<正>漏洞是網(wǎng)絡(luò)攻防的武器,是力量提升的重要戰(zhàn)略資源,而0day漏洞更是核武器,誰掌握了0day漏洞,便可在網(wǎng)絡(luò)攻防中擁有絕對力量。為指導銀行金融科技人員系統(tǒng)化開展銀行系統(tǒng)0day漏洞挖掘工作,工商銀行安全攻防實驗室在行業(yè)內(nèi)首次提出基于"戰(zhàn)術(shù)+交付+技術(shù)"的銀行系統(tǒng)0day漏洞挖掘方法模型,并運用模型發(fā)現(xiàn)首個高危0day漏洞。 

【文章來源】：中國金融電腦. 2020,(10)

【文章頁數(shù)】：6 頁

【部分圖文】：

不同階段漏洞影響示意

“未知攻，焉知防�！遍_展0day漏洞挖掘不僅可以充實藍軍的“武器庫”，更能夠提升安全防護體系的防御能力（如圖2所示）。目前業(yè)界主流的防護體系主要依托于安全防護設(shè)備，如防火墻、入侵防御系統(tǒng)（IPS）、Web應用防火墻（WAF）、漏洞掃描等，安全防護設(shè)備的防護理念是通過已知漏洞的特征識別攻擊進行防護，但對于未公開信息的0day漏洞卻束手無策。只有掌握0day漏洞的特征向量并輸入防護體系，才能提前預警風險，掌握網(wǎng)絡(luò)攻防的主動權(quán)。在網(wǎng)絡(luò)空間安全形勢日益復雜的今天，掌握0day漏洞挖掘技術(shù)能夠促進攻防能力提升，保障金融科技快速發(fā)展，并向廣大用戶展現(xiàn)強大的信息安全實力。

業(yè)界已有的常用漏洞挖掘方法，如靜態(tài)分析挖掘方法、動態(tài)分析挖掘方法等，沒有明確的階段成果標準、完善的閉環(huán)管理方法，尚未形成廣泛認可的標準框架體系，難以滿足銀行系統(tǒng)嚴格的風險管控流程的要求。因此，銀行業(yè)應該結(jié)合自身需求和特點，研究銀行系統(tǒng)的0day漏洞挖掘方法并開展相關(guān)工作，確保與金融行業(yè)緊密相關(guān)的未知漏洞風險盡可能在安全可控的閉環(huán)流程中得到及時發(fā)現(xiàn)和處置。2. 構(gòu)建銀行系統(tǒng)0day漏洞挖掘方法


本文編號：2994039