Option1 AI时代小店大连锁企业安全探索 目录Menu •如何守住组织安全底线,安全三线动态管理 •“万家灯火”网络安全实践 •AI+赋能安全案例分享 安全三线动态管理 立即整改限期整改新建指南 三线开启信息安全体系 红 控制基改进扩 线 础展 线线 监测监测 任何的信息安全体系中Leadership都是提的最多的且最重要的支持。而来伊份的三线则正是贯穿了生命周期的绩效,通过不同线控制新旧应用的建设和运维规范。 数据库应用系统服务器网络 安全管理框架战略 管 风险 核心资产“数据”分级管理 通过不同等级的敏感数据要求,对整个数据的生命周期进行保护,【授权、职责分配、脱敏、处理控制、加密、记录与审计】这几个领域进行综合的控制,例如:从数据分享角度来说,1级数据是面向公司内的,2级数据是面向直线向上的,3级数据仅控制在个体范围。 组织理 数据 支持 文件化 “万家灯火”网络安全实践 万家灯火:现有门店超过3600家,目标10000家。 整体网络架构 万家灯火,千丝万缕 网络现状: •1块地,2朵云 •3600+门店分布200+地级市 •1总部+N个子公司 •1CDC中心仓+N个RDC区域仓 面临挑战: •24小时业务运作 •3600+门店网络管理 •业务开放和系统安全的冲突 统一管理配置下发 网络实践 策略隔离白名单 双链路自动切换 统一配置 •将原IP-Sec网络模式门店改造为SD-WAN网络 •通过后台管理配置与策略,统一下发至全国门店网络隔离 •门店内网与外网(访客Wi-Fi)之间网络策略隔离,内网通过白名单放行 双线热备 •带宽+移动网络,双链路冗余 •网络异常,自动切换 AI+赋能安全案例分享 AI+...Security 从2023年2月起,来伊份开始接入GPT能力,通过AI提供风险管 敏感数据过滤 语音客服 半自动营销 语言理解 自动工作流 自学习 识别分类 语音处理 图像视频生成 理、脆弱性管理、信息安全意识培训等多个领域的能力升级。并继续将这种能力来探索基于AI的安全防护体系。 小测试=测试主题list+GPT(创造) 安全反诈=BingAPI+GPT(整合) 博文精选=RSS+Translator+GPT(评价/整合) 网络安全简报=BingAPI+GPT(整合) 每日安全小贴士-AI全自动完成 每天自动 每周一至周五,不同主题,自动收集、自动整理,快速审批,自动群发。 周一:小测试周二:安全反诈 周三:海外博文精选周四:网络安全简报周五:随机AI内容 AI+RiskManagement 目前通过AI来提供脆弱性的解决方案建议,以及安全评估报告的分析建议,同时通过AI对脆弱性进行安全域的标记。 未来我们将通过AI来完成整个风险判定和风险评价的过程,将人的判断只作为整体调整的部分,而这些调整的内容又成为AI自学习的知识,形成AI风险管理的一种闭环。 业务风控:黑产触角伸至业务流程中的各个环节 业务风控:基于AI能力构建来伊份交易风控体系 有监督学习+非监督学习、AI模型+专家经验 对于更加复杂的业务模式,我们也在探索深度学习和大模型在风控场景的应用 来伊份交易平台风控系统 …… 交易冻结 账号冻结 拒绝登录 二次验证 异常数据记录 风险数据分析 离线数据加工 风控模型 (注册/交易/支付/领券) 案例反馈 …… 行为日志 浏览轨迹 订单数据 来伊份数据中心 用户信息 行为风险 采集评级 大数据平台风控系统决策系统 AI时代安全的挑战 AIGC 真实与虚拟边界模糊的挑战 NL2SQL 不确定场景的数据安全挑战 信息安全坚持两个抓手 意识+工具 感谢观看! Thankyou 零售企业如何减少安全部署成本 提升整体防护水位 目录Menu •1、多门店零售企业安全痛点分析 •2、一接入、二收敛、三防护,极简安全体系打造 •3、零售企业安全实战案例分享 机会与挑战并存 零售行业被传统安全和新生安全两面夹击 两面夹击 遇到过安全攻击存在重大BUG 不具备防护能力安全投入占比低 近年来,大批传统零售商在开辟线上销售渠道的同时,也把业务转移到了云上。