寒潮南下,但蓉城依旧“高温”,不仅因为热气腾腾的火锅包围着这座城市,还因为一场“神秘”的安全大会正在这里如火如荼地进行。
2020年11月26日,第二届INSEC WORLD 成都·世界信息安全大会隆重开幕。举办方Informa Markets成功举办过Black Hat这种顶级安全会议,也曾在去年成功将INSEC WORLD引入成都并获得非常巨大的影响力。新一年中,网络安全行业的改变也悄然而至。顺势而为,我们需要新的头脑风暴,而在此次大会,一些令人疑惑的答案自然揭晓。
人,是网络安全的核心,即是问题制造方,亦是问题解决方。在护航企业网络安全过程中,首席安全官们(CSO)就是引领的那批人。CSO负责从治理、合规性和风险的角度对待应用的安全性,以最低的成本解决安全风险。
聂君曾提到:“不同规模的企业,如何去选择合适的安全策略或者解决方案,这需要企业安全负责人能以最低的成本消除这种信息不对称,选择当下最优解决方案,这是CSO存在的价值。”而今天的论坛主持人,华住集团的副总裁兼CSO王彬则认为,随着国家对信息安全的重视,各项信息安全措施陆续出台,信息安全成为了我们国家基础设施的重要部分,对于CSO本分的能力提出了更大的挑战。
华住集团的副总裁兼CSO王彬
随着企业对于CSO的需求凸显,新兴的安全负责人不断涌现。CSO该如何引领公司驶向安全轨道?且听业内专家分析——在今日下午的CSO论坛中,几位业内CSO以及安全负责人亲自上阵,传大厂安全之道,授实际操作之业,解洞察未来之惑。
行业大咖坐镇、思维火花碰撞,一顿安全行业的“饕餮大餐”就此诞生。
浅谈安全产品的内生安全实践
武鑫——奇安信
去年,奇安信集团董事长齐向东提出演变版“内生安全”,他表示,内生安全框架有三个重点,是把安全能力“理清楚”、“建起来”、“跑得赢”,目的是通过“新管理”,让网络安全体系具有动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控的能力。
基于内生安全可以建立更加夯实的应用安全能力。值得一提的是,人的脆弱性又是内生安全机制中的重要影响因子。所以在建设应用安全能力过程中,对于人的管理也是非常重要的方法论。
基于奇安信的实践经验总结,武鑫仔细介绍了从安全文化、检查清单、供应链安全、DevSecOps四个方面如何做应用安全能力支撑框架建设。
根据企业在安全建设时的痛点,奇安信的相关框架建设具体方法论可以作为参考:一是建立PSIRT组织,推动漏洞高校闭环,从流程上设计并完善组织架构;二是加强与研发的沟通,渗透安全理念,持续推进人员培养,提升白盒挖掘能力;三是打造SAST、DAST、IAST平台能力,建立工具链并完善,打通DevSecOps。
“打破公司墙,延续安全开发带来的自身安全能力到运营阶段,做好基础安全防护一定程度上能对抗0day。”武鑫提出了展望,同时针对这个憧憬,他也给出了几条实践建议:杜绝弱口令;严格管控ACL;拆分部署应用和控制台;及时更新打补丁;开启应用层面日志。
红蓝对抗中的溯源反制实战
郭威——深圳证券交易所信息安全主管
CSO在大众的概念里或许更偏向于安全最高管理层,但在2017年的一个调查里显示,67%的世界500强CSO是处于主管或者是总监的级别。比如郭威也是在负责安全项目的同时,会参与攻防实战工作。
红蓝对抗就像一场足球赛,而郭威在演讲中分享了几个攻防演练过程中的溯源反制故事。其中一个案例就是攻击方的某队员通过官网找到了他们的技术交流群,并且对方在群里伪造成一个基金公司的员工,潜伏两天后才开始动作,在群里发了一条网络安全整改事项信息。收到信息后,防守方意识到问题不对,直接把对方踢了出去。但随后,郭威团队认为,这是一个反制机会。于是,他又把对方加了回来,通过进一步溯源和沟通信息确定了对方是攻击队成员,并且分析了对方当时链接里的信息。此外,还有钓鱼邮件、蜜罐反制等善用策略的手段。
不过,郭威也表示,溯源反制并不是针对所有攻击者都有效的,尤其是在域名完全隐藏、多个肉鸡跳转等隐藏手段非常复杂的场景下,溯源的难度会大大上升。那么,作为防守方可以做什么?那就是优化协作机制全流程,从属性分类、报告标题等细节上做到更好,并且加强与公安机关的衔接。
可用安全——使用户成为安全的重要环节
邓永基——TUV Austria Cyber Security Lab Son Bid 亚太区总监
信息安全的考验随着数字化革命的演进日益严峻,各式安全防护的功能和手段不断推陈出新,在大家忙着理解和学习安全功能和技术的同时,有一个很关键的问题逐渐凸显:有些安全功能或技术虽精心设计,但是因未充分考虑到用户体验而导致新的威胁。如,一个账号登陆界面对于密码设置要求过去复杂,尽管在安全性上似乎更高,但是对于用户来说操作过于复杂,可能导致密码遗忘或者用户想办法跳过这个流程,从而形成新的安全风险。
邓永基表示,实际上,用户是安全链中最薄弱的环节。“如果安全特性是可用的,用户就更可能正确的使用它,从而提升整体的安全性。”他说,让信息安全功能更人性化,才能更好地发挥出它预期的功效。
接下来,他从数据和隐私安全的人因视角、可用安全、对软件开发者而言的可用安全、可用安全的设计原则,方法和样例四个方面介绍了从设计者或者是开发者的角度该如何做安全。“我们现在已经有23条原则,11个设计指南和47个设计范式。”邓永基说:“应该避免用户变成最薄弱的一环,可以让技术变成最薄弱的一环,这样对技术人员来说更容易克服。”
整场论坛中,大家一边不断举起手机拍照记笔记,一边认真聆听分享,专注的神情中透露着将大咖的干货收入囊中的期望。的确,整场议题,无论是安全意识,应用安全建设还是红蓝对抗等,都是目前企业安全负责人重点关注的问题。大家对于新的实践方案翘首以待,而这些来自大厂专家的干货分享则可以避免大量企业在未来的安全建设过程中走弯路。
