《2020年FreeBuf金融安全前沿技术高峰论坛嘉宾演讲PPT资料合集.rar》由会员分享,可在线阅读,更多相关《2020年FreeBuf金融安全前沿技术高峰论坛嘉宾演讲PPT资料合集.rar(0页珍藏版)》请在三个皮匠报告上搜索。
1、AI 驱动安全运营,助力自动自主防御体系构建 Fortinet华东区技术经理 卜婵敏 2 41%初级招聘 缺乏经验丰富的网络安全与业人员 3M 缺口 全球网络安全人力资源 56%组织 网络安全分析师丌堪重负 Sources:1.“Reinventing Cybersecurity with Artificial Intelligence,”Capgemini,accessed January 27,2020 2.(ISC)CYBERSECURITY WORKFORCE STUDY,2018.3.“Is the Cybersecurity Skills Shortage Getting Wors
2、e?”ESG,May 10,2019 使用 ML/AI 尽可能减少人工操作 比如 恶意软件/安全事件 分析 5年工作经验的人要平均花费1-2周时间来分析安全事件 先进的 学习功能 将检测时间从分钟级降低到亚秒级 降低 检测时间 AI在安全检测领域的愿景/目标 安全分析师的成本安全分析师的成本*美元美元 人均年工资60K-95K美元 5-6 年工作经验 技能需求技能需求 恶意软件研究经验 入侵事件调查分析能力 思考一下思考一下 入侵的直接成本和间接产生的商誉损失 一种能够分摊当前安全分析师繁重工作的方法,并且能够降低人为失误 人工结合AI分析师组合团队带来的可能 *Based on https:
3、/ 安全分析师的成本-提供更好的ROI选择 已经近一个世纪了 Fortinet Inc.All Rights Reserved.5 Turing,Kleene and Church 提出了机器学习方案 McCullouch and Pitts 为 Turing 人工神经员 提出了正式设计 AI 研究经费绝大多数来自于美国军方 专家系统开始规模化应用 Lisp vs.PC IBM Deep Blue 击败国际象棋大师 Kasparov AI 研究正式成为一门学科在Dartmouth College 第一次 AI 寒冬 在美国和英国,由于难以产出结果,削减大量资金 由于CPU算力提升,AI 被应用
4、到数据挖掘,医疗诊断 深度学习通过更大的算力,更多的数据和更好的数据结构设计获得了成功 Fortinet 开始在AI技术方面进行产品化的研究,率先在网络空间安全领域对机器学习进行迭代 2,700+AI 项目在 Google 被启动 Elon Musk 呼吁对AI进行监管,before we hit 100 years Fortinet FortiAI 作为产品准备发布 IBM Watson 应用在肺癌诊断和治愈场景 Fortinet AutoCPRL 使用机器学习检测恶意软件 i.e.机器生成CRPL Fortinet 在Web 应用安全领域使用机器学习 Fortinet 收购 Zonefox
5、 人工智能的历史-已经近一个世纪了 AI应用到网络空间安全领域应用到网络空间安全领域 反病毒引擎 沙箱 蜜罐 检查苹果核 额它坏了。来让我尝一口 额它坏了。AI 让我描述一下它-开始腐烂了,味道也丌好.额它坏了。让我放更多的苹果 带个陷阱。恶意代码检测-不同的检测技术 假鸭子假鸭子 真真 鸭子鸭子 能走能走 能叫能叫 能游泳能游泳 特征 在机器学习和模式识别领域,一个特征是一个独立可测量的性质,戒一种可被观测到的现象的特征。FortiAI 对恶意软件正是如此检测的 人工智能/机器学习:我们希望它做到什么?干净干净/恶意恶意 特征数据库 输出输出 输入输入 被选择的样本被选择的样本 已知已知 干
6、净干净/恶意恶意样本样本 特征特征 预训练 步骤在FortiGuard 实验室中已经完成,使用超过2000万正常和恶意文件进行的训练 持续进行训练和升级 AI 训练 文件文件 二进制脚本 特征抽取特征抽取 文本解析器(script),反汇编程序(PE)反混淆 解压缩 代码段代码段 代码段代码段 平均每个文件 5000+输入层 输出层 FortinetFortinet专利专利 神经网络(神经网络(ANNANN)特征数据库 600万+特征 GPU硬件加速 特征匹配特征匹配 匹配 计数 优先考虑 分类分类 下载器 结果结果 =恶意恶意 (或正常或正常/干净干净)特征检测到的数量特征检测到的数量 下载
7、器=26 木马特征=5 勒索软件=2 AI安全分析师-0day检测 本地学习&分析 CIO 我们是否受到该病毒的感染?比如 WannaCry 我来查询一下!FAI VSATM WannaCry Hash ABC 变种1 Hash DEF 变种2Hash GHI 变种N Hash JKL 爆发查询 允许在网络上搜索恶意软件及其变种 相似度引擎 病毒爆发查询和相似度搜索引擎 FortiAI 人工智能神经网络 预训练 未来学习 现场学习 训练阶段目标 最高检出率 最低误报率 FortiGuard 升级 ANN 升级 不最新威胁保持同步 持续训练 人工 vs 机器 1 3 2 技术技术 人人 流程流程
8、 SecOps 分析员,管理安全技术,驱动安全解决方案 短板短板:InfoSec知识短缺知识短缺 一种检测,调查和应对威胁的系统方法 短板短板:人工处理人工处理 提供威胁可见性和响应措施的产品短板短板:传统检测传统检测 传统SecOps运行模式 1 3 2 技术技术 人人 流程流程 使用AI技术来扩展安全运营中心(SOC)幵缩小技能短板 将AI应用于识别,调查和响应威胁中的繁琐过程中,增强实时性 应用AI提高检测复杂威胁的速度 AI驱动的SecOps运行模式 用于AI驱动的SecOps的深度学习 准备准备 恢复恢复 计划计划 技术技术 流程流程 人人 No Yes 取证取证,威胁擦除威胁擦除,
9、报告和经验积累报告和经验积累 Yes:No Yes 是否恢复?No Yes Yes No Detection&Analysis Response 发现发现:SIEM 警告警告 主机主机,服务器服务器,安全安全/网络设备网络设备,应用应用 威胁情报威胁情报 分析分析:审核工具审核工具/日志抓包日志抓包,RE 病毒样本病毒样本,外部搜索外部搜索 初始动作初始动作:额外分析和监控额外分析和监控(蜜罐蜜罐/漏扫漏扫)包含包含?部属部属?测试和培训测试和培训 是否解决是否解决问题问题?中低危?高危?威胁处理动作:在接入层隔离主机、服务器 Hrs 发现和分析发现和分析 响应响应 自动化分析和响应 人类与业
10、知识和人工智能 调查 响应 发现 发现(1+hrs)假设在SOC仪表板上的100到1000的威胁警报中,选择的威胁恰巧是勒索软件,戒者由受影响的用户直接发出警报 调查(4+hrs)登录安全产品 查看日志/警报 使用内置和外部工具来验证勒索软件 进行外部研究 登录安全产品以搜索WannaCry的横向运动 创建缓解计划 响应(2+hrs)隔离设备,网段 修复设备/还原备份 打补丁 解决问题 示例:WannaCry响应生命周期-仅使用传统分析方法的SecOps 调查 响应 发现 发现(1 ms)AI:亚秒级 AI:自学勒索软件新功能 调查(5 mins)AI:为WannaCry杀伤链提供全路径威胁研
11、究 AI:识别第一个受WannaCry感染影响的用户的横向运动 SecOps:制订缓解措施 响应(30 mins)AI不安全控制集成:隔离设备,网络微分段 SecOps 跟进:修复还原设备 打补丁 解决问题 示例:WannaCry响应生命周期-使用深度神经网络(AI)增强的SecOps 数据 日志 流量 应用 情报 算法 随机森林 SVM 神经网络 K-Means 场景 0Day/APT 云可视化 UEBA SOAR AI三要素 终端安全 防火墙 蜜罐 沙盒 网页 邮件 3M+3M+4M+4M+1M+1M+250M+250M+100M+100M+每日分析每日分析 千亿千亿+安全事件安全事件 客
12、户本地机器学习客户本地机器学习 全球捕获、分析全球捕获、分析&机器学习机器学习 UEBA EDR WAF AIAI驱动的响应驱动的响应 日志审计 SIEM SOAR 虚拟分析师 分布式AI安全模型 45万 客户网络 覆盖所有主要威胁向量 信息订阅 200+100B100B+事件 防御 已知攻击 检测 未知攻击 情报 Playbooks,IR 最大安全研究团队之一 8 个与用实验室 覆盖 31 个国家 每年58万小时安全研究 Firewalls Web Emails Endpoints 全局AI驱动的威胁情报/订阅服务 ESG驱动的金融客户隐私保护体系建设实践孔一童 诺亚控股 业务安全中心资深总
