1、火线安全 联合创始人 曾垚01风险来自于哪里02基于社区的安全风险管理风险 来自于哪里Where does the risk come fromSQL注入越权RCE越权企业互联网攻击面Restful、GraphQL、RPC、Tomcat、Android、IOS、IOT、Spring Boot、DubboMySQL、Oracle、Redis、Kafka、ActiveMQ、Zabbix、Jenkins、F5 Linux、Windows、vSphere、ESXi、k8s、HarborFeiQ、QQ、微信、钉钉、飞书、Exchange、Coremail、腾讯企业邮、Gmail、致远OA、CISCO S
2、SL VPNGithub、Gitlab、Coding、阿里云效、码云、百度网盘、百度文库、数据论坛、语雀、confluence、暗网论坛 API接口 中间件 客户端软件 开源组件 微服务 Serverless 数据库 消息中间件 可视化运维 RDS SLB 操作系统 虚拟机 Kubernetes 镜像仓库 AWS、aliyun、腾讯云 业务代码 业务数据 密码凭证 内部资料 IM系统 邮件系统 OA系统 VPN系统 采购系统 客服系统 招聘系统 销售系统数据管理基础环境办公系统业务应用运维服务供应链传统资产多云化传统IDS+办公网+公有云+私有云资产边界宽泛化IP、域名、接口、容器、组件、账号
3、、秘钥、云服务、业务云服务资产管理方式复杂化CMDB、流量分析、主机监控、黑盒监控资产管理难度越来越大社区漏洞分布业务逻辑接口安全运维服务基础环境安全意识漏洞监控 CVE、CNNVD、CNVD Github、exploitdb、安全社区账号逻辑支付逻辑权限体系数据重放消耗攻击弱密码问题SQL注入SSRF反序列化XSS漏洞文件上传组件漏洞任意命令执行服务未授权服务弱密码服务配置不当服务软件漏洞弱密码配置不当环境未隔离密钥泄漏容器权限提升OSS配置错误 代码泄漏文档泄漏凭证泄漏云化过程带来监控难度大更多新型漏洞攻击漏洞频发运营成本持续增高漏洞接收漏洞验证漏洞处置1.渗透测试2.攻防演习3.漏洞扫描
4、4.漏洞通报1.有效性验证2.漏洞分级3.漏洞影响评估1.修复建议2.工单处置3.漏洞复测基于社区的安全风险管理资产梳理社区资源分配协同赋能漏洞管理策略运营能力沉淀持续检测漏洞管理互联网众测模式的漏洞快速收敛基于DevSecOps可持续的漏洞持续运营复盘沉淀兜底查漏1.封闭邀请审核准入制度封闭邀请审核准入制度2.强实名人脸认证强实名人脸认证3.多重保密协议在线签约多重保密协议在线签约资产收集LayerLayer子域名挖掘机子域名挖掘机OneForAllOneForAllsubDomainsBrutesubDomainsBrute8000万万Whois数据数据50亿证书数据亿证书数据500万万I
5、CP数据数据1000万万URL数据数据1800万域名解析数据万域名解析数据170万万APP应用数据应用数据43亿亿IP定位数据定位数据2800万邮箱数据万邮箱数据丰富的第三方集成丰富的第三方集成 企业微信 钉钉 飞书 微信公众号 短信 邮件 OpenAPI WebHook丰富的第三方集成上线后发现漏洞风险更大、修复成本更高能持续在软件上线前发现更多安全问题才能降低成本SAST:白盒代码扫描DAST:黑盒动态扫描IAST:交互式动态污点分析SCA:开源组件安全分析低侵入式的数据采集端独特的应用数据仓储中心设计开放的社区生态持续贡献高效零误报的技术优势具备可持续运营的产品设计等超过 100 家用户的真实落地