2021年5月14日,由安世加主办的“EISS-2021企业信息安全峰会之北京站”在北京诺金酒店成功举办。峰会以”直面信息安全挑战,创造最佳实践案例“为主题,总共吸引了近500位来自各行业的企业安全负责人,安全专家出席。
本届峰会是安世加在北京连续举办的第四次峰会,大会由原先下午两个分会场增加至四个,分会场主题分别调整为安全运营专场、数据安全专场、零信任专场、开发安全专场,每个分会场诚邀资深安全负责人担任出品人,议程紧扣行业热点话题,选题方向更加明确,为与会者带来更多具有实践与借鉴意义的干货分享。
本次峰会盛邀数世咨询作为协办方、共有HCL、Synopsys、IBM、奇安信、KEYSIGHT、Palo Alto Networks、FireEye、Tenable、白山云科技、悬镜、派拉软件、Fortinet、Forcepoint、思睿嘉得、卓朗科技、飞驰云联、火线、Westcon、字节跳动及完美世界,共20家企业赞助,并获得多达48家单位和28家安全媒体的鼎力支持。
主会场
本次峰会的首位演讲嘉宾是来自数世咨询的创始人 李少鹏,他的演讲主题是《网络安全技术与产业趋势》。
分享的主要内容包括网络安全产业的过去,现在与未来:1.网安产业演进路径、2.内涵本质与外延、3.市场规模企业格局、4.技术赛道分类、5.投融资概况、6. 趋势发展。
第二位演讲嘉宾是来自HCL的大中华区高级安全顾问 卢启良,他的演讲主题是《基于机器学习的静态代码扫描结果误报调优实现》。
静态应用安全测试 (SAST) 被认为是一种识别程序中潜在安全缺陷的有效方法。但通常SAST会产生成百甚至上千的扫描结果,并伴随大量的误报。本次演讲议题将分享AppScan实现的一种基于概率统计和机器学习的误报调优新方法—智能结果分析(IFA)。
第三位演讲嘉宾是来自Synopsys的软件安全与质量部门高级安全架构师 杨国梁,他的演讲主题是《从安全意识构建到应用安全落地》。
随着软件行业越来越成熟,DevSecOps的优点和价值显而易见,然而对于高管和开发人员来说安全却并不是理所应当的。安全人员依然需要面临很现实的问题,就是如何提高内部的安全意识并配合开展安全活动。我们在本次分享中,就想站在安全人员的视角,探讨一下如何在内部构建安全意识,有哪些手段能帮助顺利推动应用安全的落地,促进DevSecOps。
第四位演讲嘉宾是来自小米集团的信息安全与隐私委员会秘书长、IAPP知识社区联合主席 宋文宽,他的演讲主题是《AIoT安全从创新理念到实践落地》。
演讲的主要内容包括:
什么是安全?
对于用户来说,公开透明、不侵犯隐私的安全感;
对于业务来说,简单可执行的成熟方案;
对于监管来说,可监督的标准规范和权威认证。
那么如何让一款产品同时符合用户、业务以及监管三个维度的安全要求?答案就是默认安全。但是有人的地方就有漏洞,完美的默认安全是无法实现的,为了接近这个目标,就要尽可能地无限缩小攻击面。
第五位演讲嘉宾是来自IBM的大中华区安全事业部资深顾问 张冠群,他的演讲主题是《混合云时代的威胁管理》。
混合云是近年来云计算的主要模式和发展方向,这对企业的安全威胁管理带来很多新的挑战,需要有一个统一而又开放的平台来打通威胁管理的数据和流程,通过人工智能和自动化提高响应效率以满足云时代快速迭代的要求,并满足隐私数据泄露等相关的合规要求。
小组讨论一直是EISS系列峰会倍受关注的热点之一,本次北京站主会场特设CISO高峰圆桌论坛,诚邀原完美世界的资深安全总监 何艺、猎豹移动的安全负责人 林鹏、理想汽车的安全负责人 徐超、华住集团的信息安全总监 张维垚以及网商银行的信息安全负责人 张欧共同就当前安全行业所面临的形式及挑战进行了热烈的讨论。
在何艺的主持下,五位嘉宾各抒己见,在分享实践经验的同时,也提出各自独到的见解,通过多角度,有深度的思想碰撞让所有参会者收获颇多。
上午主会场最后一个环节是安世加优秀作者颁奖,安世加创办的EISS系列峰会不仅为安全行业提供了优质的线下直面交流的平台,同时,其运营的同名公众号也为安全从业者开辟了更为广阔的学习交流渠道。无论是峰会,沙龙或安全行业的动态与招聘信息,又或者是技术,管理的实践分享,安世加都致力于为广大的信安工作者提供更多的咨询与学习交流的机会。
