FreeBuf咨询：2020-2021年金融行业网络安全研究报告（60页）.pdf

《FreeBuf咨询：2020-2021年金融行业网络安全研究报告（60页）.pdf》由会员分享，可在线阅读，更多相关《FreeBuf咨询：2020-2021年金融行业网络安全研究报告（60页）.pdf（60页珍藏版）》请在三个皮匠报告上搜索。

1、(5)应用安全健康性评估攻击者所针对的首要目标是所有面向互联网攻击面资产(开放全部互联网访问的资产)，第二目标是内部攻击面资产(内部面向终端的资产)。为发现这些攻击面资产的漏洞，除了基础的漏洞扫描外，还需要进行大量应用层面的渗透测试。从实战考虑，渗透测试工作不仅在工作量上有大量增加，还需要进行交叉验证。实践表明，渗透测试特别是高级别的测试，渗透的深度主要取决于渗透人员的能力、思路、状态，因此交叉验证才能够更大程度的发现问题。定期评估渗透测试服务商和现场人员的技术能力，必要时进行轮岗避免出现思维定式。众测也是解决问题的较好方案。(6)清单化加固与风险缓释在风险缓释环节，时刻抓住主要风险进行处置。

2、通过资产分级标记，分为互联网暴露资产、运维使用资产、其他资产等。对资产中操作系统、数据库、中间件、网络设备的系统漏洞排查与评估，优先对可提权类、可执行类及高危漏洞进行加固。对所有重要Web应用站点开展人工渗透测试评估，对于发现的高中风险漏洞做限期整改，对于内部重要服务器、运维主机进行基线配置核查，主要关注账号口令基线、日志记录基线的规范要求，完成重要服务器和关键运维主机的基线自查及配置整改;通过扫描猜测及人工核查手段，对内部重要服务器和运维主机的操作系统账号口令、数据库账号口令、FTP账号口令、应用管理员账号口令等各类服务的账号权限和口令进行梳理和自查。2、网络安全实战化对抗一切以网络空间实战

3、对抗为指导方向，加强攻防能力，应对组织化攻击，应对云化挑战。(1)组织攻防演练组织实战化演练，标准化工作流程，提升协同联动状态，提升整体防守团队的响应速度。在攻防演习过程中，需要有意识地在各模拟的攻击场景中，从各个方面锻炼和提升防守团队的响应以及处置速度，并针对每个场景进行复盘总结，力求做到安全攻击即时响应，安全事件分钟级处置。针对演练中发现的问题，应当总结整理，形成整改清单并制定整改计划，将整改的任务落实到每一个责任人并进行跟踪。做到通过实战发现问题，通过实战检验能力。(2)实时监控分析面向实战化，安全团队主要对以下几类内容进行实时监控：覆盖互联网边界出口及内部核心流量的全流量平台，监测攻击

4、告警行为实时上报，并对攻击源IP进行溯源分析，攻击行为包括命令执行攻击、SQL注入攻击、命令注入攻击、恶意文件上传尝试等。覆盖各重点区域的WAF、IPS，监测频繁攻击行为的源IP、已放行的可疑行为源IP及有尝试绕过防护行为的源IP，对其进行行为分析和溯源。(3)快速结果汇聚对告警事件建议进行分类处置，可以分为危急(T4)、高危(T3)、中危(T2)、低危(T1)，四个等级，也可以加设无需处置的T0级;通过态势感知平台采集WAF日志、流量数据、IDS日志、VPN日志、防火墙日志等多家安全厂商的相关原始日志，通过统一解析，并分别配置相关策略告警类型，大致分为侦查探测、网络入侵、漏洞利用、横向渗透、

5、命令控制、用户行为分析、业务风险分析等。通过基于大数据分析的技术，实现安全事件多维度的快速结果汇聚。(4)综合应急处置建立安全事件应急响应及处置流程，包括对全网攻击告警进行实时监控、上报、第一时间应急处置、溯源分析、深入取证反查等，将工作流程落实到具体负责人及响应步骤，确保在事件发生的第一时间进行及时响应，降低事件影响，并快速追踪溯源，阻断入侵路径，恢复被影响系统。(5)及时溯源反制通过安全告警，流量及态势感知分析定位该攻击者行为，经过威胁情报系统及网络公开信息进行人员定位。同时部署蜜罐系统，借此抓取攻击人员的一些信息，并根据信息进行可信的定位，精准识别人员身份。同时在确定攻击IP危害性的前提

6、下通过技术手段进行反渗透，并进行证据提取。3、网络安全常态化运营通过常态化的安全运营与持续改进构建纵深立体的网络安全防护体系，通过流程、制度、平台、系统、支撑信息安全运营。(1)安全运营常态化完善安全运营能力建设，主要包括：安全队伍建设：首先解决安全团队问题，不仅仅要覆盖总部，同时也要覆盖到分支机构。安全队伍建设包括了组建不同职能方向的团队，例如GRC、攻防、架构、应用安全、数据安全等。安全能力建设：安全人员的专业技能提升是企业安全能力建设的重要环节，通过参与专业化的培训，可