【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

  • A+
所属分类:安全闲碎

 【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)





 









2020疫情引爆了在线新经济。疫情流量之下,在线新经济企业如何落地自身网络安全建设?8月知道创宇“产业安全大咖说”,邀6位大咖为您共同揭晓答案。


本文是第1位大林鹏的分享



关于林鹏


猎豹移动安全总监,《互联网安全建设从0到1》作者,曾任当当网安全经理,网络金融安全专家,万达电商信息安全部总经理等职位,长达10年的一线安全攻防实战经验,研究领域为日志分析、安全防御、金融安全、羊毛党对抗,并曾在QCON,SACC,GITC,HITCON等安全会议上发表过议题演讲。

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)


01


攻防不对等,企业安全风险无处不在


对于企业安全我总结了一个概念叫圆圈理论,意思是“伴随着企业规模的扩大,防御的面也随之扩大,即意味着受攻击的面增大。

对攻击者来说,只需关注一个脆弱点就能够成功发起攻击。而对防御方尤其是企业来说,则需要关注全方位的安全,攻防不对等由此可见

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

电商金融面临的主要风险类型主要包括:钓鱼、黑客攻击、盗号、恶意欺诈、信息泄露等。企业前期辛苦搭建的安全保障只要被攻击者抓住其中一个点,一样会造成巨大损失


02


安全建设三阶段——基础、体系、业务


为了构建尽量完备的企业安全,可以将其分为安全三阶段,分别为:基础安全、安全体系和业务安全。

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

基础安全顾名思义,是一切安全的基础。如果基础安全搭建的不完备,将会影响后面的安全建设。

安全体系则是作为基础安全的补充,通过一些体系或流程的建设去覆盖基础安全不能触及到的脆弱点。

最后,所有的安全都应该围绕业务进行。不围绕业务,安全的意义也不复存在

下面我们分别细说各个安全阶段该如何执行。

基础安全
基础安全有很多,包括:运维安全、开发安全、办公安全、环境安全和人员安全。再细分下去的话,运维安全又包括:流量镜像、端口扫描、日志分析、主机检测、配置规范、备份/升级等;开发安全又包括:代码安全、后台安全、功能逻辑以及权限管理。

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

特别值得一提的是,在上云的大趋势下,据一份2019年的云安全报告显示现目前66%的传统安全解决方案在云上起不到任何作用,并且传统安全的许多工具都无法在云上运用,这更是增加了安全建设的困难。

基础安全建设往往是通过层次化的思想解决,网络层有自己的一套解决方案而主机层又有另一套。用层次化的建设增加攻击者的成本使其自动放弃攻击,达到平衡攻防天平的目的。同时在网络安全建设中没有银弹思维,即单一的安全产品或安全技术不可能保证整体的安全。所以分层次的安全建设也格外重要,联动起来层层设防。

除此之外还需要熟悉自己的资产有哪些,包括:系统、组件、第三方工具,知道自己的防御覆盖范围;同时知道对手的攻击手段,抓取攻击特征,清楚攻击是否成功。这样才能做到知己知彼百战不殆

若把安全事件按照事前、事中、事后来区分的话,具体分类如下:

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

总结起来就是:事前做好战略规划,事中保持战术素养,事后总结分析做好复盘

安全体系

安全体系主要起指导和弥补作用,当遇到不能靠技术完成的事情时,这就需要一些管理上的工作来完善。

当数据隐私安全越来越得到重视,这时便出台了一些相关政策规定。包括欧盟的《通用数据保护条例》(GDPR)和我国的《网络安全等级保护制度》都可以理解为安全体系一类。
【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)
数据控制者责任和义务

把流程梳理清晰有并有据可查之后,是非常有助于通过审计或是检查的,这时安全体系的重要性便再次体现出来。

安全体系的建设目标都大同小异,都是为了保护资产,通过评估安全风险,以总体安全策略为指导,制定安全保护措施,为公司信息系统及知识产权提供全面的安全保护,建立适用及高效的信息安全体系,尽可能的降低安全风险,从而提高组织的整体安全防护水平,为业务发展提供稳健的信息安全保护

业务安全

业务安全,按照百度百科的解释:业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。

上面我们提到过电商金融行业面临的风险,对业务来说攻击者只需关注一个点,但防御需要考虑整个面。不仅是电商金融行业,任何行业也是如此

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

业务安全可以从两个方面寻找不同的解决方案:1.技术;2.流程。

技术上通过验证机制、分析注册用户行为、冻结机制、设立门槛、前端验证等。

流程上通过项目立项风控、安全测试、业务数据实时监控,并和客户建立良好的沟通机制,毕竟一线人员是最了解业务情况的。

在业务安全的攻防中,我们要合理平和业务与安全的关系,不能为了意义的上的安全而影响真实的业务进行。
【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)
(可以把业务安全看作坦克大战,保护好老家才是最终目的)

03


甲方安全从业人员的定位与思考



安全部门也应该输出
企业招聘安全人员也是有成本的,而安全部门一般也可能是成本中心。但是我认为安全部门也应该有所输出,这个输出可以变现最好,即便不能变现也不能自high。安全要支持公司业务,努力做出平台级产品服务于公司和业务,任何一项很强的技术都需要耗费很高的成本去完成,但如果这个技术不能给公司带来任何实际用途,那么所有工作都是白费。

团队定位
安全团队的定位应该是服务于公司,服务于业务,应该尽最大的努力为业务保驾护航,为公司和业务部门提供各种安全支持,出谋划策一起面对安全风险。而不是以各种名义阻碍业务的发展,要知道如果是非安全公司,业务倒下了安全也就没有了价值。

换位思考与沟通
与沟通类似,安全部门的人员也需要站在对方的角度进行思考,更不能打着安全的旗号做浪费资源的事情

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

沟通是安全工作的基础,与不同业务部门的同时沟通,以此找到安全最恰当的实施方式,同时要换位思考:在不同的业务场景下安全工作能否进展下去

————END————

以上是本次分享全部内容
如需下载分享完整版PPT
请扫描下方二维码
【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

8月的产业安全大咖说还在持续进行中
扫描下方海报二维码立即报名!

下一期将在8月20日(周四)14:00准时开始
依旧两位大咖,两个主题
《APP合规与安全企业实战分享》
《内容安全治理方案》

【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)


【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)


最后,在本文下方留言

我们将选取点赞数最多的两位小伙伴
送出限量版KCON体恤!
 【演讲实录】林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

👇 点击阅读原文,马上报名!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: