三重奏,网络安全建设的方法论 | FIT 2019 企业安全俱乐部

随着“互联网 +”逐渐成为信息时代产业发展的主要技术经济形态,互联网在企业生产、管理、销售等领域的参与度越来越高,促进商业模式不断调整,工作效率大大提高。在新趋势、新变化带来便利的同时,网络安全隐患日益彰显,安全隐患源头与种类越来越多,成为了影响互联网行业发展,乃至国家安全的重要因素。

企业管理者应当充分认识到“互联网+”环境下企业安全管理的现状以及存在的安全威胁,树立全面安全管理意识,保障企业信息安全。

本次FIT2019大会组委会特别邀请斗象科技漏洞盒子产品负责人来勇、阿里巴巴资深安全工程师柳兮、美图安全经理/Security Paper 创始人史鑫磊等重磅嘉宾为我们带来**《企业如何赢在SRC的起跑线》《企业SDL实践与经验》 、《如何做好业务安全红蓝对抗》等干货议题分享,从多个多维讨论如何保障企业安全。**

企业如何赢在SRC的起跑线

近年来,由于企业网络安全漏洞未能及时封堵而引发的信息泄露、系统宕机、服务瘫痪等事件频频出现,直接或间接的经济损失往往十分巨大。网络安全问题已经由过去的幕后逐步走到台前,越来越多的企业成败多了一条评判标准就是网络安全。在经过了防火墙,渗透测试,红蓝对抗等等方案后,企业SRC这一安全解决方案逐步进入业界并如雨后春笋一般成长。

目前,国内的大型互联网公司均自建了SRC,解决白帽找不到有效渠道和动力来提交漏洞的问题,但大多数企业并没有这个实力。

一是因为缺乏安全技术积累,也没有与白帽子直接对接的机制和渠道; 二是SRC建立容易运营难,搭建后需要投入大量人力物力进行漏洞审核、跟踪修复、技术运营等工作。

对于大企业来讲,资源虽然不是问题,但SRC毕竟不是核心业务,投入有限。而中小企业本身资源有限,重业务而轻安全是普遍现象,在安全当中的投入非常之有限,且人员配备不足。

国内的SRC该如何发展,这是每个SRC运营者都在思考的问题。SRC平台在很大程度上已成为企业安全防御系统能力好还是不好的最直接证明。牢固的防御系统为什么会被白帽子攻破?安全弱点在哪里?还有哪些类似的安全漏洞?企业的安全系统为什么没有发现这些问题?

FIT2019组委会充分利用现有优势资源,邀请斗象科技漏洞盒子产品负责人来勇带来《企业如何赢在SRC的起跑线》的议题分享,为更多企业成功构建SRC提供积极的思路和建议,解答如何在资源有限又责任重大的情况下建设好企业自身SRC的问题。

来勇是斗象科技高级产品经理,拥有丰富的产品经理经验。曾经服务并参与可口可乐、强生中国、百威英博等多家世界五百强企业的内部管理系统研发。在加入斗象科技后主导“漏洞盒子”和“Freebuf”两款产品的设计策划。曾多次为国家机关及商业银行提供SRC的建设意见及方案,部分方案已经落地成熟运行并成为行业的重要参考案例。

企业SDL实践与经验

随着信息技术飞速发展,互联网早已渗透到了各行各业,现在的信息安全所影响的早已不止是网络空间,对物理世界的企业生产、经营都能带来很大的关联。信息技术能够帮助企业转型升级,快速发展,提升效率以及竞争力,但同样也会带来很大的安全隐患。

信息就是财富,安全才有价值。现在的互联网企业多数依赖网络技术发展生存,企业信息安全决定了企业的生死存亡,是市场竞争的利器。因此,想要企业健康可持续性发展,信息安全是基本的保证之一。随着网络环境日益恶化,企业管理者也逐渐走出以往的误区,信息安全建设成为了很多企业的重点任务,但不同的企业需要不同的应对措施,多数往往不得其法。

在此背景下,FIT 2019组委会邀请美图集团安全经理史鑫磊参加企业安全俱乐部,为大家带来企业SDL应用与实践的分享,通过实地经验,讲述SDL带来的改变。想要知道如何快速构建企业安全,以及作为甲方企业如何实行SDL落地方案,还请关注史鑫磊先生的议题《企业SDL应用与实践》 。

企业安全中最重要的即是安全可控,本次分享内容主要是针对企业SDL流程的实践,美图SDL过程中遇到的一些问题和难点,大部分的企业安全团队都会作为一个独立的团队存在,而SDL把安全和开发紧密结合在一起,让企业在开发过程中保持高效的研发速度和可控的安全性。

史鑫磊作为美图集团安全经理,主导美图整体安全建设,同时还是security paper创始人、SDL概念的实践者,在公司安全团队组建初期,通过开源项目整合方式,快速构建企业安全防护体系,包括主机防护、漏洞扫描、漏洞管理平台、网络威胁感知、安全情报监控等。通过在美图集团的实地应用中,在SDL安全生命周期管理中解决了很多问题,使得企业SDL得以持续的发展以及不断的改进。

如何做好业务安全红蓝对抗

随着勒索病毒事件的不断发生,如WannaCry、GandCrab等,传统的企业网络安全防护手段已经捉襟见肘,许多企业发现自己已陷入一种看似不可回避、纯粹的保守安全补救措施的循环之中。在这样的大背景下,越来越多的企业安全管理者开始摈弃传统思维,转向漏洞众测、渗透测试和红蓝对抗等新兴模式。

红蓝对抗的概念首先是从军事领域衍生出来的,随着企业不断丰富自身安全能力,红蓝对抗模式也越来越被企业认同和接受,红蓝对抗所暴露的问题不仅包括技术漏洞,还有安全管理、防护能力以企业高层视角等领域的薄弱点。

通过红蓝对抗,企业的防护态度将发生转变,从传统的安全事件触发应急转向到异常挖掘和攻击复现,以构建新型威胁响应模型。但是在业务红蓝对抗的新领域,我们该如何做好全方位立体的业务蓝军体系?如何解决实践过程中遇到的很多挑战?

