<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • 直面企業安全痛點,FIT 2019企業安全俱樂部全議題回顧(附PPT下載)

    2018-12-25 77446人圍觀 ,發現 3 個不明物體 活動

    清晰記得,在FIT 2019第二天的議程中,有一位嘉賓提到這樣一句話:世界上只有兩種企業,一種是知道自己被黑;另一種是不知道自己被黑。

    網絡安全已經是全球所有企業都面臨的問題,在即將過去的2018年,有多少企業為此付出了嚴重的代價。2019年,網絡安全形勢更加嚴峻,我們該如何應戰?在年底最適合總結及展望的時間,相信大多數企業都在思考這個問題。

    zhuchiren.jpg

    FIT 2019專設企業安全俱樂部分論壇,邀請13位安全領域知名企業安全專家以及咨詢專家,共同分享自己在安全建設上經驗與心得。

    企業SDL實踐與經驗——美圖集團安全經理 史鑫磊

    美圖集團安全經理史鑫磊首先就企業SDL(軟件安全開發周期)的實踐經驗,這其實揭示了目前行業內的一個普遍存在的問題,那就是大部分開發人員缺乏足夠的安全開發意識,并且基本沒有接受安全開發培訓。而對于企業安全而言,最重要的就是安全可控,SDL把安全和開發緊密結合在一起,讓企業在開發過程中保持高效的研發速度和可控的安全性。

    shixinlei.jpg

    史鑫磊首先就強調了對于開發人員的安全培訓,這也是最基本的要求。安全開發需要開發者在產品設計、代碼編寫、滲透測試、上線發布等所有環節中都將安全考慮在內,這樣產品在發布之后即便出現問題,解決問題的成本則要低很多。另外,應急響應則是最后需要設置的一道安全防線。

    未來企業安全戰力:虛擬化與物理環境的完美融合——瑞星云安全事業部產品總監 鄭斌

    2018 年上半年勒索病毒和挖礦病毒爆發頻繁、危害較大,已經成為企業網絡安全的最大威脅。雖然數字貨幣的熱度有些波動起伏,但犯罪分子對其追求的熱度卻沒有減少,由于虛擬化貨幣錢包地址的隱蔽性,致使其依然是犯罪分子獲利的首選,這也就導致大量加密貨幣挖礦病毒和勒索病毒的爆發。

    zhengbin.jpg

    鄭斌表示,云安全解決方案是針對虛擬化及云平臺特性,定制化開發的安全防護產品,采用先進的虛擬化無代理安全防護技術實現針對虛擬化及云平臺的整體安全防護,可為虛擬化平臺提供包括防病毒、防火墻、入侵監測與攔截、虛擬補丁及web信譽防護等全面的安全防護功能。

    另眼看安全:從企業運營角度如何開展安全建設——拍拍貸安全專家 袁弋戈

    在新形勢下,要如何實現企業內部網絡安全建設和企業運營的有效整合,構建完善的企業內控管理的體系,最終實現企業的全面管理和革,拍拍貸安全專家袁弋戈分享了自己在這方面的安全建設經驗。

    b5b79d07-af2a-4b92-94c5-0223ad81fb98.jpg

    袁弋戈表示,從企業角度來看,安全只是一個附屬品。需要充分了解企業的戰略及商業模式,使得安全建設從附屬品轉變成企業的戰略品。從信息安全策略、信息安全組織、信息安全運營以及信息安全技術四個層次,詳細剖析了安全建設的細節。

    電子認證服務在互聯網司法服務中的作用研究——天威誠信常務副總裁 李延昭

    現如今,數據安全、隱私保護等問題越來越嚴峻,電子認證領域因此得到了更多的關注。《電子簽名法》的頒布實施,明去了電子認證在司法中的地位,賦予了電子認證法律效益的身份。

    liyanzhao.jpg

    李延昭針對“電子認證服務在互聯網司法服務中的作用”為現場嘉賓進行了分享。并與現場嘉賓一起探討電子認證服務如何通過數字證書的方式建立網絡虛擬身份與現實主體的一一對應關系,解決網絡空間身份真實性難識別的問題。李延昭先生強調:互聯網時代,網絡服務電子化,電子數據的真實、完整、準確性越來越受到重視,天威誠信電子認證服務能確保數據的合法性,通過司法服務解決互聯網應用及合法電子數據的監督審查、規范管理及司法救濟的問題。

