Download presentation
Presentation is loading. Please wait.
1
2018/11/29 内外兼修,保障业务安全 —— 腾讯安全运维实践
3
演讲者 lake2 □ 80SEC □ 9+ years security experience
□ focus on Web Security lakehu(胡珀) □ join Tencent Security Center in 2007 □ work on Tencent Security Response Center □ System / Response / Assessment / Train 网名lake2,2002年接触网络安全,超过9年的安全经验。80SEC成员之一 07年加入腾讯,一直在安全中心从事网络安全相关工作 先后从事过Web漏洞扫描器、恶意网址检测、主机安全Agent等系统的建设和运营,此外还进行过安全事件响应、安全培训、安全评估、安全规范体系的建立 目前负责腾讯安全应急响应团队
4
关于腾讯 腾讯,不用过多介绍了吧 图不太贴切,不过也说明腾讯产品线多,盘子大,其他厂商能遇到的安全问题基本都会遇到,安全战线长,带来巨大挑战
(图片来自middle.blog.sohu.com,感谢)
5
生产环境安全 用户安全 办公网安全 腾讯安全体系 2018/11/29
黑客攻防对抗这一块分为三个区域:办公网、生产环境(各种腾讯业务)、用户桌面 本次的主题也聚焦在腾讯业务这块的安全运维经验与实践上,一般我们从下而上分为三个层: 网络(也就是TCP/IP的网络模型中的 网络层+传输层)——主要面临DDoS攻击、DNS劫持、链路劫持等风险 操作系统(操作系统本身及第三方软件,如MySQL、Apache等)——主要是漏洞以及入侵 应用程序(CGI程序、客户端程序)——主要是漏洞
6
关于腾讯安全中心 成立于2005 目前人数160+ 负责腾讯整体安全 帐号安全体系 黑客攻击防御 危害信息打击
腾讯安全中心于2005年成立,负责公司级安全问题,主要三大块:账号安全(盗号、垃圾消息、欺诈)、黑客对抗(DDoS、漏洞、入侵)、信息打击(黄赌毒) 今天主要介绍黑客攻防对抗这块的一些工作思路和系统 安全中心一向比较低调 ,在系统运营和研究过程中也发现过业界的一些漏洞,都及时报告厂商(如恶意网址检测捕获的flash 0day) 低调 专业 务实——感谢benjurry以及coolc
7
安全建设思路与实践 2005-2006 2010- 应急 平台 2007-2009 系统 安全建设的几个阶段
,【救火】以事件响应为主,到处救火。团队非常忙,没有沉淀和积累,没有安全体系和流程 ,【建设】化被动为主动,逐步做安全系统来解决一类问题。系统越来越多,运营问题凸显 2010-至今,【运营】系统沉淀,关注运营效果,平台化,三大平台贯穿安全体系,所有问题都有相应平台来解决
8
Security Development Lifecycle
T-SDL Security Development Lifecycle 安全是一个整体,需要一个过程的纵深防御 参考微软的SDL,腾讯也围绕产品生命周期(培训 -> 需求建立 -> 设计 -> 实施 -> 测试 -> 发布 -> 运营)开展安全工作 在周期中的每个阶段都有一系列方案来规避安全风险,简单看就像这个图里描述的,最终就是一个个的安全系统或平台 感谢微软对安全界的贡献
9
TSEC安全平台概述 Web漏洞扫描器 客户端审计系统 代码审计系统 主机安全Agent 运维操作审计 账号安全管理 DDoS防御
IDS / WAF DNS监控系统 三个层面大概系统如下: 网络:DDoS防御系统、IDS、WAF、DNS监控 (DDoS攻击、DNS劫持、链路劫持) 系统:主机安全Agent(类似HIDS)、运维操作审计、账号安全管理 (漏洞、入侵、操作审计) 应用:Web漏洞扫描器、客户端审计系统、代码安全审计系统 (漏洞)
10
Anti-DDoS 网络安全平台:DDoS防御 max protection 15G+ 1000+ / month
response time < 5 min DDoS攻击作为互联网最严重的网络安全威胁之一,也威胁着腾讯业务 腾讯自建的DDoS防御架构如图,可防御15G+的流量,5分钟内可发现DDoS并启动响应流程
11
主机安全Agent 采集 分析 输出 处理 主机安全平台:SecAgent 服务器基础信息 行为特征 数据挖掘 安全风险 安全事件 推动修复
应急响应 处理 30W server cover TB-Level data 200+ rule response time < 5 min 主机安全Agent可以理解为HIDS,负责收集基础信息(进程、网络连接、文件),后端Server规则分析后输出安全风险事件
12
应用安全平台:Web/Server漏洞检测
漏洞检测系统 远程扫描 代码审计 Web 本地检测 Server SQL Injection XSS CSRF JSON Hijacking OS Injection Etc.. high-risk port low version remote overflow unsecu config weak pwd Etc.. 5W+ domain / 30W server cover PHP / JSP / JAVA / C / C++ suport full scan time < 1 day Web漏洞扫描器:常见Web漏洞检测,覆盖自有域名2W+个,开放平台域名3W+个
13
漏洞检测系统 应用安全平台:客户端漏洞检测 PC Mobile 代码审计 动态分析 fuzz 静态分析 danger function
danger COM overflow DLL Hijacking Etc.. storage password transmission malicious Etc.. PC和手机终端漏洞检测:白盒+黑盒
14
SOC Sec sys 安全运营中心 大脑:SOC 安全事件 安全趋势 基础数据 业务风险视图
图2是由SOC产生的webshell工单
15
机动部队:应急响应 应急响应联合团队 前述系统均为纵向领域,还需要一个横向团队来救火,解决突发问题,同时也将处理过程累积下来,提升纵向领域能力
16
官网 http://security.tencent.com 漏洞反馈平台与奖励计划 分享平台(文章、项目)
腾讯安全应急响应中心 官网 漏洞反馈平台与奖励计划 分享平台(文章、项目) 600+ vul 30+ new features 20+ bug fixed 从历史经验来看,外部能发现很多安全问题。漏洞反馈平台是专门为收集外部安全专家发现的问题而建 从6月至今实施的效果来看,外部反馈带来了很大帮助:600多个安全问题、30个系统新特性增加、20多个bug修复 同时,腾讯也为业界进行了一系列回馈 总之,感谢所有关心腾讯安全的朋友们!
17
2018/11/29 与我同在 你若暗恋,歌词里的红粉,我唱一曲,何不给点掌声?
Similar presentations