1、火线安全 联合创始人 卢中阳01黑客视角的安全风险来源02基于攻防社区的安全风险管理03基于开源社区IAST的代码漏洞检测风险 来自于哪里Where does the risk come fromSQL注入越权RCE越权企业互联网攻击面Restful、GraphQL、RPC、Tomcat、Android、IOS、IOT、Spring Boot、DubboMySQL、Oracle、Redis、Kafka、ActiveMQ、Zabbix、Jenkins、F5 Linux、Windows、vSphere、ESXi、k8s、HarborFeiQ、QQ、微信、钉钉、飞书、Exchange、Coremai
2、l、腾讯企业邮、Gmail、致远OA、CISCO SSL VPNGithub、Gitlab、Coding、阿里云效、码云、百度网盘、百度文库、数据论坛、语雀、confluence、暗网论坛 API接口 中间件 客户端软件 开源组件 微服务 Serverless 数据库 消息中间件 可视化运维 RDS SLB 操作系统 虚拟机 Kubernetes 镜像仓库 AWS、aliyun、腾讯云 业务代码 业务数据 密码凭证 内部资料 IM系统 邮件系统 OA系统 VPN系统 采购系统 客服系统 招聘系统 销售系统数据管理基础环境办公系统业务应用运维服务供应链传统资产多云化传统IDS+办公网+公有云+私
3、有云资产边界宽泛化IP、域名、接口、容器、组件、账号、秘钥、云服务、业务云服务资产管理方式复杂化CMDB、流量分析、主机监控、黑盒监控资产管理难度越来越大社区漏洞分布业务逻辑接口安全运维服务基础环境安全意识漏洞监控 CVE、CNNVD、CNVD Github、exploitdb、安全社区账号逻辑支付逻辑权限体系数据重放消耗攻击弱密码问题SQL注入SSRF反序列化XSS漏洞文件上传组件漏洞任意命令执行服务未授权服务弱密码服务配置不当服务软件漏洞弱密码配置不当环境未隔离密钥泄漏容器权限提升OSS配置错误 代码泄漏文档泄漏凭证泄漏云化过程带来监控难度大更多新型漏洞攻击漏洞频发运营成本持续增高漏洞接收
4、漏洞验证漏洞处置1.渗透测试2.攻防演习3.漏洞扫描4.漏洞通报1.有效性验证2.漏洞分级3.漏洞影响评估1.修复建议2.工单处置3.漏洞复测1.安全测试按人天等收费是否合理2.如何保证测试效果3.如何保障漏洞安全4.如何高效的进行安全测试基于社区的安全风险管理资产梳理社区资源分配协同赋能漏洞管理策略运营能力沉淀持续检测漏洞管理互联网众测模式的漏洞快速收敛基于DevSecOps可持续的漏洞持续运营复盘沉淀兜底查漏1.封闭邀请审核准入制度封闭邀请审核准入制度2.强实名人脸认证强实名人脸认证3.多重保密协议在线签约多重保密协议在线签约资产收集LayerLayer子域名挖掘机子域名挖掘机OneFor
5、AllOneForAllsubDomainsBrutesubDomainsBrute8000万万Whois数据数据50亿证书数据亿证书数据500万万ICP数据数据1000万万URL数据数据1800万域名解析数据万域名解析数据170万万APP应用数据应用数据43亿亿IP定位数据定位数据2800万邮箱数据万邮箱数据丰富的第三方集成丰富的第三方集成 企业微信 钉钉 飞书 微信公众号 短信 邮件 OpenAPI WebHook上线后发现漏洞风险更大、修复成本更高能持续在软件上线前发现更多安全问题才能降低成本 基于开源社区IAST的代码漏洞检测SAST:白盒代码扫描DAST:黑盒动态扫描IAST:交互式
6、动态污点分析SCA:开源组件安全分析低侵入式的数据采集端独特的应用数据仓储中心设计开放的社区生态持续贡献高效零误报的技术优势具备可持续运营的产品设计Agent端检测Agent端性能损耗高无法构建统一的数据底座,数据无法得到充分的利用新漏洞需重新下发规则重新扫描无法进行微服务的调用链追踪Server端检测Agent端性能损耗高构建统一的数据底座,数据得到充分的利用新漏洞需重新下发规则重新扫描无法进行微服务的调用链追踪丰富的第三方集成探针集群OpenAPIOpenAPIOpenAPIOpenAPIOpenAPI clusterStorageStorageStorageStorageStorage
7、clusterEngineEngineEngineEngineEngine cluster洞态IAST产品能力1.漏洞详情定位到代码行2.依赖组件的供应链风险排查3.梳理API Sitemap精准反馈未测试接口4.支持云原生的部署方式,一键启动5.统一探针上报的数据格式,利用数据分析实现漏洞的离线检测漏洞触发过程分析Sitemap1.漏洞详情定位到代码行2.依赖组件的供应链风险排查3.梳理API Sitemap精准反馈未测试接口4.支持云原生的部署方式,一键启动5.统一探针上报的数据格式,利用数据分析实现漏洞的离线检测1.低侵入式的技术方案2.高效零误报的技术优势安全能力沉淀1.安全能力沉淀传统安全工程师工作手动/半自动安全测试、手动复测、安全运营2.基于IAST的安全工程师安全研究沉淀规则自动化漏洞检测自动通知自动复测等超过 100 家用户的真实落地