2020 CTIC 滴滴网络安全实践 秦波 滴滴网络安全部负责人个人简介 秦波，滴滴网络安全部负责人，近 20 年的网络安全领域工作经验。曾参与过 多个国家行业标准和开源项目制定/重保， 以及两项专利发明人，具有丰富的攻防 理论和实战经验。加入滴滴后开始以甲 方视角系统化地、持续地建设安全体系。 3腾讯lake2的观点：推动风险解决 何为安全运营 安全人员使用安全系统、制定安全策略、推动解决安全风险的过程即安全运营 系统 上线研发 运营 迭代 迭代研发 建设系统 运营使用系统、制定策略、 发现问题、优化策略、 优化系统 安全运营之道 小步快跑，快速迭代 三个关键的数据指标 覆盖率、有效率、误报率 2020 CTIC 4奇安信聂君观点：围绕着安全能力开展工作 何为安全运营 一切围绕着提升安全能力开展的工作都属于安全运营 安全运维 框架安全防护框架 安全验证框架 需要解决的问题 解决方法 1、安全质量保持在稳定区间 1、一二线、安全事件日例会、复盘 2、安全工程化能力 2、UseCase+算法 3、安全有效性验证（安全失效的自我发现） 3、安全验证框架（黑白盒验证+矩阵式监控） 4、…… 4、安全度量指标（攻防成功率、攻防检出率） 5美团职业欠钱的观点：结果导向，解决主要矛盾 WHAT 为了实现安全目标，提出 安全解决构想、验证效果、 分析问题、诊断问题、协 调资源解决问题并持续迭 代优化的过程。A WHY “结果导向”的视角 下，安全资源显著不 足，需要项目管理、 产品设计、工程化研 发、协调沟通推进等B HOW 关注“如何诊断问题，判 断主要矛盾”、“如何结 合行业经验，有效的 解决主要矛盾”。 风险全景图、RoadMap 数据驱动决策、宣传、改 善IT框架&流程。C1. 做安全要重视效果，不能沉迷“做事”本身 2. 如何让可以被做好的事情，真的被做好，关注技术之外的影响因素 6绿盟彗星的观点：合法合规，机制和框架的搭建 安全运营体系 建立一套可持续改进的网络安全风 险管控体系，在符合国家和主管机构法 律法规、制度规范和要求的前提下，综 合运用管理、技术、运维手段持续降低 组织机构面临的网络安全风险。 7宗旨 可感可控可溯源可打击公众号：跟我学个P 模块 抓手 风险域 机制滴滴秦波的观点：ROSI 和风险的平衡 识别风险 保护资产 应急响应 检测攻击 人 流程 技术IDC 供应链&第三方 办公网&外包职场 APP&loT&无人车蓝军以攻促防 SDL 代码检测 准备 风险管理资产管理 安全评估 威胁情报安全 水位 事前 数据安全访问控制 安全基线 认证授权反入侵 发现攻击 事中 信任分值威胁检测 应急预案 准入分析反入侵 事件处置 事后 事件响应调查取证 止损复盘 自动处置 8IP - 滴滴的DevSecOps DEV SECOPS 计划 编码 构建 测试 发布 部署 维护 监控SRE SAST SCA渗透平台 情报平台资产平台 异常检测社工钓鱼 策略对抗设计评估 基线生成DAST 安全SDK静态检测 威胁建模 DSRC覆盖率提升 召回率提升 应急响应 止损复盘 9IP - 线上漏洞闭环运营 分析线上漏洞成因并形成黑白盒规则、安全方案、流程卡点，以BadCase暴露SDL薄弱点并改进以此提升SDL团队安全能力。背景 Intelligence SRC、Red Teaming、Attack WAF Req_host、URL、Params Vulnerability Attack_type、PayloadURL GitSDL Recall False SDL Cover FalseWAF DAST SAST ……RISK CODE CAPABILITY RULE RISK 10策略对抗的分层：PDR 生产网 办公网 pc云 第三方商户 对 外 初 始 化 风 险webWebshell 命令注入 sqli 流量ARP NBNS 钓鱼邮件 内部数据上云 文件泄露 ssrf 任意文件读取 嗅探 WPAD 物理接触 内部云来往公共 域 高危CMS 文件写入 管理后台 wifi OWA接口 IOT 组件漏洞 物理 接触Bad usb LNK 交换机/路由 器手机 服务 服务命令执行 sftp等服务对外 扫描爆破 域 渗 透dump hash 高危服务利用 VPN VPN 其他 长链接 代理转发 供应链 pth GPP 供应链 木马后门 网络设备 外包 黄金票据 白银票据 github 物理窃取 横 向 移 动内部 扩散域名枚举 端口转发 暴力破解 SPN TOKEN窃取 鱼叉 有效凭据 日志篡改 提权 oa网端口扫描 DCOM 提权 水坑 网络劫持 网站翻找 合法凭据搜集 高危服务利用 进程注入 下载执行 翻箱倒柜 内网流量攻击 其他 SMB/RDP 其他合理权限 持久 化木马 rootkit 账户添加 cronfile 后门 对外通信 反弹shell 网盘api 数据外传 网络磁盘挂载 dns隧道木马 socket木马 P 对外服务收敛 安全基线 弱口令 管理后台对外 Web漏洞 内部权限收敛 服务漏洞 D Linux HIDS 邮件检测 Windows日志 流量检测 Windows HIDS EDR 流量欺骗 应用日志 R 远程取证 远程文件拉取 远程止损 原始日志采集