最近周围的人都很兴奋焦躁,还经常对着日历念念有词,空气中充斥着一股高考倒计时的紧迫感,显然,这是因为2019年4月24日,《复仇者联盟4:终局之战》「FreeBuf 企业安全俱乐部」系列沙龙活动「数据治理与安全运营」在上海证大美爵酒店木兰厅盛大开幕了。
本届企业安全俱乐部的主题围绕:数据治理与安全运营,来自阿里巴巴、携程、美团、斗象科技、中通等公司的安全技术工程师以及亚洲诚信CTO、国家互联网应急中心共同对话企业信息安全现状与实践经验,为大会带来数据治理与安全运营相关的精彩分享与解读。
就让我们一起来回顾一下今天的热门看点吧!
演讲PPT下载下周将在FreeBuf企业安全微信公众号上集中分享,对于今天没能来到现场聆听观众的也不用感到遗憾,后续我们还将把嘉宾的精彩演讲视频剪辑上传至FreeBuf 公开课平台,敬请期待。
数字化转型大潮下,包括政府事务在内的各行各业都在把线下的模块线上化、数字化。在此趋势之下,安全已经成为越来越重要的话题。国家互联网应急中心万小博以浅显易懂的语言为大家分享了关于国家互联网应急中心的核心技术,介绍了目前国家互联网应急中心的核心能力和面临挑战。
网络安全目前已是国家互联网应急中心的重要组成部分,其面临的严峻挑战需要得到更多重视,万小博为此详细介绍了中心的事件监测能力、跨境事件处置能力、网络钓鱼监测与处置、网站安全事件监测与处置、联网终端安全监测与处置、DDoS及异常流量监测与溯源、仿冒APP监测与处置、企业互联网基础资产盘点、数据安全事件情报服务和发展趋势等重要内容。
通过万老师的细致介绍CNCERT的核心能力和核心业务,使嘉宾们对这支网络安全保障国家队的支撑、支持和支援作用,有了更加深刻的了解。
在概念过剩的时代,苦练基本功或许听起来有点傻。当安全问题反复困扰,会有疑问:是因为没有用上最新的UEBA、AI、机器学习,还是基本功本身就没打扎实。率先登场的是美团基础安全负责人赵弼政,在会上与大家分享《美团基础安全运营实践分享》。
只要上了规模,几乎所有的开源项目,都会遇到或多或少的问题,覆盖率近乎100%,最大的难点并非开发功能,而是稳定性。赵弼政认为,安全是一个过程,而非结果。PDCA经典的闭环过程,其实就是“运营”。QA质量管理思想,同样适用于安全工程。AI、UEBA、SOC/SIEM/SOAR、ATT&CK、威胁情报等任何的新名词, 解决不了工程化问题。工程化的难点在于资源、人力匹配。安全问题并不是孤立的问题,从CIO/CTO视角,它是公司基础设施能力的一个局部。
因此他提出,以入侵检测为例,应以指标衡量基本功的好坏程度,而指标、考核应进行不断的迭代更新,进行定向维护。地基不牢,房子肯定盖不好,所以酷与不酷的事情都要做,而且要做好。
很多网络威胁都是利用看起来合法的邮件诱骗受害者点击恶意链接或打开附件,从而在受害者系统中植入恶意软件,为攻击者盗取机密信息或彻底搞瘫受害者的网络。
此外攻击者会黑掉电子邮件账户并冒充该账户拥有者向处在关键位置的员工发出指令,指示其共享敏感数据或往指定银行账户转账汇。如何保证邮件的完整性,如何验证发件人身份,如何防止发件人抵赖,是当今企业迫切的安全需求。
亚洲诚信CTO袁国成在本次大会分享《基于S/MIME可信企业安全邮件解决方案》,共同探讨企业邮件安全的解决之道。使用S/MIME电子签名邮件证书进行邮件收发是当今最佳的邮件安全解决方案之一,距今已有20多年历史的S/MIME证书在使用、兼容等方面已趋于成熟。
众所周知,有效的安全运营在甲方企业中有着举足轻重的地位,从安全救火到安全平台不断升级,推动着企业安全快速的发展,而在甲方企业安全发展的不同阶段也可以通过安全运营逐步打破安全孤岛。中通安全运营负责人马辰在此次会议为大家带来《中通自动化安全运营中的DevSecOps实践》议题的精彩分享。
马辰在会中详细介绍了中通安全管理运营平台,他认为,在企业安全发展的不同阶段,利用有限的资源推动安全的落地,将安全转换为企业的生产力。
在有限的资源中,中通安全通过实施自动化安全运营落实了中通的DevSecOps,将安全融入到了中通系统的生命周期。而通过安全管理运营平台不断的进行安全赋能,将安全转变为企业的生产力,最终将安全融入到了企业的基因。
近来年,安全运营持续升温,企业原意投入更多资源去建设运营体系,不乏各种安全监测设备,而这类设备的引入也给企业数据治理制造了不小的难题。
斗象科技斗象高级安全工程师张志鹏在《探索企业安全监控与分析的数据治理之路》的议题分享中说到,这是因为当前安全趋势会从传统安全延伸到业务,诸如SOC、SEIM、NTA等设备会直接搜集来自业务的日志、流量等信息,同时也会产生大量的数据,但多数企业在治理实践中更关注自身业务数据,往往忽视安全运营中产生的数据。