阿里巴巴集团安全部-归零实验室成员柳兮将在FIT2019大会企业俱乐部项活动中为大家带来《如何做好业务安全红蓝对抗》 议题分享,对上面的问题进行解答。

柳兮熟悉WEB安全、移动应用安全、渗透测试、代码审计等领域,有着较为丰富的电商安全SDL工作经验。近3年来一直致力于业务安全红蓝对抗方向的研究,包括业务红蓝对抗的体系化建设、平台建设等。

FIT 2019互联网安全创新大会

FreeBuf互联网安全创新大会(FIT)是由国内领先的互联网安全新媒体平台FreeBuf.COM主办的年度互联网安全盛会,WitAwards互联网安全颁奖盛典也将同期举行。

FIT 2019大会会期为2018年12月12日~13日,会议将在上海宝华万豪酒店举行。本次大会主论坛议程聚焦「全球高峰会」、「前沿安全神盾局」、「WitAwards颁奖盛典」、「WIT安全创新者联盟」「X-TECH技术派对」、「HACK DEMO」六大板块,独立分设「白帽LIVE」「企业安全俱乐部」两大分论坛,与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽安全专家、研究机构等共同展开演讲与探讨。同时「中国首席信息安全官高峰论坛」、「漏洞马拉松线下邀请赛」也将在特色分会场同期举行。此次盛会致力于分享2018年度安全行业创新硕果,共同探索与展望未来安全新边界。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-11-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

百度首席科学家创建AI公司,将用AI来改变制造业

到吴恩达这个名字可能一些小伙伴并不认识,但是提到百度的话应该会很熟悉了吧。 2014年5月16日,吴恩达加入百度,担任百度公司首席科学家,负责百度研究院的领导工...

2086
来自专栏机器人网

最受欢迎的全球机器人TOP50排行榜

近日全球机器人大会如约在京举行,会上千奇百怪的机器人令人惊叹,随着人工智能时代的临近,机器人早已不是什么新鲜物件儿,仿生机器人、家务机器人、军事机器人等类别的机...

3055
来自专栏数据科学与人工智能

【FinTech】什么是金融科技(它是如何演变的)?

一般来说,FinTech(金融科技)可以应用于任何金融服务或用于帮助公司管理其业务的财务方面的技术,包括新软件和应用程序,流程和业务模型。

1903
来自专栏数据猿

大数据24小时 | 美国创企LogicMonitor完成 1.3亿美元融资 ,京东金融再扩版图布局车联网大数据

<数据猿导读> 提供数据中心监测服务的美国创企LogicMonitor完成 1.3亿美元融资;东南卫视与认知数据合作,布局影视文化大数据;京东金融再扩版图,合作...

3515
来自专栏AI科技大本营的专栏

分析了160多万个招聘职位,竟发现……

基于全网 160 多万招聘职位的统计分析,互联网人才招聘仍然以北上广深圳杭五大城市为主,占据互联网人才需求 80%。北京继续领先,杭州增长迅速。人工智能的招聘需...

1334
来自专栏罗超频道

国内一元夺宝行业兴起 需理性区别对待

今年是中国接入国际互联网的第22个年头。20多年来,互联网服务的不断创新变革,以前所未有的深度和广度迅速融入社会方方面面,改变着大众的消费和生活方式。 这其中...

4135
来自专栏机器人网

人工智能可以促进经济繁荣?

人工智能(AI)无疑正在重新定义整个商业界的规则,但它对于整体经济将带来什么样的影响,还有待观察;加拿大现在也正在投资AI技术研发,期望能有利于国家发展。 现隶...

3018
来自专栏科技向令说

流量红利渐失,电商的“新故事”往哪讲?

这几天互联网企业迎来了集体狂欢:网易、搜狐、新浪微博都迎来了自己的第二春,股票大涨,市值激增。电商领域的老大哥们也没闲着:2月21日,唯品会发布了公司截至12月...

1043
来自专栏罗超频道

双十一的新使命已从培养网购习惯变为培养品质消费理念

天猫双11今年交易额落在了1207亿,增速32%,而去年和前年的增长率分别为60%和58%。已进入第八年的双11,看上去有些增长乏力,然而更可能的原因或许在于,...

2743
来自专栏数据猿

易日升总裁史建伟:大数据风控模型在消费金融场景下的六大应用

15年年底随着P2P平台风险事件,导致了整个行业发展过程中的波折动荡,也导致国家监管机构今年4月开始进行为期一年的整顿。今年8月份的时候国家也出台了网贷管理办法...

3287

扫码关注云+社区

领取腾讯云代金券