文库搜索
切换导航
首页
频道
安全标准
安全报告
安全文档
首页
安全标准
安全报告
安全文档
批量下载
使用说明
官方交流群
会员登录
2020年10月创新引领 担当有为 协同高效 严谨务实 工商银行安全攻防实验室 以攻促防,从攻击视角 构建自动化安全工具链打造极致产品 建设卓越中心 目录 金融行业自主构建自动化安全工具链的必要性 典型自动化安全工具建设示例1 2 3 未来自动化安全工具链建设展望 4自动化安全工具链构建思路1 金融行业自主构建自动化安全工具链的必要性 随着企业加强了边界安全防御,黑客组织都已纷纷自行构建定制化工具; 传统攻击工具 传统攻击工具传统攻击工具 企业内网新型工具黑客组织 黑客工具在发展,我们必须进步!企业自建工具链促进防御升级 传统防御已经不能抵抗新型攻击工具 黑客工具升级 传统攻击已经不能成功入侵企业安全性高业务特性强 迭代速度快系统规模大 由于金融行业对安全 性的高要求,为避免 开源工具中“夹带” 恶意代码,使企业不 能随意使用外部现有 的工具。一般工具主攻技术层 面漏洞,技术普适性 较高,但业务针对性 较差,金融行业需要 根据行业业务特性, 来构建针对性工具。 金融企业产品更新速度 快,升级周期短,系统 的开发迭代速度很快, 所以企业必须随着开发 迭代构建适合自己的工 具。金融企业信息系统规 模庞大,分布广阔, 且监管要求较高,安 全防御需要高度覆盖, 所以需要构建自动化 安全工具链实现自动 化建设体系。金融行业的“四大特性”要求企业必须自主构建自动化安全工具链,以抵御日新月异的新型攻击。1 金融行业自主构建自动化安全工具链的必要性目录 金融行业自主构建自动化安全工具链的必要性 典型自动化安全工具建设示例1 2 3 未来自动化安全工具链建设展望 4自动化安全工具链构建思路2 自动化安全工具链构建思路 生产环境 测试环境安全测试 渗透测试 自动化安全工具全面 测试 工具 支撑 环境 依托 从攻防视角,定制了安全测试、渗透测试两大类工具,分别应用于测试环境和生产环境的安全性检测,可以 覆盖应用系统上线前、上线后以及新进引入应用时的潜在风险。2 自动化安全工具链构建思路-测试阶段 安全监控与 运营 SOC/WAF/ RASP需求 业务威胁 建模 编码 单元测试 功能测试架构与设计 业务验 收测试性能/容 量测试 安全测试剩余风 险报告上线审批技术威胁 建模安全编码培训客户端安 全测试 本地静态安全 测试第三方库/镜像静态安全测试 制品库 (Patch Release) 制定安全 质量门制品库 (daily) 资源集合 安全活动镜像安全 测试API安全 测试软件成分分析 及漏洞检测 部署/验证 关键软件 生命周期过程渗透测试第三方代码入库安全检测 第三方SDK入库安全检测 第三方镜像入库安全检测 构建 制品库 (Release)交互式安全测试 标准化 配置 DEV SIT UAT PRO安全加固 自动化 测试 动态安 全测试交互式安全测试 安全测试自动化 测试 自动化流水线 人工处理流程 安全测试工具链2 自动化安全工具链构建思路-生产阶段 初 始 访 问执 行持 久 化权 限 提 升防 御 绕 过 凭 证 访 问发 现横 向 移 动收 集命 令 和 控 制数 据 渗 出影 响优 先 定 义 计 划优 先 定 义 方 向目 标 选 择技 术 信 息 收 集人 员 信 息 收 集组 织 信 息 收 集技 术 弱 点 识 别人 的 弱 点 识 别组 织 弱 点 识 别 建立 和维 护基 础架 构角 色 发 展建 设 能 力测 试 能 力存 储 能 力对 手 作 战 保 密 渗透测试工具链 PRE-ATT&CK ATT&CK for Enterprise 后渗透攻击 弱点发现 边界突破 信息收集信息收集 弱点发现边界突破后渗透攻击目录 金融行业自主构建自动化安全工具链的必要性 典型自动化安全工具建设示例1 2 3 未来自动化安全工具链建设展望 4自动化安全工具链构建思路(1)交互式安全测试工具 基于流量交互式安全检测技术 基于插桩交互式安全检测技术 利用字节码插桩技术,在无需改造应用代码的 情况下,采集程序运行时函数调用链信息及数 据流,根据安全专家设定的规则,分析函数调 用链信息及数据流,发现安全漏洞。通过网络代理、网络探针技术采集业务测试 流量,然后将攻击向量逐个替换到业务流量 参数中发送至被测服务器,通过服务器返回 报文对测试结果进行断言。3 典型自动化安全工具建设示例
工行 以攻促防,从攻击视角构建自动化安全工具链
安全文档
>
网络安全
>
文档预览
中文文档
24 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助1.5元下载(无需注册)
温馨提示:本文档共24页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助1.5元下载
本文档由
思安
于
2023-01-15 17:30:34
上传分享
举报
下载
原文档
(1.2 MB)
分享
给文档打分
您好可以输入
255
个字符
网站域名是多少( 答案:
github5.com
)
评论列表
暂时还没有评论,期待您的金玉良言
热门文档
T-ACEF 109—2023 公民绿色低碳行为温室气体减排量化指南 行:混合动力汽车出行.pdf
GB-T 31000-2015 社会治安综合治理基础数据规范.pdf
GB-T 6730.65-2009 铁矿石 全铁含量的测定 三氯化钛还原重铬酸钾滴定法 常规方法.pdf
SL-T 423-2021 河道采砂规划编制与实施监督管理技术规范.pdf
奇安信 2022中国工业数据勒索形势分析报告.pdf
GB-T 36687-2018 保险术语.pdf
数据分级分类实施参考案例集.PDF
SN-T 5476-2022 进境马属动物指定隔离检疫场建设规范.pdf
T-YFSEA 0008—2023 陆用液体装卸臂检验规程.pdf
GB-T 41619-2022 科学技术研究项目评价实施指南 基础研究项目.pdf
GB-T 616-2006 化学试剂 沸点测定通用方法.pdf
GB-T 33134-2023 信息安全技术 公共域名服务系统安全要求.pdf
GB-T 37049-2018 电子级多晶硅中基体金属杂质含量的测定 电感耦合等离子体质谱法.pdf
GB-T 32182-2015 轨道交通用铝及铝合金板材.pdf
GB-T 31710.3-2015 休闲露营地建设与服务规范 第3部分:帐篷露营地.pdf
GB-T 32268-2015 十八烷基键合相 C18 高效液相色谱柱性能测定方法.pdf
GB/T 12346-2021 经穴名称与定位.pdf
GB-T 9567-2016 工业用三聚氰胺.pdf
T-IMAS 052.4—2022 电动中重卡共享换电站及车辆换电系统技术规范 第四部分:换电车辆换电控制器技术要求.pdf
GB 25972-2010 气体灭火系统及部件.pdf
1
/
3
24
评价文档
赞助1.5元 点击下载(1.2 MB)
回到顶部
×
微信扫码支付
1.5
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
享优惠, 办会员
每年仅需
99
元(可开发票 无限下载)
加客服微信扫描如下二维码 咨询
×
分享,让知识传承更久远
×
文档举报
举报原因:
×
优惠下载该文档
免费下载 微信群 欢迎您
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。