《【吴永佳】金融企业内部以攻促防探索与实践(新版).pdf》由会员分享,可在线阅读,更多相关《【吴永佳】金融企业内部以攻促防探索与实践(新版).pdf(21页珍藏版)》请在三个皮匠报告上搜索。
1、金融企业内部以攻促防探索与实践平安银行吴永佳(getshell1993)网络安全态势 境外国家级网络部队长期对我国重要敏感单位实施网络攻击、企图窃取敏感数据 商业黑客通过勒索软件、窃取数据等手段对商业组织进行财物勒索 竞争对手某些行业竞争对手会使用各种黑客手段窃取商业机密鉴于严峻的网络安全形势,不同规模的实战攻防演习应运而生 国家级攻防演习 省级攻防演习 地市级攻防演习 行业级攻防演习 企业内部攻防演习企业内部纷纷建立假想敌部队 以攻促防企业内部蓝军银行证券保险大型互联网运营商电力人员规模:普遍仅有 数名蓝军 成员或虚拟蓝军 仅有极少数大厂蓝军成员人数达到数十人蓝军人员配置战术制定情报搜集黑盒
2、渗透代码审计社工钓鱼逆向分析 免杀近源攻击内网渗透 熟悉防御体系纵深防御技术体系 未知攻,焉知防 知防,更能攻!EDR零信任SOC威胁狩猎威胁情报SOAR蜜罐沙箱安全有效性验证FWNTAIPS/IDS HIDS AV WAF 熟悉安全防御体系“善守者,藏于九地之下;善攻者,动于九天之上;故能自保而全胜也。”-孙子兵法威胁企业网络安全的主要攻击方式1day/0day应用系统/小程序/公众号(oa、mail、erp、crm、ehr、srm、cms)中间件/框架组件(weblogic、Apache、fastjson、log4j、shiro)社工钓鱼邮件钓鱼(恶意附件、二维码、超链接)供应链攻击攻陷上
3、级单位、同级单位、下属单位各类五花八门的安全工具、集权系统社交软件钓鱼(微信、脉脉、boss直聘、微博抖音、小红书)其他社工方式(电话社工、近源wifi、badusb)攻陷软件供应商、服务商、合作方开源生态投毒假设我们一定会被0day突破边界!以边界失陷为场景开展演习办公网WIFI云桌面网点测试环境开发环境生产环境云原生演习的攻防起点设置在各边界突破口全年开展以失陷为假设的攻防演习练习红军快速定位和应急能力快速将攻击行为遏制社工钓鱼手段套路深堪比电诈怎么办?构建多元化实战化钓鱼场景邮件钓鱼电话钓鱼wifi钓鱼社交软件钓鱼线下海报钓鱼因材施教,以攻击者的思路开展针对重点人群开展针对性的钓鱼演练和
4、安全培训 梳理暴露在互联网的邮箱人群,此类人群最容易遭受广撒网钓鱼 梳理招聘HR、boss直聘人群,此类人群最容易遭受病毒简历攻击 梳理脉脉、小红书认证企业员工人群,此类人群最容易遭受各类话术的社工 梳理各营业网点和职场安保人群,此类人群最容易遭受物理社工攻击 梳理IT运维岗位人群,此类人群一旦被攻击成功杀伤力较大聚焦重点人群筑牢免疫屏障勒索病毒演练钓鱼演习闭环流程 系统自动投放 人工投放 重点人群 提取中招人员启动信息安全事件响应 通知对方已被钓鱼中招人员参加安全意识培训再次纳入下一轮钓鱼演练名单 参加安全考试完成此轮钓鱼演练任务不及格供应链的风险问题蓝军可以做哪些工作?针对外购系统开展安全
5、研究对外购产品进行针对性的审计、0day漏洞挖掘2023年产出20+个高危0day安全工具集权系统网络设备哑终端针对深度合作的供应链厂商开展演习 开展密切合作的重点供应商梳理 获得供应商开具的渗透授权 针对供应商开展攻防演习 建立联防、协作网络安全防护体系内部分支机构攻防演习活动概况说明 演练结果达成效果总行蓝军成员组成攻击队在互联网、办公网使用钓鱼社工、漏洞攻击等攻击手法,向所有分行防守单位发起攻击,防守单位负责进行监控防守。攻击方累计可控制*台服务器,累计可直接获取数*万客户敏感信息,演练期间发现*个通用产品0day漏洞。发现各分行的安全隐患并推动修复,提出针对性解决方案和后续整改措施;通
6、过演习进一步提升分行安全事件的应急处置能力和总分行联动的应急处置效率;对防御体系有效性进行验证,进一步优化安全设备防护规则及告警规则;外部蓝军-引入外部安全厂商、众测与白帽子以众多的第三方的独立视角发现实际安全风险实网攻防对抗每年组织10支顶级安全厂商攻击队伍以更加集中的方式开展攻防对抗+沙盘推演持续时间:两周全年开展众测活动 平安SRC众测 众测平台1 众测平台2 众测平台3 众测平台4 众测平台5全年对外接收我行漏洞及情报测试范围:所有web、app资产所有公众号所有小程序其他相关情报 自有蓝军全年随机对抗+外部蓝军辅助参演模式,实现“平时如战时”但仍会存在周期性、依赖人员水平、不可复现性问题 阻碍了攻击成果转换为防守场景以战养战,实现攻防收益持久化内部分支机构演练发现的监控失效点闭环能力将演练的成果固化成常态化的验证能力开展自动化的失陷场景的防御有效性验证让演练成为促进安全防御能力提升的内生动力用例执行,有效性平台持续验证 7*24小时自动巡检验证 *分行、*分行、*分行nta无任何流量 针对*漏洞、*漏洞的成功入侵nids无对应的检测规则 个别机器资产未在cmdb收录,机器未安装hids 内存木马hids无相关告警队伍练兵机制靶场内部演练知识库漏洞库技术分享 CTF竞赛实网攻防安全琅琊榜引进高校毕业生,培养其攻防技能,打造一支高素质、能攻善守的后备攻防人才队伍THANKS