13、监公司介绍332157120万注册客户数人均交易量3367季度活跃客户综 合 金 融 服 务 平 台财 富 管 理资 产 管 理海外业务开 放 性 的 产 品 和 服 务 平 台战略投资/数据系统/风控合规/市场品牌活动/培训/投资者教育 渠道 开放平台 投顾 主动管理 FOF 直投 资产配置 保险经纪 信托服务 投资者教育 理财师教育综 合 服 务 香港 美国 加拿大 澳洲 新加坡14703私募公募数据来源:诺亚控股2020Q2财报什么是ESG3环境(E)社会(S)公司治理(G)识别风险提高投资回报发现长期价值全球范围内的投资者将ESG评估纳入投资决策体系ESG是英文Environmenta
14、l(环境)、Social(社会)和Governance(治理)的缩写,是一种关注企业环境、社会、治理绩效而非财务绩效的投资理念和企业评价标准。什么是ESG4E-环境 投入(Input):能源、水等资源的投入 产出(Output):气候变化、排放物、废料等S-社会 领导力(Leadership):可问责性、信息披露、发展绩效等 员工(Employees):多样性、培训、劳工关系等 客户(Customers):产品安全性、负责任营销 社区(Communities):人权、社会投资、透明度等C-治理 透明度(Transparency)独立性(Independence)薪酬(Compensation)
15、股东权利(Shareholder Rights)等ESG内涵由环境方面(E)、社会方面(S)和治理方面(G)的具体评价指标界定。目前,虽然国际上尚未形成关于ESG的统一的权威定义,但不少机构、组织已提出了各自具有一定代表性的定义(以下标准以高盛为代表)能源使用、气候变迁的变化对实体经济的影响越发明显 投资实例证明ESG投资对投资收益有正面贡献 相关数据的收集与累计有相对规模的进展(世界银行2019年全面公布ESG全球上市公司数据库)各资产类别ESG与财务绩效显著正相关。数据来源:Deutsche AWMESG 受重视的原因ESG在北美和新兴市场相对更加有效 数据来源:Deutsche AWM诺
16、亚与ESG6 2014年开始自发发起一年一度的诺亚财富可持续发展报告CSR report 已持续5年 近年来每次诺亚控股集团季报/年报发布,均主动披露在可持续发展上的举措及成效 2019年诺亚成为中国最有公信力的主流财经媒体财新发起的“中国ESG30人论坛”,并担任常务理事,发起ESG责任投资倡议。2020年5月,诺亚控股及旗下歌斐资产双双加入联合国支持的负责任投资原则组织UN PRI。诺亚社会责任相关执行情况诺亚ESG自评估(基于MSCI评级)行业评分分布(资产管理与托管银行)ESG驱动的客户隐私保护提升措施ESG提升加强信息披露隐私政策更新实施ISO 29151认证通过ESG官网加强信息披
17、露https:/ 个人信息收集自查和隐私政策更新实施ISO 29151 认证-标准介绍实施ISO 29151 认证-标准介绍实施ISO 29151 认证认证准备关键考虑事项实施ISO 29151 认证认证准备梳理数据流转流程编制个人信息清单实施ISO 29151 认证认证准备实施ISO 29151 认证认证准备隐私风险影响评估实施ISO 29151 认证认证准备编制适用性声明实施ISO 29151 认证认证准备管理体系文件更新 增加隐私保护政策说明信息安全管理方针与政策 对于PII信息收集、使用、存储和传输提出具体的安全防护措施要求数据安全管理办法 规定PII信息的加密和展示脱敏规则敏感信息管
18、理规范实施ISO 29151 认证认证准备数据安全技术防护措施场景数据安全技术措施收集1)App 信息收集权限最小化存储1)敏感信息存储加密2)文档加密系统传输1)https传输加密2)敏感信息加密传输3)网络隔离使用1)前端显示脱敏2)前端页面显示水印3)应用系统操作日志4)数据库安全审计5)堡垒机6)DLP删除1)介质废弃消磁2)数据备份3)危险命令执行限制实施ISO 29151 认证若干注意事项1关于外包和分包中涉及PII的信息披露2关于个人信息的组织内部共享3关于PII信息的跨境传输存储4客户如何行使拒绝、撤回同意、账号注销的权利5关于数据保存期限到期后的处理6关于隐私政策用户操作日志
19、的保存和追溯THANKS金融APP检测那些事儿 宋鑫磊 中国金融认证中心(CFCA)资深信息安全官 从金科认证、安全认证、渗透测试中看金融领域对APP建设的要求及检测方法#whoami 宋鑫磊,m0nst3r CFCA 关键字:-Web渗透-APP渗透-红蓝对抗-一点点逆向和Pwn-一点点PHP/Python/Golang/Java/JS-初级MS Office工程师 https:/m0nst3r.me Github:mr-m0nst3r 公司简介 公司基本情况 国家重要的金融信息安全基础设施之一 国内最大的电子认证服务机构 首批获得电子认证服务许可的电子认证服务机构 信息安全综合解决方案提供
20、商 提供可依赖的专家级服务 拥有电子银行业垂直媒体中国电子银行网 拥有一家专业从事互联网支付的第三方支付子公司中金支付 公司简介 业务板块 电子认证 服务 互联网 安全支付 互联网 媒体 信息安全 产品 信息安全 服务 重点产品及服务重点产品及服务 -CFCACFCA全球信任体系证书全球信任体系证书 -CFCACFCA快速身份认证系统快速身份认证系统FIDO+FIDO+-无纸化手写电子签名系统无纸化手写电子签名系统 -安心签安心签电子合同签署平台电子合同签署平台 -云证通云证通可靠的移动电子签名服务可靠的移动电子签名服务 -网络身份认证平台网络身份认证平台 -电子证据保全系统电子证据保全系统
21、-信息安全服务信息安全服务安全评估、系统检测安全评估、系统检测 -信息安全服务信息安全服务产品检测产品检测 -软件测评服务软件测评服务 -交易监控及反欺诈系统交易监控及反欺诈系统 金融APP 认证 安全 APP认证 认证 金融科技产品认证 APP安全认证 金科认证 文件支撑 209号文金融科技(FinTech)发展规划(20192021年)237号文关于发布金融行业标准加强移劢金融客户端应用软件安全管理的通知 检测标准 JR/T 0092-2019移劢金融客户端应用软件安全管理规范 JR/T 0098.3-2012中国金融移劢支付 检测规范 第3部分:客户端软件 T/PCAC 0006-201
22、9 条码支付移劢客户端软件 检测规范 (适用时)JRT 0171-2020 个人金融信息保护技术规范 金科认证 身份认证安全 未使用安全键盘,无防截屏功能 界面中用户信息展示未脱敏 逻辑安全 申请冗余权限 安全功能设计 iOS客户端软件不具备防静态、动态调试的抗攻击能力 关键Activity组件可被任意调用 无ROOT、模拟器、越狱等风险环境检测 密码算法及密钥管理 客户端明文存储密钥 数据安全 客户端运行日志中打印敏感信息 未对服务器证书进行强校验 关键业务功能的数据包中未使用数据摘要算法进行完整性校验 本地文件中有明文存储的用户信息 客户端不存在会话超时逻辑,或用户登出后会话仍有效 客户端
23、安全检测常见问题 金科认证 隐私政策常见问题 未明示收集使用个人信息的目的、方式和范围 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等 未经用户同意收集使用个人信息 以默认选择同意隐私政策等非明示方式征求用户同意 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项 未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息 未提供有效的更正、删除个人信息及注销用户账号功能 未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的 安全认证 文件支撑
24、 关于开展App违法违规收集使用个人信息专项治理的公告 中央网信办、工业和信息化部、公安部、市场监管总局 关于开展App安全认证工作的公告 市场监管总局 中央网信办 关于邀请参加2020年国家级检验检测机构能力验证计划“移劢互联网应用程序(App)个人信息安全测试”的通知 中国网络安全审查技术与认证中心 检测标准 信息安全技术 个人信息安全规范 GB/T 35273-2020 四部委发布的App违法违规收集使用个人信息行为认定方法 国标移劢互联网应用程序(App)收集个人信息基本规范(征求意见稿)移劢互联网应用程序(App)安全认证实施规则CNCA-APP-001 移劢互联网应用程序(App)
