首席技术官的网络安全策略

首席技术官的网络安全策略没有攻不破的网络范围扩大•互联网20年应用不断深入，从少数人上网-全民上网-智慧城市／智慧国家漏洞万出•2016年，360补天漏洞平台就发现超过8万个漏洞防不胜防•美国前网军司令基思・亚历山大，在2015年第三届ISC大会上发表观点：“世界上只有两类组织：一类是被黑了，另一类是不知道自己被黑了”首席安全官（CSO）：负责整个机构的安全运行状态，既包括物理安全又包括数字信息安全。CSO负责监控、协调公司内部的安全工作，包括信息技术、人力资源、通信、合规性、设备管理以及其他组织，CSO还要负责制订安全措施和安全标准。CSO需要经常举办或参加相关领域的活动，如参与跟业务连续性、损失预防、诈骗预防和保护隐私等相关议题的活动。首席信息安全官：即CISO，负责整个机构的安全策略。首席信息安全官需要经常要向CIO（首席信息官）汇报，有时甚至直接向CEO（首席执行官）进行汇报。CSO与CISO•倪光南院士表示：“因为安全在很多情况下可以成为首要条件，根据安全需求，‘一票否决’或‘一票通过’都是很正常的。中国企业等单位还基本上没有设立CSO。我认为，有条件的单位不妨学习发达国家的经验，设立CSO，以便使网络安全、信息安全得到更好的保障。”•启明星辰创始人，CEO严望佳在另一个关于网络安全的提案中建议“在关键基础设施、敏感部门、政府机构中推行首席信息安全官制度。”————2015年全国两会报道，中国经济网CSO与CISO即将成为标配未来的世界，万物互联的世界智能家居车联网智能电网智慧城市万物互联联网的可穿戴设备智能工厂&制造数字安全的全景图敲诈者病毒处于“全修性流行病”级别研究公司Osterman2015年近50%的美国公司都经历过敲诈者病毒的攻击趋势科技CryptoWall系列的1个老版本就攫取到约3.25亿美元印度三家银行好莱坞长老教会美国国会众议院香港海事处Facebook旧金山公交售票系统2016年被敲诈者病毒敲诈过的知名机构IBMSecurity2016年带有勒索软件的垃圾邮件数量同比增长了6000%，近40%的垃圾信息中都带有勒索软件70%的商业用户受害者向黑客支付了赎金。其中，50%的支付额超过了1万美元，20%超过4万美元勒索软件业务规模有望达到10亿美元近40%的个人消费者原意支付100美元以上来恢复数据，大部分勒索软件能从每位受害者手中勒索300美元以上赎金超过50%的父母原意支付赎金来恢复个人照片例：“永恒之蓝”病毒传播态势（中国）注：EDR（EndpointDetection&Response）：具备采集全量数据能力的终端安全软件，并以此开展安全检测与响应注：NDR（NetworkDetection&Response）：具备采集全量数据能力的边界安全设备，并以此开展安全检测与响应不同阶段的关系：叠加演进，安全协同基础架构被动防御积极防御开启应用日志EDR／NDR威胁情报数据采集进攻反制情报提供威胁情报落地安全加固边界防护本质：安全就是响应+防护的安全运维体系本质：安全就是用安全产品堆砌出来的线式防御体系本质：安全就是分层的、分级的多层次防护体系防御体系与防御思想的演化ADAPTIVESECURITY模型ContinuousMonitoringandAnalyticsDivertAttackersDetectIncidentsPreventIncidentsContainIncidentsPredictRespondPrevent防护检测Detect预测响应ProactiveExposureAssessment主动评估HardenandIsolateSystems加固与隔离系统PredictAttacks预测攻击BaselineSystems基线系统Remediate/MakeChange补救与改进Design/Modelchange设计与改进模型Investigate/Forensics调查与取证事故隔离ConfirmandPrioritize确认与优先级排序转移攻击攻击事件防护持续监测与分析GARTNER以人为中心的安全框架“安全产品”向“产品安全”的转变•IOT产品安全•工业自动化系统安全•SDL的价值•安全参照设计的价值•安全顾问咨询服务的价值“数据防泄漏”的思路转变•数据防泄漏是一项任务而不是一个系统／产品•数据加密&内容检测&数据流向监测UEBA：用户与实体行为分析不同阶段的企业所采用的安全产品那些最基础，但最起作用的工作•漏洞管理•网络隔离／网段划分•集中日志管理和分析•应用程序白名单•应用安全•身份与访问管理•DNS过滤与监控•数据备份•系统加固•到位的系统管理安全理念：一、二、三、四一个中心二个原则三个阵地四个假设安全理念：一个中心办公网十多个lan办公网络数据中心八十多个数据中心VPN网络随时接入整体防护怎么做•现实社会中，攻防本质是成本的对抗；•防守就是在受保护的目标价值、安全投入、性价比三者之间做tradeoff；•攻防之间是动态的平衡，攻击在不断变化，决定防守需要持续升级，否则将失去平衡。自主可控原则攻防平衡原则安全理念：两个原则•真正的安全来自于可控的安全团队加上可控的安全工具；•一手抓安全防护；•一手抓安全工具的自主开发。安全理念：三个阵地反潜伏保卫大城市争夺边境线•产品•对外服务•员工•监控•审计•大数据分析•重要服务器•重要业务系统•重要数据第一道防线第二道防线第三道防线安全理念：四个假设系统一定有未发现的漏洞A一定有已发现但仍未修补的漏洞BD•如何发现漏洞利用行为•如何检测攻击行为•如何发现系统已经被渗透C•如何处理已经被渗透的漏洞•如果重现攻击过程•如何溯源系统已经被渗透•及时发现漏洞•强制修补漏洞•如何发现员工的异常行为•如何检测并阻断来自内部的攻击员工并不可靠安全防护技术体系•网络访问控制统一管理平台•天眼威胁感知系统、无线入侵检测与防护系统•Web安全扫描系统、Webshell白盒扫描系统、Andriod漏洞半自动化扫描系统•安全扫描系统、第三方安全漏洞监测系统•办公网安全审计系统、天擎、天机•双因子认证、密码破解机•堡垒机、数据安全审计系统•服务器日志分析平台•Webshell监控平台第一道防线纵深防线最终防线360信息安全部日常工作攻防类：安全测试、方案评估、产品研发、应急处理产品类：设计、开发、运营、应急处理网络安全组Web安全云安全无线与硬件安全组UXC、研发Android安全组协议与逆向分析组360SRCIOS安全组