發(fā)布時(shí)間：2021-01-22 22:46

　　<正>漏洞是網(wǎng)絡(luò)攻防的武器,是力量提升的重要戰(zhàn)略資源,而0day漏洞更是核武器,誰掌握了0day漏洞,便可在網(wǎng)絡(luò)攻防中擁有絕對(duì)力量。為指導(dǎo)銀行金融科技人員系統(tǒng)化開展銀行系統(tǒng)0day漏洞挖掘工作,工商銀行安全攻防實(shí)驗(yàn)室在行業(yè)內(nèi)首次提出基于"戰(zhàn)術(shù)+交付+技術(shù)"的銀行系統(tǒng)0day漏洞挖掘方法模型,并運(yùn)用模型發(fā)現(xiàn)首個(gè)高危0day漏洞。 

【文章來源】：中國(guó)金融電腦. 2020,(10)

【文章頁數(shù)】：6 頁

【部分圖文】：

不同階段漏洞影響示意

“未知攻，焉知防。”開展0day漏洞挖掘不僅可以充實(shí)藍(lán)軍的“武器庫”，更能夠提升安全防護(hù)體系的防御能力（如圖2所示）。目前業(yè)界主流的防護(hù)體系主要依托于安全防護(hù)設(shè)備，如防火墻、入侵防御系統(tǒng)（IPS）、Web應(yīng)用防火墻（WAF）、漏洞掃描等，安全防護(hù)設(shè)備的防護(hù)理念是通過已知漏洞的特征識(shí)別攻擊進(jìn)行防護(hù)，但對(duì)于未公開信息的0day漏洞卻束手無策。只有掌握0day漏洞的特征向量并輸入防護(hù)體系，才能提前預(yù)警風(fēng)險(xiǎn)，掌握網(wǎng)絡(luò)攻防的主動(dòng)權(quán)。在網(wǎng)絡(luò)空間安全形勢(shì)日益復(fù)雜的今天，掌握0day漏洞挖掘技術(shù)能夠促進(jìn)攻防能力提升，保障金融科技快速發(fā)展，并向廣大用戶展現(xiàn)強(qiáng)大的信息安全實(shí)力。

業(yè)界已有的常用漏洞挖掘方法，如靜態(tài)分析挖掘方法、動(dòng)態(tài)分析挖掘方法等，沒有明確的階段成果標(biāo)準(zhǔn)、完善的閉環(huán)管理方法，尚未形成廣泛認(rèn)可的標(biāo)準(zhǔn)框架體系，難以滿足銀行系統(tǒng)嚴(yán)格的風(fēng)險(xiǎn)管控流程的要求。因此，銀行業(yè)應(yīng)該結(jié)合自身需求和特點(diǎn)，研究銀行系統(tǒng)的0day漏洞挖掘方法并開展相關(guān)工作，確保與金融行業(yè)緊密相關(guān)的未知漏洞風(fēng)險(xiǎn)盡可能在安全可控的閉環(huán)流程中得到及時(shí)發(fā)現(xiàn)和處置。2. 構(gòu)建銀行系統(tǒng)0day漏洞挖掘方法


本文編號(hào)：2994039