證券行業(yè)信息化安全運(yùn)營實(shí)踐分享

1、證券行業(yè)信息化安全運(yùn)營實(shí)踐分享技術(shù)創(chuàng)新，變革未來目錄一、公司介紹二、安全建設(shè)歷程 三、安全運(yùn)營四、安全運(yùn)營心得二、安全建設(shè)歷程快速止血階段1、全面風(fēng)險(xiǎn)評估，制定未來 三年工作規(guī)劃2、互聯(lián)網(wǎng)高危資產(chǎn)梳理及高 危風(fēng)險(xiǎn)處置3、建立自主滲透測試能力及 漏洞管理機(jī)制4、建立SDL管理機(jī)制及開發(fā) 規(guī)范全面建設(shè)階段1、基于縱深防御的理念，分層 建設(shè)安全運(yùn)營中心、威脅感知與 分析、WAF、IPS等手段2、建立信息安全管理體系，通 過ISO27001認(rèn)證3、建立安全意識培訓(xùn)體系及考 核機(jī)制4、夯實(shí)技術(shù)實(shí)力，代表國投集 團(tuán)參加央企首屆網(wǎng)絡(luò)安全攻防大 賽并取得優(yōu)良成績優(yōu)化提升階段1、通過護(hù)網(wǎng)攻防演練、紅藍(lán) 對抗、安

2、全眾測等檢查機(jī)制運(yùn) 轉(zhuǎn)的有效性，不斷提升安全運(yùn) 營能力2、安全運(yùn)營流程化、規(guī)范化 管理3、管理制度更新優(yōu)化4、DevSecOps、容器云安全、 安全沙箱等新技術(shù)落地2015年-2016年2017-2018年2019年-三、安全運(yùn)營防護(hù)運(yùn)維監(jiān)測分析響應(yīng)處置糾正預(yù)防驗(yàn)證度量資源& 能力流程& 機(jī)制3.1 安全防護(hù)應(yīng)用安全黑白盒檢測 漏洞掃描 SDLAPP安全 網(wǎng)頁防篡改 WAF服務(wù)器安全安全基線 補(bǔ)丁管理 防病毒 HIDS堡壘機(jī) 蜜罐網(wǎng)絡(luò)安全NGFW入侵檢測/防御 抗DDoS蜜網(wǎng)網(wǎng)絡(luò)流量分析終端安全網(wǎng)絡(luò)準(zhǔn)入 EDR防病毒 外設(shè)管理補(bǔ)丁管理用戶安全VPN上網(wǎng)行為管理 網(wǎng)絡(luò)白名單IM監(jiān)控 郵件安全云安

3、全公有云安全 容器安全I(xiàn)AAS安全HDLP數(shù)據(jù)脫敏水印數(shù)據(jù)庫審計(jì)身份認(rèn)證堡壘機(jī)網(wǎng)絡(luò)隔離物理安全機(jī)房安全外包安全意識培訓(xùn)技能培訓(xùn)CTF3.2 安全運(yùn)維健康度檢查檢查Sensor安全監(jiān)測功能是否正常運(yùn)行檢查Sensor到管理后端的網(wǎng)絡(luò)通路是否通暢檢查Sensor所產(chǎn)生的告警信息到SOC平臺的信息采集是否正常運(yùn)行檢查告警通知（郵件、短信與可視化展示平臺）是否正常運(yùn)行檢查Sensor、系統(tǒng)接入點(diǎn)是否變更、被規(guī)避檢查流程控制點(diǎn)是否生效、發(fā)生變更、被規(guī)避健康度問題糾正和預(yù)防3.3 安全監(jiān)測分析Syslog、Rsyslog、 Winlogbeat、SMB、DB、File、 SNMP日志 源日志 采集日志 集

4、中日志 分析數(shù)據(jù) 展示工單自動化運(yùn)營情報(bào)碰撞數(shù)據(jù)同步數(shù)據(jù)消費(fèi)數(shù)據(jù)消費(fèi)安全告警集中展示和處理安全運(yùn)營UseCase樣例日志來源：Sysmon檢測規(guī)則：index= your_sysmon_data EventCode=10 TargetImage=C:WINDOWSsystem32lsas s.exe(GrantedAccess=0 x1410 OR GrantedAccess=0 x1010 OR GrantedAccess=0 x1438 OR GrantedAccess=0 x143a OR GrantedAccess=0 x1418) CallTrace=C:windowsSYSTEM3