25、安全认证实施细则CCRA-APPS-2019 安全认证 未说明收集使用的个人信息目的、类型、方式未说明收集使用的个人信息目的、类型、方式 申请权限或收集个人敏感信息时未同步告知目的申请权限或收集个人敏感信息时未同步告知目的 实际收集使用个人信息行为与声明不一致 收集个人信息的行为超出必要范围 未经同意向第三方提供个人信息 未提供有效的注销账号方式未提供有效的注销账号方式 未经用户同意收集个人信息 强制捆绑授权强制捆绑授权 未提供删除、更正或投诉举报的功能或渠道 隐私政策未征得用户明示同意隐私政策未征得用户明示同意 客户端个人信息收集使用检测常见问题 APP认证 总结:正确了解自己,用正确的方式
26、,做正确的事儿 -隐私政策要明示用户征得同意-隐私政策要说明收集使用的个人信息的目的、类型方式-申请权限和收集信息时要同步告知目的,不能捆绑授权-去除冗余、非必要权限-调查SDK收集个人信息的情况与权限-要保护用户个人信息,正确处理与第三方共享-需要提供账号注销、删除、投诉、更正、举报功能或渠道,并及时响应处理-定向推送功能要可以关闭 -要使用安全键盘,做防截屏-正确处理用户个人信息和金融信息-确保数据正确性和合法性-客户端安全:硬编码、导出组件、防调试、运行环境信息并上报风控 APP认证 安全键盘,防截屏安全键盘,防截屏 CFCA密码控件,采用了虚拟安全软键盘输入或者硬键盘输入,对输入数据从
27、用户输入、数据存储、内存数据转换、传输到服务器整个过程进行全程加密。有效防止运行在客户系统上的病毒、木马、数据监听、键盘劫持、键盘截屏等恶意程序的攻击行为,从而有效的保护用户输入的敏感信息(如登录密码、支付密码等),防止被非法获取。APP认证 正确处理用户个人信息和金融信息正确处理用户个人信息和金融信息 CFCA FIDO+方案完美结合了FIDO技术和电子认证技术,用户可以通过人脸识别、指纹识别等方式实现免密登陆和免密交易,拥有便捷性的同时,实现高安全性,并保障司法取证。适用于手机银行、第三方支付、理财消费等互联网金融和政府机构领域。免密登录 采用刷脸/指纹等生物识别方式进行免密登录 小额免密
28、支付 采用刷脸/指纹等生物识别方式进行小额免密支付 大额转账/支付 采用刷脸/指纹等生物识别方式替代短信验证码等、结合交易密码进行大额转账和支付 安全性:采用PKI体系,服务器只存储公钥 便捷性:生物识别替代口令,不用输入口令或者携带设备 私密性:生物识别信息存储在本地,无口令丢失和信息泄露风险 统一身份认证标准:可以对接多种生物识别方式,接口统一,可以兼容各种设备和应用 APP认证 确保数据正确性和合法性确保数据正确性和合法性 云证通,基于第三方电子认证机构的签名服务,面向移动应用提供符合法律效力、安全便捷数字签名和认证服务。手机盾,是在移动终端上实现的基于硬件的、交互的、数字证书的电子认证
29、服务。APP认证 硬编码、导出组件、防调试硬编码、导出组件、防调试、防截屏、防截屏 CFCA移动应用安全加固解决方案,提供云加固平台或本地部署的加固服务 APP认证 运行环境信息检测运行环境信息检测 终端感知平台,是CFCA针对银行客户推出的用户行为、终端安全等数据的采集、分析、展示产品,支持私有化部署。用户 新增用户 活跃用户 用户分布 用户留存 使用次数 排名 使用时长 使用流量 设备信息 行为 埋点页面浏览次数 埋点页面停留时长 最近30日占比 最近7日占比 页面访问明细 点击事件统计分布 流程及转化率 使用频率 使用时长 使用时段 时段分布 威胁 是否ROOT/越狱 是否为模拟器 是否
30、有危险框架 地理位置异常 网络模式异常 风险设备统计 攻击 界面劫持 动态调试 二次打包 So注入 Dex注入 程序外挂 系统加速 攻击分布 恶意应用 木马病毒 崩溃 闪退趋势 闪退时间 错误日志 发生设备 闪退分布 APP认证 风控风控 交易监控及反欺诈系统是一套基于大数据分析的风险监控系统。通过机器学习和数据挖掘技术进行人工智能分析,识别出隐藏在海量交易中的极小概率的欺诈交易。可以有效地对银行交易数据实时进行风险监控,降低欺诈风险;提高客户满意度。金融APP 安全 渗透测试 攻防演练 渗透测试 2018年12月,一个利用网上银行APP漏洞非法获利的犯罪团伙被上海警方抓获。该团伙利用银行AP
31、P安全漏洞,使用技术软件成倍放大定期存单金额,从中非法获利2800余万元。用银行卡转账,钱被原路退回后,转入卡的余额反而增加了。2016年6月4日至12日,8天时间内,在上海工作的福建男子叶榅飞,利用银行系统漏洞,转账超350次,获利1125万元。文件支撑 检测标准 GB/T 20984 信息安全技术信息安全风险评估规范,2007 GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南,2015 GB/T 18336.2-2015 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求,2015 OWASP渗透测试指南,2017 GB/T8567-2006计算机软件文档编
32、制规范,2006 GB/T9386-2008计算机软件测试文件编写规范,2008 GB/T25000.1-2010软件质量要求与评价(SQuaRE)指南,2010 PTES渗透测试执行标准 网上银行系统信息安全通用规范(JR/T 0068-2020)商业银行应用程序接口安全管理规范 渗透测试 渗透测试常见问题 逻辑漏洞(前端、身份认证、密码)命令执行 敏感信息泄漏 SQL注入 越权 任意文件上传/下载 SSRF 验证码爆破 XSS 渗透测试 假设黑客无所不能 任何用户的输入都是不可信的 渗透测试 APP检测 是时候展现真正的技术了.gif APP检测 抓包 安装Burp证书-设置代理-访问ht
33、tp:/burp,下载证书-安装证书:-直接“从SD卡安装”-放入/etc/security/cacerts下(7.0系统)参考:https:/m0nst3r.me/android/Android-7-Burpsuite-%E6%8A%93%E5%8C%85.html APP检测 抓包 证书信任链路-Xposed:SSLUnpinning-Frida:frida-codeshare masbog/frida-android-unpinning-ssl-f YOUR_BINARY APP检测 抓包 透明代理-BurpSuite监听80和443端口,并设置为透明代理模式-取消手机设置的代理-设置路
34、由重定向(root)-iptables-t nat-A OUTPUT-d 0.0.0.0/0-p tcp-j DNAT-to -删除路由重定向-iptables-t nat-D OUTPUT-d 0.0.0.0/0-p tcp-j DNAT-to APP屏蔽了代理模式,或采取了DNS-Over-HTTP,或使用自定义Socket实现HTTP/HTTPS APP检测 脱壳-第一代,Dex整体加固,基于Java本身提供的类加载技术,classes.dex被完整加密,放到apk的资源目录下,运行时修改程序入口,将加密后的classes.dex在内存中解密,并让虚拟机加载执行;脱壳时,hook dvm
35、DexFileOpenPartial等一些加载dex或者有dex文件结构体经过的函数,去拦截脱壳,或者直接搜索内存,匹配dex文件头,然后dump dex文件 -第二代,函数抽取,将原apk中的核心方法的代码指令提取出来单独加密处理,当虚拟机要执行某个方法时,加固引擎才解密该方法的指令,并将解密后的指令交给虚拟机执行,脱壳时需要在系统解析函数的点拦截。-第三代,VMP虚拟机加固,将核心函数的指令提取出来并替换为自定义指令,应用执行到核心函数时,会跳转到自己实现的虚拟机解释执行自定义指令,脱壳需要长期跟踪壳里的置换表,考虑到金融app中被vmp处理的函数少,且项目检测周期短,恢复vmp壳处理过的
36、函数时间比较长,暂时不在这提。APP检测 脱壳 目前市面大多数应用加的壳都是函数抽取,再强点,部分函数使用vmp。解决掉函数抽取的壳,基本就满足App检测的技术要求了,所有暂时只讲函数抽取脱壳。函数抽取壳网上有一些不错的工具,如fart,但是很容易被壳针对,比如壳对frida、xposed的检测 使用定制过的xposed hook系统函数,拦截解析函数的点,主动遍历App所有函数然后主动调用,在解析函数的点对抽取掉的函数进行恢复。APP检测 加解密 目的:分析数据包,本地一些数据加密方式,加密是否合理 找加密算法常见思路-根据数据包里一些关键字,比如sign、xxlogin,定位代码缩小分析范
