零售企业如何提升数字安全免疫力实现降本提效

Option 1 AI时代小店大连锁企业安全探索 目录 Menu•如何守住组织安全底线，安全三线动态管理•“万家灯火”网络安全实践•AI+赋能安全案例分享 安全三线动态管理 三线开启信息安全体系任何的信息安全体系中Leadership都是提的最多的且最重要的支持。而来伊份的三线则正是贯穿了生命周期的绩效，通过不同线控制新旧应用的建设和运维规范。基础线红线扩展线控制监测改进监测立即整改限期整改新建指南 核心资产“数据”分级管理通过不同等级的敏感数据要求，对整个数据的生命周期进行保护，【授权、职责分配、脱敏、处理控制、加密、记录与审计】这几个领域进行综合的控制，例如：从数据分享角度来说，1级数据是面向公司内的，2级数据是面向直线向上的，3级数据仅控制在个体范围。数据库应用系统服务器网络安全管理框架战略组织风险管理支持文件化数据 “万家灯火”网络安全实践 万家灯火，千丝万缕网络现状：•1块地，2朵云•3600+门店分布200+地级市•1总部+N个子公司•1CDC中心仓+N个RDC区域仓 面临挑战：•24小时业务运作•3600+门店网络管理•业务开放和系统安全的冲突整体网络架构万家灯火：现有门店超过3600家，目标10000家。 网络实践统一配置 •将原 IP-Sec 网络模式门店改造为 SD-WAN 网络•通过后台管理配置与策略，统一下发至全国门店网络隔离•门店内网与外网（访客 Wi-Fi）之间网络策略隔离，内网通过白名单放行双线热备•带宽+移动网络，双链路冗余•网络异常，自动切换统一管理配置下发策略隔离白名单双链路自动切换 AI+赋能安全案例分享 AI+...Security从2023年2月起，来伊份开始接入GPT能力，通过AI提供风险管理、脆弱性管理、信息安全意识培训等多个领域的能力升级。并继续将这种能力来探索基于AI的安全防护体系。自学习识别分类语音处理语言理解自动工作流图像视频生成语音客服敏感数据过滤半自动营销 每日安全小贴士-AI全自动完成每周一至周五，不同主题，自动收集、自动整理，快速审批，自动群发。周一：小测试周二：安全反诈周三：海外博文精选周四：网络安全简报周五：随机AI内容小测试 = 测试主题list + GPT（创造） 安全反诈 = BingAPI + GPT （整合）博文精选 = RSS + Translator + GPT（评价/整合）网络安全简报 = BingAPI + GPT （整合）每天自动 AI+ Risk Management目前通过AI来提供脆弱性的解决方案建议，以及安全评估报告的分析建议，同时通过AI对脆弱性进行安全域的标记。未来我们将通过AI来完成整个风险判定和风险评价的过程，将人的判断只作为整体调整的部分，而这些调整的内容又成为AI自学习的知识，形成AI风险管理的一种闭环。 业务风控：黑产触角伸至业务流程中的各个环节 业务风控：基于AI能力构建来伊份交易风控体系二次验证拒绝登录账号冻结交易冻结......案例反馈风控模型（注册/交易/支付/领券）离线数据加工风险数据分析异常数据记录用户信息订单数据浏览轨迹行为日志......来伊份数据中心大数据平台风控系统决策系统行为采集风险评级来伊份交易平台风控系统有监督学习 + 非监督学习、AI模型 + 专家经验对于更加复杂的业务模式，我们也在探索深度学习和大模型在风控场景的应用 AI时代安全的挑战AIGC真实与虚拟边界模糊的挑战NL2SQL不确定场景的数据安全挑战 意识+工具信息安全坚持两个抓手 Thank you感谢观看！ 零售企业如何减少安全部署成本提升整体防护水位 目录 Menu•1、多门店零售企业安全痛点分析•2、一接入、二收敛、三防护，极简安全体系打造•3、零售企业安全实战案例分享 遇到过安全攻击存在重大BUG不具备防护能力安全投入占比低机会与挑战并存两面夹击近年来，大批传统零售商在开辟线上销售渠道的同时，也把业务转移到了云上。