1、华泰证券在金融安全风险运营的实践姓名姓名华泰证券华泰证券 信息安全中心信息安全中心我们的故事不是”一个人的安全部”200020202020172017自研“泰坦”态势感知自研“泰坦”态势感知DevSecOpsDevSecOps理念理念系统性输出建设实践系统性输出建设实践项目项目SDLSDL实践实践数据驱动技术运营数据驱动技术运营红蓝对抗红蓝对抗安全响应中心安全响应中心成立成立引入引入MTTD/MTTRMTTD/MTTR指标指标引入引入killchainkillchain攻杀链模型攻杀链模型多源威胁情报多源威胁情报适应性安全架构适应性安全架构初识对抗初

2、识对抗假设攻陷假设攻陷基础设施升级换代基础设施升级换代建立建立SDLSDL体系体系9 9大安全职能细分大安全职能细分安全团队成立安全团队成立(5)(5)信息安全中心信息安全中心成立成立成立多职能团队成立多职能团队CARTACARTA框架框架MITRE ATT&CKMITRE ATT&CK框架引入框架引入工程化、自动化运营工程化、自动化运营假设内部威胁假设内部威胁三叉戟安全管理平台三叉戟安全管理平台棱镜棱镜UEBAUEBA项目安全顾问负责制项目安全顾问负责制DevSecOpsDevSecOps工具链工具链NOW实战化转型实战化转型现网实战对抗现网实战对抗潘多拉情报中心潘多拉情报中心宙斯盾外部反欺

3、诈宙斯盾外部反欺诈造父造父APIAPI安全检测平台安全检测平台20192019零信任零信任内部蓝军内部蓝军高频现网实战对抗高频现网实战对抗“WE“WE WANT YOU”WANT YOU”6+16+1大运营体系大运营体系指标驱动风险运营体系指标驱动风险运营体系安全风险运营安全风险运营融入融入ERMPERMP框架框架安全人员安全人员2020信息安全中心组织架构安全技术运营与攻防安全威胁与事件响应操作风险与数据安全工程效率与应用安全网络安全基础设施团队到职能精细化分工安全技术运营与攻防职能精细化带来的挑战单一兵种无法打赢现代环境下网络空间实战THEN,HOW?“合成营”职能精细化带来的挑战安全技术

4、运营与攻防安全威胁与事件响应操作风险与数据安全工程效率与应用安全网络安全基础设施航空兵装甲兵步兵电子对抗特种兵VS六大虚拟组织“大运营体系”项目与架构安全运营安全基础设施运营GRC数据黑灰产对抗业务黑灰产对抗网络空间入侵对抗安全态势感知安全应急响应事件溯源等数据泄漏防护内部反欺诈等应用、数据、移动及云等领域安全架构及技术研发SDL过程运营安全治理风险管理合规体系外部反欺诈防薅羊毛业务恶意行为防控等客户隐私保护个人信息相关法律落地特权、数据访问权限网络安全服务数据技术服务等HTSCHTSCHTSCHTSC网络空间入侵对抗 运营指标日安全事件响应数日安全事件响应数MTTDMTTDMTTAMTTA安

5、全事件响应覆盖率安全事件响应覆盖率红蓝对抗覆盖率红蓝对抗覆盖率响应及溯源效能响应及溯源效能运营工程化与自动化率运营工程化与自动化率日安全威胁处理数日安全威胁处理数溯源覆盖率溯源覆盖率MTTRMTTR新技战术识别与转化数新技战术识别与转化数数据黑灰产对抗 运营指标识别及跟踪外部数据泄露内部数据泄漏内部员工异常行为画像业务黑灰产对抗 运营指标业务目标p能应对千万能应对千万/年级别的营销活动年级别的营销活动p保障保障X%X%的营销资金投放的营销资金投放p年接入保障业务场景数年接入保障业务场景数p红蓝对抗业务安全覆盖红蓝对抗业务安全覆盖周欺诈率周欺诈率日风控打扰率日风控打扰率黑产处置黑产处置MTTRM

6、TTRzz重大负面舆情数重大负面舆情数业务安全事件反制率业务安全事件反制率z安全基础设施 运营指标标准化架构标准化架构覆盖率覆盖率监控覆盖率监控覆盖率故障故障MTTD/MTTRMTTD/MTTR弹性基础设施弹性基础设施覆盖率覆盖率微隔离与访问控微隔离与访问控制覆盖率制覆盖率安全基础安全基础自服务数量自服务数量安全基础服务安全基础服务工程化自动化率工程化自动化率项目与架构安全 运营指标安全评估覆盖率安全评估覆盖率安全工具链安全工具链DevOpsDevOps集成集成率率端到端安全交付效能端到端安全交付效能安全测试能力覆盖率安全测试能力覆盖率安全漏洞修复率安全漏洞修复率安全漏洞漏出率安全漏洞漏出率标

