金融安全建设4+N体系，守护企业生命线

方斌腾讯安全副总裁 腾讯云安全愿景 开放腾讯云自身安全实践 守护企业生命线，助力业务降本增效 安全趋势与现状 ——2024年攻击趋势、企业安全现状洞察 攻击趋势：金融行业非法攻击、攻防演练强度全面升级 攻击强度提升 提升安全意识 业务风控与增值 安全基础建设 扎实做好安全基础建设是企业生命线贴合业务场景的风控管理是助力企业利益最大化的前提 巩固安全体系 金融安全4+N体系 ——企业安全建设路径有迹可循 N个场景方案：Top金融企业构建从检测、响应到常态化的安全保障 以NDR+安全湖扩展流量检测能力，实现长周期全流量数据存储与深度分析回溯 客户重保主要应用场景： 1.根据检测规则，回溯历史数据，排查风险；比如SQL注入规则、敏感数据访问规则、合规审计规则2.新的0day利用和攻击事件，回溯历史数据，追溯入侵痕迹；比如寻找历史0day利用入侵痕迹、攻击队攻击事件识别3.基于长周期历史数据，对网络行为、API接口进行基线统计和梳理，比如API接口梳理，IP互访关系统计，数据传输情况统计 实施后全流量存储与分析数据效果： •通过安全湖的高压缩比，全流量存储由十几台降低到4台服务器•全流量回溯分析由只能回溯一周，实现回溯180+天数据•查询分析耗时由2-3小时降低为平均每次安全事件分析耗时0.5小时左右•安全可视化分析报告从至少两天，实现安全可视化图标、报表、秒级生成 金融客户实践：某证券公司构建安全防线为重保护航 客户价值 某证券公司 通过安全体检+4道安全防线，构建纵深防护体系，为重保护航 圆满完成重保护航，在重保期间 •云防火墙、WAF拦截超过1900万次攻击•帮助用户发现1977个漏洞，通过有效的防御和修复，阻止了2万余次漏洞利用。•1190次高危命令执行通过主机安全得到阻断 该公司是具有百年历史的某集团旗下的证券公司，经过三十余年的发展，已成为国内拥有证券市场业务全牌照的一流券商。在中国境内设有14家分公司、265家营业部，同时在中国香港、英国、韩国设有子公司 搭建了安全有效，平战结合的纵深防护体系，客户以此持续安全运营 解决方案 1、“全科体检”厘清资产，识别风险隐患•梳理资产：识别影子资产，其中API、容器是热门攻击对象•暴露面与脆弱性：非必要的话，减少高危端口、弱口令和内网业务直接对公网可见，•权限收敛：重保期间所有系统权限收回，按照最小权限原则重新分配 1业务指标监控 2安全态势与风险 2、构建云安全防线，层层保障 •设备部署：采购、部署安全防护产品，增加全链路监控点，主动布防•分区隔离：不同域间的强隔离措施，重保期间所有非必要访问通过策略收敛•漏洞管理：先把所有已知漏洞扫描出来，能修的尽可能修复，无法修复的打虚拟补丁 3攻击告警梳理 3、重保工具筑牢防线，主动防御 •布设陷阱：通过仿真业务诱惑攻击者，拖延攻击者以争取宝贵的响应时间，溯源反制•联动情报：通过重保工具包，联动威胁情报，快速响应异常。•安全运营：云安全中心综合安全风险，实时监测所有布防点攻击告警 提炼迫切需要整改的重点问题，提供完善风险收敛建议和详细最佳实践优化建议及最佳实践4 金融客户实践：某资管公司零信任无边界办公建设 业务挑战 某资管公司 腾讯云零信任助力实现无边界办公，提升远程访问体验及效率 远程办公：需要新方案替换并解决VPN的远程卡顿、延迟及安全漏洞问题。办公安全：终端安全软件采用的是国外的Symantec，面临停止服务的风险，终端安全防护急需有力替补并满足合规性。办公效率：业务访问存在内网访问外网时需要频繁切换上网代理服务器，为每日员工的办公体验带来极大的不便，急需一种兼顾安全性和办公体验的安全办公软件。 该公司致力于为多元化的客户群体提供高质量金融增值服务，建有以研究和信息技术为基础，投资银行、股票业务、固定收益、资产管理、私募股权和财富管理全方位发展的均衡业务结构。集团总部位于北京，在境内拥有多家子公司和分公司，在中国大陆30个省、自治区、直辖市拥有200多个证券营业部。在人员、组织众多、多分支接入等复杂网络场景下，需要更加高效、安全和灵活的接入方式为业务的持续发展提供坚实的基础。 采用零信任iOA全功能模块，保障员工在内网办公或远程办公场景下的安全性、办公效率和使用体验，其中以iOA杀毒管控模块实现Symantec的强力替换，安全合规数据作为零信任访问引擎的决策数据源，全面动态判断访问的可信状态，以一个客户端软件解决了之前多个客户端才能达到的安全防护。 1.iOA作为企业数字化转型的重要成果，也是员工办公接入的第一入口，通过iOA的界面个性化定制，实现企业文化的宣推。2.在iOA客户端上内置网盘按钮及各个核心业务的跳转按钮，提升访问体验，逐步替换成为办公的统一入口。3.