    解構協議解碼引擎——科來產品運營部總監 李飛

    根據Gartner報告指出,到2020年,將有多達200億臺連接設備為每位用戶生成高達數十億字節的數據。這樣規模的設備和海量數據,對運維模型和安全模型均提出了巨大的挑戰,因此亟需引入新的思路和技術來解決此類問題。科來認為網絡流量分析技術的核心之一是協議解碼,通過在這一核心技術的不斷深入探究與創新,更好的讓網絡流量分析技術為網絡性能管理與網絡安全保駕護航。

    lifei.jpg

    李飛表示,網絡流量數據是安全態勢感知體系中必不可少的數據。一方面可以通過協議解碼對流量行為進行分析并建立行為模型,實現對網絡威脅的感知;另一方面,檢測類告警日志數據存在誤報和漏報的可能,如果疊加網絡流量數據就可以還原現場,有效區分出真正威脅。

    網絡安全法案例總結與企業合規價值——上海市委網信辦網絡安全及信息化咨詢專家 劉春泉

    2018年,5G標準、中芯案件,使得技術博弈、話語權博弈持續發酵,深刻改變著數字經濟的利益格局和安全格局。我國《網絡安全法》正式實施已經一年了,圍繞網絡主權、網絡犯罪等重要制度立法、執法和司法活動都在積極推動。上海市委網信辦網絡安全及信息化咨詢專家劉春泉律師同大家分享網絡安全法案例,討論網絡空間私權領域與公共權利之間的法律關系,共同探索在網安法框架下實現企業合規的現實價值。

    liu.jpg

    劉春泉律師表示,大公司基本都有法務跟進業務合規,但這不只是法務的問題,也需要外部律師的支持,一個是專業性,第二個更重要是視角問題,外部的視角更多可以從用戶、監管而不是企業自己利益角度出發來思考問題。

    如何做好業務安全紅藍對抗——阿里巴巴資深安全工程師 柳兮

    紅藍對抗的概念首先是從軍事領域衍生出來的,隨著企業不斷豐富自身安全能力,紅藍對抗模式也越來越被企業認同和接受,紅藍對抗所暴露的問題不僅包括技術漏洞,還有安全管理、防護能力以企業高層視角等領域的薄弱點。

    184d984c-cfc1-44fb-8d66-2da09d0e0a82.jpg

    柳兮指出,做好業務紅藍對抗的挑戰,需要做到以下幾點:

    需要完成全鏈路的實戰攻擊,而不是單點攻擊

    需要從外部,以黑盒視角發起攻擊

    需要真正的幫業務方解決問題,而不是自嗨

    不能即當裁判,又當運動員

    分布式拒絕服務攻擊預警研究——金山云安珀實驗室資深研究員 馬西興

    基于傳統肉雞養殖場的僵尸網絡檢測方法主要基于個各類蜜罐、入侵檢測系統、Netflow異常流量檢測等安全分析系統。

    ead82b19-2e9a-43f8-b1e4-2c8015eb0fb3.jpg

    而本次馬西興帶來的方法有別于以往,是對肉雞樣本進行了深入逆向分析,按照其和C&C端的交互協議,對BOT端進行代碼重構,能夠做到在C&C端發出攻擊指令的同時,對目標站點進行攻擊預警,同時在系統資源占用、反沙箱、漏洞利用監測等方面達到了較好的效果。

    企業如何贏在SRC的起跑線——斗象科技漏洞盒子產品負責人 來勇

    目前,國內的大型互聯網公司均自建了SRC,解決白帽找不到有效渠道和動力來提交漏洞的問題,但大多數企業并沒有這個實力。對于大企業來講,資源雖然不是問題,但SRC畢竟不是核心業務,投入有限。而中小企業本身資源有限,重業務而輕安全是普遍現象,在安全當中的投入非常之有限,且人員配備不足。