2020年上海站,优秀作者曾授予两位年轻的安全专家,本届峰会上,优秀作者奖颁给了来自某上市公司的信息安全负责人 肖寒,他撰写的系列文章《企业信息安全建设实践之路》是对其工作实践中的精辟总结与提炼,在分享的同时也为业内提供了有力的借鉴。此外,感谢陌陌安全为本届优秀作者独家赞助的千元大奖。
分会场一:安全运营
出品人:林鹏 / 安全负责人 / 猎豹移动
分会场一的首位演讲嘉宾是来自金融街的信息安全负责人 唐凯,他的演讲主题是《集团多业态安全能力建设实践》。
集团化多业态是目前许多公司业务发展的模式,在这种业务模式下,同一集团中存在业态差异大,发展水平不一,监管要求各异的多类型业务公司。对于总部信息安全管理人员来说,需要结合公司管理战略和业务发展的实际情况,对安全管理体系进行对应适配,对于自身组织的信息安全能力进行有选择的加强。这里,作者结合自己多年实践经验,总结了一套集团化多业态安全能力建设的方法。
分会场一的第二位演讲嘉宾是来自是德科技的应用工程师 李伟东,他的演讲主题是《如何度量分布式混合网络的应用和安全能力?》。
在云计算越来越成熟的今天,已经有越来越多的企业打算选择云服务,而云服务提供商最关注的就是网络安全问题。本次将会介绍是德科技全新推出的业界第一个云原生,可以灵活扩展的CyPerf测试方案,帮助客户对混合云架构进行安全性验证。
分会场一的第三位演讲嘉宾是来自Tenable中国区的经理 赵阳,他的演讲主题是《确保AD域控安全应对网络高级威胁攻击》。
放眼全球:90% 的《财富》1000 强企业都使用 Active Directory 作为其企业用户身份验证和授权的主要方法,而且大多数企业具有复杂的、不断发展的Active Directory体系结构。近期包括 SolarWinds数据泄露和Microsoft Exchange 黑客攻击等事件,突显了预防权限提升、横向移动保障 Active Directory 和身份基础设施的安全至关重要。成功的数据泄露往往都是从对 Active Directory 的攻击以提升权限开始,改善 Active Directory 的安全是每个使用AD域控的企业需要关注的重要问题。
本次演讲会分享全球顶尖AD安全企业的最佳实践,如何在不需要安装代理和高级域账户权限的情况下,通过自动化手段准确持续检测AD弱点及实时威胁。
分会场一的第四位演讲嘉宾是来自白山云科技的安全解决方案专家 张亚博,他的演讲主题是《云原生安全助力“网络+安全”同步转型》。
目前国内外所有企业都处在数字化转型浪潮下,数字化转型为业务带来价值的同时,也为企业带来了不可忽视的信息安全风险。云原生安全帮助企业基于SaaS服务实现网络和安全的同步转型,对各个位置的用户、应用、数据提供一致的保护,为企业数字化转型保驾护航。
分会场一的第五位演讲嘉宾是来自某支付公司的信息安全负责人 邢骁,他的演讲主题是《R2-D2:不止是SOAR,数字员工加速自动化安全运营》。
每一位星战迷都渴望拥有自己的R2-D2,每一位甲方安全运营人员都需要一个得力的机器人自动化助手。本次议题内容主要包括:1.数字员工而不是工作流平台,SOAR之外我们还可以做的更多。2.如何定制标准化Playbook语言并通过Playbook推动运营。3.如何拥有属于你自己的R2-D2。
分会场一的第六位演讲嘉宾是来自腾讯的安全架构师 江虎,他的演讲主题是《云环境安全检测挑战与机会》。
业务上云已经是国内外诸多互联网公司的共识和趋势,云环境业务架构的多样性,以及带来的变化,让传统典型的入侵检测产品变得笨重或难以适应,必然带来安全产品的改进,但也因为云环境的特殊架构,也给安全工作带来一些新的机遇。
分会场一的第七位演讲嘉宾是来自网商银行的应用安全工程师 龙孝武,他的演讲主题是《甲方RASP安全运营实战》。
他演讲的主要内容为如何从0到1完成RASP落地,且在日常安全运营中,如何保证业务更稳定,运营更高效,应急更及时。
分会场一的第八位演讲嘉宾是来自贝壳找房的安全管理负责人 李玮,她的演讲主题是《信息安全管理体系实践》。
她演讲的主要内容包括建设信息安全管理体系的目的是什么?公司适合什么样的体系?这其中哪些是核心关键点?如何做好这些?
