随着我国信息化的可持续发展,信息安全逐渐成为企业发展的核心竞争力之一,在这样的背景下,CSO的价值和重要性持续上升,负责协调、处理公司内外的安全工作,制定安全策略,建设安全体系,为业务健康发展保驾护航。
和海外相比,我国CSO体系还处于起步阶段。那么,未来我国CSO体系将会如何发展,CSO的能力评价指标有哪些,具体岗位职责又有哪些变化等?基于此,CSO闭门论坛开展了热烈的分享和讨论。
作为CIS网络安全创新大会夏日版三大论坛之一,CSO闭门论坛邀请斗象科技资深产品专家景生光,平安银行资深安全专家侯济涛,某跨国创新生物医药公司全球信息安全官顾伟,F5资深解决方案顾问陈建森,雪松控股集团CIO/CDO李洋博士,斗象科技安全服务部总经理曾裕智发表主题演讲。
作为CSO闭门论坛的压轴环节,大咖圆桌以《刷新认知,回归CSO内驱增长力》为主题,诸位网络安全专家就CSO话题进行深入探讨。
以漏洞情报深化安全运营生态
斗象科技资深产品专家景生光
漏洞是网络安全最重要的命门,也是最重要的战略资源。只要有代码就会有漏洞,所有的系统都可能存在漏洞,能否在漏洞被黑客利用之前找到并进行修复,是衡量企业安全的关键指标之一。
在演讲中,景生光就VIP漏洞情报生产运营平台进行详细介绍。VIP漏洞情报生产运营平台可提供专业、高效、精准的漏洞运营服务,助力企业建立“云端+本地化”漏洞情报运营体系。VIP漏洞情报生产运营平台以漏洞为本体,并关联尽可能多的有效信息,如漏洞基础信息、漏洞检测poc/exp、缓解措施、(漏洞利用攻击的)攻击检测规则&WAF防御规则、标签(包括监管侧关注的)、知识库、技术文章等。
具体来说,VIP漏洞情报生产运营平台情报采集来源包括斗象自营的漏洞盒子平台、FreeBuf,及CNNVD/CNVD、CVE/NVD、Twitter等,形成完善的漏洞情报来源体系;还拥有专业情报分析团队,即时对漏洞信息进行清洗提炼,遵循一套专业的漏洞情报内容发布标准,确保漏洞情报质量;引入“VPR漏洞优先级评估系数及专家团队运营”新理念,构建科学的漏洞生产运营体系,对漏洞进行科学评级,极大提升了漏洞的发现率及可落地性,可灵活进行部署。
此外,VIP漏洞情报生产运营平台还将最具价值的漏洞情报数据与企业资产进行有机结合,通过快速漏洞预警的响应机制,提供漏洞流程管理的过程支撑,并及时有效的联动漏洞验证和处置的管理体系,全面覆盖漏洞情报订阅、漏洞情报预警、漏洞修复优先级评估、组件推优、漏洞知识库、情报SaaS服务、离线检测&规则灰度发布、0day漏洞检测等多个企业应用场景。
研发安全治理实践
平安银行资深安全专家侯济涛
金融科技转型既给企业带来了发展的新动力,也带来了安全的新风险。例如操作风险、业务科技边界日趋模糊,研发队伍及应用快速増长;开源软件、软件供应链安全风险,数据安全问题等。
演讲中,侯济涛分享了平安银行的安全治理思路,可分为四大部分:
1、制度建设,制定发布安全及合规管理制度,并持续完善制度等;
2、流程制定,包括标准化各类事件及工作流的处置流程等;
3、基础设施搭建,依据各类IT基础设施搭建风险治理平台等;
4、运营分析,制定内外部安全指标,持续跟进分析运营状况。
同时还需进一步完善安全管理体系,可从制度规范、解决方案、检测平台、基础设施、运营平台等多个方面入手。随后侯济涛进一步展开阐述,涉及开源、开发、供应链等多个关键点,并和观众们分享了企业安全专项治理思路,持续提升企业安全能力。
CISO必备核心技能
某跨国创新生物医药公司全球信息安全官顾伟
随着全球信息安全形势变的越来越复杂,企业CISO面临的压力也随之增加:不出事则无人重视安全,而一旦出事情CISO就成为众矢之的。庞大的压力让这一岗位的平均任期只有26个月。
那么,想要胜任企业CISO这一岗位,又该具备哪些核心技能?对此,顾伟表示,CISO应该做到和企业“目标统一,使命共担”,深入了解企业业务价值、战略规划、组织对位、治理架构等,学会责任分解,定期和管理层进行沟通、汇报。
同时,CISO应站在更高维度制定企业安全战略目标,满足企业安全合规,降低潜在安全风险,建立、完善企业安全的组织架构,全面整合企业安全防护体系,并和业务部门建立信任关系,实现安全价值。未来,企业将会对CISO提出更高的技术和管理上的要求,CISO也将完成从运营到经营的角色转换。
构建低延时、高并发处理能力的应用安全架构
F5资深解决方案顾问陈建森