5、2ntdll.dll+*|C:windowsSystem32KERNELBASE.dll+ 20edd|UNKNOWN(*)| table _time hostname user SourceImage GrantedAccess安全運(yùn)營UseCase樣例日志來源：Windows Security Event Log&Sysmon檢測規(guī)則： logsource:product: windows service: securitydetection: selection:EventID: 4624LogonType: 10SourceNetworkAddress:- :1- 127.0.0.1c

6、ondition: selection falsepositives:- Unknown level: high安全運(yùn)營UseCase樣例日志來源：防病毒數(shù)據(jù)庫檢測規(guī)則：未刪除隔離成功的 蠕蟲、木馬病毒如何挖掘分析場景、UseCase合規(guī)型依據(jù)規(guī)范制度， 制訂檢測規(guī)則可以包括覆蓋 面、健康度、 正常率攻防型單個安全設(shè)備 的檢測攻擊路徑的檢 測(例如 ATT&ACK)奇技淫巧的檢 測補(bǔ)充攻防演練、檢 查審計(jì)、事件 處理中發(fā)現(xiàn)的 問題情報(bào)監(jiān)測3.4 響應(yīng)處置SOC日志中心 告警中心 Usecase 關(guān)聯(lián)分析 情報(bào)分析Tier1Tier2System Admin問題升級協(xié)調(diào)處理深入分析IP、域名、

7、HASH封堵 賬號封堵 事件處理。提交工單HelpDesk惡意樣本 PCAP等安全、應(yīng)用、 OS等日志3.5 糾正與預(yù)防不合規(guī)糾正挖掘不合規(guī)原因，納 入ITIL“問題管理”規(guī)則不清，或沒 有規(guī)則商定規(guī)則審批通過執(zhí)行改進(jìn)，或?qū)ｍ?xiàng)任 務(wù)實(shí)施改進(jìn)ITIL“問題管理”每周回顧，尋找共性、 多發(fā)常發(fā)的問題組織分析原因和解決 方案審批通過專項(xiàng)任務(wù)實(shí)施改進(jìn)3.6 驗(yàn)證與度量度量指標(biāo)防護(hù)覆蓋面：安全工具覆蓋率、正常率 100%運(yùn)維：系統(tǒng)、流程健康度100%監(jiān)測分析：高危風(fēng)險(xiǎn)30分鐘發(fā)現(xiàn)率100%響應(yīng)處置：高危風(fēng)險(xiǎn)及時(shí)修復(fù)率100%糾正預(yù)防：重復(fù)問題發(fā)生數(shù)每年少于5%結(jié)果驗(yàn)證紅藍(lán)對抗（計(jì)劃中）每年2次攻防演練每

8、年行業(yè)攻防演練每年3-4次專項(xiàng)審計(jì)（系統(tǒng)、流程、 人）3.7 資源和能力2016年安信證券首屆CTF大賽2017年安信證券第二屆CTF大賽2018年安信證券代表國投集團(tuán)參加央 企首屆網(wǎng)絡(luò)安全攻防大賽2018年安信證券第三屆網(wǎng)絡(luò)安全技能大賽70%：在好的平臺 上實(shí)戰(zhàn)20%：以老帶新10%：培訓(xùn)、知識 庫3.8 機(jī)制與流程復(fù)盤對標(biāo)每日運(yùn)營開例 會、存紀(jì)要每周挖掘問題每季度走訪學(xué) 習(xí)同行驗(yàn)證處置人和驗(yàn)證 人分開定期有審計(jì)、 攻防演練來驗(yàn) 證評價(jià)基于度量指標(biāo) 以達(dá)成率、提 升率進(jìn)行評價(jià)安全團(tuán)隊(duì)與系 統(tǒng)負(fù)責(zé)人的安 全績效一致獎勵主動改進(jìn) 行為自動化， 逐步實(shí)現(xiàn)自動化，讓干活的 人更開心四、安全運(yùn)營心得一、以終為始，強(qiáng)調(diào)解決問題、可執(zhí)行，強(qiáng)