37、围-分析触发某些事件的界面,从界面布局id缩小分析范围。比如点登陆时,通过分析登陆按钮id,定位到对应点击事件的代码,一般附近就有加密代码-前两种找关键字有点碰运气的感觉,分析界面速度比较慢,可以结合ddms,结合hook去分析-android自带工具ddms跟踪某个过程,比如登陆过程,收集所有执行过的函数-frida解析ddms生成的文件,批量hook,打印函数字符串,此时会暴露所有加密前后的字符串,快速定位加解密代码。(这儿使用ddms的结果跟踪是考虑到大批量hook应用所有函数容易崩溃,而且打印时无用信息太多)-当加解密代码定位到很小的范围,剩下就真需要看我们逆向人员的功底,逆向混淆代码
38、,汇编,调试、过反调试的能力了 APP检测 加解密 DDMS hook APP检测 加解密 S S APP检测 Burpy https:/ 逐渐崩溃逐渐崩溃.gif.gif APP检测 Burpy https:/ Processor-全部功能由一个Burpy类提供,更灵活-支持流量自动加密签名、自动解密 -Imagination is the limit.APP检测 Burpy APP数据包 BurpSuiteBurpSuite 解密 Burpy py脚本 Server 加密 Burpy py脚本 import base64 class Burpy:def _init_(self):pass
39、def _test(self,param):return magic(param)def encrypt(self,header,body):return header,body def decrypt(self,header,body):return header,body def b64encode(self,header,body):return header,base64.b64encode(body.encode(utf-8)def processor(self,payload):return payload+burpyed APP检测 Burpy headerfirst_line=
40、GET/core.php?web_id=1261015159&t=z HTTP/1.1 APP检测 Burpy APP检测 Burpy APP检测 Burpy APP检测 Burpy APP检测 Burpy+Frida APP检测 Burpy+webdriver+selenium APP检测 Burpy+webdriver+selenium APP检测 Burpy+OCR 鸣谢-FreeBufFreeBuf -K0r4djiK0r4dji -曹中全曹中全 -任彦宇任彦宇 THANKS 再谈金融移动应用安全 常鹏天 太平金科 高级安全工程师 移动应用安全的威胁 数据泄露 恶意的应用APP 自身/
41、仿冒 无线网络接入问题 设备丢失、用户身份、账户信息和认证密钥丢失 终端,外部环境的变化多样 手机,PAD 智能电视,智能手机 物联设备 5G 快速发展 远程办公 云的大规模应用 移动应用安全的技术发展路线 BYOD时代移动应用管理MAM App delivery App security App updating User authentication User authorization Version checking Push services Reporting and tracking 移动应用安全的技术发展路线 移动设备管理MDM Software Distribution Th
42、e ability to manage and support mobile application including deploy,install,update,delete or block.Policy Management Development,control and operations of enterprise mobile policy.Inventory Management Beyond basic inventory management,this includes provisioning and support.Security Management The en
43、forcement of standard device security,authentication and encryption.Service Management Rating of telecom services.CYOD 强管控 最大的问题对设备依赖 移动应用安全的技术发展路线 移动内容管理MCM Multi-channel content delivery Content access control Specialized templating system Location-based content delivery 移动应用安全的技术发展路线 全栈的解决方案-沙箱 数
44、据全生命周期包括数据存储、数据使用、数据共享、数据传输的管理 去除MDM功能,保护个人隐私,提升用户体验 提供企业内部应用的分发渠道 APP打包安全赋能 安全组件 安全阅读器,安全邮箱,安全浏览器 沙箱实施关切点 用户使用范围(企业内部,外部客户)建议分开部署 接入APP的范围(企业APP的收集,分类,根据业务类型,办公,业务支持,业务类型,2C业务)统一入口 初期:为了平滑过渡提供安全SDK给已有统一入口APP赋能,提供安全防护能力 后期:随着沙箱APP对接数量增多,逐步推广沙箱 业务功能和安全功能的取舍 防止截屏功能,业务功能上需要截屏报障 国密的要求 新一代移动应用安全 身份认证 一次登
45、录 全网漫游 MFA多因素认证 生物识别 人脸 人声 技术深度融合 PC端和移动端深度融合 数字身份边界可信 外部环境的感知 基于时间,位置等多维度的变化的感知 持续动态的认证 最终达到 可信的人员 终端可信 行为可信 访问可信 持续检测 THANKS 多元化金融应用安全防护 瑞数All in one WAAP解决方案吴剑刚瑞数信息 技术总监利用合法业务逻辑模拟合法操作大量使用“工具”高效率和规模化多源低频多特征传统安全很难识别批量注册、撞库及暴力破解恶意爬取金融产品、敏感数据虚假交易和交易篡改漏洞扫描和零日漏洞探测营销资源恶意抢占、薅羊毛在线交易对外业务市场营销活动数据服务注册及登录金融行业
46、面临的安全风险与挑战应用安全防护需求业务变化业务变化业务变化威胁变化威胁变化攻击手段变化攻击手段变化防护理念变化防护理念变化(看不起、看不到、看不懂、跟不上 预测、防御、监控、响应)APIAPI管理管理/防护防护安全协同业务安全协同业务CCCC攻击攻击主动防御主动防御业务攻击业务攻击微服务应用安全促进业务安全促进业务APP应用自动化攻击自动化攻击APPAPP攻击防护攻击防护设备联动设备联动无漏洞攻击无漏洞攻击安全从属业务安全从属业务Web应用人工渗透人工渗透WebWeb攻击防护攻击防护漏洞攻击漏洞攻击静态规则静态规则应用安全防护需求的演进20192019年中国年中国互联网网络安全态势互联网网络
47、安全态势2019年上半年阿里云Web应用安全报告2019年Web应用漏洞占CNVD收录漏洞的23.3%2019年针对国内网站的纂改数量19万个2019年,每个月的攻击次数都成递增趋势,到5月 每个月拦截的攻击超过19亿,6月份拦截的攻击突破20亿中国Web应用安全现状42.07%46.63%50.32%51.82%60.13%62.94%63.28%65.64%57.93%53.37%49.68%48.18%39.87%37.06%36.72%34.36%0%10%20%30%40%50%60%70%80%90%100%能源电力医疗出版行业教育互联网运营商金融政府自动化工具流量人类流量注:数据
48、来源瑞数信息2019年 Bots自动化威胁报告自动化工具流量 VS 人类流量 1/3的Web API调用来自浏览器 2/3的Web API调用来自手机、游戏主机、智能电视 API安全挑战巨大注:数据来源Akamai 2019 Q1API 流量增长迅速01020403GartnerGartnerAPI API 保护保护不光保护内部使用的 Web 应用和 API 还保护面向公众的 Web 应用和 APIDDoS DDoS 保护保护CC 攻击防御BotBot 保护保护区别自动化流量和人类用户,并对这两类流量实施适当的控制;WAFWAF尽量提高已知和未知威胁的检测率和捕获率;到 2023 年,30%以
49、上面向公众的 Web应用将受到云 Web 应用和 API 保护(WAAP)服务的保护,与目前的 10%相比将有巨大提升。分布式拒绝服务(DDoS)防御、bot 管理服务、API 保护和 WAF 等功能,可以为 Web 应用提供更好的安全保护。四个核心原则四个核心原则Gartner WAAP 体系架构安全前置、动态对抗全访问记录、AI 分析通过动态技术,针对自动化攻击建立全方位主动防御体系,从而形成事前,事中,事后安全风险闭环,消除用户信息安全体系建设中的“安全孤岛”问题,适应当前复杂多变的网络和应用环境,保障信息系统的动态、长期安全。WebWebH5H5APP/APP/小程序小程序APIAPI
