freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

大厂的安全之道,Insec World CSO论坛精华回顾
2019-10-22 14:50:18

2019年10月22日,在网络安全的领域中成都又多了一个新的标签,INSEC WORLD 成都·世界信息安全大会隆重开幕。举办方Informa Markets成功举办过Black Hat这种顶级安全会议,也让这次INSEC WORLD吸引了中国安全届的大咖出席。

同一天里,听到谭晓生两次提到CSO这个职位,“酸甜苦辣”、“表面光鲜,实则很辛苦”之类的评价,这其中包含着自己作为CSO经历的感慨,一个企业的CSO确实不是那么容易的,但这依然是一个成熟的安全企业不可或缺的重要角色。正如CSO论坛主持人金湘宇(Sec-UN网站创始人,威胁情报推进联盟发起人)所言,未来的安全产业一定会逐渐重视我们甲方的声音,重视我们CSO的声音。

在当天下午CSO论坛,几位业内CSO以及安全负责人亲自上阵,传授大厂的安全之道。更有意思的是,在圆桌论坛环节,谭晓生还试图引出那些不会出现在PPT上的秘密。

CSO开场致辞:CSO的价值及必备素质

聂君——奇安信集团CSO网络安全部总经理

作为CSO论坛的出品人,聂君在开场致辞中透露,目前真的有CSO文化的企业并不是很多,更多的还是叫安全负责人。但在未来五到十年内,一些大型企业会逐渐出现CSO这样的职位。不同规模的企业,如何去选择合适的安全策略或者解决方案,这需要企业安全负责人能以最低的成本消除这种信息不对称,选择当下最优解决方案,这是CSO存在的价值。

GZZ_1823.jpg奇安信集团CSO网络安全部总经理 聂君

另一方面从安全负责人进化到企业CSO,需要能够讲清楚安全的价值以及你这个CSO的价值在哪里。这其中最难的是要了解老板的想法,按照老板的视角想问题。从业务和IT的角度看安全,这是成为企业CSO必备的视野和技能。

议题一:企业安全中台建设探索

陈建——平安集团首席信息安全官

中台的概念是企业整个技术发展到一定阶段后,为了提升整个集团的数据运营的能力,或者集中产品优势而选择的一个很好的方式,包含了技术中台、数据中台、业务中台。

对于电商企业或互联网企业来说,往往存在一些共性,通过业务逻辑的解耦,把共享服务体系集中化,通过中台能力的聚合,让企业不用重复造炉子,从而降低业务发展或是重建带来的成本。

平安集团首席信息安全官陈建.jpg

平安集团首席信息安全官 陈建

那么,中台跟安全有什么问题?陈建认为,首先,安全本身就是技术的一类,其次,就平台集团来说,中台化的方式更适合企业安全的治理方式。安全技术、安全运营、安全管理、安全治理,都可以做中台式规划。

以平安集团为例,在40万内部员工、30多个一级子公司的超大规模下,集团做什么,专业公司做什么,分工怎么定?平安集团划分了两层:日常所有集团的安全要求,治理要求的落实和贯彻、业务场景里的安全实践等需要一线去实施的部分,称为前台,也就是第一道防线;做好整个平台化的建设,在集团层面上则称为中后台,也是安全第二大或第三大防线。

简单来说,就是把企业的技术栈统一、标准规划化做好,然后统一来建设。在这样的基础上,再去关注自己的业务场景,将特定的业务场景和统一的技术能力相结合,既能有效做到安全治理又不会在基础建设上浪费资源和成本,这就是安全中台。

议题二:全面风险治理

张作裕——钉钉CRO

“从在美国不给黑人吃西瓜,到业务总裁需要什么安全?”这两个看似风马牛不相及的问题在张作裕看来有着同一个答案:认知不同。在美国给黑人吃西瓜是种族歧视,这与国人的认知完全不同。而CSO不懂业务总裁需要什么安全,则是因为两者站在不同角度,自然对于安全的认知有所差异。

