企業(yè)內(nèi)部信息安全威脅防護實踐_第1頁
企業(yè)內(nèi)部信息安全威脅防護實踐_第2頁
企業(yè)內(nèi)部信息安全威脅防護實踐_第3頁
企業(yè)內(nèi)部信息安全威脅防護實踐_第4頁
企業(yè)內(nèi)部信息安全威脅防護實踐_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、企業(yè)內(nèi)部信息安全威脅防護實踐技術(shù)創(chuàng)新,變革未來今天我們說的內(nèi)部威脅非技術(shù)手段造成的關(guān)鍵權(quán)限的濫用,關(guān)鍵信息的外泄這類內(nèi)部威脅有什么特點攻擊場景1、原始請求:http:/foo/rss.aspx?keyword=luckySQLi http:/foo/rss.aspx?keyword=lucky);SELECT%20SERVERPROPERTY%20(edition);- XSS http:/foo/rss.aspx?keyword=lucky/alert(document.cookie)!-攻擊場景2、timestamp:2017-03-17T22:28:16.770537+0800,flow

2、_id:,in_iface:em3,event_type:alert,src_ip:172. ,src_port:53956,dest_ip:35. ,dest_port:3389,proto:TCP,alert:action:allowed,gid:1,signature_id:2803564,rev:2,signature:ETPRO WORM Worm.Win32.Morto.A Propagating via Windows Remote DesktopProtocol,category:A Network Trojan was detected,severity:1外部攻擊:1、有特

3、征/Signature2、Code/Tools1、小A負責了商家入駐審核,在審核商家B時,明知道B不合格,但在某些特殊驅(qū)使 下故意放過B2、小C認識了美女D,為查到美女D住處,偷偷在后臺上查了D的常用收快遞地址內(nèi)部威脅:1、可能無需技術(shù)2、可能在授權(quán)范圍內(nèi)3、可能無技術(shù)特征挑戰(zhàn)是什么1、小A負責了商家入駐審核,在審核商家B時,明知道B不合格,但在某些特殊驅(qū)使下故意放過B犯錯失誤還是主觀作惡?2、小C認識了美女D,為查到美女D住處,偷偷在后臺上查了D的常用收快遞地址 能不能查?該不該查?除了上述這些行為,還有什么行為有問題? 總結(jié):1、什么樣叫異常,到底要找什么?2、怎么判別異常,怎么去找出來?

4、3、如何確認異常,怎么去確認行為是否惡意?整體思路風險輸入基礎數(shù)據(jù)抽象指標規(guī)則運營告警處理風險改造場景List1、場景1 XXX2、場景1 XXX3、場景3 XXX風險評估業(yè)務需求高層擔心日志采集 agent安全agent安全設備Kafka數(shù)據(jù)清洗 (spark streaming)任務調(diào)度垂直數(shù)據(jù)系統(tǒng)MySQLKafka終端SDK業(yè)務系統(tǒng)審核服務數(shù)據(jù)分析HDFSES審計Redis風控質(zhì)檢 模塊數(shù)據(jù)上報 服務監(jiān)控配置管 理服務數(shù)據(jù)源第三方整體架構(gòu)基礎數(shù)據(jù)抽象指標聚合事件提取操作_time user action_1/event_1 count, action_2/event_2 count,

5、action_3/event_3 count,1、量小,計算快2、便于做規(guī)則打包銷售:個人身份信息網(wǎng)購訂單信息快遞信息航班信息定向出售:開房記錄通信記錄個人征信數(shù)據(jù)批發(fā)便宜按需操作遍歷抓取價格較高先接單 后處理批量拖取1、適合統(tǒng)計學分析2、個體之間差異告警3、需要數(shù)量標準做依據(jù)1、按獨立事件分析異常2、個體自身對比告警3、需要行為標準做依據(jù)規(guī)則運營規(guī)則運營A首頁XX管理XX查詢B詳情頁A項修改頁C列表頁D項列表頁注銷權(quán)重8權(quán)重4權(quán)重2權(quán)重12權(quán)重1權(quán)重7權(quán)重13每一個個體都有自己的樹 每一個角色都有自己的樹Reffer、時間、會話標識繪路徑 頻度繪權(quán)重1、離散點/集中點2、個體自身變化3、同類角色之間差異Demo告警處理1、權(quán)限是否滿足2、這個場景下是否應該用這個權(quán)限3、賬號本身是否有異常4、是否有安全漏洞 2、賬號管理ABCDABCD0業(yè)務風險改造1、業(yè)務流程、安全漏洞3、權(quán)限梳理談談未來用戶內(nèi)部威脅異常 分析系統(tǒng)Level 3:紅線操作 Level 2:風險操作 Level 1:安全操作業(yè)務系統(tǒng)完成操作執(zhí)行Level 1 執(zhí)行操 作分析吐 結(jié)果告警Level 3 攔截Lev

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論