业务上云过程中所面临的挑战中,安全问题排在首位。部分企业陷入被传统安全问题和新生云安全威胁两面夹击的困境。 业务损失 据IBMSecurity统计,零售业在攻击最严重的行业排名中跃升至第二位,全球每分钟由于网络入侵造成的损失为1.77万美元(包括直接损失以及系统恢复成本、业务中断成本等间接损失)。腾讯监测到的企业信息安全事件就超过1万起,并且每一起给企业造成的直接经济损失都超过了100万元。,并有继续快速增长的趋势。 原因是零售企业持有大量的敏感个人信息,安全基础薄弱,网络攻 击成本低,对于黑客来说,是比较好的标靶。 业务上线后(对外开放服务后)将遇到的安全风险 新业务系统上线存在业务逻辑漏洞,导致订单金额受损网站短信注册接口费用大量增长,业务数据、登陆接口被人恶意爬取获取用户数据网站遇到撞库攻击,导致用户信息泄露网站遭遇垃圾注册、活动作弊、论坛灌水、抢红包、刷奖品等事件 业务风控层安全风险 服务器发现木马和后门 Http传输过程中,链接被劫持 Http在公网的传输过程中内容泄密 Web网站遭遇SQL注入、XSS跨站等各种攻击事件,篡改网站页面内容,损害企业对外的公众形象Web网站存在安全漏洞,无法快速修复代码上线 Web应用层安全风险 服务器遇到暴力破解、非法登陆 主机层安全风险 服务器存在高危漏洞 如何实现租户之间的隔离?如何实现业务南北向的隔离? 服务器遭受大流量的DDoS攻击,导致服务器无法对外提供服务 网络层安全风险 网络安全新形势下的考题,如何改变安全“头痛医头”现状? 01.企业面临的网络安全挑战02.安全价值认知存在错位,安全效果不佳 新业态 混合云\多云环境、大数据平台、SaaS应用 新威胁 攻击武器化、黑客组织化、勒索产业化 安全建设自评低于60分的企业,超过五成 超过80分的企业,不足两成安全投入持续增加,安全水位提升效果不佳 VS 新场景 混合IT办公、供应链协同、跨网数据交换 强监管 网络安全法律法规、安全检查、安全审计 满足50%以下50-60%满足 60-80%满足 80-100%满足 100%满足 30% 24% 3% 1 3% 30% 数据来源:腾讯安全与安在共同发起的1500位CSO线上、线下调研 构建企业数字安全免疫力,守护企业生命线 静态安全弹性、自适应、可扩展 治已病治未病 被动防御主动安全 三层防御纵深,构建数字安全免疫力治理框架 2个免疫堡垒 数据安全治理与业务风险控制 数字安全免疫体系的载体,围绕企业价值主体——数据资产和业务资产设置防御纵深,验证安全防御的完整性和有效性 1个免疫中枢系统 企业安全运营管理 数字安全免疫体系的“中枢系统”,以人为核心,贯穿企业战略、组织、流程等全部运营模块,使安全体系化、全局化 3道免疫屏障 边界、端点、应用开发安全 数字安全免疫体系的“屏障层”,强调安全防御技术与产品,采用插件式思路,构建企业获得性安全免疫力 数字安全免疫力模型测评工具 零售业务网络安全现状分析 【用户】 正常访问发起攻击 业务流安全 DDOS防护防火墙Web攻击防 护 生产环境 漏洞管理,基线核查,入侵检测 【网站、app、小程序 】 【黑客】 身份访问控制 【运维人员】 【内鬼】 日常维护泄密,删库 堡垒机 IAM 零信任 攻击路径 缺失安全能力 4 一接入、二收敛、三防护,极简安全体系打造 威胁情报+安全服务 云安全中心 安全中心:管理三道防线、多账号、多云统一管理 云防火墙WAF云主机安全+容器安全 123 第一道防线 :大门,管进出,监测并过滤所有流量 第二道防线:保护网站、API等Web应用安全,识别攻击与机器人 ,应对复杂攻击,防薅防刷 第三道防线:服务器/容器、办公终端上的电脑管家,资产集中管控、修漏洞、杀病毒&木马 3 一体化终端安全 办公终端办公终端办公终端办公终端 门店多功能终端、pc访问总部网络安全现状 POS智能系统等应用服务器位于总部内网,相应服务当前暴露在互联网上,网点、应用与企业内网业务服务器之间通过互联网连接方式,网络无边界,存在很大的安全隐患。 