2022年3月2日,微博安全总监王天结合微博的实践经验积累,以《新环境下企业安全建设漫谈》为主题,参加了“CIS 2021网络安全创新大会”的主论坛分享。
王天从数据合规、基础安全、安全漏洞三个角度进行了企业安全建设演变的分享。在数据合规方向,介绍了企业从如何采集数据、使用数据、到如何合规的使用数据这一数据使用的演变。同时针对数据安全治理这个企业老大难的问题,结合微博自身实践,分享了“多做、少干预”的解决思路。在尽量不侵入业务运行的前提下,去发现和解决表现上的一些安全风险,让大家了解数据安全,也能够更好地进行跨团队协作、申请更好的资源进行数据安全治理。
图1 数据安全监控方案参考
在基础安全方向,除了常见的基础安全架构,结合微博安全的实际落地情况和业务技术现状,简要分享了在传统的SDL方式无法完全有效贯彻执行的情况下的“安全左移”方案,举例分享组件类漏洞可从依赖仓库根源中解决,使技术环节尽量左移,尽早规避安全风险。
图2 基础安全-安全左移
同时认为企业安全的基础安全环节自始至终都是围绕“救火、防护、感知”的循环展开,并竭力通过一系列技术手段和指标数据让业务团队认知到安全,能将“业务优先,安全绕行”的认知理念转变成“业务优先,安全加持”,从而让安全工作更好的开展。
图3 基础安全工作循环
最后,在企业的安全漏洞治理方面,漏洞已经形成“从点到链条”的风险形式转换。安全漏洞的关注点已经从单纯的技术漏洞转变成了涉及业务利益、资金损失的业务漏洞,攻击者更喜欢挖掘业务,使用能够高效快速获利并且从技术层面很难发现问题的漏洞,这需要安全从业者要像“黑灰产、羊毛党”一样去理解业务,尝试在业务的关键环节增加安全门槛,或者为产品的玩法提供安全建设上的改变。
图4 漏洞重心转变
微博作为国内主要社交媒体平台,高度重视企业安全建设和用户信息保护,积极与业内同行沟通交流,共同维护网络安全生态环境。微博安全设有公开平台——微博安全应急响应中心,面向广大安全专家及爱好者,接收外部安全漏洞、威胁情报等问题。未来,微博安全将继续携手广大安全从业者共同为数亿微博用户信息安全保驾护航。
本文作者:微博安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/174726.html