全员使用iOA远程办公，实现了公司内外，多云业务的统一办公网络，员工可在任意地理位置、任意网络位置、使用任意终端在经过严格的可信授权后接网络，访问业务，随时随地开展工作4.使用软件管家功能进行软件的推广，提升软件部署效率及优化运维体验。 金融客户实践：某金融机构建设战备结合的安全体系 业务挑战 某金融机构 腾讯云以威胁情报&攻击面管理能力，助力客户构建知己知彼的主动防御体系 •业务多，暴露风险大：随着客户业务高速发展，面向互联网侧提供的业务服务范围也逐步扩大，导致整体资产暴露风险加剧。客户由于存在较多的安全盲点，容易成为攻击者的入侵口•缺乏重要系统定期检查机制：期望建设重要互联网信息系统资产的常态化检查机制，满足“重要信息系统”资产安全风险日常监控、专项安全检 该金融机构是国内知名的财富管理公司，该企业旨在打造专业的顾问团队，创新的科技平台，凭借自身国际级水准为广大客户提供先进的产品与解决方案，打造领先的 解决方案 客户价值 腾讯安全威胁情报解决方案以攻击面情报为核心，通过DNS数据挖掘、网络空间测绘、无感知半连接技术、指纹库等技术，从外部攻击者的视角对客户业务的攻击面进行持续性检测、分析研判，对暴露在互联网的服务、端口、组件、漏洞等进行纵深探测，从攻击者视角梳理客户资产并收敛攻击面，并且提供建议方案、采取措施缓解威胁和降低风险。 •完成企业资产梳理，发现并快速收敛暴露面：协助用户发现200+暴露在互联网的资产，其中包含域名资产50多个，IP资产100多个，公众号和小程序20多个，提供相应建议方案，协助客户快速收敛暴露面，降低风险。•运用情报能力准确、实时识别出资产环境中存在的安全风险：发现资产配置风险10多项目，存在风险敏感服务20多项，并且提供资产风险报告，用户可根据报告及时采取策略提升整体的安全防护能力。•7*24小时监测网站可用性：运用网站的可用性监测能力，进行7*24小时监测对外服务的核心网站的稳定性，一旦发生网站访问异常等问题，及时预警通知用户。 金融客户实践：某基金公司开发安全案例 业务挑战 某基金公司 腾讯云协助客户构建软件供应链安全防护体系，降低企业安全风险治理成本 •开源治理困难：在建设IT信息系统时，使用外部采购与内部自主研发以及第三方供应商开发混合模式，带来开源合规与漏洞风险。•第三方组件漏洞：业务产品开发过程引入大量第三方开源组件，同时也带来大量开源组件漏洞，容易被攻击•组件License合规：引用第三方开源组件存在组件License存在数据保护和隐私法规合规问题。•效率和可靠性：在快速变化的市场中，需要依赖高效和可靠的软件系统来执行交易、分析市场和管理资产。•供应链安全：供应链中有的多个软件供应商和服务提供商，遭受软件供应链攻击的风险较高。 某头部基金公司，中国领先的金融机构之一，专注为客户提供多元化的投资产品和服务。随着金融科技的发展，网络安全成为金融机构不可或缺的重要组成部分。 解决方案 通过应用科恩安全审计套件（BSCA），帮助客户建立开发安全体系，输出软件物料清单SBOM，解决供应链安全及开源合规问题，主要场景方案： 1.安全性解决方案：持续扫描项目中使用的开源和第三方组件，以识别已知的安全漏洞，并提供实时的修复建议。并：提供对项目依赖的深入分析，包括间接依赖，以确保能够识别和修复隐藏在深层依赖中的安全漏洞。2.合规性解决方案：自动识别和审计项目中使用的所有开源许可证，确保它们符合基金行业的合规性要求，避免潜在的法律风险。3.效率和可靠性解决方案：集成到现有的CI/CD流程中，实现自动化的漏洞扫描和性能监控，确保开发和部署过程的高效性。对接CODING,自动触发检测，通过在科恩安全审计套件(BSCA)产品中配置相关提单规则及项目范围。 4.供应链安全解决方案：通过深入的软件组件来源分析和签名验证，确保供应链中的组件和代码未被篡改或包含恶意软件。并评估、监控第三方服务和组件的安全性和合规性，包括定期的安全评估和合规性审查，以减少供应链带来的风险。并凭借亿级别组件知识库，为软件资产中的风险提供专业的修复建议。5.团队协作及报告：提供易于理解的安全漏洞和合规性报告，以便不同的团队成员（包括非技术人员）可以快速了解潜在的风险和采取行动。提供漏洞标签，可以很好的帮助用户更有针对性的识别漏洞修复的风险优先级。且允许安全、开发和合规团队在同一个平台上协作，共享信息，并协同处理安全和合规问题。 客户价值 •发现组件依赖关系与漏洞传播链条，减少开发与安全人员的风险排查时间成本。•漏洞库实时更新，快速分析出新漏洞的影响范围，最大限度减少突发漏洞带来的损失，帮助企业降低安全风险治理的成本 安全价值显性化 ——如何量化自身安全建设的业务价值？ 今天，我们旨在帮助更多用户通过【有效安全投入】提升【安全指数】未来，我们将持续开放腾讯云自身安全实践，守护全云企业客户生命线 感恩携手，共筑安全价值，让安全更被看见 THANK YOU