总部内网 业务服务器 2、互联网暴露面:服务容易被攻击 黑客可对互联网暴露端口进行恶意攻击入侵,逐层突 业破,最终入侵内网... 务 服 务 器 口 1、系统自身健壮性:复杂攻击 系统存在的爆发期或潜伏期的漏洞,业务环节容易出现安全问题,安全补丁缺失问题,账户管理问题,防护存在短板,业务发展导致安全隐患增多等问题 端 家庭宽带/4G/5G 门店终端 3、门店终端健壮性:黑客易渗透 终端物理层面入侵风险,外设管控;终端系统层面安全漏洞 ,脆弱性,让黑客具有可乘之机 saas-ioa门店网络安全快速接入核心价值 门店终端 腾讯云 IDC/公有云 零信任控制台 客户端 (接入、安全、管控) 日志上传 策略推送 终端安全管控 DDoS防护/WAF/边缘加速 可信评估 身份安全 AD/LDAP 无客户端 应用访问 Web访问 访问控制策略引擎 零信任网关 控制平面 数据平面 连接器 Web应用OA/ERP/CRM C/S应用Email/SSH/RDP 企业内网 saas-ioa解决门店安全、快速接入 方案目标 当前目标:不影响现有网点业务应用的正常使用,快速为门店pos应用安全赋能,解决现阶段关键矛盾,实现“门店网点场景”全生命周期安全。 当前 当前 当前 长期 长期目标:通过iOA零信任和安全评估加固的云地协同能力,逐步实现整体安全智能自动化,助力企业信息化安全方面的数字化转型。 识别终端/系统侧风险 渗透并评估出终端/系统侧应用在互联网上的易入侵点 确保业务访问安全收敛业务暴露面 基于“零信任”理念、通过收敛系统暴露的端口、最小化授权、动态访问控制保证门店访问业务的安全性 确保网点终端安全 通过云监测、终端杀毒、管控等技术 ,确保应用和数据在设备上的安全性 助力数字化转型 通过对端、管、云安全数据的全面采集和智能分析,为企业信息安全数字化转型助力 第一道防线:云原生之云防火墙 Untrust 互联网 1 内对外:例如,不允许某些云上资产访问互联网中的某些特定IP或域名 外对内:例如,仅允许外部的某些IP地址段访问您的云上资产或云上业务 内对内:例如,出于业务安全考虑,VPC1中的某些CVM不允许访问VPC2 安全驱动与合规要求,控制云上流量与访问 互联网边界防火墙 DMZ VPC(DMZ) 2 VPC边界防火墙 Trust VPC VPC VPC 保护云上资产抵御未知威胁与网络攻击 威胁情报库:自动识别或拦截网络中的危险域名、恶意IP或扫描器的访问 木马、病毒、蠕虫类攻击:下发IDPS规则自动识别并阻断携带木马、病毒 、蠕虫或恶意文件的网络流量 漏洞类:开启虚拟补丁,针对热门漏洞的热补丁防护,无需承担安装真实补丁的系统风险 3安全事件追溯与日志审计分析 流量可视:根据流量日志、流量统计分析查看云上业务的访问关系 安全事件可查:通过访问控制日志(命中日志)、入侵防御日志(事件日志)或操作日志快速溯源安全事件或威胁 威胁可追溯:高级威胁追溯系统 从实战攻防角度看云防火墙的价值 一键梳理 云上资产在互联网暴露面 IPS虚拟补丁:智能阻断恶意文件 东西向流量管控: VPC组、 间防火墙、企业安全 网络蜜罐 侦查/扫描 武器化/投递 漏洞利用 工具安装 C&C 横向移动 数据外传 防火墙,基于区域的ACL,封禁海外IP IPS及高级威胁检测:及时发现并阻断攻击行动 主动外联: 失陷威胁检测,阻断安全风险 封IP、堵漏洞、防入侵、就用云防火墙;等保必备,重保利器! 第二道防线:云原生之Web防火墙(WAF) SaaS 特征库 AI引擎语义分析