“安全的本質(zhì)是一種能力,實戰(zhàn)是檢驗安全能力的重要核心標準。”360政企安全集團高級副總裁高瀚昭在ISC 2021第九屆互聯(lián)網(wǎng)安全大會上強調(diào)。
7月27日,第九屆互聯(lián)網(wǎng)安全大會(ISC 2021)在北京國家會議中心盛大啟幕。全球頂級安全智囊、技術專家、知名學者等齊聚一堂,圍繞“網(wǎng)絡安全需要新戰(zhàn)法,網(wǎng)絡安全需要新框架”主題,進行了前瞻性對話與交流。
在首日未來峰會上,360政企安全集團高級副總裁高瀚昭以《面向?qū)崙?zhàn)的安全體系建設方法論》為題發(fā)表重要演講,他從當前安全行業(yè)遇到的挑戰(zhàn)談起,提出面向?qū)崙?zhàn)的安全體系建設方法論,并分享了三六零公司(股票代碼:601360.SH,以下簡稱360)實踐該方法論的效果,最后還與現(xiàn)場嘉賓探討了關于該方法論的未來展望。
直面企業(yè)在體系建設和頂層設計上的挑戰(zhàn)
當前,網(wǎng)絡安全事件層出不窮,網(wǎng)絡安全已上升至國家高度。危機之下,企業(yè)逐步意識到安全建設亟需頂層設計。然而就頂層設計而言,多數(shù)企業(yè)面臨的最大困境是戰(zhàn)略目標和執(zhí)行路徑脫節(jié),目標是為了提升各項安全能力,但在如何提升方面,除把滿足合規(guī)要求和行業(yè)安全標準作為執(zhí)行目標外,并沒有太過清晰的路徑。
所以,如何規(guī)劃頂層設計以及在具體頂層設計上,又該如何結(jié)合每個單位的實際業(yè)務情況和管理能力,一步步落地,成各大廠商面臨的重大安全挑戰(zhàn)。
從實戰(zhàn)化視角落地網(wǎng)絡安全建設方法論
網(wǎng)絡安全,講百遍不如打一遍。安全的本質(zhì)是一種能力,實戰(zhàn)是檢驗安全能力的重要核心標準。大會上,高瀚昭提出:安全體系建設需要面向?qū)崙?zhàn)以安全能力提升為目標的方法論。
作為方法論的核心,安全能力具體由哪些內(nèi)容組成?現(xiàn)場,高瀚昭分享道:安全能力=(資源+技術+管理)*執(zhí)行。具體剖析如下:
●第一個維度:資源。這里的資源包括:安全大數(shù)據(jù)和對這些數(shù)據(jù)的分析結(jié)果。高瀚昭認為數(shù)據(jù)是安全能力的核心。數(shù)據(jù)驅(qū)動的安全,將使得安全更好的融入企業(yè)的業(yè)務與管理;同時,基于數(shù)據(jù)的威脅情報共享機制,也將極大提高業(yè)界整體安全防御水平。
●第二個維度:技術。技術是安全能力支撐的工具。未來,安全技術將更加細分到更多業(yè)務領域,安全產(chǎn)品和服務將更具多樣性。
●第三個維度:管理。高瀚昭認為,好的管理能保障整個業(yè)務生命周期的安全性。廠商需將安全技術和安全管理工作,有效地結(jié)合貫穿到業(yè)務研發(fā)測試、上線運行、日常運維和漏洞管理等工作中。
●第四個維度:執(zhí)行。人是安全能力的載體,是具體的執(zhí)行者。所以,安全體系建設要重點考慮全員安全意識的提升。
在詳細闡述完該公式后,關于如何做好企業(yè)的網(wǎng)絡安全體系建設?高瀚昭還補充道,企業(yè)的網(wǎng)絡安全體系建設需與企業(yè)的總體戰(zhàn)略保持一致。此外,還需四個指導思想加持:一是,用大數(shù)據(jù)的手段驅(qū)動安全建設;二是,要打造能夠沉淀安全能力,不斷應對新技術發(fā)展變化的網(wǎng)絡安全基礎設施;三是,一手抓攻防,一手抓管控,做到內(nèi)外兼修;四是,要培育安全人才,構(gòu)建持續(xù)的安全運營能力。在建設完成后,通過網(wǎng)絡安全實戰(zhàn)評估對于建設的結(jié)果給出客觀、定量的評價,在最終的結(jié)果輸出上,我們就能通過資源、管理、技術、執(zhí)行的每一個方面清楚的知道我們每開展一項新的安全工作,對于安全能力的提升有多少。
360踐行安全體系建設方法論
現(xiàn)場,高瀚昭還以為360為例,講述了:企業(yè)如何踐行這套安全體系建設方法論。
在頂層設計方面,360定義了以安全大腦為核心的安全體系能力框架,并結(jié)合資源、技術、執(zhí)行的能力需求,建立相應的基礎設施。在資源方面,360有神經(jīng)元基礎設施,負責多元異構(gòu)數(shù)據(jù)的采集和標準化,有網(wǎng)絡空間測繪基礎設施負責對網(wǎng)絡空間的地圖測繪,有威脅情報中心提供從數(shù)據(jù)到情報的分析、加工以及互聯(lián)互通工作。在技術方面,360既有針對攻擊面防御的實網(wǎng)攻防靶場、漏洞眾測中心、蜜罐誘捕設施、高級威脅檢測中心、安全開發(fā)能力中心,也有針對資源面管控的SASE、零信任、管理認證等基礎設施。在執(zhí)行方面,360以人和運營為中心打造了態(tài)勢感知中心、安全運營中心、應急響應中心、人才培訓基地和安全能力評估中心。
正是依托這套面向?qū)崙?zhàn)的安全建設方法論和以安全大腦為核心的安全體系,360在過去16年中,發(fā)現(xiàn)了46個國外APT組織對我國的滲透攻擊,也幫助了國內(nèi)的億萬消費者免受病毒和勒索軟件的侵襲,并幫助城市和行業(yè)建設并提高自己的安全能力。
當前,IT技術和攻擊手段在持續(xù)進化,安全體系也必須與之同頻。唯此,才能應對實戰(zhàn)考驗。所以,關于該方法論的未來展望,高瀚昭表示:該方法論目前還只是360在自身安全建設以及服務國家、城市、各行業(yè)用戶過程中的總結(jié)和提煉;然而,從他國經(jīng)驗來看,不同行業(yè)都有自身獨特的業(yè)務戰(zhàn)略和安全需求。所以,高瀚昭提出,針對不同行業(yè)企業(yè)特色,構(gòu)建經(jīng)得起實戰(zhàn)考驗的安全建設方法論,仍需更多安全專家們共同探索。
7月28日,ISC 2021大會持續(xù)進行中,更多產(chǎn)業(yè)與技術論壇邀您蒞臨!
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹慎對待。投資者據(jù)此操作,風險自擔。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標識解析專題論壇在沈陽成功舉辦。