2020滴滴网络安全峰会-PPT学习


=Start=

缘由:

通过公布出来的PPT回顾一下前段时间参加的2020滴滴网络安全峰会的内容,也借此机会大概学习了解一下滴滴在做企业安全的一些大体思路和做法。

正文:

参考解答:

大会分为安全攻防、数据安全、业务安全三大平行论坛,总体来看安全攻防和业务安全论坛的干货最多,下面借着PPT里的内容大致简单整理一下我从中学到的内容。

一、安全攻防论坛—知攻升防,切磋共创

云原生场景下的攻防思路转换

01 动力:合规 or 攻防
02 成本:安全左移
03 本质:运行时安全
04 原生安全:云安全下半场

【推荐】移动端数据防泄露技术

01 甲方移动安全面面观
APP安全
• 越权访问
• 拒绝服务
• 信息泄露
• ……
IoT安全
• 硬件越权
• 拒绝服务
• ……
安全合规
• 敏感数据
• 敏感权限
接口安全
• 接口签名
• 挑战应答
业务风控
• 薅羊毛
• 反作弊
移动DLP
• 内部APP
• 外部APP

02 移动端的不同 – BYOD
root权限 vs. 个人隐私
移动办公 vs. 数据外泄

03 数据防泄漏技术
MDM
安全手机
APP改造

监测通过以下手段的数据外泄:
• 复制粘贴——hook复制粘贴API
• 截屏录屏——Android:可阻断;iOS:可监视,不可阻断,截图上传审计
• 文件转发——hook系统API,加密文件
• APP备份——hook写文件API,落盘加密
• 水印防拍摄——重绘底层view

04 后续方案
技术30% + 运营管理70%
OCR识别 -> 内容审计 -> 数据泄露告警 -> 制度流程 [->循环往复]

滴滴SDL体系建设

05 关于如何做好SDL我的几个观点【观点比较实在

  • 一开始不要研究多么牛逼的技术和工具,先把覆盖率搞上去
  • 做好资产建设,资产不清楚是很多问题的根源。
  • 工具不在多、技术不需要多牛,对标问题是关键。
  • 建立有效的指标评价体系,保证运营的有效性
  • 做好漏洞和事件的持续复盘、改进,发生事件不一定是坏事
  • 技术栈的复杂度、代码来源的多样性、互联网业务高频迭代给SDL带来了极大的挑战,内部扫描发现漏洞不是唯一的手段,也要多依赖安全培训、网络隔离、内外部蓝军、白帽子等其他手段。

二、业务安全论坛—砺剑铸盾,安全共进

【推荐】电信网络诈骗治理工作探讨

电信网络诈骗犯罪图谱 – 超赞,明晰易懂

难打击违法成本低,处置障碍大,轻罪惩戒难
缺协作(自己公司/企业内部可能统一,但是涉及到其它平台的账号时,处理起来捉襟见肘)
治理缺少体系性

涉诈情报共享
涉诈人员处置
反诈技术研究
公众反诈宣传

强对抗认证能力建设
C端服务能力建设-涉诈举报
灰产治理平台建设
安全数据流通能力

业务安全黑产情报洞察之猫池

从【断卡行动】说起。。

业务黑灰产情报体系闭环建设

具体的PPT没放出来,但现场听的时候还挺好。

智能设备标识的困境与出路

智能设备标识困境
设备标识解决方案
灰黑产治理(通过BAS下网络结构的探测分析,能够高效预测任意IP的秒拨风险,这个能做的企业不多。。。)

【推荐】滴滴智能风控平台探索实践

面临的风控场景
风控技术体系
智能风控平台的探索演进 – no perfect, but suitable
遇到的挑战
实践经验与心得

易用性:低技术门槛,是平台快速推广应用的关键
通用性:业务场景通用适配,不重复造轮子
可视化:风控处理链路长且复杂,让运行状态可视化很重要
实时安全攻防:快感知-快识别-快止损,尽可能缩短黑产攻击时间
一切都围绕着数据:数据是风控的弹药,数据标准化,数据运营比数据建设更难
模型不是万能的:策略与模型相互辅助,白猫黑猫,抓到老鼠就是好猫