    77b0c197-5ac7-4e60-8ed7-20a95477197f.jpg

    來勇透露,隨著企業對SRC需求量的加大,在人才成長速度有限的情況下資源被稀釋成為必然。同時和SRC競爭的還有國家平臺,專業的眾測平臺。白帽子本身的職業發展和生活發展也會限制他從事漏洞挖掘的時間。

    互聯網企業數據安全建設之路——騰訊數據安全負責人 劉寧

    隨著互聯網技術與公用云的高速發展,互聯網企業自身的數據資產安全的重要性不容忽視。數據在傳輸、存儲及交換的過程中,系統崩潰、硬件損壞、數據丟失或遭到破壞的可能性客觀存在。如果沒有相關的數據保護、備份及恢復手段與措施,就會導致數據泄露、丟失或損毀,給企業造成的損失是無法估量的。

    c664a07f-525e-4d92-8fcf-91ddb973c371.jpg

    劉寧提出,“對于企業來說,數據安全體系建設就是數字化時代最重要的安全屏障。”騰訊數據安全團隊嘗試通過打造系統化解決方案,形成技術—工程—運營這樣一個三角的良性循環,讓企業從傳統的“救火應急”式的安全應對方式,轉向打造數據安全系統化的解決方案,培養企業自身體系化的持續安全運營能力。

    劉寧進一步從漏洞管控、基線運營和動態對抗等方面出發,結合騰訊十多年的安全實戰經驗,深入分享了在當今嚴峻的安全形勢下,如何進行企業的數據安全體系建設。

    業務流量數據安全應用實踐——螞蟻金服高級安全專家 劉宇江

    數據對安全來說,是最為重要的基礎設施,日常的攻擊檢測、漏洞掃描、應急排查等,都是以各種數據記錄為基礎進行,數據的完整性與豐富程度很大程度決定了安全問題檢測與響應能力的高低。因此,為了數據的安全性更多的企業會選擇流量鏡像的方式進行備份。

    4abdc71b-f9a7-439f-ae74-19f9507243e1.jpg

    零信任架構里的資產安全管理——完美世界高級信息安全總監 何藝

    資產的安全管理是個小眾話題,在企業安全管理過程中,資產的安全管理是非常重要的基礎能力,能否清晰的梳理出資產、掌握資產的安全屬性,把安全的管控落到資產上是非常重要的事情,完美世界高級信息安全總監何藝分享了資產安全管理的一些技術手段,以及部署零信任(BeyondCorp)架構后給資產管理帶來的一些變化。

    22f83441-c1b3-4deb-8161-3112c4e4aacc.jpg

    何藝表示,零信任架構的作用是重塑IT基礎以及提供安全接入平臺,由于部署零信任架構涉及面比較廣,更適合家紡自己實施。

    中小企業公有云安全挑戰及威脅情報的結合——輕松籌CRO 韓晉

    隨著云計算的不斷普及,安全問題的重要性呈現逐步上升趨勢,已成為企業關注的焦點。韓晉認為,中小互聯網企業專職安全人員少,預算有限。而公有云資產管理成本降低,api獲取及配置資產故障恢復相對快速以及部分基礎設施風險可降低及轉移等特點,正好能夠匹配中小企業的需求。

    a81b1b7d-02d3-479a-bd4c-23c488634929.jpg不過,多數管理操作都要走公網,大部分公有云的賬戶審計功能較弱以及子賬戶及AK的訪問控制粒度不足,這些也是公有云在安全性上的弱勢。對于這些問題,企業需要有針對性的做好安全措施。

    企業安全俱樂部全議題PPT下載

    下載鏈接: https://pan.baidu.com/s/1G_PqZn6zQEGgJTLsPmj0wg 提取碼: knef

    發表評論

    已有 3 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看