钉钉CRO张作裕.jpg

钉钉CRO 张作裕

张作裕认为,或许不是老板不懂安全,而是CSO不够懂业务。对于公司内部来说,安全要怎么做,要做什么,都需要跟业务对齐,确定后再去思考依靠现有的能力可以做什么,也就是全面风险治理:

1、步子迈多大

要知道步子迈多大,首先就是做好评估。譬如固有风险、防控手段、覆盖度、治理投入等维度的事前评估。其次是做好业务分析,研判业务的核心要素、产品最核心风险。

2、路能走多远

如果步子很大,一步就能到位。但是为什么现在安全有这么多问题?第一个是业务不需要,第二个是总裁不理解,第三个是大家没有危机意识。总体来说,核心的问题在于安全预算。因此,明确建立安全团队对业务有什么帮助,通过业务排序和风险排序确定安全优先级,才能拿到更多的预算。此外,大胆选用第三方产品也是一个不错的选择。

议题三:互联网银行安全建设实践

吴飞飞——蚂蚁金服/网商银行高级安全专家

“只要没有人搞你,其实很难去发现你是做的真好还是假好。”

蚂蚁金服高级安全专家止介.jpg

蚂蚁金服/网商银行高级安全专家 吴飞飞

吴飞飞就自己的从业经历,分享了一些安全理念:

1、以攻促防:关注真正有风险的漏洞,把时间花在急迫需要我们解决的漏洞上面,快速响应这些风险,而不是花费大量时间在被动解决层出不穷的日常漏洞上。

2、红蓝对抗:没有人攻击你,你永远不知道安全防护有没有真的做好。因此,红蓝军演练是个很好的选择。

3、确定一个安全基准,然后只要时间足够长,安全团队足够正常的情况下,安全水位一定是能够慢慢上来的。

4、安全招聘现状:薪资非常高甚至高于研发,但整体从业者水平良莠不齐。

5、重视圈子文化,消息传播特别快、信息共享能力强。

6、纵深防御:将恶意抵挡在外是最终目的,但并不是把所有产品都用上就能实现。在纵深防御的链路中,存在很多不被关注的点,只有把该守好的口子守住了才能达到整体的效果。

议题四:大型互联网企业的数据安全攻与防

钱业斐——滴滴出行数据安全负责人

“安全、体验、便利从来不都冲突,三者可以并存。”

钱业斐主要分享了数据向的攻防,尤其是企业内部员工、合作方的数据如何确保不会被违规泄露。因为数据安全和信息安全不一样,后者面临的的攻击特征非常强烈,但是数据的传输往往基于日常业务需求,频次高、更日常,很难察觉异常。

因此,保障数据安全首先要做的就是风险识别,通过数据感知哪里有风险再进行风险处置,而整体的数据安全的搭建则离不开框架完整性、重视能力建设和解决方案落地,除了这3点,运营是核心抓手,指标是价值评价。

钱业斐 ,滴滴.jpg

滴滴出行数据安全负责人 钱业斐

最后,钱业斐总结:

习惯性用数据驱动,不要用感性认识评定该如何做。

重视内部员工的数据安全行为,他造成的损失大于外部威胁。

IT建设会影响数据安全和效率。当数据质量比较高,可以使用全自动化。

数据安全人才的建立是漫长的过程,但依然要培养。

议题五:可信数字身份构筑企业信息安全

谭翔——上海派拉软件股份有限公司总经理

随着5G和物联网的出现,安全问题可能会延伸到设备上去,带来去边界化问题和动态访问。从而变成人在哪里数据就在哪里,数据的安全访问也会变得越来越重要。

与此同时,企业数据不仅包含业务数据,还有个人数据。其中,员工、客户、供应商的信息都是非常重要的数据资产,但这些数据资产又面临内部和外部的各种威,成为企业头疼的问题。而谭翔提出的用零信任架构的思想构建可信数字身份的治理平台,给出了新的思路。

