零售企业如何提升数字安全免疫力实现降本提效

Option1 AI时代小店大连锁企业安全探索 目录Menu •如何守住组织安全底线，安全三线动态管理 •“万家灯火”网络安全实践 •AI+赋能安全案例分享 安全三线动态管理 立即整改限期整改新建指南 三线开启信息安全体系 红 控制基改进扩 线 础展 线线 监测监测 任何的信息安全体系中Leadership都是提的最多的且最重要的支持。而来伊份的三线则正是贯穿了生命周期的绩效，通过不同线控制新旧应用的建设和运维规范。 数据库应用系统服务器网络 安全管理框架战略 管 风险 核心资产“数据”分级管理 通过不同等级的敏感数据要求，对整个数据的生命周期进行保护，【授权、职责分配、脱敏、处理控制、加密、记录与审计】这几个领域进行综合的控制，例如：从数据分享角度来说，1级数据是面向公司内的，2级数据是面向直线向上的，3级数据仅控制在个体范围。 组织理 数据 支持 文件化 “万家灯火”网络安全实践 万家灯火：现有门店超过3600家，目标10000家。 整体网络架构 万家灯火，千丝万缕 网络现状： •1块地，2朵云 •3600+门店分布200+地级市 •1总部+N个子公司 •1CDC中心仓+N个RDC区域仓 面临挑战： •24小时业务运作 •3600+门店网络管理 •业务开放和系统安全的冲突 统一管理配置下发 网络实践 策略隔离白名单 双链路自动切换 统一配置 •将原IP-Sec网络模式门店改造为SD-WAN网络 •通过后台管理配置与策略，统一下发至全国门店网络隔离 •门店内网与外网（访客Wi-Fi）之间网络策略隔离，内网通过白名单放行 双线热备 •带宽+移动网络，双链路冗余 •网络异常，自动切换 AI+赋能安全案例分享 AI+...Security 从2023年2月起，来伊份开始接入GPT能力，通过AI提供风险管 敏感数据过滤 语音客服 半自动营销 语言理解 自动工作流 自学习 识别分类 语音处理 图像视频生成 理、脆弱性管理、信息安全意识培训等多个领域的能力升级。并继续将这种能力来探索基于AI的安全防护体系。 小测试=测试主题list+GPT（创造） 安全反诈=BingAPI+GPT（整合） 博文精选=RSS+Translator+GPT（评价/整合） 网络安全简报=BingAPI+GPT（整合） 每日安全小贴士-AI全自动完成 每天自动 每周一至周五，不同主题，自动收集、自动整理，快速审批，自动群发。 周一：小测试周二：安全反诈 周三：海外博文精选周四：网络安全简报周五：随机AI内容 AI+RiskManagement 目前通过AI来提供脆弱性的解决方案建议，以及安全评估报告的分析建议，同时通过AI对脆弱性进行安全域的标记。 未来我们将通过AI来完成整个风险判定和风险评价的过程，将人的判断只作为整体调整的部分，而这些调整的内容又成为AI自学习的知识，形成AI风险管理的一种闭环。 业务风控：黑产触角伸至业务流程中的各个环节 业务风控：基于AI能力构建来伊份交易风控体系 有监督学习+非监督学习、AI模型+专家经验 对于更加复杂的业务模式，我们也在探索深度学习和大模型在风控场景的应用 来伊份交易平台风控系统 …… 交易冻结 账号冻结 拒绝登录 二次验证 异常数据记录 风险数据分析 离线数据加工 风控模型 （注册/交易/支付/领券） 案例反馈 …… 行为日志 浏览轨迹 订单数据 来伊份数据中心 用户信息 行为风险 采集评级 大数据平台风控系统决策系统 AI时代安全的挑战 AIGC 真实与虚拟边界模糊的挑战 NL2SQL 不确定场景的数据安全挑战 信息安全坚持两个抓手 意识+工具 感谢观看！ Thankyou 零售企业如何减少安全部署成本 提升整体防护水位 目录Menu •1、多门店零售企业安全痛点分析 •2、一接入、二收敛、三防护，极简安全体系打造 •3、零售企业安全实战案例分享 机会与挑战并存 零售行业被传统安全和新生安全两面夹击 两面夹击 遇到过安全攻击存在重大BUG 不具备防护能力安全投入占比低 近年来，大批传统零售商在开辟线上销售渠道的同时，也把业务转移到了云上。