活动 | 甲方乙方对对碰:证券行业安全创新研讨

流苏 安在 2018-06-08


文 | 流苏

编辑 | 图图



2018年6月1日,上海的天气已经有着些许燥热,而愚园路一家私人会所中更是气氛高涨。在这里,一场小型的、私密的安全创新研讨会刚刚开始。


活动综述


此次会议由安在新媒体(AnZer_SH)发起,安言咨询、ISG竞赛组委会支持,众多安全专家、企业安全骨干齐聚一堂,共同探讨证券行业中网络安全的痛点、难点以及创新发展。这是继银行业专场、国企专场和保险业专场之后,安在针对证券行业举办的网络安全创新研讨会。



安在针对各行业用户发起组织的网络安全研讨会是一个系列活动,其目的在于将安全行业中新型的技术和创新性的解决方案展示给奋战在安全一线的企业用户、专家;同时也希望听到来自一线用户的声音,分享自己的实践感悟、心得以及对解决方案的看法。


本次活动主持人、安在新媒体创始人张耀疆表示,安在组织的系列活动只是一个起点,未来还将会有更多、更有趣的交流活动邀请大家参与,共同探索网络安全的发展。


同时,安在新媒体也正着手成立以企业用户为核心的网络安全专家联盟,旨在将这种高价值的交流机制进一步延伸扩展并常态化。


在嘉宾演讲之前,活动主持人张耀疆对以往三次活动进行总结,并表示,“安全不是一个单一化的工作,安全实际上是和开发、运营、测试等方方面面联系在一起,如何把安全和各方面工作结合并实实在在落地是值得思考的”。



在现场,厂商与企业用户、专家之间的碰撞也是必不可少。面对同样一个问题,厂商与用户的角度各不一样,从自身出发所得出的结论也各不相同;同时,第三方专业咨询平台从专业角度看待安全行业的发展,对厂商与用户之间的痛点和问题也更加了解。不同的观点碰撞出不一样的火花,不同的思路意味着更多的选择。


此次活动中,知名安全企业如八分量、瑞数信息、安全狗和安言咨询等现场分享安全解决方案和咨询服务干货。


另一方面,国泰君安证券、中银国际证券、上海证券、光大证券、申万宏源证券、快钱支付、华宝证券、华福证券、东方花旗证券、兴业证券、海通证券、合影影视基金、交行信用卡中心、上证信息、移动互联网应用工程实验室、上海信息安全行业协会、上海市测评中心等企业信息安全负责人、技术骨干出席会议。


嘉宾们听取网络安全厂商干货分享,了解最新的信息安全解决方案;同时,从企业用户角度出发,分享实际应用过程中的需求、痛点。


议题介绍及专家观点


八分量创始人&CTO;   魏明
DASO区块链:数据中心持续免疫体系


目前,很多企业都已经完成了等保2.0的要求,但是这并不意味着企业可以免疫安全威胁;及时准确的安全运维、响应、追溯能力才是免疫安全威胁的核心能力。新形势下,越来越复杂的高级持续性威胁已经让传统防御捉襟见肘。



对此,八分量魏明表示,利用机器可信+智能安全+专家团队的新安全思维将为企业提供持续免疫力。为此,八分量将区块链技术融入到安全防御之中:DASO链驱动的Ops可以解决企业数据中心安全运维问题,对抗长期持续潜伏;DASO驱动的DevOps:解决企业数据中心安全开发运维问题,对抗恶意内部员工。




专家观点


专家:数据源能支持多少种类,是否能够达到所有的数据都可以上链、可信的存储?


魏明:区块链技术很多,但是依旧处于发展之中,所以并不能达到现在支持所有的数据源种类。目前,对于缓存文件我们暂时不管,而默认存储文件大小是15兆,单文件最高只能储存2G,能够满足用户需求。此外,我们一般也都会提前和用户沟通,用户也可以根据自己的实际情况来做决定。


专家:我简单问一下,这个技术是先存储白名单和配置文件,并在实际生产运行时候是以某种机制来检查是否一致?


魏明:区块链的作用是防篡改的,我的检查机制是要求使用者一定要合规的操作。基于区块链的智能合约来归属文件上传的流程,一旦产生新的数据,智能合约将会进行检查,如果之前的操作过程不合规的话,新产生的数据将会被智能合约阻隔。


专家:日常实际操作和应急操作怎么样呢,毕竟券商有时候会有应急操作?


魏明:这个主要看到时候智能合约怎么写。如果是非常紧急的情况下,可以将智能合约改成只走一步,在不紧急的情况下走完整的步骤,这个客户可以灵活处理。


瑞数信息技术总监   吴剑刚
赢在动态安全


面对新兴的威胁和大量自动化攻击,传统安全防御难以保障企业安全。信息安全防御和业务欺诈相互交叠,虚假交易和交易篡改,营销资源恶意抢占、套现等问题不断的困扰着企业信息安全。



对此,如数信息提出“动态安全”防御技术:利用动态验证(甄别“人”还是“自动化”)、动态混淆(防止数据被篡改)、动态封装(隐蔽攻击入口)、动态令牌(一次性令牌)、动态变换等手段,在风险进入服务器之前进行识别、防御,将风险拒之门外。




专家观点


专家:浏览器是怎么做的,是下载插件吗?是否会被防护系统阻隔?


吴剑刚:其实我们在web端的防护,是在封装的时候插入JS代码的,以此来取消键盘。我是和客户网站在一起的,因此防病毒软件是不会阻断我们的操作,我们的客户都没有这个问题。


专家:手机薅羊毛中,手机的GPS信息、SSID信息以及手机的其他一些状态是如何获取的?


