0x00 背景
学习研读了钉钉安全白皮书,将一些关键点记录如下:
0x01 全链路安全防护
1、客户端安全
应用完整性
重新编译
加壳保护
修改指令调用顺序
环境可信性
模拟器运行检测
越狱和 ROOT 检测
终端进程注入检测
提供应用沙箱环境
病毒检测
数据机密性
安全加密
安全沙箱
安全签名
账号安全风控
阿里巴巴自建的账号安全风控体系
账号和设备风险、异常行为
其他扩展的账号安全控制措施
双因子验证(2FA)、生物特征识别、同事关系识别
2、传输安全
基于 SSL/TLS 协议的私有安全通信协议 LWS
钉钉端到端的通信链路加密、签名,防止窃听、篡改
3、服务端安全
应用安全
安全开发生命周期管理体系
人员培训
安全需求
安全开发
安全测试
项目发布
安全运营与应急响应阶段
数据库安全
数据库管理平台 iDB
数据库统一认证、权限管理、数据变更、库表同步以及操作安全审核
CloudDBA
系统化、专业化的数据库诊断优化能力
中间件安全
分布式权限系统进行身份识别和访问控制
4、 基础设施安全
物理安全
电子计算机机房设计规范》(GB50174)、《电信专用房屋设计规范(YD5003-2014)
人员进出机房访问登记
物理监控巡检层面
线上业务定时自动巡检和定期人工检查,有效发现异常报警信息
物理安全指引和操作安全管理规程
网络安全
异常流量清洗平台监测管控
不同安全区域
严格的访问控制和路由策略
流量分光镜像和 flow 采样
流量DPI/DFI 分析和监控
主机安全
管控机制
剪裁不必要的服务、最小化开启业务所需的服务和端口
访问管理
事前预警机制
SSO 集成 AD 域和阿里安全客户端的 OTP 实现主机登录双因素验证鉴权
网络层访问控制策略和虚拟安全访问组实现基于 IP 地址和端口的安全控制
自动化的访问控制策略 review 工具每天检查策略合规情况
事中检测机制
主机部署入侵检测 agent
堡垒机的运维监控以及目标主机日志审计
镜像漏洞扫描工具直接扫描软件仓库
基线扫描工具
APT 对抗
自研 agent 覆盖办公终端和生产服务器等服务深度集成
事后响应机制
安全算法模型,计算钉钉业务云、管、端的异常行为分布以及入侵特征
漏洞一键止血、未知漏洞快速响应、恶意文件云端查杀、
系统补丁使用 ksplice 实现快速灰度验证和更新
5、数据安全
DSMM 的各项安全要求
数据产生
按照数据类型、敏感程度、数据价值等相关属性明确数据分类分级标准
所有数据按照策略规范要求实施分类管控、分级授权
数据传输
面向互联网
接入统一应用网关
TLS 加密以及证书统一管理
面向内部
统一接入加密机
加密机 API 实现不同应用的签名、认证和加密
数据使用
钉钉前端应用层面
涉敏页面全部数字水印处理
服务端应用层面
统一接入权限管理系统
详细说明
数据库操作层面
增删改查的操作命令全程监控,操作日志集中存储,操作流量实时分析
数据存储
对称密钥算法 AES-256-GCM 实施整库加密保护
根据用户可信设备信息生成唯一的密钥
可按需设置用户聊天信息自动销毁
服务端每个应用采用独立密钥,每个企业密钥各不相同,硬件加密系统统一管理
数据共享
对外数据开放共享
保护用户隐私
必要性和最小化
合规性
数据销毁
存储介质出数据中心遵照 DoD 5220.22-M、NIST 800-88 标准
清除数据、磁盘消磁以及物理销毁
数据安全审计
全链路风险检测感知体系
语境分析、行为过滤和专家运营,实时检测
异常数据访问记录。如登录失败、权限升级、非法访问、敏感数据下载
6、安全运营
反入侵
大数据安全分析平台
终端行为日志、网络安全日志、系统运行及入侵检测日志、WAF 防护日志以及网络流量、基线检查等信息
模式匹配、沙盒分析、机器学习、专家经验等规则
异常流量清洗平台
一键处置,保障业务系统的安全性和客户数据的隐私性
红蓝对抗
计划性进行渗透测试工作
攻防演练平台
内置历史攻击数据、漏洞库、基础资产信息和专家经验
安全众测
定期邀请 ASRC 白帽子开展
应急响应
安全事件应急管理平台
在安全事件发现阶段
OpenAPI 与黑白盒扫描产品以及威胁情报系统、ASRC 等平台打通
安全事件处置阶段
安全应急响应专家 7x24 小时实时响应
已知类型安全事件
未知类型安全事件
安全事件溯源阶段
按需收集受影响的业务端、管、云的活动日志
全面还原安全事件发生过程
针对性的整改加固
如有需要,配合公检法部门进行立案处理
安全事件复盘阶段
定期组织人员进行复盘,总结分析事件根本原因
针对性提升事前管控、事中检测机制和流程
0x02 安全合规
1、体系建设
依据标准
《中华人民共和国网络安全法》
ISO27001、ISO27018、PCIDSS、SOC 2/3、GDPR、TrustE 以及信息安全等级保护等国内外标准和最佳实践
十四个控制域的安全体系
规范的四级文档架构和可配置的度量体系
安全流程基本实现线上化,过程数据指标化,运营度量平台化
2、拥抱监管
信息安全等级保护:三级
ISO27001:2013 信息安全管理体系
信息安全管理体系(ISMS)
产品研发、业务运营、安全保障、营销推广等全生命周期
每一位“责任人”按照明确的“规范”、遵守标准的“流程”并输出有效的过程“记录表单”
ISO/IEC27018:2014云端隐私保护标准
数据收集、使用、存储等必须获得用户授权
用户对其存储的数据具备完全的控制权和合理的透明度
SOCⅡ安全审计报告
Report on System and Organization Controls
报告的内容框架和格式由美国注册会计师协会(AICPA)制定
企业安全性、过程完整性、可用性、保密性和隐私性相关的服务控制
3、内控审计
安全管理工作的合理性、安全控制措施的有效性
安全合规团队
定量和定性的风险评估和安全审计
4、廉正合规
日常业务开展过程
《商业行为准则》、《员工纪律制度》、《安全红线》等安全规章制度
发现泄露用户隐私、恶意篡改用户数据、非授权执行违规操作等异常行为
视情况给予处罚,严重情况下予以辞退处分,并永不录用
0x03 生态安全
1、生态闭环
一体化解决方案
安全端容器、私有安全加密通道、安全云容器
应用市场
专项治理和持续监测审计
2、安全赋能
第三方应用上线审核流程及标准
ISV 准入要求以及 PHP、JAVA、H5 等安全开发规范
第三方 ISV 以及企业开发者建立和培养安全梯队
3、应用监管
微应用在应用市场上线前
开发者需提交安全测试报告
钉钉安全专家审核并验收通过
微应用上架后
授权钉钉安全专家进行安全评估
符合规范要求的微应用将在钉钉应用市场
获得安全认证的标签
对第三方开发者上线的微应用
应用市场异常监控和安全扫描
前文思维导图
下载链接
欢迎大家分享更好的思路,热切期待^^_^^ !
![函数栈及缓冲区溢出攻击(二)关于缓冲区溢出攻击关于软件安全[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)