分会场一最后一个环节是由来自猎豹移动的安全负责人 林鹏、长城汽车的安全负责人 姜明元、某互联网公司的安全负责人 王真、腾讯的安全架构师 江虎、北京掌数信息的联合创始人 黄乐共同组成的小组讨论:企业安全实践方法论。
讨论以问答方式进行,在林鹏的主持下,五位嘉宾结合自身行业的特质,分享了多年在安全运营方面的实践经验。
分会场二:数据安全与隐私保护
出品人:张欧 / 信息安全负责人 / 网商银行
出品人:刘琦 / 数据安全负责人 / 网商银行
分会场二的第一位演讲嘉宾是来自网商银行的数据安全负责人 刘琦,同时也是本会场的出品人之一,他的演讲主题是《数据安全与隐私保护建设实践》。
大数据时代,数据与隐私安全的监管环境趋严、变化加速。满足监管条例与行业标准的前提下,如何平衡安全、体验与效率,是每个企业/安全团队均在探索的问题。在常见数据安全能力(分类分级,风险审计)的基础上,如何进阶到下一步,进行风险实时拦截,达到数据的默认安全。
分会场二的第二位演讲嘉宾是来自FireEye的大中华区技术顾问 郑聿铭,他的演讲主题是《从EDR到XDR,构建主动防御体系》。
随着互联网的快速发展,新一代网络攻击技术变得更加隐蔽、狡猾和复杂,传统安全方案越来越难以应对。 EDR一直是终端安全领域的热门技术,而 XDR 的新理念也越来越多的被提及。 2020 年, Gartner 将 XDR 命名为第一大安全趋势,并表示 XDR 解决方案将 “ 提高检测准确性,并提高安全运营效率和生产率。 XDR 在 EDR 的基础之上,提供了一种攻击的检测模型,横跨各种端点、网络、 SaaS 应用、云基础设施等各种可以处理的网络资源,为所有的网络层和应用程序堆践提供可见性,同时具备高级检测、自动关联和机器学习能力,可以快速发现事件,响应并阻止现有威胁和紧急威胁,从而帮助企业有效构建主动防御体系。
分会场二的第三位演讲嘉宾是来自Forcepoint中国运营中心的技术总监 陈凡,他的演讲主题是《“数据为核人为本”--新一代动态数据威胁防护》。
现在的数据比以往任何时候都要多,如何提取有价值的信息、保护组织的核心数据资产是影响企业生存发展的重要因素之一,不仅需要良好的数据安全产品帮助企业保护核心数据提升数据保护效率,也需要制定数据安全管理制度。以人防加技防的方式全面的治理企业核心数据。
分会场二的第四位演讲嘉宾是来自平安银行的信息安全架构师 何琰,他的演讲主题是《敏感信息自动发现实践与应用》。
近年来个人敏感信息保护被提升到前所未有的高度。对作为保护对象的敏感信息进行准确的识别与分级分类,是开展有效安全防护的前提。本主题将围绕在复杂的金融系统环境下,高效准确的进行敏感信息自动发现与分级分类,及开展敏感信息保护实践与应用进行分享与探讨。
分会场二的第五位演讲嘉宾是来自微众银行的数据安全负责人 殷跃,他的演讲主题是《互联网银行数据安全体系建设》。
随着传统金融业务的互联网化,数据的存储及使用安全性受到了越来越严峻的挑战,任何一次数据泄露、篡改、丢失都可能造成非常严重的影响。如何在保障业务发展和研发效率的情况下,守住数据安全底线,需要持续的思考和改进。
分会场二的第六位演讲嘉宾是来自自如的信息安全经理 宋良杰,他的演讲主题是《基于业务场景下的数据安全保护建设实践》。
他的演讲内容为1.业务场景下的数据安全痛点和风险、 2.建设思路 、3.智能租住生活场景下的数据安全保护实践、4.建设关键点和总结 。
分会场二的第七位演讲嘉宾是来自阿里巴巴的安全专家 黄智聪,他的演讲主题是《基于机器学习的密码学误用的检测》。
相当一部分数据安全问题来自于密码学的错误使用,例如过时的加解密算法、不安全的加解密模式等。本分享将从Java密码学API(JCA)的密码学误用问题出发,介绍现有的各类检测器的优缺点,并且分享阿里安全最新设计的基于机器学习模型的检测系统。
分会场二的最后一位演讲嘉宾是来自 vivo千镜安全实验室的安全研究方向负责人 张栋,他的演讲主题是《安全与隐私设计创造可信任的产品和服务》。