上海派拉软件股份有限公司总经理谭翔.jpg

上海派拉软件股份有限公司总经理 谭翔

在可信数字身份的治理平台中,用户包括了员工、供应商和客户,而计算机等设备被默认为不可信。因此,在零信任的情况下往往需要先验证再建立连接,也就是先验证身份,其中涵盖了认证与授权、访问策略,设备清单、用户库和登录等内容,做到安全访问。

整个身份管理体系里面,在管理身份,数字化转型方面则通过自动化操作身份鉴别、授权、身份应用接入;数字化的构建能力,搭建用户中台,做好用户的身份管理。

圆桌讨论:CSO辩安全

主持人:谭晓生

嘉宾:金湘宇、陈建、张作裕、吴飞飞、钱业斐

所有嘉宾议题环节结束,最后的圆桌论坛环节,谭晓生率先抛出关于合规性的问题,近些年密集出台的网络安全领域法律法规以及攻防演练活动,对企业的业务是否会有一定的影响。

金湘宇以密码法为例,他认为密码法的出台肯定有政治背景,在2010年之前就有电子商务部他们提出整个密码化的要求,此后保险行业还有证监系统开始要求密码国产化应用。对于企业而言,肯定是有一定的挑战的。而在蚂蚁金服,吴飞飞表示,作为一个强监管的公司,有专门的部门做标准化,还有一个部门专门做密码。金湘宇、陈建纷纷认同,在合规性以及标准化上,阿里系的公司属于先驱。

结合上午主论坛的一个议题,谭晓生又丢出职业目标上的问题思考。CSO要从幕后走到董事会,如果是0到5分,现在走了几分?

钱业斐表示,对于互联网企业来说,安全要求很高,只有得到业务高度认可,可能我们才能走得更近。究竟打几分,没有数据驱动没有数据感知,我打这个东西没有用。

对于这个问题似乎有些敏感,各位大佬似乎有点拘束。张作裕称,对于像阿里孵化下面的创业型公司来讲,重要的不是说进董事会,而是像合伙人一样的在这个团队里面做事情。而且阿里架构复杂,很多时候有部分工作会有重复建设。如果从业务角度来看,他认为自己应该可以打3分,至少是合伙人的角色。

而对于平安集团而言,集团董事会也没有几个人,想进去就差太远了;倒是单论平安科技的话,那可能就是一步之遥。公司治理角度来说,CIT、CIO都不是董事会,你CSO怎么进去。这个还是企业对科技的重视度和他的认同。

当最后谈到零信任安全的理念,在座的嘉宾几乎都一致的表示认可。钱业斐、吴飞飞都透露公司已经在往零信任的方向去做了,甚至有试图打造一个全层面体系化的零信任。

不过陈建认为,零信任从概念上来说并没有什么特别之处。安全本身就解决信任问题,因为你在安全很多边界内部是没有办法做到信任,所以零信任。内网管控也是很严的就是零信任,只是很多传统的企业,就是内网我觉得安全,所以说我没有管控,所以带来零信任架构的提法。在他看来,这个架构理念本来就是安全应该朝的方向。

结语

这场CSO论坛全场人满为患,有谭晓生、金湘宇、聂君等大佬撑场也是质量的保证,从整体议题内容上来看,也都是当下诸多企业会面临困惑的问题,或是企业安全建设,或是数据保护,亦或身份认证等等,还目睹一场精彩的圆桌话题讨论。从企业安全负责人到CSO,也许是头衔几个字的差别,但可能需要安全理念上的颠覆,需要有更好的大局观以及业务考量,不局限于技术层面,每一位到场的观众或许也在考虑,自己到安全负责人、CSO甚至是进入董事会,到底走了几分……

*本文作者:kirazhou、shidongqi,转载请注明来自FreeBuf.COM

# 安全建设 # CSO # insec world
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者