50、WWA AA AP P平平台台业务场景业务场景WebWeb攻击防护攻击防护APPAPP攻击防护攻击防护APIAPI 管理管理/保护保护业务攻击防护业务攻击防护功能层功能层动态令牌动态令牌动态验证动态验证动态混淆动态混淆动态封装动态封装设备指纹设备指纹威胁模型威胁模型生成信誉库生成信誉库攻击者画像攻击者画像信誉数据输信誉数据输入输出入输出定时器定时器软拦截软拦截动态挑战动态挑战CCCC防御防御基于有监督和无监督学习模式下的智能基于有监督和无监督学习模式下的智能AIAI识别引擎识别引擎APIAPI管理管理/防护防护动态动态WAFWAFBotBot防护防护AIAI+动动态态策策略略层层可编程对抗可编
51、程对抗业务威胁感知动态技术1数据共享第三方数据输入第三方数据输入/输出输出WebWeb访问数据访问数据APPAPP数据数据APIAPI网关数据网关数据接入渠道接入渠道瑞数WAAP整体架构浏览器浏览器WebWeb服务器服务器移动移动AppApp对应用层的HTML代码进行动态变幻动态变幻动态验证运行环境验证,以甄别“人”还是“自动化”如:对抗模拟浏览器及自动化的攻击瑞数瑞数WAAPWAAP平台平台动态封装网页底层代码变换并封装,隐藏攻击入口,如:对抗一般扫描其及爬虫动态混淆提交的客户端敏感数据进行混淆变化,保护数据,防篡改如:对抗中间人攻击动态令牌一次性的页面动态令牌,确保执行正确的业务逻辑如:对
52、抗重访攻击或越权Bot 防护:动态安全保护应用及业务安全全面防护全面防护有效识别与阻挡多源低频、模拟业务逻辑、网页零日漏洞等新兴攻击。轻量管理轻量管理主动防御主动防御威胁透视威胁透视不依赖传统特征码、阈值、打补丁和策略规则,通过隐藏攻击入口,令漏洞扫描工具及模拟正常业务操作的工具完全失效。无需修改任何应用服务器代码,客户端无需配置。独特和细粒度的Bot行为透视,准确定位攻击通过机器人威胁清洗提供优质有效的威胁数据。自动化工具自动化工具快速演进快速演进脚本 Bots模拟浏览器及一般操作的Bots模拟业务逻辑及高级拟人Bots真人攻击核心优势:高级自动化工具防护防Bot效果:无规则,防0day漏洞
53、攻击利用0day漏洞攻击已经成为主要攻击手段,2019年攻防演练中曝出7种0day漏洞,2020年攻防演练中曝出36种0day漏洞,和Web相关的零日漏洞全部被瑞数拦截,动态安全技术无规则防护0day漏洞攻击。l 区别于IP限频的防御技术,基于专利技术动态令牌技术,可以防护各种CC攻击,业务正常访问爬虫程序打码平台黑产扫描搜索引擎欺诈短信轰炸程序黄牛无头浏览器 公积金保信息 专家号 薅羊毛 航空票务 身份信息 工商信息 交易截取 敏感信息泄漏 服务器压力暴增 拖库/撞库风险 名誉损失 内容篡改 金钱损失90%机器人流量BotsBots模拟模拟核心技术:动态验证核心技术:动态验证有效解决了Aja
54、x调用的问题,支持URL令牌等多种形式插入插入CookieCookie的实现的实现原理原理专利技术:动态令牌专利技术:动态令牌通过对客户端访问环境的真实性验证、用户行为检测以及访问轨迹等实现人机识别。效果效果AjaxAjax请求防护请求防护防护具有JS执行能力的工具CC 防护:应用层DDoS防护AIAI 智能威胁智能威胁引擎引擎手工攻击手工攻击防护防护手工攻击手工攻击手工攻击手工攻击手工攻击手工攻击已知漏洞已知漏洞攻击攻击非应用漏洞非应用漏洞攻击攻击零日漏洞零日漏洞攻击攻击动态安全动态安全引擎引擎工具攻击工具攻击防护防护X XX XX XX X扫描探测扫描探测(自动化)自动化)应用层应用层DD
55、oS/CC(DDoS/CC(自动化)自动化)多源低频多源低频手工攻击手工攻击手工攻击手工攻击手工攻击手工攻击零日探测零日探测(自动化)自动化)X XX XX XWAF 防护:动态引擎+智能引擎 丰富的指纹和工具特征 实时介入交互的信息采集 不依赖设备特征的“唯一标识”客户端指纹不依赖于设备客户端指纹不依赖于设备行为分析模型精准行为分析模型精准轻规则轻维护轻规则轻维护 全访问日志记录 数百万真实样本训练 用户异常行为识别模型 异常行为检测模型让威胁检测更智能 机器学习实现攻击识别AIAI智能智能威胁检测引擎威胁检测引擎动态安全引擎动态安全引擎无规则、防工具无规则、防工具高效率、零误报高效率、零误
56、报易使用、轻维护易使用、轻维护前端采集,精准人机识别每个请求实时判断是否工具改变规则设置调优产生误报的局面无需人员做规则调整和策略升级动态双引擎WAF的核心优势WAF防护效果:止于漏洞嗅探、漏洞隐藏防护前的扫描防护后的扫描隐藏漏洞隐藏网页目录结构感知感知保护保护发现发现监控监控 通过插入 JS 或集成 SDK 感知被防护的 API 对来源环境进行感知对异常API请求进行拦阻、限速、欺骗或打码等响应动作发现与建立API清单,对API进行可视化展现API资产管理监控API的运行情况监控API的请求、行为和异常情况API 管理&防护自动生成API列表,对API接口的访问情况一目了然,实现API资产管
57、理。API API 自动发现构建API API 画像APIAPI全渠道感知动态响应防护快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等。各类API来源应用进行集成,可以对来源环境和用户行为进行感知。动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。API 管理&防护的核心优势全日志记录融合分析Web/H5访问API访问APP访问小程序访问瑞数瑞数WAAPWAAP平台平台安全威胁分析平台安全威胁分析平台基于信誉自动拦截端点采集人机识别态势感知Web/APP服务器API 应用服务器全访问记录,业务融合全访问记录,业务融合统一安全威胁防护与联动数据输入/输出“工具”的规模
58、化业务风险 业务逻辑安全问题 未知威胁问题防漏洞探测防零日漏洞防应用 DDoS防代码分析应用安全数据安全防爬虫防内鬼防数据遍历防拖库账号安全防撞库防暴力破解防批量注册防短信轰炸防虚假交易防交易篡改防黄牛党防薅羊毛交易欺诈瑞数WAAP解决方案的防护场景020103040506全业务、全渠道统一接入跨业务数据融合和共享全访问记录、攻击溯源业务威胁感知和风险呈现实时防护和可编程对抗灵活、开放的API接口瑞数WAAP解决方案的优势2012-2015瑞数信息正式成立国内首家“动态安全”防护厂商2017动态安全技术列入工信部网络安全示范项目携手IDC发布数字化转型安全报告2016IDC中国“互联网+”产业
59、创新企业100强“推出新一代动态安全产品“第五届中国创新创业大赛”电子信息行业企业组第二名称号2019入选IDC中国业务安全之反欺诈创新者榜单入选安全牛中国网络安全100强企业瑞数信息C轮融资一亿元发布动态安全2.0系列产品2018获得高新企业认证及ISO9001、14001、20000、24001、27001证书发布双引擎动态WAF灵动RiverSafeplus3款瑞数动态应用保护设备成功列入中央政府采购名单THANKS安全防护常态化之路 朱辉 中国外汇交易中心 中汇信息技术(上海)有限公司 安全防护常态化之路 中国外汇交易中心(以下简称交易中中国外汇交易中心(以下简称交易中心)是中国金融业
60、的重要基础设施心)是中国金融业的重要基础设施 交易服务交易服务 银行间外汇市场 由人民币外汇市场、外币对市场和外币拆借市场及相关衍生品市场组成 银行间本币市场 由货币市场、债券市场及相关衍生品市场组成 交易后服务交易后服务 交易确认 交易冲销 交易直通处理 信息服务信息服务 实时市场数据 基准数据 交易数据库 安全防护常态化之路 可可靠靠性性 高高性性能能 可可扩扩展展性性 安安全全性性 可可维维护护性性 可可操操作作性性 可可移移植植性性 全球化能力:能够支持现有接口,也能符合国际标准全球化能力:能够支持现有接口,也能符合国际标准 灵活性:能够快速增加新产品和新功能灵活性:能够快速增加新产品
61、和新功能 成本效益:系统运作、维护、升级和改造都符合成本最优成本效益:系统运作、维护、升级和改造都符合成本最优 生命力:拥有强大的生命力,可以持续滚动发展,持续创新生命力:拥有强大的生命力,可以持续滚动发展,持续创新 多功能:支持多种交易方式和个性化服务多功能:支持多种交易方式和个性化服务 高服务水平:提供市场领先水平的高可用、高可靠的服务高服务水平:提供市场领先水平的高可用、高可靠的服务 多产品:支持跨多资产类别的多个市场多产品:支持跨多资产类别的多个市场 IT人的挑战(续)正文:微软雅黑 16号 安全防护常态化之路 正文:微软雅黑 16号 安全防护常态化之路 请问安全防护常态化之路怎么走?
