3月22日,FreeBuf 企业安全俱乐部·北京站在北京希尔顿逸林酒店举行。本次大会以“重塑,让安全生产价值”为主题。
本次活动作为CIS 2022网络安全创新大会的延续篇,大会共设有四大安全论坛,以及与之对应的四大重磅圆桌。这是FreeBuf 2023年举办的首个大型行业交流活动,吸引了数百名网络安全从业者线下相聚;线上九大视频号同步直播,上万名观众“云参会”。
其中,安全验证与安全运营实践论坛在上午举办,航天开元技术专家杨海青,猎豹移动安全总监林鹏,知其安技术总监石天浩,自如安全负责人宋良杰,塞讯验证CTO王景普就安全验证与运营发表主题演讲,深入探讨安全验证和安全运营话题,在具体落地实践中,二者又该如何协同?安全验证该如何有效发现系统、网络或应用程序的安全漏洞,为安全运营赋能?数字化时代背景下的安全运营又该如何在不断变化的风险中突出重围等?
在安全运营中往往存在一种情况:既看不到威胁,也不知道自身存在何种风险,来自知其安的技术总监石天浩用“幸存者偏差”形象描述了这一甲方安全亟须关注的要点,而安全运营的核心在于对威胁的发现和感知。但在堆叠了大量安全设备与服务的情况下,效果及能力究竟如何?如何通过人员及团队来适配新时期
快速变更和迭代的安全需求?
石天浩认为,在银行等金融企业存在资产有脆弱性、安全防护体系也有脆弱性的情况下,需要对已部署的各类安全措施进行验证,要基于企业甲方视角,俯瞰攻防两端,全面审视安全防护能力。而以包括安全防护框架、安全运维框架、安全验证框架、安全度量框架在内的安全运营框架,能够从发现和搜集威胁情报、规则筛选及处置、安全度量及评估来形成有效的防御体系。石天浩提出,要以持续验证、定位失效、量化防御、精准提升为目标,来实现安全验证的有效性。
无论是监管需求、管理需求还是日常工作,资产合规管理视角下的安全运营都有充分实践的必要性。航天开元技术专家杨海青认为,具体实践要从建设、监管及运维三方面入手,并通过网络安全应急响应中心、信息资产测绘与管理平台、网络安全态势感知平台、网络安全威胁情报平台,形成“一中心三平台”的支撑手段。
至于具体的合规资产管理平台包含哪些要素?杨海青通过一张拓扑图,按照平台层、数据层、应用层三个层级进行了细致化分析拆解,通过这一体系,可以集合合规资产管理、安全服务(等保测评检查、安全建设验收、安全攻防演练、安全日常巡检)、安全培训等能力,并实现从合规管理运营到业务安全运营的过渡。通过安全服务向安全产业转化,实现安全运营的价值增长。
到底什么是安全运营?猎豹移动安全总监林鹏认为,所有与安全建设相关的内容都可以叫安全运营,其目的就是要从羊群中找到披着羊皮的狼。
要如何做好安全运营?林鹏形象地认为需要“耐得住寂寞并追求极致”,比如要从海量的日志中进行分析、对资产边界进行梳理。通过对勒索软件和钓鱼邮件进行举例,发现一些高端的攻击往往都是运用朴素的技术。林鹏认为,覆盖率、有效率、误报率,能够实现安全运营有效性的三大指标,并结合技术和非技术运营、对内和对外运营四个角度,不断丰富个人对安全运营的理解和实践。
安全运营为什么需要数字化?自如安全负责人宋良杰认为,过去重复性、协同效率低、过程无记录、价值难呈现、标准不统一等弊病,随着数字化运营从在线文档、工具化、平台化、智能化的演进,都能够得到有效解决。通过融合+服务+促进的实现方式,从基础依赖层、数据层、平台应用层、运营层四个层次构建安全运营数字化框架。
宋良杰例举了安全运营数字化的五大实践:SDL平台、数据安全平台、业务风控平台、合规平台、应用权限控制,得出六大建设总结:只有最合适的手段,没有高低之分;先做数据沉淀,再做业务决策支撑;多团队共性的痛点大于安全内部的;不要为了偶发的需求过度数字化;充分利用现有的系统做融合;智能化需要充分评估ROI。
APT攻击的危害不言而喻,无论是从早年间震惊世界的“震网”,到近来俄乌战争中被频繁针对的核心工业系统等设施,APT攻击潜伏时间长、破坏力大等特点得到了充分展现,同时,国家层面也越发重视APT攻击,开始提高对APT等网络攻击行为的入侵防范能力。
实战需要练兵,练兵需要模拟实战,塞讯验证CTO王景普在议题中提到,目前针对APT攻击的场景模拟存在一些难处:现有验证手段只有APT的片断且有不足;网安人才缺乏,影响防守方的安全运营能力。但塞讯验证以APT攻击手法为主模拟攻击库,通过「安全验证大脑+AI攻防机器人」架构,进行「傻瓜式」安全验证,无需构建靶机、不引入新风险。王景普指出,塞讯注重各种攻击手法的模拟,而非只关注漏洞利用式的点对点攻击,通过覆盖各个安全维度,实现全方位安全有效性验证。
在「企业安全运营实践的“功”与“坑”」主题圆桌讨论环节,通过杨海青的主持与引导,嘉宾林鹏、石天浩、宋良杰就如何体现安全运营价值、促进与产品联动、何加强精细化运营解决具体痛点等话题展开了讨论,并同大家分享了安全运营容易踩进去的坑。同时,对安全运营接下来的发展趋向做了探讨与预测。
FreeBuf是国内关注度最高的网络安全行业门户,同时也是爱好者们交流、分享技术的最佳平台。FreeBuf企业安全俱乐部致力于为企业信息安全体系建设,企业信息安全管理提供交流平台。通过FreeBuf线上媒体平台、FreeBuf企业精品公开课、FreeBuf企业安全俱乐部品牌沙龙、培训会等形式,推动信息安全生态圈建设。