问

熊总您好，我们关注到您在乙方和甲方都有过任职经历，请问是什么样的契机让您最终选择在甲方长期发展呢？

答

我们知道信息安全是服务于业务，对其进行保驾护航。过去在乙方安全工作，受限于厂商所属的安全细分赛道，往往和甲方深入沟通业务场景安全方案时，会存在一定的无力感，比如业务系统之间的时序调度关系，不同业务间的耦合联系。

随着安全技术方案沟通的越来越多，逐渐让我对甲方如何体系化设计出一套深入贴切业务的综合安全解决方案、如何开展安全落地实践工作、安全性与业务发展之间如何取舍平衡产生了浓厚的兴趣，再加上某种机缘巧合，让我最终选择进入甲方从事安全工作。

问

请您介绍一下AKULAKU和信息安全团队主要职责及承担的工作模块。

答

AKULAKU是一家高速发展的出海型金融企业，在印度尼西亚、菲律宾、越南、马来西亚和欧洲都有业务。AKULAKU通过电商、消费金融、数字银行、线上投资和保险经纪服务，帮助满足新兴市场中被服务不足的客户的日常金融需求。

信息安全部门主要负责承担建设与维护AKULAKU集团“云”、“网络”、“终端”等基础架构安全和“账户”、“营销活动”、“交易安全”等业务安全。承担日常安全运营、安全管理、业务安全、应用安全、红蓝对抗、数据安全和安全产品开发工作。

问

作为AKULAKU的信息安全总监，您如何进行信息安全工作规划，以确保公司在面对网络攻击和数据泄露等安全事件时能够坦然应对？请您从“安全策略、风险识别、安全防御、安全检测安全响应、安全恢复”等阶段分别谈谈。

答

信息安全工作规划首先需要向上和公司的战略发展目标积极对齐，比如：支撑公司新的商业动作方面，是否存在新的APP产品规划？基础架构上是否考虑启用新的云和本地IT网络？产品定位的目标用户是否存在KYB/KYC需求？

其次还需要进行周边资源(其他兄弟部门资源、人力和资金的成本投入)匹配，得出安全具体工作规划和优先级。

安全攻击是个持续对抗过程，应对方面还是需要提前了解业务场景功能，评估安全暴露面及风险，及时收敛相关安全风险漏洞，日常多积极开展自身网络安全评估，及时了解自身安全所处水位，不断优化安全防护策略。

问

熊总曾负责过上千人规模的互联网金融公司出海走向国际化进程中的整体安全建设，也参与过具有上万人规模的金融公司应用安全从零开始建设。请您谈谈金融行业在进行信息安全建设过程中会面临哪些行业痛点？市场上普遍是如何解决的？

答

在金融类公司数据是核心资产之一，保证数据安全、防止数据泄露一直都是最高的安全需求，随着越来越多的数据流动，例如内部员工数据访问、合作商的数据交流、公开的API接口等等，数据在流动的过程中，基于数据本身的可复制性、易传播性，带来了巨大数据泄露风险，如何确保数据流动的安全，防止数据泄露，是当前安全建设中面临的主要行业痛点。

防止数据泄露是贯穿在整个企业安全建设的生命周期，不能存在任何一个环节的疏忽，市场上没有一套大而全的安全解决方案，企业需要基于自身的安全需求侧重点来选择不同的产品，办公网防泄露可以选择DLP、零信任、反病毒、数据水印，合规类选择数据安全风险评估系统、数据审计系统、数据态势感知等。

问

请问AKULAKU是如何应用和推进SDLC建设的？在SDLC过程中有什么比较好用的工具与产品推荐吗？我们当前的应用场景是怎么样的呢？

答

传统SDLC的完整落地，对应用安全工程师有着较高的技术要求，需要有一定的安全架构能力，同时需要管控好应用发版流程，前置参与软件开发需求之中，Akulaku应用安全总体从以下几处着手：