三、数据安全论坛—赋能行业,共创发展

【推荐】数据安全技术体系建设实践

01 挑战 (合法合规 & 企业发展)
· 面对的问题
· 要达成的目标
02 方法 (那张Gartner的Do & Don’t图很赞)
· 数据安全架构
· 技术体系建设
03 实践
· 数据感知、管控能力建设
· 自动化审计能力建设
· 数字水印能力建设
04 方向
· 持续迭代 面向未来

滴滴信息安全文化建设

企业安全的真正短板在于人
信息安全部发展到一定阶段挑战在于影响力
先知道,再记住?

初期:透传规范要求(知道怎么做 -> 不得不做)
后期:信息安全在身边(了解重要性 -> 愿意做)

正向宣贯,负向提升,演练检验

外部安全感的研究;内部安全满意度瓶颈的跨越 是行业共同的难题

参考链接:

PPT下载|2020滴滴网络安全峰会
https://mp.weixin.qq.com/s/lkiPLHWECzuQ-0batCSkOg

=END=


《“2020滴滴网络安全峰会-PPT学习”》 有 5 条评论

  1. 2021西湖论剑·网络安全大会 安全:数字化改革之根基 / 数字时代下的电信网络诈骗及防范
    https://vipread.com/library/topic/3489
    `
    一切网络诈骗发生的条件,都是信息对称逆转

    快递信息泄露 – 四通一达等各类快递数据
    社交论坛 – 朋友圈、微博等发送当天的状态、未来的计划等
    公共Wi-Fi – 星巴克、餐厅的免费Wi-Fi等
    通讯录泄露 – 非法、违规APK获取手机通讯录等
    账单票据 – 丢弃的车票、机票等
    问卷抽奖 – 街头抽奖问卷,朋友圈测试问卷
    黑客入侵窃取泄露 – 历年数据泄露事件,例如开房数据、肯德基数据、外卖数据等
    电商卖家信息泄露 – 京东、淘宝店,房产、汽车销售,医院、妇产科等等

    隐私窃取+数据泄露

    ==

    在电信网络诈骗面前

    我们每个人都不能置身事外

    遇到骗局如何才能不上当

    最简单有效的办法就是

    不予理会并及时报警

    希望大家一定要提高警惕

    从随手标记诈骗

    到守护家人安全

    多一个人

    就少一个人受骗
    `

  2. Controlling “Screen Capture” using MDM
    https://developer.apple.com/forums/thread/122414
    `
    “Screen Capture” can only be denied using an Configuration Profile over MDM, never allowed.
    `

    PrivacyPreferencesPolicyControl.Services
    https://developer.apple.com/documentation/devicemanagement/privacypreferencespolicycontrol/services
    `
    ScreenCapture
    [PrivacyPreferencesPolicyControl.Services.Identity]
    Allows the application to capture (read) the contents of the system display. Access to the contents cannot be given in a profile; it can only be denied.

    # ScreenCapture – 屏幕录制
    此隐私权限仅能通过MDM对特定app拒绝,而不能通过MDM给app主动赋予此能力。
    `

    The payload for configuring restrictions on a device.
    https://developer.apple.com/documentation/devicemanagement/restrictions

  3. 杜中伟:贝壳黑灰产识别与溯源
    https://mp.weixin.qq.com/s/-jvt7elrDrsBqT7GCUis3g
    `
    看了一下文章,大概了解了居住服务行业的服务模式以及黑灰产现状。除了常规的互联网黑灰产(流量攻击-勒索/信息爬虫-敏感信息爬取,影响成交量和市场占比/虚拟账号注册-薅平台羊毛)之外,还有行业特有的情况:经纪人为达成KPI来买拉新/带看虚假数据,薅平台羊毛,私单飞单,竞对窃取。

