CIS 2020首席信息安全官（CSO）闭门峰会，TED模式思维碰撞 – 作者:Adalynn

12月29日下午，「首席信息安全官（CSO）闭门高峰论坛」在CIS 2020大会期间成功举办，六位业内大咖采用TED模式，以幽默的“CSO拒绝背锅”为引，为参会者们带来了在CSO领域极具价值意义的思维碰撞和灵感迸发。现场气氛活跃，座无虚席。

随着企业信息化建设、应用的不断深入，企业对信息技术的依赖性越来越强，随之而来的信息安全也越来越受到重视，在如今层出不穷的信息安全负面新闻下，企业首席信息安全官（CSO）们不得不面临来自CEO等公司高层的压力，很多时候被迫“背锅”。一开场，来自安全419 媒体的创始人兼主持人张毅便以漫画的形式风趣地抛出了这个“背锅”形象，现场氛围立刻被带动。

主持人张毅

而如何减少背锅，更好地建设企业信息安全呢？某上市公司信息安全负责人孙琦先生作为第一位演讲人，带来了他对企业安全指数的构建分享，他认为，该指数通过量化企业经营活动中的信息安全需求及企业信息安全能力，可真实反映企业经营活动与信息安全活动相互作用的状态，以支撑集团业务高速发展。

随后，他从信息安全指数的业务属性、能力属性、真实效果三个方面，辅以真实生动的案例展开了说明。最后他总结了以下四点：

1.商业需求决定了信息安全活动的决策；

2.要用业务方、CXO们听得懂的方式进行交流，如信息安全指数；

3.企业容易忽略安全管理不善的成本，如数据泄露，系统被攻击造成的业务中断等；

4.企业信息安全能力需要因地制宜的逐步培养。

随着时代发展， “95后”的年轻人逐渐成为数字服务或应用的主流用户，他们对于数字产品也有较高的要求。F5大中华区首席技术官吴静涛先生结合自己的工作内容，为我们带来了“感知可控，随需而变的应用”主题分享，阐述了一种基于AI驱动的数字产品网络安全防护方式。他指出，32%的年轻用户们在一次糟糕的应用使用经历后，将停止与自己喜欢的品牌开展业务，例如应用被网络攻击导致打不开界面，用户将直接再不使用该应用。

为避免该现状，他提出在多云多活环境中，可通过主动拔测来提升关键应用API访问的可视化程度，并通过AI的根因分析来发现问题根源，实现攻瘫前的智能预警，让企业在应用信息安全出现异常时能拥有更多的反应和处理时间。

另外，还可以利用天网+地网+AI的攻防架构，利用公有云的VPC技术，低成本构建私有化CDN与AWAF防护平台，在投入成本和运营成本都很低的条件下，能够实现弹性与定制的防护体系。

提到互联网用户，就不得不让人联想起用户信息的安全问题。近年民航乘客信息泄露的案件备受大众关注，马勇先生作为中国民航第二研究所技术部总助，为我们展示了一种基于流量的敏感数据异常访问行为识别方法，可帮助民航单位维护旅客信息等核心数据的安全。

通过分析航空乘客信息可能泄露的七大主要渠道，他提出涉事民航单位除了采用数据加密等保护措施外，还应加强数据安全审计手段——这也是相关监管部门的要求。随后他详细介绍了应该如何集中对应用系统日志进行审计分析，即应结合民航实际情况，通过对网络流量进行分析、处理，来实现对多个应用系统敏感数据使用的集中审计，从而提高民航各单位的数据安全管理能力。

他认为，通过对网络流量进行采集、解析，可识别网络流量中敏感信息，再采用机器学习如K-means算法对敏感信息的访问行为进行自动分类，就能甄别出针对敏感数据的恶意访问行为，进而最终降低敏感数据泄露的风险。

每个企业都有各自不同业务属性，也会面临不同的漏洞攻击。针对漏洞，要做好企业安全运营，关注点应放在“与业务结合的长效运营”“运营效率的提升与成本的持续下降”这些方面。斗象科技安全服务总监曾裕智先生从攻防演练常态化的背景出发，提出企业应与业务结合，构建以漏洞情报为核心的漏洞生命周期管理体系。

他认为，从漏洞信息到漏洞情报，是从信息提炼为知识过程。信息仅对一部分人产生价值，而提炼后的知识更加通用、更有价值，能够指导相关人士(如CSO们)做出更好的决策。在该体系中，他围绕资产、风险、响应三大板块，企业应：

1.时刻保持情报感知，了解爆发的0day新漏洞以及同行业被利用的Nday漏洞情报；

2.自动检测受影响资产，自动匹配关联漏洞；

3.回溯漏洞是否已经被利用；

4.施行“漏洞补救、自动化复测验证、持续监控”的有效闭环。

企业不仅要应对外部的各种漏洞攻击，还要面对自身的安全人员管理效率问题，而随着黑客攻击手段的复杂化和多样化，传统聚焦于边界安全防护的安全架构日渐式微。企业如何从投入产出、效率影响、防护能力、安全人员四个角度，综合提升自己的安全能力？来自完美世界的资深安全总监何艺为大家带来了他的思路和历程：“一体化的安全架构之路”。

该架构从上至下，包含安全制度、流程、安全运营、安全平台的设计，能让安全人员减少重复工作、做有价值的事、实现个人知识转化与共同成长。安全制度靠流程落地，流程依靠技术平台进行自动执行和监控，而制度、流程、技术平台，均依靠人员来运营和维护，并进行优化迭代。他表示，需要将安全构架作为整体进行通盘考虑和规划，在人员、制度、流程、技术之间，应相互支撑、相互连接、相互写作、相互通信。

众所周知，银行等金融行业对于安全的要求极高。网商银行信息安全负责人张欧先生认为，首席信息安全官应站在公司合伙人的角度兼顾业务效率与安全做出决策，数字银行的安全就是要达成高效率和零风险的双重目标，在保持高效率的同时做到安全风险无限趋近于零。因此，面对上述数字银行“零风险+高效率”的矛盾要求，他提出了一种解决思路，即“基于安全切面实现银行级默认安全”。

他强调，默认安全可高效规避新增安全风险，任何代码/网络/主机/人员的变化必须过安全管控，任何新增实体都需默认覆盖基线安全防御措施；而由于安全切面（AOS）具有业务透视、逻辑解耦、精确管控的特点，可以给予安全切面的思路实现银行级默认安全，在保障业务高速演进的同时，不仅支持业务透视以完成全方位安全治理工作，还能在应用内部独立高效精确地直接检测和阻断各种复杂攻击。

从企业安全架构体系搭建到安全能力衡量指数，从漏洞管理体系建设到流量异常监控识别具体方法，六位大咖分别从宏观和微观角度，结合自身工作实践，一边自我调侃“背锅“现象，一边真诚地分享了满满的行业干货和深度思考，让每一位听众在轻松愉快的氛围中，经历了一场受益匪浅的美妙体验。

此外，议题PPT也会在后续根据嘉宾意见，陆续分享给大家。

来源：freebuf.com 2020-12-31 15:18:48 by: Adalynn