12月18日,由贝壳找房主办的 ICS安全技术峰会将在北京海航万豪酒店举办。本次会议将围绕“产业互联、安全破局”主题展开,针对产业融合背景下安全变革新形势,围绕产业互联网安全落地建设经验、AIOT技术、基础安全建设、攻防对抗、智能风控等方面,共同探讨安全的发展方向及前沿技术应用实践。
在此,FreeBuf将联合贝壳SRC对此次大会进行图文直播,为各位Buffer们带来第一线的现场资讯,随时了解安全行业的新兴技术和安全实践。
—— ——以下为图文直播正文部分,将置顶最新内容—— ——
议题七:
字节跳动安全工程师李智—《安全风控之客户端技术实践分享》
风控技术客户端安全能力和素养,首先要掌握开发的基础能力。其次,要对一些操作系统的底子做一些调研能力,而且要理解黑客的攻击原理,这样也是属于我们在攻击调研的时候一种属于黑科技的良缘。其次是手法出其不意,只有心智不正常的开发,才有可能对抗心智正常黑客。如果你的套路过于传统,基本上黑客能猜出你的方法,剩下的事情就很简单。
实现方面主要是风险意识、监测发现、项目整改、持续优化。产品合规是怎样理解?合规是一个产品需要满足国家的监管、公司级的监管,还有对一些历史事故有一定的了解,避免同样的事情犯同样的错误。在实现的时候,还要反复的进行整改、优化,要有一些监测的机制。
议题六:
京东基础安全架构师李宝—《DevSecOps的落地实践及思考》
京东通过流程管控、技术设施、人员组织、评价体系四个方面去贯穿整个安全开发生命周期。需求阶段对安全因素进行评审,认证、加密、传输的安全会在需求阶段纳入到版本迭代的考虑中,提供加固的SDK或者是为业务更好提供服务的安全软件,在编码阶段去引入更安全、更便捷的组件。测试阶段,提供渗透、扫描,以及安全评估的服务。内部在做DevSecOps的平台,通过流水线自动化去构建和开发应用,把安全的因素前置到CI/CD环节以及研发过程当中。
议题五:
长亭科技首席安全研究员及联合创始人杨坤—《攻防演练中的攻击战术演进与企业应对之道》
首先谈一谈攻,长亭红队在这么多年建设当中,主要的心得有三个方面:
第一个方面,建设一支在技术层面拥有多元化技术方向和挖掘能力的一支研究队伍。能够去找到主流的应用软件和国内的软件问题。
第二个方面,要有一支红队能持续的在一线去锻炼队伍,能持续的练习。作为红队需要能够了解各种企业网络架构和网络环境所涉及到的方方面面基础设施、网络、系统、应用。这个没有海量的经验很难,我们作为乙方天然有这个土壤,有大量和企业合作的机会去锻炼我们的队伍。
第三个方面,要有很强的工具能力,最近也开放了一个工具xray,已经成为红队的标配工具,在这三个方面我们在演练成果和安全方面取得了很好的成绩。
在防守方面,长亭做出了这样一套模型,我们叫企业安全攻防能力成熟度模型。这一套模型着眼于企业安全建设的过程管理高弹性、可扩展、可度量,这一套模型主要是参考了这四个标准,WPDRRC、ATTCK、ASA2.0、CMM,拆成七大能力模块。基础的是中间四项:攻击预防能力、防御加固能力、事件检测能力、事件响应能力。外围是运营能力、反制能力、共联分析能力。这两年国家的攻防演练中帮助企业做布防的时候,可以使用雷达图很定量清晰的显示出企业的攻防能力变化。
议题四:
小米信息安全与隐私部负责人王书魁—《小米 AIoT 安全思考与实践》
安全体系不断的在做升级,在技术层面持续地进化,同时还在逐步建设安全品牌,以及也在搞社区,和整个互联网和整个产业一起共建安全生态。当数量和品类逐渐增多的时候,我们很难真正做得过来。接下来就进入到下个阶段,把安全的技术架构做专业化的持续建设,下面底层打好基础,上面通过做更多的事情,让用户真正认可我们安全。我们做品牌化,是希望能够去靠近简单可执行的目标,专业化相当于能够真正让监管也认可我们。紧接着到了AIoT安全体系4.0,安全逐渐的变成一个生态,其实它一开始是个生态,希望以最佳的实践和规范的标准,包括SDK工具等方式,一起去打造更加标准化的体系,能够输出给内部的团队,也能够输出外部的公司,甚至还能够输出整个的产业和整个生态。
圆桌会议
圆桌会议围绕着产业互联网安全建设的挑战与机遇展开讨论,嘉宾有数世咨询创始人李少鹏、中国产业互联网联盟秘书长雷晓斌、清华大学网络与信息安全实验室主任段海新、腾讯安全副总裁方斌、贝壳找房安全和风险中心负责人吴玉洁。嘉宾们认为作为各个行业的头部企业有责任和义务去推动做好技术层面的安全。另外,做好社会层面的安全,关注时代涉及到民生的这些数据,保障新一代信息技术变得更安全,这也是我们要考虑的。而且在这样大的发展趋势之下,头部企业也可以去引领这些行业和特色领域的相关标准。
议题三:
贝壳找房平台安全负责人 章华鹏 —《从过去看未来,贝壳产业互联网安全建设思考和实践》
早期整个互联网的风险聚焦在一些比较单一,而且利益关系比较简单的方式当中。到了2010和2020年,网络攻击的利益驱动也非常地明显,出现了非常多的通过入侵挖矿、勒索病毒来获取利益。随着互联网的技术、IOT的技术渗透到产业链上下游的方方面面,很有可能攻击的行为会变成通过IOT发起的攻击,或者说是以商业为目标的攻击。