62、安全防护常态化之路 未知的漏洞 加解密基石的动摇 攻防新技术 持续专项攻击 保持敬畏,永远有不曾见识过的力量 正视风险 安全防护常态化之路 安全没有一劳永逸安全没有一劳永逸 边界一定会被突破边界一定会被突破 做好长期和风险相处的准备做好长期和风险相处的准备 合理投入 安全防护常态化之路 攻防的本质是人与人的对抗 安全占IT投入保持持续在合适比例 平衡关系 安全防护常态化之路 安全和业务发展 安全和易用性 团结群众 保持红线和底线 安全和可用性 安全防护常态化之路 量化思维 有了不等于有用 漏报率 误报率 访问控制策略梳理 资产梳理 实事求是,做好最基础工作 漏洞修复 安全防护常态化之路 自我自
63、我 监督监督 01 02 03 05 04 外部产品的安全风险 外部服务合作的安全风险 方案落地的风险 安全运营的风险 安全策略是否落实到安全团队自身 安全防护常态化之路 保持开放合作共赢的态度。关注数据分析相关算法在安全应用上的突破。和志同道合者一起奔跑。THANKS 实战解读金融行业攻防演练张志鹏斗象安全顾问目录CONTENTS攻击方思路及案例金融行业攻防对抗概述防守方战术及案例金融科技推动的产业技术演进时间:时间:20世纪70年代中后期技术条件:技术条件:计算机时间:时间:20世纪90年代中后期技术条件:技术条件:计算机互联网时间:时间:2010年前后技术条件:技术条件:计算机互联网大数
64、据/云时间:-技术条件:计算机互联网大数据/云人工智能/起步阶段起步阶段金融电子化发展阶段发展阶段信息化/互联金融当前阶段当前阶段数据金融/机器辅助决策未来趋势未来趋势智慧金融/机器决策金融的发展优化了社会资源的配置,近年来,在“互联网+”、”金融科技“的推动下,金融行业也始终站在技术的前沿,代表科技的强动力我国金融科技发展的我国金融科技发展的N N个阶段个阶段起步阶段:起步阶段:以早期的计算机及局域网为主,计算机逐步代替手工操作,并实现全流程的电子化;发展阶段:发展阶段:中国接入全球互联网、金融信息化/互联网金融的时代随之到来,主要体现的是渠道信息化;当前阶段:当前阶段:移动互联网时代的到来
65、推动大数据、云计算技术的崛起,信息技术正在逐步渗透到金融业务核心部门,机器成为金融决策的重要辅助,同时正在迈向自主决策的智慧金融时代。金融网络安全是关键金融安全威胁无处不在金融安全威胁无处不在系统入侵敲诈勒索内部安全澳大利亚P&N银行发生数据泄露2020年1月,西澳大利亚州 P&N Bank 在服务器升级期间遭遇网络攻击,发生数据泄露。作为西澳大利亚州最大银行,该银行提供储蓄、贷款产品、保险和财务规划服务,拥有 14 家分行。本次攻击中,该银行客户关系管理系统中的个人信息和敏感账户信息被泄露。黑客从网络攻击中窃取 10 万西澳大利亚人的信息。2020年4月,“金融数据泄露门”引发轩然大波,有境
66、外社交网站及黑客论坛上出现多份公开出售中国金融机构客户信息的帖子,疑似数百万条客户数据资料在暗网被标价兜售,涉及多家金融机构。数据包括姓名、身份证号、手机号、存款数据、家庭住址等多项隐私信息,且售价低廉。暗网中的数据售卖风波2019年,网络犯罪团伙Silence利用专门构建的漏洞和工具打入各种银行网络,从孟加拉的银行至少偷走了300万美元,给银行带来惨重损失APT团伙的漏洞攻击金融,是最懂安全的行业,也是最易受到攻击的行业攻防对抗下的金融安全检验和提高网络安全应急响应能力培养和提升网络安全人才实战能力有效强化网络安全风险意识通过攻防演练发现安全漏洞与风险,找到网络安全防护的短板,检验网络安全风
67、险通报机制、网络威胁情报共享机制以及应急响应方案的合理性,并在演练后总结优化。实战能力和技术水平是网络安全人才的核心能力,面向真实系统开展网络攻防演练,与在规模、复杂度、网络状态都是仿真靶场的情况无法比拟,能更好锻炼实战能力,选拔人才。体验和感受网络被攻破的后果是效果最好的网络安全意识教育,有助于各领域管理和技术人员发现网络安全威胁,了解网络攻击带来的巨大危害,更能增强对网络风险认知的直观性和紧迫性。政策引导业务需求市场驱动2016年2017年2018年2019年2020年护网行动组织:公安/网安角色:裁判/攻击方/防守方规则:(1)攻击方-获取权限、获取数据、远程控制等(2)防守方-发现攻击
68、、消除威胁、应急响应等公安部、民航局、国家电网;重点政府部门;重点企事业单位;政府、能源、金融、电信、广电、交通、民航、公共事业;公有云、物联网等。规模攻击者理论侦查跟踪武器构建载荷投递漏洞利用安装植入命令控制目标达成从外部获取资源信息,确认是否攻击。Eg.电邮、社工、参会名单等选中攻击目标,寻找漏洞并形成攻击的过程。Eg.漏洞发现等利用已知漏洞和技术进行定向攻击过程。Eg.恶意软件、恶意代码等受害者系统上运行恶意代码。Eg.点击恶意邮件等在目标系统安装恶意代码。Eg.创建特权账户、自启服务进程等建立控制目标系统路径。Eg.建立C&C隧道、APT攻击等实现预期目标.Eg.盗取/篡改数据等骇客(
69、hacker)黑客(cracker)攻击者理论侦查跟踪武器构建载荷投递漏洞利用安装植入命令控制目标达成从外部获取资源信息,确认是否攻击。Eg.电邮、社工、参会名单等选中攻击目标,寻找漏洞并形成攻击的过程。Eg.漏洞发现等利用已知漏洞和技术进行定向攻击过程。Eg.恶意软件、恶意代码等受害者系统上运行恶意代码。Eg.点击恶意邮件等在目标系统安装恶意代码。Eg.创建特权账户、自启服务进程等建立控制目标系统路径。Eg.建立C&C隧道、APT攻击等实现预期目标.Eg.盗取/篡改数据等骇客(hacker)黑客(cracker)攻击队分工攻击队总控中心HR&行政财务部门应急部门质量部门后勤保障信息搜集组漏洞
70、挖掘组漏洞分析组工具组内部支持社工组外部攻坚.外网打点内网渗透外网打点内网渗透外网打点内网渗透攻击组1攻击组2攻击组3攻击队手段-武装工具物理攻击武器库需求摆渡工具(USB、智能插座等等)无线设备基础支撑工具(网络接入、身份隐藏)无人机基础支撑工具(网络接入、身份隐藏)网络接入(统一的设备,例如笔记本、VPN)匿名上网卡攻防对抗中攻击思路标题文本预设信息搜集标题文本预设标题文本预设0104030201信息搜集企业组织架构、上下游关系、网络架构、IT资产、员工信息、文档信息、邮箱、代码.02建立据点通用漏洞、信息泄露、弱口令、口令字典、鱼叉、水坑、钓鱼、网马、远控马、Web漏洞、RCE、信息收集
71、利用、0day.03内网渗透内网扫描、域控、核心资产、配置管理系统、堡垒机、VPN、内网拓扑发现、主机信息搜集、内网横移.04目标获取隐蔽隧道、webshell、远控木马、痕迹清理、正反向代理.攻击技巧情报搜集历史漏洞漏洞平台IT 资产互联网域名IP地址开放端口中间件信息邮箱信息企业员工邮箱邮件系统地址邮件发送格式文档 信息系统使用说明入职培训材料供应商相关系统源码系统使用文档系统内置账户组织架构总部单位架构下属单位架构人员信息资产信息攻击技巧建立据点010203JeecmsDrupal TRS PHPcmsDiscuzDedecmsCMS漏洞WeblogicWebsphereJbossTom
72、cat Jetty中间件漏洞Struts2 ThinkPHPShiro FastJsonSpring开发框架和组件OWASP top 10通用漏洞供应链攻击文档信息泄露代码审计-0day攻击技巧内网渗透获取权限确定目标信息收集 网络连接 进程列表 命令执行历史记录 数据库信息 当前用户信息 管理员登录信息 总结密码规律 补丁更新频率 邮件服务器权限 OA系统权限 版本控制服务器权限 集中运维管理平台权限 统一认证系统权限 域控权限 攻击技巧内网横移在哪里?去哪里?怎么去?网络连接 traceroute信息 路由表信息 hosts信息 进程列表 命令执行历史记录 数据库信息 当前用户信息 管理员
73、登录信息 总结密码规律 补丁更新情况 域控 集中运维管控平台 配置管理系统 使用域认证的应用 堡垒机用系统 与当前机器存在业务交互 应用v系统 常规漏洞 弱口令 口令复用 商业系统 代码审计-0day 文档信息泄露 攻击技巧隐蔽隧道目标可连通外网反向隧道 FRP EwsocksCobaltstrike 其他可直接访问目标机器 VPN SSH隧道 Sock5代理 其他目标服务器不能 连通外网正向http隧道 reGeorg reDuh 自研隧道 其他攻击技巧宝典:弱口令脆弱口令很多企业员工用类似zhangsan、zhangsan001、zhangsan123、zhangsan888这种账号拼音或