1、搭建安全工具链；

2、融入发版流程；

3、规范应用安全制度。

首先围绕DevSecOps相关工具链搭建安全自动化测试工具。

在白盒安全扫描能力建设方面，搭建了SAST检测源代码安全漏洞，SCA工具检测存在漏洞的第三方开源组件，IDE安全编码插件帮助在编写代码时实时检测源代码和组件漏洞。

在黑盒测试扫描能力建设方面，使用流量镜像方式搭建了被动扫描系统针对接口进行安全扫描。

在灰盒测试能力建设方面，搭建了IAST，通过部署Agent监控不信任的输入数据流转过程来分析漏洞。

其次安全工程师全程跟进需求上线，包括安全评审、人工渗透测试、漏洞修复跟进、上线审核等，保障应用上线安全。

最后通过制定多个应用安全制度规范来保障应用上线的安全，规范应用上线的安全要求，包括漏洞修复管理规范、应用上线安全管理规范等。

问

IAST是一种在应用程序运行时进行安全测试的方法，对于保障金融应用程序的安全性和稳定性非常有效。AKULAKU是否采用了IAST相关工具以提升效率，在实践中是否取得了成果？请您谈谈在金融行业中使用IAST的优势和挑战是什么？

答

IAST是近几年应用安全领域广泛采用的一种新的自动化安全检测技术，主要通过动态污点跟踪技术，追踪参数的传递过程来分析漏洞，具有准确率高、误报率低等优点。

Akulaku目前在测试环境的java应用中部署广泛，辅助安全漏洞自主发掘技术手段，提升安全漏洞综合检出能力。IAST有着安装方便，也不会产生脏数据影响正常的测试的优点，而且在sql注入、任意文件下载、xxe等传统应用漏洞方面效果很好，但也存在业务权限类漏洞检测误报率较高、漏报等问题。

由于IAST底层采用字节码插桩原理，对漏洞代码的定位、漏洞的确认存在一定的技术门槛，对安全工程师的技术能力要求较高。

问

我们了解到您的新书《企业信息安全落地实践指南》即将出版发行，请您跟大家简单介绍这本书的主要内容和您写书的初衷。

答

此书如书名所言，主要是针对企业信息安全技术和管理落地建设过程的一些分享，全书可以说是比较综合而全面的论述互联网公司是如何从0到1进行信息安全建设的，书中的各章节探讨了不同团队的工作职责及方法论，从安全运营，数据与隐私安全，应用安全，业务安全，红蓝对抗，信息安全管理体系6个层面进行互联网企业信息安全建设实践的分享，意在为中小型企业信息安全建设提供一些有益探索与启发。

这也是我的第一本书，还很青涩，希望通过我们有限的知识分享、付出的微弱努力，能够给更多尚处在迷茫探索中的安全同路人有更多的方案参考选择。

问

您认为本书最大的亮点是什么？对读者朋友们会带来哪些帮助呢？

答

首先帮助大家梳理出一家企业，信息安全团队从0到1过程中的各个阶段目标任务，帮助大家清晰的认识到企业现阶段安全发展处于哪个阶段。

其次比较系统的介绍了安全运营、应用安全、数据安全、红蓝对抗及业务安全在甲方的具体工作职责和内容，并结合一些具体实践案例，帮助读者有更好的理解。

最后，这本书我想最大的亮点是全文内容没有任何过多的概念性堆砌介绍，全文都是偏实战性的实践指南。

问

我们了解到您曾经在看雪担任Web版块论坛版主，看雪是一个非常优秀的技术论坛。火线Zone安全社区上也聚集了非常多的白帽安全专家、攻防技术爱好者，有许多专家为火线Zone投稿了很多优质的攻防技术内容， 作为一名资深的安全前辈，请您给新入行的后辈们一些个人发展建议。

答

首先信息安全会涉及到众多的技术和概念，基础知识是必不可少的部分，需要熟悉网络、操作系统，并掌握一门主流的编程语言，然后保持学习，时刻关注新的安全技术和工具，可通过阅读博客，参加论坛、培训来提升个人能力。

另外安全也是实践性很强的一个领域，需要将学习到知识实际应用的真实场景内，如渗透测试、漏洞挖掘，并加以理解和提升技能。

往期推荐