身处移动互联网时代,国家、社会、企业、个人面临的数据安全和隐私保护风险无处不在、防不胜防。
一个系统在数据安全方面的能力应该主要通过系统性、前瞻性的设计来保障,而非发生安全事件后修补。安全与隐私设计(security and privacy by design,SPbD)的目标是在产品产生过程的最上游阶段将安全与隐私的能力融入其中,从源头增强安全和隐私保护能力,从而缓解企业整体的安全风险。
笔者在进行了SPbD的概念、框架分析以及移动生态威胁建模后提出移动生态信任环模型,并通过对业界主要的产品和服务进行分析、企业实际业务实战,验证了该模型的有效性。
分会场三:零信任
出品人:何艺 / 资深安全总监 / 原完美世界
分会场三的第一位演讲嘉宾是来自原完美世界的资深安全总监 何艺,同时也是本会场的出品人,他的演讲主题是《零信任架构技术与落地》。
零信任从概念,到这两年被广为人知,再到2020年因疫情而被大大加速整个零信任领域的快速发展,零信任从Google的Beyond corp最佳实践,再到云安全联盟的SDP技术快速发展,以及各类零信任技术产品,零信任似乎让人更难看懂了,本次分享我将会从技术实现上来分享不同技术的零信任和落地选择,快速掌握全貌。
分会场三的第二位演讲嘉宾是来自Palo Alto Networks的中国商业市场技术总监 张晨,她的演讲主题是《零信任在企业落地中的最佳实践》。
零信任作为一种网络安全架构或者安全理念提出至今,已经成为一种强大的防护策略在整个环境(网络、端点、云)中实施。Palo Alto Networks通过提供独特的功能和专业的服务将零信任真正在企业中落地,变得实际可行且易于部署,成为企业发展的强大助力。
分会场三的第三位演讲嘉宾是来自派拉软件的资深专家 赵广辉,他的演讲主题是《零信任身份治理在企业应用中的实践分享》。
他的演讲内容主要分为:企业零信任身份治理驱动因素、企业零信任身份治理规划设计、企业零信任治理实践分享。
分会场三的第四位演讲嘉宾是来自光大银行的安全管理处处长 牟健君,他的演讲主题是《光大银行零信任实践与思考》。
当前形势下,网络安全新威胁不断涌现,传统的边界防护安全体系难以为继,零信任技术架构以其立体化、精细化、动态化的设计理念,经过几年的沉淀发展,已经成为企业数字化转型的最佳安全技术实践之一。光大银行积极探索零信任架构实践场景,强化安全管控,提高纵深防御能力,致力打造光大科技安全新名片。
分会场三的第五位演讲嘉宾是 安全小飞侠,他的演讲主题是《从大型互联网企业零信任实践之路谈如何构建立体化的防御体系》。
随着企业规模的不断扩大,面临的网络攻击威胁也在日益增长,大型互联网企业由于自身业务特性长期暴露在网络威胁的一线,因而在践行新安全理论和架构实践上容易先人一步,本议题将尝试从企业零信任实践之路中一窥如何构建立体化的防御体系。
分会场三的第六位演讲嘉宾是来自Fortinet的中国华北区技术总监 胡丹丹,他的演讲主题是《零信任让安全如影随形》。
近一年多以来,越来越多的企业开始云办公,线上经营,智能化制造,无接触生产等数字经济快速发展,既是疫情倒逼加快数字化智能化转型,同时也引入安全的伴生需求以及零信任新兴技术提出更高的建设要求。Fortinet 通过客户对基础架构投资的同时进行简单优化,从而让客户实现应用级的零信任访问、本地化部署、本土化及合规。此议题将阐述Fortinet的零信任架构以及如何结合安全进行实践。
分会场三的第七位演讲嘉宾是来自某上市公司的信息安全负责人 肖寒,他的演讲主题是《浅谈零信任在传统企业的意义》。
他的演讲内容主要分为:浅谈什么是零信任网络;
制造企业信息安全现状说明;我面临的问题,相信您也遇到过;制造企业建设“零信任”的第一步,应该怎么走。
分会场三的第八位演讲嘉宾是来自贝壳找房的安全架构师 崔泷跃,他的演讲主题是《零信任架构在产业互联网的落地》。
从零信任在产业互联网的落地角度出发,讲述房地交易平台的业务模式、网络安全现状和安全面临的挑战。简述在安全建设过程中为何选择了零信任架构,零信任在贝壳落地的具体步骤,以及推广过程中的难点和解决方案。