74、简单的 变形做密码,或者123456、888888、生日、身份证后6位、手机号后6位等 做密码。导致通过信息收集后,生成 简单的密码字典进行枚举即可攻陷邮 箱、OA等账号。还有很多员工喜欢在多个不同网站上 设置同一套密码,并且与其在公司的 办公密码相同,其密码早已经被泄露 并录入到了社工库中。一旦通过社工 库碰撞出其密码,就能直接登录该员 工的办公系统,进而进一步进行攻击 操作。针对未启用SSO验证的内网业务系统,均习 惯使用同一套账户密码。这导致从某一途径 获取了其账户密码后,通过凭证复用的方式 可以轻而易举的登录了此员工所使用的其他 业务系统中,为打开新的攻击面提供了便捷;同样有很多管理员
75、为了管理方便,用同一套 密码管理不同服务器。当一台服务器被攻陷 并密取到密码后,进而可以扩展至多台服务 器甚至造成域控制器沦陷的风险很多通用系统在安装后会设置默认管理 密码,然而管理员从来没有修改过密码,如admin/admin、test/123456、admin/admin888等密码广泛存在于内 外网系统后台,一旦进入后台系统便有 很大可能性获得服务器控制权限。密码泄露相同口令默认口令攻击技巧人是最弱的,也是最难的水坑攻击钓鱼链接鱼叉攻击社工欺骗控制员工经常访问的 场景,如某某网站。植入代码或恶意程序 诱使员工访问或下载,并借此控制员工办公 机获得接入内网权限。通过邮箱、即时通信 软件等工
76、具发送钓鱼 链接,诱使员工访问 并输入账号、密码等 信息,并使用员工账 号接入内网或登录办 公平台。通过邮箱向某些员工 定向发送含有恶意程 序附件的钓鱼邮件,诱使其点击执行,以 实现对员工办公计算 机的控制,继而获得 接入内网权限。通过伪装成人力资源、跨部门同事、客户、合作伙伴等员工可信 赖人员,并借此欺骗 以获得账号、权限或 其他渗透可用信息。意想不到的区域我们不是只会“硬钢”,也懂“迂回”。防守方的目标显性目标隐性目标减少失分增加得分威胁发现能力安全防护能力应急处置能力安全运营能力攻防演练方法论规划自查演练应急应对总结循环往复确认企业级战略目标及规范流程:XX章程XX规范XX说明.充分认知
77、企业安全状态:资产梳理漏洞与风险识别安全加固安全防护、检测与响应体系.模拟实战进行验证:沙盘演练内部演练外部演练.日常保障过程中的应急:事件追踪溯源快速恢复保障团队协作流程顺畅.定期回顾,持续关注:xxx事件总结报告与时俱进,对规划内容校对与更新.护网防守战术板备战备战阶段阶段战后战后阶段阶段实战实战阶段阶段备战阶段实战阶段战后阶段安全整改加固、内容包括系统资产梳理、安全基线检查、网络安全策略检查、Web安全检测、关键网络安全风险检查、安全措施梳理和完善、应急预案完善与演练等技术合理的安全组织架构、工作计划、技术方案&工作内容、责任分配、沟通与汇报机制、指挥应急专家管理运营开展并落实技术检查、
78、整改和安全监测、预警、分析、验证和处置等运营工作-防踩点:防踩点:github敏感信息、社工库敏感信息、自我收集-收敛受攻击面:收敛受攻击面:攻击路径梳理、互联网受攻击面收敛、外部接入网络梳理-纵深防御:纵深防御:漏洞扫描、访问控制、集权、src-核心守护:核心守护:DC、互联网出口、数据库、邮件-整体监控:整体监控:流量、主机、日志、情报关键事件复盘、总结报告、总结会关键事件复盘、总结报告、总结会折腾不是目的,实力才是道理THANKS构建下一代安全防御和响应体系常颢上海碳泽信息科技有限公司-联合创始人关于碳泽成立于2017年总部位于上海,在深圳、北京、杭州、成都、长沙、香港设有分支机构主要管
79、理和研发人员都具有丰富的信息安全行业经验公司80%以上为研发和技术支持人员高新技术企业,双软认证上海市“科创计划”创新资金立项项目RAPID7中国区总代理、技术支持中心、本地化合作伙伴在国内外拥有众多的各行业客户上海碳泽信息科技Tanze.io“碳泽”,字形合乎阴阳五行,而地球所有生物皆为碳基生物。在此意为以人为本;“泽”取自易经第五十八卦卦名,上上卦,兑为泽,刚内柔外,同卦相叠;泽为水,两泽相连,两水交流,上下相和,团结一致关于碳泽为什么需要具人的精力是有限的,而且人工很贵的,重复性的工具交给工具来进行,效率更高人力成本默默无闻,自动运行,承上启下,与人工相结合效率更高,时间更少工具优势解决
80、方案概览安全编排和自动化响应平台,流程加速,自动协调,简化流程Web安全审计系统,全语言,高扩展性,报告直观,支持漏洞验证企业自动化渗透测试系统,漏洞验证,社会工程,自动高效收集信息多维度网络及系统安全风险管理系统,覆盖全面,精准评估玉衡漏洞管理系统摇光深度安全检测系统千乘SOAR平台开阳Web安全评估系统解决方案差异性 突破传统漏洞扫描产品的单一局限,资产和漏洞一体化管理和监控,解决国内长期以来对漏洞只“扫”不“管”的局面 集成自动化渗透测试系统,国内唯一真正的闭环漏洞风险管理平台,解决漏洞自动验证的难题 原生的分布式漏洞管理系统,适应各种复杂的网络环境,尤其是大中型组织 漏洞库数量比肩国际
81、顶级漏洞管理厂商摇光自动化渗透测试系统漏洞验证玉衡漏洞管理系统漏洞扫描解决方案概览构建下一代安全防御和响应体系我们解决什么问题威胁情报态势感知EDR其他资源SecDevOps工单系统安全专家IT运维身份管理SOC漏洞管理邮件系统SIEM云WAFIPSIDS沙箱防火墙碳泽专注于帮助大中型组织构建下一代安全防御和响应体系安全运营现状尽管技术直在进步,但信息安全仍然是个密集型业告警太多资源不足手工处理频繁重复什么是SOAR是一种技术能力,这种技术使组织能够收集由安全运营团队通过监视获得的输入。例如,来自SIEM和其他安全系统的告警,利用这些告警可以进行事件分析和分类,可以结合人员和机器的能力并根据标
82、准工作流程帮助对事件响应活动进行定义、确定优先级以及推动标准化。SOAR工具允许组织以数字工作流程格式定义事件分析和响应过程。-Gartner:Emerging Technology Analysis:SOARSOAR(Security OrchestrationAutomation Response)安全运营三要素DIY自建开箱即用自建SOAR平台所需的时间总是远超预期简化流程,更快、更高效准确地应对困扰和威胁障碍太多,需要专家推动,成本增加,周期变长大量节省人力成本和投资回报,提高效率花费在构建上的时间使员工无法专注于其他工作通过集成和自动化工作流程中获得更多价值引进新流程或扩展时,维护成
83、本增加人人工运营流程技术DIY自建开箱即用的平台解决方案特点连结您的工具建造工作流l 各种安全工具无法相互连接并协调工作l 这些工具可继续单独使用,但基于相同的编排结果数据集l 让每个工具都能发挥最大的潜力与功能l 一直以来安全工具都没有真正的结合在一起使用l 没有一定的编程能力,在工具间构建自动化难度很大l 千乘SOAR平台帮助简化运营,便捷地定制工作流解决方案特点l 在不放弃决策权的情况下使手动重复性流程自动化l 将人工决策点加入自动化工作流程并让您来选择l 自动化完成重复性任务,安全人员专职工作时间不浪费提高运营效率l 通过重复任务自动化来降低告警噪音,脱离告警疲劳l 通过自动任务细化、
84、调查等,更快地消除误报并处理威胁l 专职人员脱离琐碎工作,均衡工作负荷,提升工作效率运用人工决策安全自动化最佳实践最好的安全态势是建立在效率和响应时间之上的01将重复的手动任务简化为连贯的自动化工作流自动化安全工作流更高效且不易出现人为错误0302安全自动化最佳实践工具选择时机安全自动化的两个最重要组成部分 安全工具 安全流程(定义的任务)时机成熟时引入自动化 流程(任务)很容易重复,不需要太多人为干预 流程(任务)占用了太多时间让某人手动完成 需要解决人才缺口或无法承担更多的费用来雇佣更多的安全人员 经常出现被攻击的情况 团队正在经历告警疲劳 解决问题的时间变长了解哪些任务是自动化的理想选择
