谭晓生-数字化转型中的企业网络安全（48页）.pdf

1、数字化转型中的企业网络安全谭晓生2022年6月10日数字化转型进程手工流程计算机处理网络化互联网化万物互联局部全局技术社会万物互联（IoT）世界智能家居车联网智慧城市联网的可穿戴设备智能工厂&制造智能电网网络安全应用场景-10年前网络安全应用场景-今天网络安全应用场景-明天树立数字安全观网络安全模型技术工程产品科学科学、技术与工程的三元论道法术器P2DR模型（ISS，1990s）安全=风险分析+执行策略+系统实施+漏洞监测+实时响应IATF框架（NSA，1998/1999）纵深防御思想网络安全杀伤链（洛马,2011）黄金标准框架（NSA，2014）CGS框架示意图ATT&CK（MITRE，20

2、13-）NIST 网络空间安全框架（2014-)识别保护检测响应恢复依赖进化加强自身强身健体构筑工事纵深防御全面监测快速响应获取情报准确预警进攻反制先发制人基础架构被动防御积极防御威胁情报反制进攻网络安全滑动标尺模型（SANS，2015）安全管理体系 安全域划分 安全加固 安全评估 应用内建安全 传统安全防护 纵深防御体系 缩小攻击面 消耗攻击资源 迟滞攻击 持续检测响应安全分析追踪溯源响应处置 人的参与 完善防御体系 信息收集 情报生产 情报分析验证“狩猎”法律手段 对抗措施 自我防卫行为IACD集成自适应网络防御（2016）Gartner CARTA模型(2018)CARTA-Contin

3、uous Adaptive Risk and Trust AssessmentDevSecOps认清网络空间安全防御的现实 没有银弹 碎片化的市场/产品/服务 有勇有谋：对人高度依赖 需要在投入与期望值之间做平衡 弹性/恢复能力 不能不信，不能全信 政府的作用 7 X 24 安全运维，持续开发/改进“WannaCry勒索蠕虫”事件回放2017年5月12日晚不法分子利用2017年4月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击进行勒索，也成WannaCry病毒截止到5月16日勒索软件攻击了100+国家。据360威胁情报中心监测，至少有29000+个机构被感染。受害主机中招后，病毒

4、就会在受害主机中植入勒索程序，硬盘中存储的文件将会被加密无法读取。WannaCry勒索蠕虫爆发2017.3.14 微软发布安全补丁MS17-0102017.4.14 NSA“永恒之蓝”黑客工具泄漏2017.5.12“WannaCry勒索蠕虫”事件回放从微软发布安全补丁 勒索蠕虫病毒爆发安装了个人版360安全卫士的5亿客户端，仅有20多个台电脑终端中招为什么受伤的是政府/企业用户？“WannaCry勒索蠕虫”事件回放从不同演进阶段分析这次事件的内在原因进化阶段原因分析基础架构1.大量WinXP/2003等老系统无微软官方补丁2.存在众多系统不敢打补丁、不愿打补丁、补丁升级不及时3.做了大隔离，缺

5、乏更细化的隔离措施被动防御1.隔离网或内网中缺乏纵深防御，一隔了之2.重网络安全手段，轻终端安全建设3.重安全建设，轻安全运营积极防御1.资产情况不清楚2.无持续检测和监控技术，感染情况无法及时感知3.缺少响应处置流程及自动化响应手段威胁情报1.威胁情报生产能力低2.获取厂商预警机制不健全进攻反制1.漏洞分析与研究不足2.国家级网络武器库的储备差距注：EDR（Endpoint Detection&Response）：具备采集全量数据能力的终端安全软件，并以此开展安全检测与响应注：NDR（Network Detection&Response）：具备采集全量数据能力的边界安全设备，并以此开展安全检

6、测与响应不同阶段的关系：叠加演进，安全协同基础架构被动防御积极防御威胁情报进攻反制开启应用日志EDRNDR数据采集情报提供威胁情报落地边界防护安全加固以“永恒之蓝”的态势感知为例例：“永恒之蓝”病毒传播态势（中国）有层次、有目标的全面数据采集与监测网络流量基础服务终端安全防火墙IPS防毒墙终端安全准入邮件网关流量会话应用行为文件传输账号登陆中间件数据库缓存服务其他服务文件行为进程行为邮件行为注册表2、充分利用已有的安全事件，但不能信任1、尽可能的覆盖硬件资产4、获取更加丰富的原始数据信息WEB服务业务硬件资产业务服务器路由交换代理服务器主机设备邮件服务器3、获取关键基础服务的运行情况5、深入到