity、自研啄木鸟、敏感信息检查工具未知）、阿里（PMD、Sonar、自研敏感信息检测工具SecretRadar、雳鉴）、华为（Sonar、 findsecbugs、SourceClear、自研）、招行（Sonar）、中行（Sonar、Checkmarx）软件组成分析（SCA）腾讯（自研开源协同）、华为（FOSSID）、招行（Hub、 BlackDuck）、中行（Dependency Check）动态安全测试（DAST）腾讯（自研洞犀、金刚）、华为（Appscan、OWASP ZAP）、招行（Appscan）交互式安全测试（IAST）腾讯（自研洞犀）、阿里（雳鉴）、招行（Acunetix） Docker镜像安全扫描招行（Xray），其它未知渗透测试主要采用工具辅助人工的方式开展开发者门户 CI流水线 CD 流水线安全扫描工具代码提交发布敏感信息检测容器安全扫描敏感信息检测工具 detect-secrets、 git-secrets等渗透测试： Burpsuit、 p ostman 、 nm a p 等 S AST扫描 DAST扫描 SCA扫描代码审核 IAST扫描 SAST扫描入库构建部署 SAST工具： Sonar、 fin dsecb ugs、代码卫士等 SCA工具：开源卫士、 licen se- maven-plugin DAST工具： OWASP ZAP、绿盟、 Appscan 模糊测试：待引入容器安全扫描工具：clair、 Xray、 Trivy、 OpenSCAP等 IA S T工具：悬镜灵脉等安全支撑平台验证验证预发布主机（服务器）漏洞扫描全球敏捷运维峰会广州站腾讯（自研金刚）

16. DevSecOps能力体系：全流程闭环安全管控能力全球敏捷运维峰会广州站

17. 未来展望技术变革将驱动新一代软件安全革命关键技术的演化，对于软件安全攻防双方来说，都是一个新的空白窗口期，谁能优先利用新技术，谁将在安全对抗中获得领先优势。网络安全网格隐私增强计算决策智能 • 分布式架构方法，实现了在分布式策略执行架构中实行集中策略编排和决策，用于实现可扩展、灵活和可靠的网络安全控制利用大数据分析技术挖掘程序潜 • 在缺陷在技术原理上已经被证明，也在领先机构的研发中取得了实 • 允许身份成为安全边界，使任何人或事物能够安全地访问和使用任何数字资产，提供必要的安全级别是随时随地运营趋势的关键推动因素；际效果。新漏洞挖掘技术是一个双刃剑，在提升企业安全测试水平的同时，也可被攻击者利用优先发掘0-day。 • 分布式、模块化架构方法，正迅速成为分布式身份结构（ The Distributed Identity Fabric）、基于上下文的安全分析、情报和响应（EDR、XDR）、集中式策略管理和编排、ZTNA、云访问安全代理的安全网络基础设施。全球敏捷运维峰会广州站 • 随着全球数据保护法规的成熟，各地区首席信息官所面临的隐私和违规风险超过了以往任何时候。不同于常见的静态数据安全控制，隐私增强计算可在确保保密性或隐私的同时，保护正在使用的数据。 Gartner认为，到2025年将有一半的大型企业机构使用隐私增强计算在不受信任的环境和多方数据分析用例中处理数据。企业机构应在开始确认隐私增强计算候选对象时，评估要求个人数据转移、数据货币化、欺诈分析和其他高度敏感数据用例的数据处理活动。

18. THANK YOU！全球敏捷运维峰会广州站