1、内容简介内容大纲内容大纲现状要点难点经验分享说明分享说明 纯属个人观点 与公司无关 仅供参考 欢迎交流为什么关注业务安全企业根基高危漏洞事故多发隐藏最深 SQL注入 XSS CSRF SSRF MITM RCE 网络/系统层漏洞 不安全的服务配置 溢出 恶意文件上传越来越难挖的漏洞exploit-db web vulnerability 2016 部分类型的漏洞在减少安全问题的成因更复杂部分类型漏洞修复成本在提升传统漏洞扫描器的价值在降低渗透测试-红蓝对抗修复漏洞-消化漏洞安全对抗-安全运营独立漏洞-组合漏洞巨石-SOA-Service Mesh部分安全趋势通用性低没有cve编号风险场景变化多

2、端漏洞成因复杂部分漏洞修复周期长、修复成本高大量业务需求无法通过用户端直接测试业务风险/漏洞的相对特点哪来的漏洞更痛？众测 暗网 同事 渠道客服护网SRC不同视角的业务安全近三成的业务风险无法快速修复近七成的业务风险难以渗透发现中高风险漏洞的主要来源业务安全事故的触发因素业务安全现状业务安全评估关系梳理 业务安全评估的概念 在传统安全评估基础上，对业务更全面更针对性的评估。需要额外梳理业务的关系 业务流程与各个系统的关系 业务流程与各个部门的关系 业务在各阶段的数据处理环境安全物理安全网络安全主机安全应用安全数据安全业务安全信息和内容安全传统安全评估业务安全评估组织角度管理角度技术角度安全要素

3、攻击面信任面与信任边界业务流程分析威胁识别能力风险消化控制业务风险思维模型基础CIA职责分离权限控制可审查溯源行业合规韧性监控和预警业务安全要素在线业务风险 业务层漏洞 黑产、欺诈、风控 特定场景触发的缺陷关联企业 渠道 合作方 上下属公司供应链 第三方SDK 在线服务 产品之坑 部署风险内部架构 基础组件 平台对接监管合规 业务所属行业规范 安全法规 隐私保护从来源看业务风险业务安全专家人才非常稀缺缺乏成熟的工具、服务、标准信息非常不对称 几乎找不到一个人能讲清楚一个产品线的核心设计和实现外部力量效果有限 难以接触业务环境、难以触发业务场景、难以理解业务原理和风险 对风险和事故理解不足 白帽

4、子聚焦于边界风险业务安全为什么难做业务安全专家能力要求Application Security Verification Standard 4.0初级水平：主要通过渗透测试、代码审计，业务逻辑漏洞、被动事后响应。（SDL后端）中级水平：切入到业务需求评审、业务设计。（往SDL前端拓展）高级水平：深入业务、行业、各部门架构体系，理解关键业务功能实现、数据链、架构安全设计。结合所有信息获取手段和评估手段，寻找、规避、控制风险。业务风险挖掘水平层次ToC边界安全ToB接口、数据ToBC边界数据与接口内部架构逻辑划分、中台和组件业务功能模块、活动模块部门责任与关注点分析账户体系自动化攻击平台建设运营、

5、数据分析合规纵深防御和监控互联网业务安全工作细分 恶意用户被使用的风险 正常用户被攻击和利用的风险 正常/非正常用户业务数据和行为 集成账户和跨平台的账户会话体系账户安全工作梳理业务接口梳理接口分类接口分类 用户请求接口 渠道合作接口 内部接口接口安全接口安全 传输/存储 认证/权限 监控/预警 内容限制（范围、数量）业务逻辑流的处理顺序前后衔接不能饶过具有基本的防欺骗、篡改、抵赖、信息泄露和权限提升的保护包括对数据范围、数量、自动化攻击的检测、限制、预警机制对所有业务流模块考虑了被滥用和恶意使用评估竞态条件/拒绝服务梳理在技术条件和业务场景的使用范围、被封装后的使用场景合规要求（隐私保护传输

6、、存储、使用等），第三方模块风险及合规评估后端业务功能检查要求-ASVS业务风控之攻击链条攻击能力：用什么方法能攻击我？攻击路径和流程？攻击意愿：有多想攻击我？攻击动机：有什么好处？攻击目标：是否只针对我？为何针对我？攻击成本：要用到哪些资源？攻击收益：攻击收益？攻击前提：什么场景才能完成攻击？基础信息资产 IP、端口、banner信息 服务、接口、版本业务资产 部门权限、接口人员 账户体系、敏感字段 合作渠道、外部接口 功能模块、接口资料 现存风险、信任区域 Service Mesh业务安全资产梳理 监测和拦截要错开数据维度，确保能够识别攻击变化 监控和拦截的策略进化：1.单一特征库匹配拦截

7、2.行为特征拦截3.字符和行为组合匹配、上下文关联4.智能化预警检测、机器学习协助发现业务安全数据分析经验接口攻击数据运营普通的汇报 评估的目标范围 业务安全漏洞发现了多少 修复了多少 总体安全评价深入的汇报 业务安全需求分析 历史事故和发现风险分析 遗留风险、潜在隐患及中长期应对手段 各个部门和架构的业务风险关联分析 同行事件分析与我司对应情况 企业业务变化趋势导致的业务风险变化 后续的业务安全工作计划如何做一个业务安全风险汇报业务一定是带着弱点上线的三成的业务安全风险很难或者无法直接解决要记录、接受、消化存在的风险要从风险链条来看待和应对风险梳理信任安全域来找出关键的接口和风险建立纵深业务安全体系业务安全值得长期沉淀积累勿过于依赖技术手段，调研、运营非常重要尝试建立业务功能风险运营体系，以适应业务和架构的不断变化业务安全建设经验点滴