85、创建真正的防护和响应体系从高层业务开始要保护的资产已知威胁优先级别内部资源StartFinish流程类型绿色流程(短期)设计流程(长期)要尝试解决什么问题这个问题繁还是简这个问题的规模大小这个问题的优先级已知这个问题的哪些信息不知道哪些信息用真实用例测试流程让非创建人测试流程流程是否实现了目标流程是否提高了效率流程是否和面临的威胁相关流程是否超过了它所需的时间确定需要的流程考虑流程类型设计安全流程测试安全流程重估巩固完善哪些长期问题需要解决何时正式引入流程工作流举例-垃圾邮件细化创建工单检测URL分析可疑内容扫描检测终端搜索相似邮件拦截邮件黑洞DNS全员告警从开始到结束所需的全部时间3-5分钟
86、自动化前3-5分钟10分钟/URL30分钟/Scan5-10分钟5-15分钟5分钟3-5分钟75分钟自动化后2分钟人工决策自动化前自动化后钓鱼邮件调查工作流举例-威胁情报落地从开始到结束所需的全部时间增强检测能力(例如:更新DNS沉洞)插入Indicator(s)(IP,DomainFilename/hash)基于数据集调查(终端、网络、Security/SIEM)允许分析师补救或搜集更多的相关信息生成Artifact揭示攻击者的TTPs(战术、技术、步骤)报告狩猎结果并通知相关团队4小时2分钟人工决策自动化前自动化后自动化前自动化后3-5分钟0.5-1小时/数据集5-10分钟/artifac
87、t1-3小时5分钟千乘DashBoardGartner 2020THANKS金融行业数据新基建安全风险合规挑战与应对钱伟峰安言咨询 副总经理分享内容目录合规要求安全风险能力建设1金融行业数据安全合规要求概览2金融行业数据安全合规风险分析3金融行业数据安全能力建设金融行业数据安全风险合规要求一览法律法规网络安全法数据安全法(待颁布)个人信息保护法(待颁布)最高法、最高检关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释App违法违规收集使用个人信息行为认定方法关于加强银行卡安全管理预防和打击银行卡犯罪的通知个人信息和重要数据出境安全评估办法(征求意见稿)个人信息出境安全评估办法(征求意见稿)
88、行业合规要求银行业金融机构数据治理指引商业银行信息科技风险管理指引银行业金融机构信息科技外包风险监管指引中国人民银行关于进一步加强银行卡风险管理的通知标准层面GB/T 35273-2020 个人信息安全规范GB/T 22239-2019 网络安全等级保护基本要求JR/T 0171-2020 个人金融信息保护技术规范JR/T 0197-2020 金融数据安全 数据安全分级指南GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南JR/T 0171网络安全等级保护行业监管要求网络安全法信息安全合规清单信息安全合规映射表信息安全合规映射思路合规要求梳理合规要求映射调研访谈
89、制度调阅现场检查国家法律法规行业监管要求国内/国际标准现状与合规对比分析合规分析总体思路银保监-银行业监管要求1银行业金融机构数据治理指引银保监发 22号【2018】2关于加强网络信息安全与客户信息保护有关事项的通知银监办发 2号【2017】3中国银监会非现场监管暂行办法银监发 53号【2016】4关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知银监办发 187号【2014】5关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见银监发 39号【2014】数据安全相关合规要求梳理示例控制域控制目标控制项标准要求监管名称条款正8运行8.1 运行的规划和控制8.1 运行的规划
90、和控制为了满足信息安全要求以及实现6.1中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6.2中确定的信息安全目标一系列计划。中华人民共和国网络安全法第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;合规映射示例合规分析成果示例金融行业数据安全风险合规分析针对数据安全相关合规要求,开展合规
91、分析,识别差距并分析风险数据安全合规分析(对标JR/T 0171)C3C2C1 银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码;账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码,查询密码;用于用户鉴别的个人生物识别信息。账户开立时间、开户机构;基于账户信息产生的支付标记信息;C2和C3类别信息中未包含的其他个人金融信息。金融业机构内部使用的个人金融信息个人金融信息主体的信息安全与财产安全造成一定影响 可识别特定个人金融信息主体身份与金融状况的个人金融信息 用于金融产品与服务的关键信息用户鉴别信息个人金融信息主体的信息
92、安全与财产安全造成严重危害个人金融信息主体的信息安全与财产安全造成一定危害 支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码;若用户鉴别辅助信息与账号结合使用可直接完成支付,则属于C3类别信息。直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息;用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。用于履行了解你的客户要求,以及按行业主管部门存证、保全
93、等需要,在提供产品和服务过程中手机的个人金融信息主体照片、音视频等影像信息。其他能够识别出特定主体的信息,如家庭地址等级别名称危害信息举例个人金融数据分级标准(基于JR/T 0171)数据资产识别与分级结构化数据非结构化数据半结构化数据数据文件级别与0171对照影响5NA国家安全;公众权益-非常严重4C3公众权益-严重;个人隐私-非常严重;企业合法权益-非常严重3C2公众权益-中等/轻微;个人隐私-严重;企业合法权益-严重2C1个人隐私-中等/轻微;企业合法权益-中等1NA企业合法权益-轻微JR/T 0171JR/T 0197GB/T 35273/金融行业数据安全整体治理架构数据安全管理过程数
94、据安全管理环境内部环境外部环境数据安全管理要素管理人员顶层设计整体规划组织职责工作机制数据安全管理对象数据安全管理能力法律法规监管要求国家/行业标准数据安全合规要求产生使用传输存储销毁商业秘密(规划、拓扑图、重要技术参数、个人信息、技术防护策略等)内部信息(制度、流程、规范、内部公开发文等)公开信息管理类业务类技术类 依法采集 合规采集 责任归属 分类定级 权限管控 访问记录 数据脱敏 泄露检测 数据传输控制 传输标准定义 传输通道定义 加密标准定义 数据存储要求 数据备份策略 备份定期检验 数据恢复策略 销毁前提条件 数据销毁方式 数据销毁记录 销毁结果验证 领导层的重视与支持 数据安全管理
95、现状 数据安全技术防护现状 法律法规要求 行业监管要求 整体数据安全环境促成因素 提升管理效率 加强防护效果 优化资源配置 避免重复投资管理数据 数据安全治理领导小组 数据安全管理部门 数据所有者 数据使用者管理工具 对标差距分析工具 数据安全风险评估工具 数据安全检查表 评估、检查相关数据 技术工具报表、报告 风险改进跟踪数据信息安全事件处理流程风险感知安全运营资产管控环境防护数据运维安全管控数据业务安全管控 定义异常行为 确定异常行为判定要素 从现有数据中搜集要素 设计异常行为告警规则 在UEBA或态势感知平台上实现 持续使用、更新、调优风险建模风险特征匹配模型持续应用风险库已知风险历史事件最佳实践相关标准审计结果安全大数据分析数据安全风险感知能力建设风险建模数据安全风险感知能力建设平台建设监控预警采集分析I/O通道基础数据治理决策VPN接入办公终端服务器生产终端防病毒DLP邮件审计终端安全堡垒机准入数据库安全SIEM态势感知威胁情报其它分析平台风险告警应急响应主动干预风险监控信息安全管理委员会信息安全部门确立治理目标、框架,明确组织架构、职责分工、风险准则等根据风险模型自动分析、预警数据安全风险,必要时进行主动干预或阻断采集各类设备、系统日志,对日志进行集中保存和标准化处理借助各类产品、设备对各类I/O通道进行管控,提供日志识别统计各类数据资产,了解数据资产的分布和使用情况