网商银行（高亭宇）：2024基于威胁路径图的实战检验安全水位技术与实践报告.pdf

基于威胁路径图的实战检验

安全水位技术与实践

2024年6月7日

目录

01数字化转型遇到的挑战

02企业威胁路径图模型：量化企业安全风险

03实战检验：高效、有序检验企业安全风险

04科学衡量安全水位，指导安全建设和决策

01数字化转型遇到的挑战

数字化转型过程中，银行安全体系建设存在诸多挑战

企业资产、边界一直在变，内部红蓝演练总被突破

安全无法衡量,安全建设效果未知

安全价值讲不清楚,多为事件驱动

传统攻防演练解决不了现有问题

每个公司的网络环境复杂各异，黑客往往有多种入侵渠道可以完成攻击

存在常见攻击路径多次重复覆盖、隐蔽攻击路径难以覆盖的情况

从而导致遗漏未覆盖的攻击路径得不到充分检验，增加了被黑客利用的风险

如何量化企业安全风险

如何全面、有序、高效的检验

如何科学衡量企业安全水位，指导未来安全建设

攻防演练技术新思路——基于威胁路径图的实战检验架构

确保实战攻防演练全面、有序、高效地覆盖所有可能的黑客攻击路径

实现等功能

1.企业威胁路径模型2.实战检验3.计算安全水位

02企业威胁路径图模型

企业威胁路径模型：威胁等级定义

等级逐渐变高（发生概率逐渐降低）

1业余非针对性2一般非针对性

3专业针对性威胁4有组织的高级针对性威胁5国家力量支撑的高级针对性威胁

威胁威胁

•扫描器•初级白帽子•高级白帽子•高权限员工（恶意）•国家级APT团队

•普通员工（无意）•普通员工（非恶意）•普通员工（恶意）•商业间谍、竞对

•一般黑灰产团队•国际黑客组织

当前水位当前威胁未来威胁

案例：案例：案例：案例：案例：

•对外分享过程中无意•白帽子上报公网站点•黑产团伙通过技术手•竞对曝光可以窃取资•英国国防部数千份绝

引入了不能公开的数据信息泄露事件段薅羊毛金和数据的0day漏洞密文件被俄罗斯黑客

•面向全网的资产测绘•普通员工刻意外发数泄露

爬虫和漏洞扫描器据等

威胁等级：根据技术能力、意图、资源储备和组织程度等因素对威胁来源进行分级。

面临的威胁等级：基于同业和外部攻击态势变化判断，例如当前主要面临的是4级及4级以下的威胁。

安全水位：从全局来看每一条达成攻击目标（盗取资金、数据