未来越来越多的组织,会改变以往盲目进行安全建设的风格,转而更加关注网络安全所带来的实际效果,并会有越来越多的人开始考虑安全建设的本质。那么,安全建设的根本目标是什么呢?
我认为在2.0时代,安全建设的目标有两个,一个是解决传统安全所不能解决的问题,也就是提高主动安全防御能力;另外一个就是让安全工作变得更方便,安全工作变得更有效率,提高整体安全运营的能力。

基于主动防御能力,建设安全运营中心的一点思考

风险评估应该算是安全服务、安全咨询,最为重要的一个组成部分,相信大部分人对它都有着难以割舍的情感。所以,今天就来聊一聊风险评估,那个曾经在安全行业里大红大紫,现在却没多少人太Care的风险评估。
本文以时间顺序,来总结一下风险评估发展的各个阶段,以及它在各时期所发挥的作用。由于各阶段时间上重叠,精确时间没办法一一考证,所以,时间只是作为一个阶段发展大致参考。

沧海桑田,看风险评估在这十五年间的变化与演进

我将办公网安全全貌划分成三大部分本篇为基础能力,算是对上一篇的一部分前置条件的补充;第二大部分我称之为横向拓展,设计监控与运营(SOC)、网络准入、文档安全、设备管理、终端检测&响应(EDR)、数据防泄漏(DLP)以及一部分认为在建设中后期才需要做的事情;最后一部分称之为温饱之外,主要是阐述一些可以集成提供的IT服务能力,近期应该会紧随发出下一篇。

浅谈BeyondCorp(二)-标准化是办公网安全的基石

这个“CSO怎么做”的系列,到这一章算是收个尾。我一直在琢磨这几个问题:信息安全市场到底是甲方引领,还是乙方引领驱动?为什么国内很多安全产品、长期以来没有适应国内科技创新型企业的需求?

CSO怎么做(11)2018年系列收尾兼回答几个问题

不管是直接使用开源技术,还是购买开源技术的商业软件都需要考虑开源技术带来的风险,只不过是规避开源技术风险的责任主体不同。 金融机构在使用或引入开源软件或代码时,除了需要考虑开源或许可证兼容风险、违约或其他法律风险、以及数据安全或隐私风险这些开源软件本身所带来的风险外,还要考虑监管合规风险等行业特定风险。

浅谈敏捷开发模式下银行业金融机构开源软件引入风险及管控举措

本文之所以跳出技术谈战术,一方面是基于客观的攻防形式,另一方面也是考虑到紧缺的安全资源。安全投入不足,缺乏人员、技术和资金,是企业安全的常态化问题。网络安全攻防对抗是相对复杂的系统性问题,守方的牌永远不够打。通过对战术的研究和思考,可以将牌在正确的时机打到正确的地方,有助于将有限资源发挥最大化作用。

浅谈网络攻防中的战术对抗

2018年“十大安全技术”换成了“十大安全项目”,所为何故?我个人的理解:今年“十大安全项目”的叫法更加符合客户视角,而且更加强调对客户而言具有很高优先级的技术。也就是说,也许有些项目涉及的技术不一定是最新最酷的技术,但对客户而言是特别有助于降低安全风险的技术。如此一来,十大安全项目考察的技术点就要比十大安全技术更广泛,更加客户视角。

Gartner 2018年十大安全项目详解

在今年不同的安全会议中大家都开始宣讲一种之前国内关注不多的模式-零信任架构概念,在全球领域内该概念下实践较为前沿的是Google BeyondCorp项目。我目前所在的团队一直在各细分领域学习并对标Google&Amazon等厂的优秀安全架构方案,并有幸参与、设计公司的零信任架构项目并去实践落地,也会在不涉密的情况下持续分享一些我的拙见。

浅谈BeyondCorp(一)-受管设备与分层访问

在互联网企业移动端业务发展到一定规模后,移动安全方向所输出的解决方案也需要更加贴合到保障公司业务的层面上,而非将自身及团队局限在传统意义的攻防对抗困境中。所以,在将上文所述的移动安全基础组件上线完毕后,我们除了在已有领域的深耕之外,会持续进行一些与业务紧密贴合安全方向的探索,分享从更多角度出发,在更多领域业务安全保障经验。

漫谈互联网公司移动安全体系的探索与实践