2020 CTIC
滴滴网络安全实践
秦波
滴滴网络安全部负责人个人简介
秦波,滴滴网络安全部负责人,近 20
年的网络安全领域工作经验。曾参与过
多个国家行业标准和开源项目制定/重保,
以及两项专利发明人,具有丰富的攻防
理论和实战经验。加入滴滴后开始以甲
方视角系统化地、持续地建设安全体系。
3腾讯lake2的观点:推动风险解决
何为安全运营
安全人员使用安全系统、制定安全策略、推动解决安全风险的过程即安全运营
系统
上线研发 运营
迭代 迭代研发 建设系统
运营使用系统、制定策略、
发现问题、优化策略、
优化系统
安全运营之道 小步快跑,快速迭代
三个关键的数据指标 覆盖率、有效率、误报率
2020 CTIC
4奇安信聂君观点:围绕着安全能力开展工作
何为安全运营
一切围绕着提升安全能力开展的工作都属于安全运营
安全运维
框架安全防护框架 安全验证框架
需要解决的问题 解决方法
1、安全质量保持在稳定区间 1、一二线、安全事件日例会、复盘
2、安全工程化能力 2、UseCase+算法
3、安全有效性验证(安全失效的自我发现) 3、安全验证框架(黑白盒验证+矩阵式监控)
4、…… 4、安全度量指标(攻防成功率、攻防检出率)
5美团职业欠钱的观点:结果导向,解决主要矛盾
WHAT
为了实现安全目标,提出
安全解决构想、验证效果、
分析问题、诊断问题、协
调资源解决问题并持续迭
代优化的过程。A
WHY
“结果导向”的视角
下,安全资源显著不
足,需要项目管理、
产品设计、工程化研
发、协调沟通推进等B
HOW
关注“如何诊断问题,判
断主要矛盾”、“如何结
合行业经验,有效的
解决主要矛盾”。
风险全景图、RoadMap
数据驱动决策、宣传、改
善IT框架&流程。C1. 做安全要重视效果,不能沉迷“做事”本身
2. 如何让可以被做好的事情,真的被做好,关注技术之外的影响因素
6绿盟彗星的观点:合法合规,机制和框架的搭建
安全运营体系
建立一套可持续改进的网络安全风
险管控体系,在符合国家和主管机构法
律法规、制度规范和要求的前提下,综
合运用管理、技术、运维手段持续降低
组织机构面临的网络安全风险。
7宗旨 可感可控可溯源可打击公众号:跟我学个P
模块
抓手
风险域
机制滴滴秦波的观点:ROSI 和风险的平衡
识别风险 保护资产 应急响应 检测攻击
人 流程 技术IDC 供应链&第三方 办公网&外包职场 APP&loT&无人车蓝军以攻促防
SDL 代码检测
准备
风险管理资产管理
安全评估 威胁情报安全
水位
事前
数据安全访问控制
安全基线 认证授权反入侵
发现攻击
事中
信任分值威胁检测
应急预案 准入分析反入侵
事件处置
事后
事件响应调查取证
止损复盘 自动处置
8IP - 滴滴的DevSecOps
DEV
SECOPS
计划 编码 构建 测试 发布 部署 维护 监控SRE
SAST
SCA渗透平台
情报平台资产平台
异常检测社工钓鱼
策略对抗设计评估
基线生成DAST 安全SDK静态检测 威胁建模
DSRC覆盖率提升
召回率提升
应急响应 止损复盘
9IP - 线上漏洞闭环运营
分析线上漏洞成因并形成黑白盒规则、安全方案、流程卡点,以BadCase暴露SDL薄弱点并改进以此提升SDL团队安全能力。背景
Intelligence
SRC、Red Teaming、Attack
WAF
Req_host、URL、Params
Vulnerability
Attack_type、PayloadURL
GitSDL Recall False
SDL Cover FalseWAF
DAST
SAST
……RISK CODE CAPABILITY RULE RISK
10策略对抗的分层:PDR
生产网 办公网 pc云 第三方商户
对
外
初
始
化
风
险webWebshell 命令注入 sqli
流量ARP NBNS 钓鱼邮件 内部数据上云
文件泄露 ssrf 任意文件读取 嗅探 WPAD 物理接触 内部云来往公共
域
高危CMS 文件写入 管理后台 wifi OWA接口 IOT
组件漏洞 物理
接触Bad usb LNK 交换机/路由
器手机
服务 服务命令执行 sftp等服务对外 扫描爆破
域
渗
透dump hash 高危服务利用 VPN VPN
其他 长链接 代理转发 供应链 pth GPP 供应链 木马后门
网络设备 外包 黄金票据 白银票据 github 物理窃取
横
向
移
动内部
扩散域名枚举 端口转发 暴力破解 SPN TOKEN窃取 鱼叉 有效凭据
日志篡改 提权 oa网端口扫描 DCOM 提权 水坑 网络劫持
网站翻找 合法凭据搜集 高危服务利用 进程注入 下载执行
翻箱倒柜 内网流量攻击 其他 SMB/RDP 其他合理权限
持久
化木马 rootkit 账户添加
cronfile 后门
对外通信 反弹shell 网盘api 数据外传 网络磁盘挂载 dns隧道木马 socket木马
P 对外服务收敛 安全基线 弱口令 管理后台对外 Web漏洞 内部权限收敛 服务漏洞
D Linux HIDS 邮件检测 Windows日志 流量检测 Windows HIDS EDR 流量欺骗 应用日志
R 远程取证 远程文件拉取 远程止损 原始日志采集
滴滴 滴滴网络安全实践
安全文档 >
网络安全 >
文档预览
中文文档
15 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共15页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-01-15 17:30:34上传分享