金融行业安全管控及实践

如果无法正常显示,请先停止浏览器的去广告插件。
分享至:
1. 金融行业安全管控及实践 演讲人:魏亚东 全球敏捷运维峰会 广州站
2. 个人介绍 魏亚东 ⚫ 09年加入中国工商银行软件开发中心 ⚫ 工行三级经理,资深架构师。 ⚫ 杭州研发部数据库专家牵头人、开发中心安全团队成员 ⚫ 6年牵头技术管控和安全管控经验,实现业务价值的高质量快 速交付 ⚫ 作为技术专家,为生产安全提供技术支持。 ⚫ 曾牵头教培、预付费等Saas产品线。 ⚫ 牵头数字生态基座( 组装式应用程序Composable Applications )等。 全球敏捷运维峰会 广州站
3. 从Log4j2核弹级高危漏洞说起 0-day漏洞:攻击者可以获得无限的权利——比如他们可以提取敏感数据、将 文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器。 年 核 弹 级 漏 洞 历 程 • • Apache20天内升级5个版本,15包含RC1和RC2 应急响应 Apache Log4j2.15.0-rc1版本依然存在漏洞绕过 72小时超过84万次攻击 • 中国工信部收到网络安全专业机构报告 • 国外公布POC:大量网站存在问题 阿里云安全团队向 • 检测流量太大,Fofa等网站一度崩溃 Apache 官方报告了 • 黑灰产们在挖矿勒索武器库上增加了该漏 Apache Log4j2 RCE漏洞 洞的利用模块 11月24日 不眠之夜:程序员被迫 12月9日 12月10日 全球敏捷运维峰会 广州站
4. 网络威胁日益严重 • 2017年勒索病毒“WannaCry”迅速席卷全球150个国家和地区,波及超过 20万 台机器。 • 2022年3月黑客“RED-LILI”的黑客针对NPM存储库攻击,发布近800个恶意NPM包。 • 2022年5月俄最大银行遭到最严重DDoS攻击,峰值流量高达 450GB/秒。 探测 渗透 驻留 资产探测 社会工程 修改文件 恶意邮件 夺取控制 防火墙 服务识别 漏洞扫描 注册表等服务 摆渡攻击 删除文件 入侵监测\防病毒 开源情报 服务漏洞 设置恶意程序 蠕虫病毒 机密窃取 漏洞扫描 供应链条 嗅探攻击 代理隧道 感染共享资源 持久潜伏 安全意识等 传播 全球敏捷运维峰会 广州站 瘫痪 防护
5. 数据安全事件危害程度日益加剧 数据泄露危害跃居前三 GDPR(21 年罚款): 网络黑产蓬勃发展 • 卢森堡对亚马逊罚款7.46亿欧,迄今为止单笔 • 19年拼多多过期优惠券Bug,一晚损失 200亿。 罚款最高。 • 荷兰对 “抖音”国际版罚款75万欧元,中国企 • 22年4月,北美洲国家哥斯达黎加财政 业第一次遭处罚。 部大量敏感数据被盗,至少损失2亿美 国内信息泄露罚款: 元。 • 21年1月某大型银行湛江市分行因员工出售 31,465 条客户信息被罚款20万。 数据安全危害程度日益加剧 • 风险基础安全(Risk Based Security)数据显示,2020年全球数据泄露达到360亿条。 • IBM《2021年数据泄露成本报告》,数据泄露事件平均带来424万美元损失。 • 《2021年数据泄露调查报告》指出,2021年数据泄露85%涉及人为因素。 全球敏捷运维峰会 广州站
6. 数据安全已上升到国家战略层面 国际 我国 • 2016 年 欧 盟 颁 布 GDPR 通 用 数 据 保 护 条 • 2016年《网络安全法》,鼓励数据安全保 例》,2018年5月份正式生效,构建“泛欧 护。 • 2021年《数据安全法》,将数据安全纳入 数据市场” 。 • 2018年美国通过CLOUD 法案《澄清域外 合法使用数据法案》,可合法访问境外数 据,抢夺他国的“治外法权”。 抢夺他国“治外法权” “长臂管辖”扩大跨境数据执法权 “内松外紧”主导数据战略 VS 保障体系 • 2022年人行金融科技发展规划,强调做好 数据安全保护。 主管部门各司其职监管新模式 数据安全和网络安全防护谋求统一 多法并轨、多标准并行 全球敏捷运维峰会 广州站
7. 金融行业安全管控的核心诉求及策略 提升人员安全意识(网络安全的关键和核心) • 提升安全意识:避免被钓鱼、社会工程学等因素泄露 • 最小权限管控:文档加密+水印(隐写术),避免人员有 意识泄露数据。 实现安全左移,柔和嵌入现有开发体系 • 将安全工具嵌入DevOps流水线,建成高效安全门禁,自 动化管控安全出口质量。 • 快速完成漏洞修补工作,降低安全漏洞 强化运行时动态入侵检测 • 快速识别异常攻击行为:识别行为数据的的常见攻击路线。 • 持续风险评估能力,快速识别行为偏离 快速响应 • 舆情影响范围快速聚焦 • 自动实现舆情分发和跟踪处置,提升应急响应时效 全球敏捷运维峰会 广州站