从企业安全建设面临的对手来做一些分析,最早面临的黑客以炫技为目的,或者是一些作坊式黑产的方式。再到过去十年发展的过程中,看到整个行业基本上形成了非常明确的产业链上下游分工合作方式,在未来,黑灰产会利用大数据、AI和互联网企业做一些对抗。
从监管侧来看,早期的时候更多是国家的等保相关基本的法律要求,再到过去十年整个互联网高速发展的过程中出现了一些问题,比如说个人信息的泄露、电信诈骗等等黑灰色产业,影响到了人们生活的方方面面。所以其实国家在这一方面的立法和一些标准的出台,以后一定有一个完善的司法体系的互联网环境,而且整个监管的体系也会越来越完善。
我们要把安全的能力前置,前置到整个基础架构里面。安全可能会成为任何一个产品、软件、服务以及云原生的基础架构的标配能力。
议题二:
腾讯应用运维安全总监 胡珀—《产业互联网安全,我们只是在探索》
腾讯在产业互联网的第一个探索就是xSRC SaaS,微众银行是第一个客户,现在有十几家合作的企业。腾讯云也有产业互联网的一些探索,安全相关的,比如说DDos防护、HIDS、WAF,还有红蓝对抗、渗透测试,产业互联网当中一定会有大量的问题出现,黑客从线下搬到线上,互联网肯定就会出现问题,如果你不做好安全的话,大概就会被攻击,产业互联网安全的市场应该还是很有机会的。这样大家就可以理解为什么很多公司都开始做产业互联网了。腾讯正在做云原生安全,因为我们的过去跟过去不太一样了,过去几年是虚拟机,但是后来出现了Docker,但是后面还会有各种新的架构的变化。
腾讯做互联网安全一个是提高腾讯业务的发展,为腾讯业务保驾护航,第二,希望互联网的安全更安全,因为我们不能独善其身,如果互联网安全出现了问题,我们也会出问题。
议题一:
贝壳找房安全和风险中心负责人 吴玉洁 —《产业互联网信息安全的挑战与破局》
产业互联网信息安全有两大挑战,这两个挑战不同于传统的互联网。首先,产业早于互联网,线下信息安全早于线上数据安全问题。第二个安全挑战是业务复杂性增大了安全建设的难度,安全、风控和业务融合共生,刚才提到了业务和安全的融合问题,其实在很多问题上也很难说清楚它到底是安全问题还是风控问题,或者是一个内控安全。
整个贝壳的安全破局之路分成了四个阶段。第一个阶段是快速救火。第二是集约提效,主要解决的是整个公司的通用的安全技术能力如何去找到问题,然后解决问题。第三个阶段就是务赋能阶段,打基础的同时一定要向上探索业务的支撑。在未来,一定要把安全做成价值中心,并希望对这个行业,甚至这种社会做出一些能力支持的事情,这也算是贝壳找房未来的目标和梦想。
贝壳的安全观:第一就是信息安全是一个系统化工程,没有一招质敌的捷径。第二,信息安全体系化建设是一个量体裁衣的工作,风险可控是衡量依据。第三,产业互联网下,信息安全、风险控制和业务发展的天然融合是大势所趋。
致辞环节
首先,中国网络安全审查技术与认证中心原党委书记、研究员 王连印上台为峰会致辞。王连印为企业网络安全建设提出了几点建议。一是树立全民事业,把网络安全防护和风险和网络空间博弈、产业发展、社会公平正义紧密联系起来;二是承担社会责任,注重科技创新、选准发展方向;三是依法依规进行网络安全防护和管理;四是加强网络安全等级保护,关键信息基础设施及个人信息保护;五是加强数据安全,制定数据安全管理体制;六是科技创新,利用大数据和人工智能、区块链等新技术手段,解决网络安全问题。
工信部网络安全管理局副处长肖俊芳上台致辞表示,工业互联网、产业互联网、车联网、物联网等等一些新的业态也在不断地涌现,与此同时网络安全的风险也日益凸显。网络攻击、数据泄露等安全事件时有发生。网络产业不仅是安全企业,还有平台企业、互联网企业、信息技术企业,软硬件提供商、网络运营商等等,都将是网络安全产业的重要的参与者和贡献者。
贝壳找房 CTO 闫觅上台致辞表示,贝壳找房的安全团队主要是负责保护用户的数据,包括隐私,以及交易过程的一些安全,包括维护平台秩序,支持品质正循环的工作。未来贝壳也会持续地加强在安全方面的资源投资和优秀人才的招募,同时还是希望在座的各位加入我们的社区,加强技术交流与合作,能够共同地推动整个产业互联网、居住产业互联网安全的健康发展,祝本次峰会圆满成功。
完整议程
本届贝壳找房ICS安全技术峰会聚焦产业互联网、互联网企业安全建设趋势、前沿安全技术,邀请到政府相关单位领导,以及各企业安全负责人、国内知名专家学者,共同就产业互联网融合下的安全趋势、安全新挑战进行剖析,并针对AIoT、基础安全建设、红蓝对抗、智能风控等领域的安全技术展开分享,解锁安全技术应用新姿势。
此外,在圆桌讨论环节,我们邀请到了五位神秘重磅嘉宾,为大家带来产业互联网大形势下的企业安全变革与发展相关探讨,一起畅谈未来企业安全发展的新方向。
来源:freebuf.com 2020-12-17 19:32:48 by: FB客服
请登录后发表评论
注册