业务上云过程中所面临的挑战中，安全问题排在首位。部分企业陷入被传统安全问题和新生云安全威胁两面夹击的困境。业务损失据IBM Security统计，零售业在攻击最严重的行业排名中跃升至第二位，全球每分钟由于网络入侵造成的损失为1.77万美元（包括直接损失以及系统恢复成本、业务中断成本等间接损失）。腾讯监测到的企业信息安全事件就超过1万起，并且每一起给企业造成的直接经济损失都超过了100万元。，并有继续快速增长的趋势。原因是零售企业持有大量的敏感个人信息，安全基础薄弱，网络攻击成本低，对于黑客来说，是比较好的标靶。零售行业被传统安全和新生安全两面夹击 业务上线后(对外开放服务后)将遇到的安全风险业务风控层安全风险主机层安全风险Web应用层安全风险网络层安全风险服务器遇到暴力破解、非法登陆服务器发现木马和后门服务器存在高危漏洞Http传输过程中，链接被劫持Http在公网的传输过程中内容泄密Web网站遭遇SQL注入、 XSS跨站等各种攻击事件，篡改网站页面内容，损害企业对外的公众形象Web网站存在安全漏洞，无法快速修复代码上线服务器遭受大流量的DDoS攻击，导致服务器无法对外提供服务如何实现租户之间的隔离？如何实现业务南北向的隔离？网站遭遇垃圾注册、活动作弊、论坛灌水、抢红包、刷奖品等事件网站遇到撞库攻击，导致用户信息泄露网站短信注册接口费用大量增长，业务数据、登陆接口被人恶意爬取获取用户数据新业务系统上线存在业务逻辑漏洞，导致订单金额受损 02.安全价值认知存在错位，安全效果不佳数据来源：腾讯安全与安在共同发起的1500位CSO线上、线下调研安全投入持续增加，安全水位提升效果不佳 3%13%30%24%30%100%满足80-100%满足60-80%满足50-60%满足满足50%以下安全建设自评 低于60分的企业，超过五成 超过80分的企业，不足两成01.企业面临的网络安全挑战网络安全新形势下的考题，如何改变安全“头痛医头”现状？VS新业态混合云\多云环境、大数据平台、SaaS应用新威胁攻击武器化、黑客组织化、勒索产业化新场景混合IT办公、供应链协同、跨网数据交换强监管网络安全法律法规、安全检查、安全审计 治已病治未病静态安全弹性、自适应、可扩展被动防御主动安全构建企业数字安全免疫力，守护企业生命线 2个免疫堡垒数据安全治理与业务风险控制数字安全免疫体系的载体，围绕企业价值主体——数据资产和业务资产设置防御纵深，验证安全防御的完整性和有效性1个免疫中枢系统企业安全运营管理数字安全免疫体系的“中枢系统”，以人为核心，贯穿企业战略、组织、流程等全部运营模块，使安全体系化、全局化3道免疫屏障边界、端点、应用开发安全数字安全免疫体系的“屏障层”，强调安全防御技术与产品，采用插件式思路，构建企业获得性安全免疫力三层防御纵深，构建数字安全免疫力治理框架 数字安全免疫力模型测评工具 零售业务网络安全现状分析【黑客】【用户】【网站、app、小程序】正常访问业务流安全DDOS防护防火墙Web攻击防护生产环境发起攻击漏洞管理，基线核查，入侵检测攻击路径缺失安全能力【运维人员】身份访问控制IAM堡垒机日常维护零信任【内鬼】泄密，删库 云防火墙WAF云主机安全 + 容器安全云安全中心1第一道防线：大门，管进出，监测并过滤所有流量2第二道防线：保护网站、API等Web应用安全，识别攻击与机器人，应对复杂攻击，防薅防刷3第三道防线：服务器 / 容器、办公终端上的电脑管家，资产集中管控、修漏洞、杀病毒&木马4安全中心：管理三道防线、多账号、多云统一管理威胁情报 + 安全服务办公终端办公终端办公终端办公终端一体化终端安全3一接入、二收敛、三防护，极简安全体系打造 门店多功能终端、pc访问总部网络安全现状POS智能系统等应用服务器位于总部内网，相应服务当前暴露在互联网上，网点、应用与企业内网业务服务器之间通过互联网连接方式，网络无边界，存在很大的安全隐患。