2020年10月创新引领 担当有为 协同高效 严谨务实 工商银行安全攻防实验室 以攻促防，从攻击视角 构建自动化安全工具链打造极致产品 建设卓越中心 目录 金融行业自主构建自动化安全工具链的必要性 典型自动化安全工具建设示例1 2 3 未来自动化安全工具链建设展望 4自动化安全工具链构建思路1 金融行业自主构建自动化安全工具链的必要性 随着企业加强了边界安全防御，黑客组织都已纷纷自行构建定制化工具； 传统攻击工具 传统攻击工具传统攻击工具 企业内网新型工具黑客组织 黑客工具在发展，我们必须进步！企业自建工具链促进防御升级 传统防御已经不能抵抗新型攻击工具 黑客工具升级 传统攻击已经不能成功入侵企业安全性高业务特性强 迭代速度快系统规模大 由于金融行业对安全 性的高要求，为避免 开源工具中“夹带” 恶意代码，使企业不 能随意使用外部现有 的工具。一般工具主攻技术层 面漏洞，技术普适性 较高，但业务针对性 较差，金融行业需要 根据行业业务特性， 来构建针对性工具。 金融企业产品更新速度 快，升级周期短，系统 的开发迭代速度很快， 所以企业必须随着开发 迭代构建适合自己的工 具。金融企业信息系统规 模庞大，分布广阔， 且监管要求较高，安 全防御需要高度覆盖， 所以需要构建自动化 安全工具链实现自动 化建设体系。金融行业的“四大特性”要求企业必须自主构建自动化安全工具链，以抵御日新月异的新型攻击。1 金融行业自主构建自动化安全工具链的必要性目录 金融行业自主构建自动化安全工具链的必要性 典型自动化安全工具建设示例1 2 3 未来自动化安全工具链建设展望 4自动化安全工具链构建思路2 自动化安全工具链构建思路 生产环境 测试环境安全测试 渗透测试 自动化安全工具全面 测试 工具 支撑 环境 依托 从攻防视角，定制了安全测试、渗透测试两大类工具，分别应用于测试环境和生产环境的安全性检测，可以 覆盖应用系统上线前、上线后以及新进引入应用时的潜在风险。2 自动化安全工具链构建思路-测试阶段 安全监控与 运营 SOC/WAF/ RASP需求 业务威胁 建模 编码 单元测试 功能测试架构与设计 业务验 收测试性能/容 量测试 安全测试剩余风 险报告上线审批技术威胁 建模安全编码培训客户端安 全测试 本地静态安全 测试第三方库/镜像静态安全测试 制品库 （Patch Release） 制定安全 质量门制品库 （daily） 资源集合 安全活动镜像安全 测试API安全 测试软件成分分析 及漏洞检测 部署/验证 关键软件 生命周期过程渗透测试第三方代码入库安全检测 第三方SDK入库安全检测 第三方镜像入库安全检测 构建 制品库 （Release）交互式安全测试 标准化 配置 DEV SIT UAT PRO安全加固 自动化 测试 动态安 全测试交互式安全测试 安全测试自动化 测试 自动化流水线 人工处理流程 安全测试工具链2 自动化安全工具链构建思路-生产阶段 初 始 访 问执 行持 久 化权 限 提 升防 御 绕 过 凭 证 访 问发 现横 向 移 动收 集命 令 和 控 制数 据 渗 出影 响优 先 定 义 计 划优 先 定 义 方 向目 标 选 择技 术 信 息 收 集人 员 信 息 收 集组 织 信 息 收 集技 术 弱 点 识 别人 的 弱 点 识 别组 织 弱 点 识 别 建立 和维 护基 础架 构角 色 发 展建 设 能 力测 试 能 力存 储 能 力对 手 作 战 保 密 渗透测试工具链 PRE-ATT&CK ATT&CK for Enterprise 后渗透攻击 弱点发现 边界突破 信息收集信息收集 弱点发现边界突破后渗透攻击目录 金融行业自主构建自动化安全工具链的必要性 典型自动化安全工具建设示例1 2 3 未来自动化安全工具链建设展望 4自动化安全工具链构建思路(1)交互式安全测试工具 基于流量交互式安全检测技术 基于插桩交互式安全检测技术 利用字节码插桩技术，在无需改造应用代码的 情况下，采集程序运行时函数调用链信息及数 据流，根据安全专家设定的规则，分析函数调 用链信息及数据流，发现安全漏洞。通过网络代理、网络探针技术采集业务测试 流量，然后将攻击向量逐个替换到业务流量 参数中发送至被测服务器，通过服务器返回 报文对测试结果进行断言。3 典型自动化安全工具建设示例