业务上云过程中所面临的挑战中，安全问题排在首位。部分企业陷入被传统安全问题和新生云安全威胁两面夹击的困境。 业务损失 据IBMSecurity统计，零售业在攻击最严重的行业排名中跃升至第二位，全球每分钟由于网络入侵造成的损失为1.77万美元（包括直接损失以及系统恢复成本、业务中断成本等间接损失）。腾讯监测到的企业信息安全事件就超过1万起，并且每一起给企业造成的直接经济损失都超过了100万元。，并有继续快速增长的趋势。 原因是零售企业持有大量的敏感个人信息，安全基础薄弱，网络攻 击成本低，对于黑客来说，是比较好的标靶。 业务上线后(对外开放服务后)将遇到的安全风险 新业务系统上线存在业务逻辑漏洞，导致订单金额受损网站短信注册接口费用大量增长，业务数据、登陆接口被人恶意爬取获取用户数据网站遇到撞库攻击，导致用户信息泄露网站遭遇垃圾注册、活动作弊、论坛灌水、抢红包、刷奖品等事件 业务风控层安全风险 服务器发现木马和后门 Http传输过程中，链接被劫持 Http在公网的传输过程中内容泄密 Web网站遭遇SQL注入、XSS跨站等各种攻击事件，篡改网站页面内容，损害企业对外的公众形象Web网站存在安全漏洞，无法快速修复代码上线 Web应用层安全风险 服务器遇到暴力破解、非法登陆 主机层安全风险 服务器存在高危漏洞 如何实现租户之间的隔离？如何实现业务南北向的隔离？ 服务器遭受大流量的DDoS攻击，导致服务器无法对外提供服务 网络层安全风险 网络安全新形势下的考题，如何改变安全“头痛医头”现状？ 01.企业面临的网络安全挑战02.安全价值认知存在错位，安全效果不佳 新业态 混合云\多云环境、大数据平台、SaaS应用 新威胁 攻击武器化、黑客组织化、勒索产业化 安全建设自评低于60分的企业，超过五成 超过80分的企业，不足两成安全投入持续增加，安全水位提升效果不佳 VS 新场景 混合IT办公、供应链协同、跨网数据交换 强监管 网络安全法律法规、安全检查、安全审计 满足50%以下50-60%满足 60-80%满足 80-100%满足 100%满足 30% 24% 3% 1 3% 30% 数据来源：腾讯安全与安在共同发起的1500位CSO线上、线下调研 构建企业数字安全免疫力，守护企业生命线 静态安全弹性、自适应、可扩展 治已病治未病 被动防御主动安全 三层防御纵深，构建数字安全免疫力治理框架 2个免疫堡垒 数据安全治理与业务风险控制 数字安全免疫体系的载体，围绕企业价值主体——数据资产和业务资产设置防御纵深，验证安全防御的完整性和有效性 1个免疫中枢系统 企业安全运营管理 数字安全免疫体系的“中枢系统”，以人为核心，贯穿企业战略、组织、流程等全部运营模块，使安全体系化、全局化 3道免疫屏障 边界、端点、应用开发安全 数字安全免疫体系的“屏障层”，强调安全防御技术与产品，采用插件式思路，构建企业获得性安全免疫力 数字安全免疫力模型测评工具 零售业务网络安全现状分析 【用户】 正常访问发起攻击 业务流安全 DDOS防护防火墙Web攻击防 护 生产环境 漏洞管理，基线核查，入侵检测 【网站、app、小程序 】 【黑客】 身份访问控制 【运维人员】 【内鬼】 日常维护泄密，删库 堡垒机 IAM 零信任 攻击路径 缺失安全能力 4 一接入、二收敛、三防护，极简安全体系打造 威胁情报+安全服务 云安全中心 安全中心：管理三道防线、多账号、多云统一管理 云防火墙WAF云主机安全+容器安全 123 第一道防线 ：大门，管进出，监测并过滤所有流量 第二道防线：保护网站、API等Web应用安全，识别攻击与机器人 ，应对复杂攻击，防薅防刷 第三道防线：服务器/容器、办公终端上的电脑管家，资产集中管控、修漏洞、杀病毒&木马 3 一体化终端安全 办公终端办公终端办公终端办公终端 门店多功能终端、pc访问总部网络安全现状 POS智能系统等应用服务器位于总部内网，相应服务当前暴露在互联网上，网点、应用与企业内网业务服务器之间通过互联网连接方式，网络无边界，存在很大的安全隐患。 