优秀安全负责人的方法论大揭秘 | INSEC WORLD CSO论坛 – 作者:Megannainai

寒潮南下，但蓉城依旧“高温”，不仅因为热气腾腾的火锅包围着这座城市，还因为一场“神秘”的安全大会正在这里如火如荼地进行。

2020年11月26日，第二届INSEC WORLD 成都·世界信息安全大会隆重开幕。举办方Informa Markets成功举办过Black Hat这种顶级安全会议，也曾在去年成功将INSEC WORLD引入成都并获得非常巨大的影响力。新一年中，网络安全行业的改变也悄然而至。顺势而为，我们需要新的头脑风暴，而在此次大会，一些令人疑惑的答案自然揭晓。

人，是网络安全的核心，即是问题制造方，亦是问题解决方。在护航企业网络安全过程中，首席安全官们（CSO）就是引领的那批人。CSO负责从治理、合规性和风险的角度对待应用的安全性，以最低的成本解决安全风险。

聂君曾提到：“不同规模的企业，如何去选择合适的安全策略或者解决方案，这需要企业安全负责人能以最低的成本消除这种信息不对称，选择当下最优解决方案，这是CSO存在的价值。”而今天的论坛主持人，华住集团的副总裁兼CSO王彬则认为，随着国家对信息安全的重视，各项信息安全措施陆续出台，信息安全成为了我们国家基础设施的重要部分，对于CSO本分的能力提出了更大的挑战。

华住集团的副总裁兼CSO王彬

随着企业对于CSO的需求凸显，新兴的安全负责人不断涌现。CSO该如何引领公司驶向安全轨道？且听业内专家分析——在今日下午的CSO论坛中，几位业内CSO以及安全负责人亲自上阵，传大厂安全之道，授实际操作之业，解洞察未来之惑。

行业大咖坐镇、思维火花碰撞，一顿安全行业的“饕餮大餐”就此诞生。

武鑫——奇安信

去年，奇安信集团董事长齐向东提出演变版“内生安全”，他表示，内生安全框架有三个重点，是把安全能力“理清楚”、“建起来”、“跑得赢”，目的是通过“新管理”，让网络安全体系具有动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控的能力。

基于内生安全可以建立更加夯实的应用安全能力。值得一提的是，人的脆弱性又是内生安全机制中的重要影响因子。所以在建设应用安全能力过程中，对于人的管理也是非常重要的方法论。

基于奇安信的实践经验总结，武鑫仔细介绍了从安全文化、检查清单、供应链安全、DevSecOps四个方面如何做应用安全能力支撑框架建设。

根据企业在安全建设时的痛点，奇安信的相关框架建设具体方法论可以作为参考：一是建立PSIRT组织，推动漏洞高校闭环，从流程上设计并完善组织架构；二是加强与研发的沟通，渗透安全理念，持续推进人员培养，提升白盒挖掘能力；三是打造SAST、DAST、IAST平台能力，建立工具链并完善，打通DevSecOps。

“打破公司墙，延续安全开发带来的自身安全能力到运营阶段，做好基础安全防护一定程度上能对抗0day。”武鑫提出了展望，同时针对这个憧憬，他也给出了几条实践建议：杜绝弱口令；严格管控ACL；拆分部署应用和控制台；及时更新打补丁；开启应用层面日志。

袁慧萍——中国人民银行处长

“做安全部门一把手，没有意见就是同意。”袁慧萍道出了许多企业安全负责人的现状。

这是一种巨大的责任，安全负责人如何担起这份重担？袁慧萍分享了满满的实用建议干货。

首先，是对法律责任主体角色的深刻意识：网络安全已经进入了法治化的快轨道，随着相关的法律法规不断出台，对于企业安全负责人来说，以前这份工作做不好可能被认为是能力问题，而现在的失误很可能就是违法问题。此外，行业的规范要求及规划，都是必须纳入思考的因素。

CSO事实上是多重角色兼具一身，包括规划师、建设者、评估师、管理员，有意思的是，CSO也是潜在的救火队及背锅侠。角色多样，压力巨大，安全负责人该如何进行更好地实战？

袁慧萍分享了具体的实战手册：她首先强调必须要做到，重新认识自己及敬畏对手，主要是需要了解企业的资产信息以及一些具体的安全环节、手段，同时，面临攻击，也需要反思自身，不断完善安全能力。

具体的安全建设管理方法包括：基于风险管理进行技术管控；弥补短板；基于实战的标准做企业年度安全检查；注重互联网攻防建设，建立从无到有的协同安全保障能力；建设可视化的互联网网络安全态势感知。“应该从安全运营、安全防护、安全基础设施三个方面提升自身的安全能力，建立新一代网络安全保障体系。”她总结道。