随着企业进入数字化、信息化的发展阶段,其安全环境和应用架构出现了明显的变化,也让攻击对象和攻击方法出现了相应的变化。长期以来,增加安全对抗和降低用户体验几乎可以画上等号,这已经无法适应当下企业快节奏的发展模式。
陈建森认为,传统WAF已不能满足当前的安全对抗,无法满足保护业务流程的需求,因此API优先架构才是未来的发展方向。F5通过架构创新,以API的形式调用应用安全服务,在提升用户体验的同时,强化安全能力,保护以API为核心的现代应用。
其WAF/BOT/DDoS/API 四位一体WAAP可将应用安全融入业务流程,低延迟高并发安全防护架构下,实现对毎个报文,实时复制请求/双模安全。和传统WAF模型相比,WAAP服务引擎模型部署更容易,还可横向拓展,对应用无任何入侵。
从“技术左移”到“管理左移”:漫谈CSO和安全团队应如何为企业数字化转型保驾护航
雪松控股集团CIO/CDO李洋博士
数字经济蓬勃发展,数字基础设施战略地位日益凸显,产业数字化转型正稳步推进。在数字化发展过程中,安全团队需要打造新型数字化安全能力架构,包括数字化业务安全,数字化科技安全和数字化基础设施安全三个方面。
演讲中,李洋博士认为,通过云原生可实现技术左移,在需求、设计、编码、测试、运维等阶段,插入相应的安全机制和工具,将安全完全嵌入到整个开发流程之中,构建适合企业自身发展的DevSecOps体系。
李洋博士表示,不仅仅是技术需要左移,管理同样需要左移,以便安全更早的介入。值得一提的是,不论是技术左移还是管理左移,所体现的更多的是一种责任,不是权力,其目的是为了让安全更敏捷的介入和承担,降低企业后续的安全成本。
企业实战攻防能力成熟度建设与实践
斗象科技安全服务部总经理曾裕智
随着数字化转型加速,企业面临更严峻的攻防形势,攻防演练也趋于实战化、常态化、体系化。企业安全建设由合规驱动转向攻防驱动,攻防能力成为企业安全建设的指引,如何建设和评价攻防能力自然也变的十分重要。
演讲中,曾裕智参考国内外安全相关的成熟度模型,从实践、流程、方法提供参考基线,提出企业实战攻防能力成熟度模型。根据企业安全能力建设的实际情况,将其从L1初始级到L5优化级分为五个等级,并列举出相应的标准。
企业实战攻防能力成熟度模型包含四大基础安全能力,分别是防护、检测、响应和恢复,并对这四大安全能力进行了更加细致的划分。此外还有四大进阶安全能力,分别是识别、情报、溯源和运营。
在落地实践方面,企业安全人员应认真关注如何从能力指标落地自能力域,通过AUC覆盖度进行细致评估,最后通过工具箱进行自动化验证,全面提升企业安全攻防能力。
圆桌论坛:刷新认知,回归CSO内驱增长力
在诸位嘉宾分享之后,圆桌环节让CSO闭门论坛的人气达到了最高点。本次圆桌由安全419创始人张毅主持,红星美凯龙信息安全部高级总监孙琦、斗象科技技术副总经理陈玉奇、vivo安全研究负责人胡志远以及某跨国创新生物医药公司全球信息安全官顾伟参与讨论和分享。
随着网络安全产业的不断发展,企业所面临的网络安全威胁日益复杂,CSO角色在信息安全建设的过程中也越来越重要,我国CSO体系已经有了发展的苗头。虽然国外CSO体系发展起步较早,目前也已经较为完善,但鉴于国内外网络安全产业实际情况有所不同,因此照搬国外成熟的经验显然不合时宜。
在圆桌分享中,各位安全专家首先从国内外CSO岗位的差异性进行讨论,并结合多年的网络安全经验,就国内CSO岗位体系的发展发表自己的看法。值得一提的是,在场的安全专家们普遍认为,并非所有的企业都需要设置CSO岗位,万万不可为了CSO而盲目发展CSO体系。
当谈到CSO需要承担的责任时,安全专家们从企业安全架构假设、业务拓展和团队建设等多角度,并结合CSO应该获得多大权限、资金支持、如何与开发沟通等痛点进行了深入的切磋交流,在会谈始末,专家们与主持人张毅二度隔空举杯,讨论氛围热烈融洽。
结语
作为CIS大会的延续,CIS夏日版首次采用全线上直播模式举行,「零信任安全论坛」、「实网对抗与攻防演练专场」和「CIS首席信息安全官闭门高峰论坛」三大论坛同步上线,超过12万从业者观看。
值得一提的是,CIS夏日版使用了虚拟实景演播室功能,通过虚拟实景技术打造的夏日海滩场景,在炎炎酷暑带来了一场网安行业的专业盛会。
CIS夏日版的结束也是一个新的起点,在不久之后,CIS 2022网络安全创新大会将会再次“刷新认知”,助力“安全生长”,在即将到来的金秋继续与各位举杯,共话网安新业态。