家庭宽带/4G/5G总部内网业务服务器黑客可对互联网暴露端口进行恶意攻击入侵，逐层突破，最终入侵内网...2、互联网暴露面：服务容易被攻击终端物理层面入侵风险，外设管控；终端系统层面安全漏洞，脆弱性，让黑客具有可乘之机3、门店终端健壮性：黑客易渗透业务服务器端口门店终端系统存在的爆发期或潜伏期的漏洞，业务环节容易出现安全问题，安全补丁缺失问题，账户管理问题，防护存在短板，业务发展导致安全隐患增多等问题1、系统自身健壮性：复杂攻击 saas-ioa门店网络安全快速接入核心价值访问控制策略引擎身份安全零信任网关Web应用OA/ERP/CRMC/S应用Email/SSH/RDP企业内网零信任控制台可信评估客户端（接入、安全、管控）终端安全管控Web访问策略推送日志上传IDC/公有云无客户端控制平面数据平面腾讯云门店终端应用访问连接器AD /LDAPDDoS防护 /WAF / 边缘加速 saas-ioa解决门店安全、快速接入识别终端/系统侧风险渗透并评估出终端/系统侧应用在互联网上的易入侵点确保业务访问安全收敛业务暴露面基于“零信任”理念、通过收敛系统暴露的端口、最小化授权、动态访问控制保证门店访问业务的安全性确保网点终端安全通过云监测、终端杀毒、管控等技术，确保应用和数据在设备上的安全性助力数字化转型通过对端、管、云安全数据的全面采集和智能分析，为企业信息安全数字化转型助力方案目标长期目标：通过iOA零信任和安全评估加固的云地协同能力，逐步实现整体安全智能自动化，助力企业信息化安全方面的数字化转型。当前当前当前长期当前目标：不影响现有网点业务应用的正常使用，快速为门店pos应用安全赋能，解决现阶段关键矛盾，实现“门店网点场景”全生命周期安全。 第一道防线：云原生之云防火墙1 安全驱动与合规要求，控制云上流量与访问l内对外：例如，不允许某些云上资产访问互联网中的某些特定IP或域名l外对内：例如，仅允许外部的某些IP地址段访问您的云上资产或云上业务l内对内：例如，出于业务安全考虑，VPC 1中的某些CVM不允许访问VPC23安全事件追溯与日志审计分析l流量可视：根据流量日志、流量统计分析查看云上业务的访问关系l安全事件可查：通过访问控制日志（命中日志）、入侵防御日志（事件日志）或操作日志快速溯源安全事件或威胁l威胁可追溯：高级威胁追溯系统2保护云上资产抵御未知威胁与网络攻击l威胁情报库：自动识别或拦截网络中的危险域名、恶意IP或扫描器的访问l木马、病毒、蠕虫类攻击：下发IDPS规则自动识别并阻断携带木马、病毒、蠕虫或恶意文件的网络流量l漏洞类：开启虚拟补丁，针对热门漏洞的热补丁防护，无需承担安装真实补丁的系统风险VPC（DMZ）TrustVPC VPC VPC UntrustDMZVPC边界防火墙互联网边界防火墙互联网 从实战攻防角度看云防火墙的价值侦查/扫描漏洞利用C&C横向移动武器化/投递工具安装数据外传东西向流量管控：VPC间防火墙、企业安全组、网络蜜罐IPS及高级威胁检测：及时发现并阻断攻击行动防火墙 ,基于区域的ACL，封禁海外IP主动外联：失陷威胁检测，阻断安全风险IPS虚拟补丁：智能阻断恶意文件一键梳理云上资产在互联网暴露面封IP、堵漏洞、防入侵、就用云防火墙； 等保必备，重保利器！ 第二道防线：云原生之Web防火墙（WAF）浏览器访问小程序APP前端流量SaaSCLBCDNAPI网关......基础安全BOT防护增强CC扩展能力AI引擎语义分析特征库前端对抗BOT情报业务安全 账户情报行为模型SDK嵌入IP频率限制精准session特征网页防篡改数据防泄漏隐私数据保护渗透攻击防护防恶意扫描防恶意注册防爆破防信息泄露API防护0day应急响应反爬虫防薅羊毛CC攻击缓解防篡改隐私数据保护全面防护能力云原生接入架构多种防护场景云原生接入，接入快，扩容更快情报和AI的结合，腾讯蓝军对抗，拥有更强的防护能力更贴近业务的防护场景，防护范围更广 云安全运营平台 工作负载保护平台CWPP情报接入策略框架