2019年8月21日-23日,我参加了为期三天的北京网络安全大会,议题满满,收获多多,但其实也是蛮累的。
本次大会主题是“聚合应变,内生安全”,三天的会议日程,上午是主题峰会,下午是分论坛。
这里分享一下参加分论坛的几点心得体会:
关于选择的策略
面对这么多分论坛和主题演讲,如何去选择呢?
为此,我和我同事分别采用了两种策略,我同事将所有分论坛的主题内容全都过一遍,筛选出感兴趣的主题内容,按照时间计划排成一个先后顺序,听完一个演讲迅速赶往下一个主题所在的会议室,如此往返。但计划不如变化,因部分分论坛嘉宾没有及时导致延迟开场、部分演讲时间超时等客户因素,并没有如愿进行。
而我,选择了一种比较“笨拙”的方式,根据分论坛主题和演讲嘉宾,找一个感兴趣的分论坛,然后早早去会议室找个好位置,从下午1:00-5:30都在同一间会议室,省去了往返奔波的时间。虽然主题内容并非全部感兴趣,但只要用心倾听,终有所获。我分别选择了如下三个分论坛:
21日下午 《金融科技网络安全论坛》
22日下午 《首届网络空间安全可信技术创新论坛》
23日下午 《CISO高峰论坛》
这种选择,让我可能慢慢地享受这场会议,可能是一张PPT,又或者是演讲嘉宾的一句话,能够有所启发,这就值得了。
关于安全的几点体会
1、做安全,做到最后是一份责任,而不是一份养家糊口的工作。
如果说,白帽子是行走在网络边界的游侠,那么,在甲方安全的童鞋们,就是守护一方疆域的将士,保护企业的信息资产。在《蜘蛛侠》电影中,有这样非常经典的一句话:能力越大,责任越大。作为一个甲方安全工程师,你可以按照你的意愿去设计你的系统,你也可以将你的安全意识辐射到团队的其他成员。安全,对你我来说,更多的是一份责任。
2、倾听甲方的心声,真实的诉求
在平时的工作接触过程中,有些团队拿出的产品或方案并不成熟,甚至有的销售要求内部团队拿出新产品卖钱,你觉得,忽悠客户,这就能卖钱吗?多倾听甲方诉求,为用户提供安全价值,脚踏实地的研究产品和服务,才是正道。
3、基于业务规则梳理安全防护策略
这是一种有效防范APT防御攻击的方式,即使再厉害的安全团队,也很难全部摸清楚内部的业务规则。比如,属于财务部门的IP,访问金融科技部门的服务器远程桌面服务器,这就是属于异常的访问行为。
4、开源软件+API安全
我们经常通过升级版本或打补丁来修复漏洞,但在跑业务的系统,应更谨慎些。漏洞修复前,需全面评估对业务的影响,修复后,做大量的业务测试,才能保证系统的稳定性。
越来越多的系统采用微服务架构来构建自己的业务平台,各种应用使用大量接口API,接口安全问题不容忽视。API金钟罩:接口参数加密+时效性验证+私钥+HTTPS。
5、学习践行
有幸参会,聆听前辈们的演讲,学习行业里在安全方面的做法、产品、服务,重新思考安全的价值,不断践行。
以上,仅我个人粗浅的体会,安全的路还很远。