当前位置:首页 > 报告详情

A3--陈伊--与金融业务融合的安全渗透测试创新实践.pdf

上传人: B**** 编号:963823 2025-11-02 35页 8.64MB

1、陈伊成方金科 测试效能团队负责人陈伊成方金科 测试效能团队负责人负责成方金科内部信息化统筹建设及测试工具体系规划和架构设计工作。对测试平台、工具、框架的工程建设和测试效能提升方面有丰富的实践经验。曾被评为2023年度QECon明星讲师。目录CONTENTS背景与挑战0102与业务融合的安全渗透测试创新实践打造全链路BizDevSecOps能力03应用实践效能04架构复杂度高单体架构向分布式、微服务化、云原生化演进,高复杂度架构的“多节点、多链路”特性,使渗透测试极易出现覆盖盲区新技术挑战大人工智能、云计算、大数据等新技术在各行业的广泛应用,带来了新的安全风险,安全渗透测试的范围和难度大幅扩大攻

2、击手段多样化攻击方式偏向隐蔽的技术入侵、利用业务逻辑漏洞、社会工程等多种方式组合。攻击者的手段向多样化攻击转变缺乏专业安全人才 金融安全复合型人才不足,难以支撑企业在敏捷转型后海量的、迭代式的安全检测工作脱离业务检测目前安全渗透测试通常是脱离业务的抽样式测试,渗透测试人员往往缺乏对业务的深度认知,导致逻辑漏洞的挖掘率较低自动化程度低安全渗透测试多依赖于人工操作,行业安全研发测试体系尚不完善,功能、安全测试工具缺乏统一全局化设计与整合背景挑战服务型研发安全治理体系基于金融业务的安全分析创新01赋能业务安全安全分析通用化需求人员不懂安全结合业务分析落地难基于金融业务的安全分析基于金融业务的安全分析

3、交易核算类统计分析类数据传输类.单位、个人身份信息业务账户交易信息综合管理信息.总行用户金融机构用户.6大类26小类安全威胁类别评估身份假冒、篡改、抵赖、信息泄露、拒绝服务、特权提升等基于金融业务的安全分析网络安全等级保护定级指南多因子调节业务类型、业务信息、系统服务范围等符合符合业务业务特性特性业务功能与安全渗透一站式测试创新02安全测试工具新品类测试对象不全面测试过程不知晓测试自动化程度低业务功能与安全渗透一站式测试业务功能与安全渗透一站式测试基于功能测试延展的自动化渗透测试测试对象不全面 化黑盒为白盒,接口全覆盖测试过程不知晓自动化程度低融合业务、可视化攻击智能推荐、多类型覆盖基于功能测

4、试延展的自动化渗透测试基于功能测试延展的自动化渗透测试设计思路接口扫描器(内置、自定义)SQL注入XSS注入登录爆破文件上传目录遍历未授权访问针对公司内部的自研开发框架,灵活定制组织级漏洞库(业务逻辑漏洞)基于功能测试延展的自动化渗透测试基于功能测试延展的自动化渗透测试相较传统渗透测试工具,CFLight安全测试与校验更具有场景针对性,有效降低了安全问题误报率,减少了大量专业安全测试人员人工甄别的工作量,提高了漏洞检测的可靠性和准确性。业务流量回放驱动交互式渗透测试创新03满足安全领域的业技融合业务流量回放驱动交互式渗透测试脱离业务的抽样式测试测试类工具缺乏统一协同业务流量回放驱动交互式渗透测

5、试采用LogReplay(LogReplay为自研流量回放工具)日志流量回放技术将流量数据进行捕获,并进行分析挖掘,实现测试阶段业务场景的高度还原IAST技术通过Agent与程序代码深度集成,在测试阶段主动对系统的安全风险进行精细化的测试评估,为开发人员提供漏洞修复建。深度模拟业务场景开展测试,发现潜在的安全威胁,准确识别异常活动,提高交付产品的安全性业务流量回放驱动交互式渗透测试业务流量回放驱动交互式渗透测试打造全链路BizDevSecOps能力推进安全渗透测试左移落地见效打造全链路BizDevSecOps能力平台操作演示业务融合符合金融业务特性、量身定制安全需求金融业务属性的渗透测试用例库

6、还原真实业务场景,深度模拟业务攻击数据人才复合业务人员、需求分析师 产品经理开发人员、功能测试人员运维人员工具整合渗透测试和业务测试同工具、同流程并行开展流量回放+IAST一站式测试打造全链路BizDevSecOps能力应用实践效能需求分析提质增效明确的安全需求条目数量提升217%安全需求分析从10.7小时缩短到1分钟完成应用实践效能持续化、自动化安全渗透测试研发团队将产品交付给安全团队时,严重安全缺陷下降73.8%渗透测试自动化覆盖率从行业30%提升至70%专业安全测试团队

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据《Data>标记内容,全文主要围绕成方金科在安全渗透测试领域的创新实践展开。以下是关键点: 1. **安全渗透测试挑战**:面对高复杂度架构、新技术挑战、多样化攻击手段、专业人才缺乏等问题。 2. **创新实践**: - **业务融合的安全渗透测试**:打造全链路BizDevSecOps能力。 - **安全测试工具创新**:开发业务功能与安全渗透一站式测试工具。 - **业务流量回放驱动交互式渗透测试**:利用LogReplay和IAST技术。 3. **应用实践效能**: - 安全需求分析效率提升217%,时间缩短至1分钟。 - 严重安全缺陷下降73.8%,渗透测试自动化覆盖率提升至70%。 - 测试周期缩短至7天,人力成本下降75.6%。 4. **荣誉奖项**:多项创新实践获得金融科技创新奖项。
"渗透测试创新,BizDevSecOps全链路?" "金融安全,自动化渗透测试如何实现?" "AI赋能,渗透测试自动化未来趋势?"
客服
商务合作
小程序
服务号
折叠