吴剑刚:我们是有设置相应的权限的,如果您达到这样的权限是可以拿到这些信息,也就是说,厂商在上线之前是需要我们进行集成的,并放入我们的代码在里面。


安全狗金融行业解决方案总经理  孙巍
金融网络资产与安全威胁治理


目前,金融企业面临着越来越严峻的网络安全威胁,传统安全防御系统无法保障主机安全。例如,利用WMI实现后门的存储和本地持久化,不熟悉WMI的人难以发现其踪影;利用PowerShell载荷使得目标系统运行的是合法的进程,只有在增强型日志记录或内存中才能发现恶意代码运行痕迹。



对此,轻量EDR解决对策可以在事前、事中、事后三个阶段,从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题。通过主机EDR能力的增强,反哺SIEM或SOC平台,最终达到全网自动响应 已知威胁的能力以及对未知定向攻击的检测告警能力;实现主机数据采集、威胁情报获取、大数据分析、告警及响应等功能,全面保障系统安全。




专家观点


专家:现在这块在应该是蛮痛苦的领域,虽然很有必要、也很有效果,但是很多甲方企业好像不太愿意安装Agent,不知道这个矛盾是怎么解决的?


孙巍:Agent自身其实是有保护机制的,例如我们有定期的打卡机制,我们也可以设置一个上限标准,超过这个标准就会自动停止。其次,Agent在内网的用量比较大,正常是不对外开放端口的,在流量这块也有做流量压力测试,我们的用户也有安装几千台上万台,所以稳定性和内存占用是经过了市场考验的。


专家:安全狗在SaaS上Linux和Windows两个操作系统的比例是多少?每个主机都装了Agent,那么Agent的数据是通过端口传输还是装在内网的?


孙巍:大概是三七开,Linux占30%,Windows的量要大一些,占70%。在偏wolf端我们是推荐部署在公有云的,一般是中小企业客户, 我们有着四五十人的团队,服务了几千家客户;大型客户一般是在内网的,像一些大型的架构如Windows都是在内网完成的。


安言咨询资深顾问  张锐
金融业信息科技风险与安全管理体系建设实践


在信息科技管理体系整体规划中,应结合外部风险环境和内部发展要求,对信息科技风险管理现状进行分析,并做合规差距分析。



通过差距分析确定改进需求,继而确定改进措施,对改进措施进行分析整合,设计各类项目。进行项目优先级和依赖关系分析,确定实施路线,做投资管理,并做可行性分析,最终确定项目目录。


金融业机构在信息科技组织体系建设中,可以在不同组织范围建立“三道防线”:信息科技管理、信息科技风险管理、信息科技风险审计。而在信息科技制度体系建设中,岗位职责要求来源于制度文件,并与合规要求、风险点相关联。




现场花絮



主题分享


八分量

北京八分量信息科技有限公司成立于2016年11月11日,是由北京大学软微信息安全硕士、牛津大学信息安全博士阮安邦创立。目前,八分量创始团队通过在北京大学、牛津大学八年的科研积累;结合欧盟FP7,ESPRC等重大跨国合作项目的成功经验;采用国际领先的可信计算技术,从传输、运算、存储与审计等数据生命周期出发;用可信硬件全面保障云计算平台数据,时刻处于被加密或被可信的软件解密和处理的状态。实现了将防止云计算入侵代价从传统的软件远程破坏提升为标准可信硬件的物理攻击,从而实现了高强度的数据安全与可信的双重保障。


瑞数信息

瑞数信息( River Security ),成立于2012年,专注于提供业界最前沿的互联网动态业务应用安全防护解决方案。总部位于上海,在北京和深圳分别设有分支机构,并在成都设立了研发中心。首创的 “动态安全”主动防护技术完全颠覆了延续20多年的传统安全技术基础,可以有效抵御各类自动化攻击或模拟合法操作的交易欺诈行为,阻挡能力更高效、更及时,同时大幅度降低部署及使用成本。


安全狗

厦门服云信息科技有限公司成立于2008年,安全狗是厦门服云信息科技有限公司旗下网站。安全狗,知名互联网安全品牌,领先的云安全服务与解决方案提供商。安全狗首创的云+端的云安全管理平台(SAAS模式)为用户解决公有云、私有云和混合云环境中可能遇到的安全及管理问题。截至目前,安全狗云安全服务平台已经为客户保护超过300万台(云)服务器及200万个网站,日均拦截超过近2亿次的攻击,已成为国内该领域广受用户认可的云安全服务平台。


主办方


安在

国内最权威的信息安全新媒体,专注为安全厂商提供包括品牌包装,媒体推宣、市场对接等在内的专业服务。


安言

国内最早也是目前最权威的信息安全专业咨询机构,自2004年起,迄今已在包括银行、证券、保险、运营商、电力、外企、制造业、互联网等典型行业积累了数百家客户案例。


ISG

中国信息安全技能竞赛(组委会支撑单位是上海易念科技),是由中国信息安全认证中心与上海市信息安全行业协会联合发起,参考人社部相关文件要求成立竞赛组委会,并由竞赛组委会主办的全国性信息安全专业方向综合类竞技比赛,目前已成为中国网络与信息安全领域最具影响力和权威性的综合性赛事。ISG所汇聚的信息安全参赛人员及专家团队,基本涵盖各行业企业用户单位的信息安全技术骨干和管理人员。





「推荐阅读」

活动 | 甲方乙方对对碰:国企网络安全难题怎解?


活动 | 甲方乙方对对碰:银行企业数据安全锦囊何在?


活动 | 甲方乙方对对碰:保险业网络安全落地探讨


人物 ∣ 热点∣ 互动 ∣ 传播

投稿及商务合作请在后台回复关键字即可

    本站仅按申请收录文章,版权归原作者所有
    如若侵权,请联系本站删除
    觉得不错,分享给更多人看到