郭威——深圳证券交易所信息安全主管

CSO在大众的概念里或许更偏向于安全最高管理层，但在2017年的一个调查里显示，67%的世界500强CSO是处于主管或者是总监的级别。比如郭威也是在负责安全项目的同时，会参与攻防实战工作。

红蓝对抗就像一场足球赛，而郭威在演讲中分享了几个攻防演练过程中的溯源反制故事。其中一个案例就是攻击方的某队员通过官网找到了他们的技术交流群，并且对方在群里伪造成一个基金公司的员工，潜伏两天后才开始动作，在群里发了一条网络安全整改事项信息。收到信息后，防守方意识到问题不对，直接把对方踢了出去。但随后，郭威团队认为，这是一个反制机会。于是，他又把对方加了回来，通过进一步溯源和沟通信息确定了对方是攻击队成员，并且分析了对方当时链接里的信息。此外，还有钓鱼邮件、蜜罐反制等善用策略的手段。

不过，郭威也表示，溯源反制并不是针对所有攻击者都有效的，尤其是在域名完全隐藏、多个肉鸡跳转等隐藏手段非常复杂的场景下，溯源的难度会大大上升。那么，作为防守方可以做什么？那就是优化协作机制全流程，从属性分类、报告标题等细节上做到更好，并且加强与公安机关的衔接。

大型企业基础架构安全

王任飞——某云厂商蓝军负责人

大型企业安全建设之路基本是围绕着基础架构安全、应用安全、网络安全、安全运营这四个板块，基础架构安全是其中至关重要的一部分。“基础架构安全是土壤，应用安全是植被，业务安全是果实，安全运营是养护。”王任飞说。

近年来，业内都在谈内生安全，其最关键的点就是基础架构问题。如果基础架构做得很健壮很多安全的东西都不用考量了，王任飞将这一方法论评价为“通过架构的确定性来解决人的不确定性”。此外，架构做得很完整的同时，也会提高了攻击的成本，防御能力也可以大大提高。

既然，基础架构的安全建设有如此多好处，企业具体该如何实践？首先，需要了解目前面临的问题，当企业把整个基础架构的能力提升到一定的档次或者是做到业界相对靠前的过程的时候，一定会面临以下几个问题：现有基础设施改造成本高、基础技术能力弱、安全工程师架构能力弱、没有具体的可参考的安全架构。

针对这些问题，王任飞总结了“归一化、标准化、工具化、自动化、智能化”的十五字真言秘籍。他以一个业界的最佳实践为例总结道，在做基础架构安全时非需要有主体的架构思想，要对所有的架构做SOA化，不要把大型的系统变成OE1的方式，要把它变成微服务化。

不过，基础架构的做好就一定不会被攻击吗？答案是否定的，所以我们在做基础架构安全的时候要坚持推进持续改进。

可用安全——使用户成为安全的重要环节

邓永基——TUV Austria Cyber Security Lab Son Bid 亚太区总监

信息安全的考验随着数字化革命的演进日益严峻，各式安全防护的功能和手段不断推陈出新，在大家忙着理解和学习安全功能和技术的同时，有一个很关键的问题逐渐凸显：有些安全功能或技术虽精心设计，但是因未充分考虑到用户体验而导致新的威胁。如，一个账号登陆界面对于密码设置要求过去复杂，尽管在安全性上似乎更高，但是对于用户来说操作过于复杂，可能导致密码遗忘或者用户想办法跳过这个流程，从而形成新的安全风险。

邓永基表示，实际上，用户是安全链中最薄弱的环节。“如果安全特性是可用的，用户就更可能正确的使用它，从而提升整体的安全性。”他说，让信息安全功能更人性化，才能更好地发挥出它预期的功效。

接下来，他从数据和隐私安全的人因视角、可用安全、对软件开发者而言的可用安全、可用安全的设计原则，方法和样例四个方面介绍了从设计者或者是开发者的角度该如何做安全。“我们现在已经有23条原则，11个设计指南和47个设计范式。”邓永基说：“应该避免用户变成最薄弱的一环，可以让技术变成最薄弱的一环，这样对技术人员来说更容易克服。”

整场论坛中，大家一边不断举起手机拍照记笔记，一边认真聆听分享，专注的神情中透露着将大咖的干货收入囊中的期望。的确，整场议题，无论是安全意识，应用安全建设还是红蓝对抗等，都是目前企业安全负责人重点关注的问题。大家对于新的实践方案翘首以待，而这些来自大厂专家的干货分享则可以避免大量企业在未来的安全建设过程中走弯路。