总部内网 业务服务器 2、互联网暴露面：服务容易被攻击 黑客可对互联网暴露端口进行恶意攻击入侵，逐层突 业破，最终入侵内网... 务 服 务 器 口 1、系统自身健壮性：复杂攻击 系统存在的爆发期或潜伏期的漏洞，业务环节容易出现安全问题，安全补丁缺失问题，账户管理问题，防护存在短板，业务发展导致安全隐患增多等问题 端 家庭宽带/4G/5G 门店终端 3、门店终端健壮性：黑客易渗透 终端物理层面入侵风险，外设管控；终端系统层面安全漏洞 ，脆弱性，让黑客具有可乘之机 saas-ioa门店网络安全快速接入核心价值 门店终端 腾讯云 IDC/公有云 零信任控制台 客户端 （接入、安全、管控） 日志上传 策略推送 终端安全管控 DDoS防护/WAF/边缘加速 可信评估 身份安全 AD/LDAP 无客户端 应用访问 Web访问 访问控制策略引擎 零信任网关 控制平面 数据平面 连接器 Web应用OA/ERP/CRM C/S应用Email/SSH/RDP 企业内网 saas-ioa解决门店安全、快速接入 方案目标 当前目标：不影响现有网点业务应用的正常使用，快速为门店pos应用安全赋能，解决现阶段关键矛盾，实现“门店网点场景”全生命周期安全。 当前 当前 当前 长期 长期目标：通过iOA零信任和安全评估加固的云地协同能力，逐步实现整体安全智能自动化，助力企业信息化安全方面的数字化转型。 识别终端/系统侧风险 渗透并评估出终端/系统侧应用在互联网上的易入侵点 确保业务访问安全收敛业务暴露面 基于“零信任”理念、通过收敛系统暴露的端口、最小化授权、动态访问控制保证门店访问业务的安全性 确保网点终端安全 通过云监测、终端杀毒、管控等技术 ，确保应用和数据在设备上的安全性 助力数字化转型 通过对端、管、云安全数据的全面采集和智能分析，为企业信息安全数字化转型助力 第一道防线：云原生之云防火墙 Untrust 互联网 1 内对外：例如，不允许某些云上资产访问互联网中的某些特定IP或域名 外对内：例如，仅允许外部的某些IP地址段访问您的云上资产或云上业务 内对内：例如，出于业务安全考虑，VPC1中的某些CVM不允许访问VPC2 安全驱动与合规要求，控制云上流量与访问 互联网边界防火墙 DMZ VPC（DMZ） 2 VPC边界防火墙 Trust VPC VPC VPC 保护云上资产抵御未知威胁与网络攻击 威胁情报库：自动识别或拦截网络中的危险域名、恶意IP或扫描器的访问 木马、病毒、蠕虫类攻击：下发IDPS规则自动识别并阻断携带木马、病毒 、蠕虫或恶意文件的网络流量 漏洞类：开启虚拟补丁，针对热门漏洞的热补丁防护，无需承担安装真实补丁的系统风险 3安全事件追溯与日志审计分析 流量可视：根据流量日志、流量统计分析查看云上业务的访问关系 安全事件可查：通过访问控制日志（命中日志）、入侵防御日志（事件日志）或操作日志快速溯源安全事件或威胁 威胁可追溯：高级威胁追溯系统 从实战攻防角度看云防火墙的价值 一键梳理 云上资产在互联网暴露面 IPS虚拟补丁：智能阻断恶意文件 东西向流量管控： VPC组、 间防火墙、企业安全 网络蜜罐 侦查/扫描 武器化/投递 漏洞利用 工具安装 C&C 横向移动 数据外传 防火墙,基于区域的ACL，封禁海外IP IPS及高级威胁检测：及时发现并阻断攻击行动 主动外联： 失陷威胁检测，阻断安全风险 封IP、堵漏洞、防入侵、就用云防火墙；等保必备，重保利器！ 第二道防线：云原生之Web防火墙（WAF） SaaS 特征库 AI引擎语义分析