8. DevOps研发模式下的软件安全转变 瀑布模式 DevOps • 过度依赖于专家的能力,不适应现在的网络安全生态 • 安全活动对于开发过程的影响降到最低 • 忽略项目组的安全意识培训,沦为“救火队” • 容器、云原生、微服务等新技术要求高度自动化 全球敏捷运维峰会 广州站
9. 安全及风险管理(DevSecOps)标准框架图 中国信通院《研发运营一体化(DevOps)能力成熟度模型 第6部分:安全及风险管理》一种以应用安全为核心的端到端 的全新安全理念与实践模式: • 控制通用风险 • 控制开发过程风险 • 控制交付过程风险 • 控制运营过程风险 原则:人人为安全负责 · 安全左移 · 全流程的安全内建 · 安全闭环 强调安全是每个人的责任,指将安全内嵌到应用的全生命周期,在安全风险可 控的前提下,帮助企业提升IT效能,更好地实现研发运营一体化。 全球敏捷运维峰会 广州站
10. 工行安全管控探索历程 Gartner发布报告《DevSecOps》 对模型及配套方案进行分析 • • 工行开启 DevOps 安全工具链建设 安全团队测试 2017年 2 1 2016年 RSAC 2017 首次引入 DevSecOps 业务研发中心负责安全验收 2020年 4 3 5 2019年 2018年 DevSecOps黄金流水线建设 • • 轻量级安全工具链日益丰富 DevOps取得阶段性成果 全球敏捷运维峰会 广州站
11. 工行DevSecOps能力建设目标-一个提升,2个降低 提升应用安全开发技术 水平及人员能力 • 搭建统一应用安全平台 • 打通研发过程各节点安全活动 • 构建面向软件开发生命周期的 闭环安全管理能力 • 沉淀安全专家能力为安全资产 降低应用风险漏洞数 • 过程控制及安全技术 • 应用漏洞提前规避及事先 发现 • 实现安全左移,降低发布 前应用安全漏洞数 构建开发运营一体化的 安全管理及技术体系 降低应用监管 合规风险 • 将合规性要求事先纳 入应用系统开发需求 • 提升应用持续性合规 符合能力 • 降低合规风险 全球敏捷运维峰会 广州站 • • • • • 建立应用安全体系 建立与之对应的安全平台 研发阶段引入安全活动及工具 提升安全开发管理技术水平 提升安全质量
12. DevSecOps能力体系:工行建设路径 • 将应用安全技术及能力固化 到企业共用的开发框架、制 品库及微服务中 • 将应用安全从一种后期构建 能力变成原生能力 安全能力 原生化 • 构建DevSecOps安全流水线 • 提升安全工作效率 • 降低对人员安全能力依赖 安全能力技术 化与服务化 安全管理过程 化、可视化 • 将安全控制及安全管理从事后延伸到整个软件开发及运维过程 • 建立面向软件生命周期的安全能力 • 实现安全左移及过程管理,将安全风险及软件缺陷消灭在上线前 • 通过量化数字指标,指导软件安全体系的演化及优化。 全球敏捷运维峰会 广州站
13. DevSecOps能力体系 构筑覆盖需求分析、设计、开发、测试、发布及运营环节的安全能力,实现安全左移及过程控制 工行DevSecOps安全体系 安全开发及管理流程 应用安全流程及策略 应用安全需求规范 安全设计规范 安全人才培养体系 安全分级及评估体系 应用安全开发规范 应用安全测试规范 组织架构与岗位角色 部门 流程 角色 发布安全审核 权限 应用安全运维 策略 安全管理及技术平 台 --平台支持-- 管理要求平台化|技术规范策略化 全流程覆盖|全应用覆盖 安全知识库 --知识库— 专家能力软件化 专家能力资产化 安全测试知识库 软件制品库 安全培训库 安全工具中间件 安全工具能力抽象 安全工具能力组合 检测结果自动关联分析 安全开发知识库 安全工具自动编排 漏扫工具 --顶层架构-- 有管理、有流程 有规范,有考核 指标 安全知识库 安全基线库 安全管理及标准体 系 应用安全合规性技术规范 应用安全开发管理平台 安全开发 自动安全测试 安全需求审核 建设目标 安全技术规范及合规要求 应用安全管理体系 安全需求分析 体系层级 源码扫描工具 交互式扫描工具 隐私检测 制品库管理 应用加固 安全工具链 安全运维工具 工行软件DEVOPS体系(代码仓库,持续集成,容器, IDE开发工具) 全球敏捷运维峰会 广州站 研发DevOps工具 --工具及DevOps整合-- 降低使用门槛 提升人工效率 提供闭环安全能力
14. DevSecOps能力体系:全流程闭环安全管控能力 需求分析环节 研发过程安全 应用安全 需求 设计环节 应用安全 设计 安全测试 用例 需求分析环节 运维安全事件 响应及溯源 安全能力沉淀 安全需求缺 失 设计环节 安全设计缺 陷 ⚫ 运营安全问题闭环追踪 ⚫ 安全问题回溯开发者 ⚫ 安全问题回溯引入源头 问题修复跟踪 开发环节 测试环节 发布环节 合规认 证 安全 配置 开发环节 代码缺陷 第第 三三 方方 组组 件件 缺缺 陷 陷 运营环节 运维安全 配置 基线测 试及 发布审 核 测试环节 发布环节 测试用例缺失 测试工具漏报 ⚫ 基于缺陷组件横向排查 ⚫ 基于缺陷代码横行排查 ⚫ 基于安全配置横向排查 应用横行排查 全球敏捷运维峰会 广州站 发布标准缺 陷 ⚫ 安全设计沉淀为知识库 ⚫ 安全开发沉淀为安全组件 ⚫ 安全测试沉淀为工具规则 安全能力沉淀 运维安全 事件