    常规互联网黑产那肯定是用互联网的那些成熟方法来解决,行业特有的一般可以求助于【业务方】来获取行业潜规则/不为人知的操作手法,因为安全人员不可能比业务方更了解业务的实际情况,这个时候提供举报途径和奖励会很有帮助。再一个就是在打击之初其实就明确了3个罪名方向,简单直接但有效。

    ==
    导读:贝壳黑灰产实验室,主要偏向研究和溯源。业务与策略对抗,由其他部门进行。因此这里主要介绍贝壳在居住服务行业,黑灰产情报和溯源相关的内容。主要内容包括:① 介绍居住服务行业黑灰产的场景;② 黑灰产情报建设;③ 溯源体系和溯源能力建设;④ 打击取证。

    # 黑灰产现状
    1. 行业服务模式
    2. 行业灰黑产

    居住服务行业的黑灰产,包括传统的互联网黑灰产,也包括一些行业特有的类型。
    ## 传统灰黑产,可以分为以下几类:
    * 流量层:流量攻击、爬虫导致的流量风险、重大活动时的勒索(游戏行业比较常见);
    * 设备层:对抗非常激烈,包括虚拟设备、群控、云控设备等;
    * 账号层:垃圾注册、养号扫号、人机对抗等;
    * 业务层:通用的薅羊毛、拉新等;
    * 数据层:针对信息的对抗,例如竞对盗取平台上的客户信息和商机等,例如竞对爬取了新上房源信息。

    ## 行业特有的黑灰产,主要围绕人(经纪人)、房(房源)、客(客源)三点来展开:
    * 虚假房源、客源;
    * 私单飞单:成交转移到线下,私自成交;
    * 窃取平台上的房源或者客源;
    * 经纪人绩效造假:经纪人为了达成KPI指标,进行经营绩效作弊;
    * 体外经营:品牌加盟到平台后,实际经营都在其他平台进行,仅仅通过平台来获取资源信息。

    3. 典型场景1:C端虚假注册
    4. 典型场景2:爬虫软件

    # 情报体系建设
    1. 情报使用流程

    情报采集的架构分为三层:
    第一层是情报采集,一类来自城市举报,包括泄露case、违规工单、专门采集的线索。另一类来自外部监控,比如羊毛论坛、贴吧等,了解外部黑灰产在技术、工具、数据上的情况。还有一类是内部监控,SRC的白帽子情报,反爬部门的情报信息,终端采集的数据等。中间涉及的业务类型,都通过情报采集层进行了覆盖。
    第二层是溯源处理,我们更多专注在经纪人的账号、设备、业务操作层面的数据。对这些信息进行加工,进行情报溯源。最终我们的输出是,情报高危黑名单,以及手机号、设备的黑库,和作弊工具库。
    第三层是使用运营,主要联动的业务方是执法部门,例如联动职业道德进行打击,或者进行专项的治理、规则优化。另一类是联动风控和产品部门,对典型的风控产品和策略,进行迭代和优化。

    # 溯源能力建设建设
    1. 武器库
    2. 溯源技术架构

    # 打击和取证
    我们把整个打击分为溯源、分析、报案、取证、打击五个阶段。

    * 溯源阶段:需要通过日志、行为、样本,明确作弊手法、作弊工具。

    * 分析阶段:明确罪名,目前主要3个罪名,一个是侵犯公民个人信息,第二个是非法获取计算机系统,第三个是破坏计算机系统。可以看一下具体的司法解释,贴合条款写方案材料。

    * 报案阶段:需要一些有法务工作经验的同事,写作方案书。与警方进行初步的沟通,尽量用通俗的语言解释作弊情况。并提交相应材料。

    * 取证阶段:警方会指定第三方鉴定所,进行取证。基本的取证流程有固定的时间和地点,进行录屏。

    * 抓捕阶段:关键的是需要技术人员配合,现场抓捕,需要当场抓获一些工具和数据。需要的话,在抓捕后的审讯阶段,也要配合警方诉讼。
    `

发表评论

您的电子邮箱地址不会被公开。