张志鹏详细分享了企业在安全数据治理中会遇到的典型问题,采用怎样的措施去应对,以及企业面对运营的安全数据应如何保障数据的安全与可控。以数据治理中哪些被遗忘的漏网之鱼为切入点,提出了几个很有价值的问题,并针对性地提出了一些解决方案。
为解决数据隐私的保护问题,常见的方法是由用户对数据进行加密,把加密后的密文信息存储在服务端。当加密数据形成规模之后,对加密数据的检索成为一种迫切需要解决的问题。阿里巴巴高级安全专家马建坤为大家讲解议题《以数据为中心的安全体系建设》,介绍一些列的数据加密手法,既能够提供方便的搜索等相关服务,同时又能企业满足性能要求。
马建坤借助案例给大家分享隐私保护SDK和密文检索的具体方法。从技术上如何确保业务方不会侵犯用户隐私,进而做好缺乏源码的二方三方库细粒度的客户端管控和审计。
隐私保护SDK的困难之处在于:
1.合规和线下代码扫描是不够的。存在业务bug导致前后台判断出错,进而在后台收集定位等信息的情况。
2.需要定位到具体的模块,发现问题后定位具体的人
3.支持四端,高兼容性、稳定性、性能、耗电量等要求。最终可以达成方案:对于动态库,采用运行时动态HOOK,利用代码回溯确定来源模块;对于静态库,采用编译时修改字节码的形式HOOK,HOOK代码自身加入模块来源。
密文检索困难之处在于:
1.密文的混淆和随机性决定了密文直接建立索引很难
2.同态加密由于性能原因目前还不支持商用。
马建坤讲解了详细解决方案:分词结果做HASH,并加盐;分词过程放到服务端,用SGX来保证分词过程的安全性和隐私保护;倒排表指针加密。
马老师的演讲解答了多数人如何从技术的角度上保护用户隐私,构建数据安全体系的方法论与钉钉的实践案例。
企业安全体系建设“真金白银”投入,安全团队组建,设备防御,安全测试,安全意识培训,安全制度流程……当企业没有遭受攻击或攻击没有直接造成损失,很容易造成安全防护足够完善、业务数据足够安全的错觉。
干货一个接着一个,来自斗象科技的资深安全服务专家曾裕智带来《乙方视角下的攻防演练实践》,他认为攻防演练的目标在于:安全产品是否可以防护和检测到新的攻击手段,了解安全短板;安全防护体系是否有效的形成纵深防护,增加攻击者的消耗;内部人员是否具备相关安全意识;安全管理中的协同是否可以有效的执行和响应,安全人员是否可以应对新形式下的安全威胁的响应。
随后,曾裕智在大会上分享了WAF绕过、WIFI劫持、横向渗透、典型内网渗透的案例,进行详细讲解。
随着网络技术的发展,网络系统规模逐渐增大,传统安全攻防态势被逐渐改变。安全管理者需要将黑客攻击的方法和技术纳入自身的防御体系,更好的实现网络数据安全防护。接下来由携程资深安全工程师船长为大家进行《攻防对抗中数据安全的持续优化》的干货分享。
企业在持续优化数据安全过程中,需要围绕数据的生命周期、结合大数据业务的需求以及监管法规的要求,持续不断的提升组织整体的数据安全能力,以数据为核心的安全是大数据环境下的数据治理安全工作开展的核心。
进行攻防红蓝演练,掌握攻击者的入侵方法和手段,发现信息系统的潜在脆弱性,分析攻击的规律及轨迹,以此作为防范依据就会大大提升防范的效果。船长从面临的挑战与驱动,到攻防视角转换,红蓝攻防步骤,再到场景设置与环境建立无不巨细的展现给到场的众人。为我们分享数据安全持续优化,从制度到技术,落地的过程与心得,特别是在实践中踩过的坑,相信会给大家带来警示和启发。
语音识别是AI技术落地最为成功的一个场景,拥有巨大的市场价值等待开发,未来AI语音识别将围绕智能化和高精准度展开激烈竞争。人类的通讯史告诉我们:未来有无限可能。枪手以实际攻击案例在大会上展开分享《语音识别中的侧信道攻击与防御》,让我们看到“数据安全在to B的新兴AI企业如何落地,有多少坑要踩”。
在介绍了语音识别的攻击面、针对语音识别硬件层面的攻击、针对语音识别机器学习的攻击、白盒攻击DEMO之后,枪手继续说:现有的防御技术只能解决一些漏洞,因此需要更强大的防御技术来保护语音驱动的物联网设备。
对于非从事语音识别行业的企业,应当重视企业内各种具有语音发送和获取功能设备的安全性,尤其是联网语音设备的安全性。防止可能的黑客窃听或是IoT设备命令执行。对于从事语音识别行业的企业,应当着重保护好深度学习模型的设计细节、训练数据集等白盒内容,并重视起语音模型对于对抗样本攻击的鲁棒性。在条件允许的情况下,尝试开拓“声源对象识别”的新研究领域以抵抗各种针对语音识别的攻击。
通过一整天的分享与探讨,相信很多带着问题来的多数人都得到了相应的解答。最后,附上大会场地花絮:
(休闲区域)
(性感荷官)
(美味茶歇)
至此FreeBuf企业安全俱乐部「上海站」圆满结束,我们下一站见~