15. DevSecOps能力体系:全流程闭环安全管控能力 全量流 水线 存量代码 拉取 S AST 扫 描 ... S CA扫 描 ... 阶段 容器安全扫 描 领域 业界情况 计划 威胁建模 普遍采用轻量级checklist、安全知识库方式 开发 IDE安全插件 同下 静态代码扫描 (SAST) 腾讯(Sonar、semgrep、CodeQL、Coverity、自研啄木 鸟、敏感信息检查工具未知)、阿里(PMD、Sonar、自研 敏感信息检测工具SecretRadar、雳鉴)、华为(Sonar、 findsecbugs、SourceClear、自研)、招行(Sonar)、 中行(Sonar、Checkmarx) 软件组成分析 (SCA) 腾讯(自研开源协同)、华为(FOSSID)、招行(Hub、 BlackDuck)、中行(Dependency Check) 动态安全测试 (DAST) 腾讯(自研洞犀、金刚)、华为(Appscan、OWASP ZAP)、招行(Appscan) 交互式安全测试 (IAST) 腾讯(自研洞犀)、阿里(雳鉴)、招行(Acunetix) Docker镜像安全扫描 招行(Xray),其它未知 渗透测试 主要采用工具辅助人工的方式开展 开发者门户 CI流 水 线 CD 流 水 线 安全扫 描工具 代码提交 发布 敏感信息检 测 容器安全 扫描 敏感信息检测工具 detect-secrets、 git-secrets等 渗透测试: Burpsuit、 p ostman 、 nm a p 等 S AST扫 描 DAST扫 描 SCA扫 描 代码审核 IAST扫 描 SAST扫 描 入库 构建部署 SAST工 具 : Sonar、 fin dsecb ugs、 代码卫士等 SCA工具: 开源 卫 士 、 licen se- maven-plugin DAST工 具 : OWASP ZAP、 绿盟、 Appscan 模糊测试: 待引入 容器安全扫描工 具 :clair、 Xray、 Trivy、 OpenSCAP等 IA S T工具: 悬 镜灵脉等 安 全 支 撑 平 台 验证 验证 预发布 主机(服务器)漏洞扫描 全球敏捷运维峰会 广州站 腾讯(自研金刚)
16. DevSecOps能力体系:全流程闭环安全管控能力 全球敏捷运维峰会 广州站
17. 未来展望 技术变革将驱动新一代软件安全革命 关键技术的演化,对于软件安全攻防双方来说,都是一个新的空白窗口期,谁能优先利用新技术,谁将在安全对抗中获得领先优势。 网络安全网格 隐私增强计算 决策智能 • 分布式架构方法,实现了 在分布式策略执行架构中实行 集中策略编排和决策 ,用于实现可扩展、灵活和可靠的 网络安全控制 利用大数据分析技术挖掘程序潜 • 在缺陷在技术原理上已经被证明, 也在领先机构的研发中取得了实 • 允许身份成为安全边界 ,使任何人或事物能够安全地访 问和使用任何数字资产,提供必要的安全级别是随时随 地 运营趋势的关键推动因素; 际效果。新漏洞挖掘技术是一个 双刃剑,在提升企业安全测试水 平的同时,也可被攻击者利用优 先发掘0-day。 • 分布式、模块化架构方法 ,正迅速成为分布式身份结构 ( The Distributed Identity Fabric)、基于上下文的安 全分析、情报和响应(EDR、XDR)、集中式策略管理和 编排、ZTNA、云访问安全代理的安全网络基础设施 。 全球敏捷运维峰会 广州站 • 随着全球数据保护法规的成熟,各地区首席信息官所面 临的隐私和违规风险超过了以往任何时候。不同于常见 的静态数据安全控制,隐私增强计算可在确保保密性或 隐私的同时,保护正在使用的数据。 Gartner认为,到2025年将有一半的大型企业机构使用 隐私增强计算在不受信任的环境和多方数据分析用例中 处理数据。企业机构应在开始确认隐私增强计算候选对 象时,评估要求个人数据转移、数据货币化、欺诈分析 和其他高度敏感数据用例的数据处理活动。
18. THANK YOU! 全球敏捷运维峰会 广州站

trang chủ - Wiki
Copyright © 2011-2024 iteam. Current version is 2.137.3. UTC+08:00, 2024-12-01 00:38
浙ICP备14020137号-1 $bản đồ khách truy cập$