分会场三的最后一位位演讲嘉宾是来自趣加FunPlus的安全架构师 汤青松,他的演讲主题是《办公网零信任安全建设实践》。
零信任安全和以往的安全产品有很大的不同,往往需要很大的调整公司的网络架构,在落地实践中有很多需要定制化去实现;本议题将分享在建设零信任安全建设中遇到的问题和已经解决方法,例如零信任网关反向代理如何在线配置,多集群下如何同步配置,高并发流量情况下如何保障稳定性,以及零信任网关建设后为企业带来了那些实际的价值。
分会场四:开发安全
出品人:秦波 / 网络安全部负责人 / 滴滴
分会场四的首位演讲嘉宾是来自滴滴的网络安全部负责人 秦波,同时也是本会场的出品人,他的演讲主题是《安全设计基线的自动化》。
他的演讲内容主要分为:
1.基线自动化项目背景
+开发流程全景
+安全设计的痛点
2.基线自动化流程
+攻击面识别引擎
+输出安全方案
3.基线自动化收益
+效率
+准确率
分会场四的第二位演讲嘉宾是来自悬镜的COO 董毅,他的演讲主题是《软件供应链的风险与治理》。
近年来美国对我国的科技战策略,重点在于打击、封锁、截断核心技术供应链,我国因此重视对核心技术供应链的重塑与强化。软件供应链作为技术供应链中的一个重要成分,其安全不仅影响着企业的生存和发展,同时也成为大国之间相互竞争与制约的重要手段。因此需要从多个角度来看待软件供应链存在的不同安全风险,有针对性地采用多种方法和技术手段来确保软件供应链安全。
分会场四的第三位演讲嘉宾是来自支付宝的安全专家 石刘洋,他的演讲主题是《大型互联网平台SDL实践:业务风险深度评估》。
复杂业务的安全评估除了需要覆盖常见的应用安全漏洞,往往还需要深入业务逻辑,探索场景化的泛业务风险。本次分享会从更贴合业务的安全视角,介绍场景化的风险评估方法、工作模式以及实践案例。
分会场四的第四位演讲嘉宾是来自快手的Web安全负责人 廖新喜,他的演讲主题是《API安全》。
从OWASP TOP10 到 OWASP API Security Top10,标志着Web安全关注点转移到API安全。本议题主要从甲方的角度,梳理常见的API 漏洞场景,包括越权、认证、过度数据暴露、注入等,总结其规律,给出通用的收敛路径,形成漏洞收敛漏斗。
分会场四的第五位演讲嘉宾是来自京东的安全资深架构师 Himo Zhu,他的演讲主题是《交互式安全测试技术》。
在DevSecOps黄金流程中,IAST是其中关键一环,本议题分享了京东IAST的设计理念,以及在CD环节构建综合IAST测试服务的实践。
分会场四的第六位演讲嘉宾是来自奇安信的产品安全负责人、QAXSRC负责人 武鑫,他的演讲主题是《Shift Left在开发安全中的应用》。
Shift Left(左移),一直是开发安全领域的热词。针对安全左移却有着不同的认识与落地情况,是直接将安全活动前移到需求分析,还是编码阶段?一切都需要结合实际情况进行编排和设计,但并不是无章可循。本议题将聚焦安全左移,通过一些实用的落地实践安全活动,阐述其在开发安全中的价值与意义。
分会场四的最后一位演讲嘉宾是来自腾讯安全平台部的高级安全工程师 李相垚,他的演讲主题是《云原生安全:基于DevOps基础设施的Web漏洞扫描实践》。
多年来,安全系统一直在适应软件研发的流程和模式,为研发出更加安全的产品保驾护航。随着近几年DevOps的不断成熟,自动化安全测试的重要性也逐渐凸显。但在实践过程中,这项措施的易用性和好评度都面临着不少挑战。本次分享将讲述腾讯在Web漏洞扫描实践过程中遇到的困难和挑战,在云原生场景下它又将有怎样新的解法。
最后,再次感谢所有支持本届EISS企业信息安全峰会的赞助商、演讲嘉宾、单位、媒体以及与会者。因为有你们的支持才让EISS企业信息安全峰秉承出新,力求突破,始终成为安全行业交流与学习的圣地!
下一站,深圳,我们不见不散!
本文作者:PIG-Z
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/159239.html