李维春-安信证券安全运营实践分享（21页）.pdf

《李维春-安信证券安全运营实践分享（21页）.pdf》由会员分享，可在线阅读，更多相关《李维春-安信证券安全运营实践分享（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、安信证券安全运营实践分享李维春 安信证券安全总监目录一、公司介绍二、安全建设历程三、安全运营四、安全运营心得一、公司介绍公司总部设于深圳，成立于2006年在北京、上海、广州、汕头和佛山等地45家分公司、333家证券营业部控股股东为国家开发投资公司控股的国投资本股份有限公司四家控股子公司：安信国际、安信乾宏投资、国投安信期货、安信证券投资公司具有证券行业全业务牌照，2009-2018年连续10年获A级以上评级二、安全建设历程1、全面风险评估，制定未来三年工作规划2、互联网高危资产梳理及高危风险处置3、建立自主渗透测试能力及漏洞管理机制4、建立SDL管理机制及开发规范快速止血阶段1、基于纵深防御的

2、理念，分层建设安全运营中心、威胁感知与分析、WAF、IPS等手段2、建立信息安全管理体系，通过ISO27001认证3、建立安全意识培训体系及考核机制4、夯实技术实力，代表国投集团参加央企首届网络安全攻防大赛并取得优良成绩全面建设阶段1、通过护网攻防演练、红蓝对抗、安全众测等检查机制运转的有效性，不断提升安全运营能力2、安全运营流程化、规范化管理3、管理制度更新优化4、DevSecOps、容器云安全、安全沙箱等新技术落地优化提升阶段2015年-2016年2017-2018年2019年-三、安全运营防护运维监测分析响应处置纠正预防验证度量资源&能力流程&机制入侵检测/防御抗DDoSNGFWHDLP

3、数据脱敏水印数据库审计漏洞扫描APP安全应用安全 网络安全服务器安全终端安全用户安全身份认证堡垒机网页防篡改WAF邮件安全防病毒EDR网络准入IM监控容器安全公有云安全黑白盒检测SDL网络隔离安全基线补丁管理HIDS防病毒VPN堡垒机上网行为管理网络白名单物理安全蜜网外设管理蜜罐机房安全网络流量分析云安全外包安全意识培训CTFIAAS安全技能培训3.1 安全防护补丁管理3.2 安全运维健康度检查检查Sensor安全监测功能是否正常运行检查Sensor到管理后端的网络通路是否通畅检查Sensor所产生的告警信息到SOC平台的信息采集是否正常运行检查告警通知（邮件、短信与可视化 展示平台）是否正常

4、运行检查Sensor、系统接入点是否变更、被规避检查流程控制点是否生效、发生变更、被规避健康度问题纠正和预防3.3 安全监测分析SyslogSyslog、RsyslogRsyslog、WinlogbeatWinlogbeat、SMBSMB、DBDB、FileFile、SNMPSNMP日志日志源源日志日志采集采集日志日志集中集中日志日志分析分析数据数据展示展示工单情报碰撞自动化运营数据同步数据消费数据消费安全告警集中展示和处理安全运营UseCase样例日志来源：Sysmon检测规则：index=_your_sysmon_data_ EventCode=10 TargetImage=C:WINDO

5、WSsystem32lsass.exe(GrantedAccess=0 x1410 OR GrantedAccess=0 x1010 OR GrantedAccess=0 x1438 OR GrantedAccess=0 x143a OR GrantedAccess=0 x1418)CallTrace=C:windowsSYSTEM32ntdll.dll+*|C:windowsSystem32KERNELBASE.dll+20edd|UNKNOWN(*)|table _time hostname user SourceImage GrantedAccess安全运营UseCase样例日志来源：W

6、indows Security Event Log&Sysmon检测规则：logsource:product:windows service:securitydetection:selection:EventID:4624 LogonType:10 SourceNetworkAddress:-:1 -127.0.0.1 condition:selectionfalsepositives:-Unknownlevel:high安全运营UseCase样例日志来源：防病毒数据库检测规则：未删除隔离成功的蠕虫、木马病毒如何挖