7、准化安全组件数标准化安全组件数软件安全能力成熟度软件安全能力成熟度隐私保护 运营指标隐私安全评估项目覆盖率隐私安全评估项目覆盖率业务场景隐私数据业务场景隐私数据ProfileProfile成熟度成熟度隐私安全问题整改完成率隐私安全问题整改完成率最小的成本将隐私安全法律法规转落地为控制要求隐私保护措施内建落地数隐私保护措施内建落地数高风险隐私场景标准化数量高风险隐私场景标准化数量GRC推动公司建立完善的治理机制推动公司建立完善的治理机制1 1个委员会个委员会3 3个工作组（网安、数安、隐私个工作组（网安、数安、隐私/客户数据保护）客户数据保护）信息安全风险注册机制信息安全风险注册机制开展等保开展

8、等保2.02.0合规体系建设合规体系建设月度风险报告月度风险报告HOW？安全产品与平台体系泰坦人工智能安全态势感知泰坦，利用大数据、智能分析引擎 和 可视化等手段，结合威胁情报，对企业面临的网络攻击进行检测，快速、有效地为企业建立威胁检测、分析、处置和全网安全态势感知能力，使得企业的信息安全可知、可见、可控。棱镜UEBA用户行为分析平台宙斯盾，基于设备指纹技术以及海量的设备安全数据、威胁情报数据和用户行为数据，利用流式分析处理、数据挖掘和机器学习等关键技术，构建出独有的以设备安全为核心的智能实时身份反欺诈模型,精准识别和预防各类互联网身份欺诈风险，检测如恶意注册、薅羊毛等、抢优惠券，提升营销效

9、果。宙斯盾业务反欺诈棱镜，通过机器学习技术，对用户的行为进行智能化分析，建立用户风险画像，实时检测异常行为和未知威胁，及时发现内部用户违规行为，如违规操作、帐号滥用、内部欺诈、数据泄露等。造父，通过流量、网管、标准API文档等，自动发现识别API服务接口，标记敏感数据、登录认证行为、特权行为，记录API变更生命周期；自动发现暴漏在公网的API相关数据、凭证。对重要的API接口进行自动化渗透，发现存在的权限、逻辑漏洞；通过基线和算法模型，自动检测多种攻击，包括Bot攻击、DOS攻击、异常数据访问行为等。造父API安全检测平台14253潘多拉情报中心潘多拉，基于大数据、NLP技术，实现互联网中企业

10、相关联情报的识别、采集、分析及汇聚，对外提供代码泄露、企业舆情、业务情报等危害企业的情报中心服务。三叉戟，具有SDL全流程管理、应用安全风险画像、漏洞全生命周期管理、DevSecOps工具链集成、自动化渗透测试工具集等功能，为企业提供应用安全一站式综合管理平台。三叉戟安全管理平台6安全工具支撑体系安全编码规范安全编码规范ConfluenceIDEIDE集成安全工具集成安全工具Find Security Bugs(SAST)Black Duck（SCA）主机安全扫描主机安全扫描:Nessus配置基线安全扫描配置基线安全扫描Nessus黑盒安全测试黑盒安全测试(DAST/IAST)(DAST/IA

11、ST)AppScanAWVSWASOWASP ZAPArachni移动安全测试移动安全测试(MAST)(MAST)iJIAMIMBSF渗透测试渗透测试Burp SuiteSQLMapnoSQLMapMetasploitMitmproxyNetcatCurlWiresharkFiddlerApktoolDex2jarJEB安全专家知识库安全专家知识库WIKI轻量级威胁建模轻量级威胁建模HELIUS安全需求平台开源组件治理开源组件治理Black DuckNexus firewall标准化与加固标准化与加固CIS Benchmark主机环境验证测试主机环境验证测试Tenable Nessus剩余安全

12、风险报告剩余安全风险报告JIRA漏洞修复计划漏洞修复计划JIRA代码签名代码签名signtoolAPPAPP加固加固iJIAMI外部“蓝军”与内部渗透测试外部“蓝军”与内部渗透测试主机安全主机安全WEB WEB 安全安全NTANTADLPDLPEDREDR蜜罐蜜罐沙箱沙箱防病毒防病毒补丁管理补丁管理UEBAUEBA棱镜PRISM安全态势感知安全态势感知(NGSOC)(NGSOC)泰坦 TITANS漏洞管理漏洞管理三叉戟TRIDENT潘多拉情报中心潘多拉情报中心宙斯盾反欺诈宙斯盾反欺诈造父造父APIAPI安全检测安全检测WAFWAFNGFWNGFW宙斯盾反欺诈宙斯盾反欺诈NGFWNGFWWAFW

13、AFATP(Terminal)ATP(Terminal)Incident ResponseIncident Response溯源溯源IDAOllyDbg威胁情报威胁情报(Threat IntelligenceThreat Intelligence)商业情报开源情报业务情报业务情报数据泄漏情报数据泄漏情报潘多拉情报中心潘多拉情报中心资产管理资产管理Black Duck三叉戟 TRIDENT源代码静态扫描源代码静态扫描(SAST)(SAST)SonarQube(Find Security Bugs)CobraBandit开源组件安全扫描开源组件安全扫描(SCA)(SCA)Black DuckDoc

14、kerDocker安全扫描安全扫描Container Security(Tenable)PreventPreventHTSCHTSCHTSCHTSCHTSC融合SCRUM敏捷方法的安全大运营模式大运营轮值负责人大运营工作列表任务列表周运营回顾会每日站会1周冲刺大运营轮值负责人运营指标分析运营计划会大运营虚拟团队敏捷宣言敏捷宣言个体与交互胜过过程和工具响应变化胜过遵循计划精益求精胜过简单执行HTSCHTSC应用安全移动安全安全响应安全攻防HTSC项目与架构安全大运营安全评估小组安全评估小组项目与架构安全大运营职责项目与架构安全大运营职责负责项目的安全评估，进行安全架构设计、安全需求分析、项目安全

15、建设SDL全过程跟踪等，向研发团队交付端到端安全解决方案。组员来自职能团队，专家领域包括：安全架构、应用安全、隐私安全、数据安全、业务安全、移动安全、云安全、安全测试等。项目与架构安全-SDL（BSI）框架A A 可行可行性性B B 立项立项C C 需求需求D D 架构架构&设计设计E E 编码编码F F 测试测试G G 上线上线H H 运行运行I I 下线下线1安全可行性评估C1 安全需求标准库E1 安全编码D1受攻击面分析I2下线安全评估F2移动安全测试J 知识与技能G1待产环境安全部署H2补丁更新与漏洞修复1供应商安全评估J2安全规范与标准J4安全技术培训J5安全意识宣贯J6安全内外部交

16、流B2合同安全条款评估B3项目安全策略D2威胁建模D3安全设计说明书E2 源代码CI安全测试E3开源组件CI安全测试D4 运行环境与部署架构G3剩余风险评级与接受I3数据安全清理与归档E4代码安全人工审核H3持续威胁监控与运营B4项目安全保障定级I4IT权限回收H4重大变更安全评估C2项目安全调查问卷C3:安全需求说明书C4:安全基线交付清单F1动态安全测试G2安全验证与渗透测试F3容器安全测试F4内外部渗透测试G4IT权限开通H1持续漏洞与补丁管理I1系统下线触发J1安全制度J3安全指南与最佳实践移动安全测试MAST交互式安全测试IAST项目与架构安全-DevSecOps内部渗透测试二进制加

17、固android源代码安全扫描SAST开源组件安全扫描SCAIDE安全工具集成R&DR&D开源组件防火墙轻量威胁建模Threat ModelDEVDEVSITSIT安全风险报告外部渗透测试UATUATPROPRO生产环境部署验证安全编码剩余安全风险报告自动化资产注册三叉戟三叉戟泰坦泰坦容器安全扫描SCM架构与设计BUILD编码GUI/接口测试UT业务验收功能/系统测试sonar lint单元测试打包代码扫描GUI/接口测试性能/容量测试上线审批生产环境上线加固及标准化的加固及标准化的基础设施与平台基础设施与平台内部安全内部安全组件仓库组件仓库黑盒安全扫描DAST标准化资源发放制品库制品库（PRPR）制品库制品库（PRPR）制品库制品库（PRPR）业务黑灰产对抗 全链路治理运营体系业务黑灰产对抗 基础支撑三叉戟三叉戟棱镜SO？网络空间入侵对抗 DAILY REPORT业务黑灰产对抗 DAILY REPORT软件安全成熟度度量