北京ISC网络安全大会

北京，

是一座你来了便不会忘记的城市。

这座昔日的古都，

如今又成为人们所关注和向往的地方。

云安全联盟CISO高峰论坛

数字化转型

数字化转型是一个产业，是指经营的数字经济时代，在领域内的价值创造（用户体验、业务增长、商业模式等），也就是新一代的网络化、数字化、智能化技术。

分词理解：数字化=手段；转=战术（方法）+实践；转型=目标。

个人见解：数字化转型产业已然来临，如银行。虚拟世界(计算机)与生物世界（人、动物）相结合的时代，做好数字化安全是很有必要的，方向可以是增强甲方业务主机保护能力（防御提升、支持热响应，即发现攻击后不仅只是检测，还能直接阻断或是修复，做到这样的技术类似是“火眼”的EDR“回滚”操作，类似快照还原的功能）、增强用户体验等。

一横三纵方针

以业务为主线，牢牢把握“科技·安全·生态”三大核心立足点。

业务>科技>安全。

数智化安全能力框架

（城市比作业务，把操作业务运行的人【老板】比作市长）。

数字化业务安全：线上交易安全、隐私保护、反欺诈、内容安全、智慧城市安全……；

数字化科技安全：大数据安全、AI安全、物联网安全（万物皆可互联）、区块链安全、工业互联网安全……；

数字化基础设施安全：云原生安全、零信任、主机安全、应用安全……。

SASE

利用CDN/VPN等产品提供部分云化安全能力（如抗D）；
传统安全厂商，提供订阅服务；
基于零信任产品改造。

数字化安全体系建设实践

安全意识、零信任——安全实践、安全工具与方法——安全过程自动化、安全流程IT化、安全团队建设、安全知识库建设——应急响应、循环改造

数字化安全未来方向

客户信任、零信任架构、自动化安全、数字化可信。

基于云化的数据安全解决方案思路

综合治理平台：策略采集——策略处置——策略联动——策略下发；

统一策略平台：数据库审计——资产梳理——终端防泄露——数据库防火墙/加密——堡垒机——统一身份管理。

信创安全技术与应用

安全运营体系

资产清单——资产监控——资产判定——资产处置——安全恢复——处置报告。安全检测：

漏扫工具——渗透测试——代码审计——安全测试——互联网监控。

底层采集：安全工具、系统日志、网络日志、应用日志。

三道防线：安全测试全覆盖、强化渗透测试、全天候SRC众测。

云安全联盟CISO高峰论坛

网络安全运营实践

综合分析研判、主动防御、监控发现、基础安全支持。

SDL管控服务平台：安全左移、适配DevSecOps(集成工具、提供自动审计功能)，安全Wiki建设、数据采集能力、数据分析能力。

情报能力建设

威胁发现——攻击意图挖掘——设备赋能；

情报聚合、情报分发、展示——沙箱集群、知识推理、分类、蜜罐日志、情报线索、告警日志。

应急处置能力

安全编排与自动化响应平台。

案件管理——安全编排与自动化——告警管理=综合分析平台——CMDB——UEBA

网络安全态势检测

活跃设备检测——扫描探测活跃检测——恶意攻击代码检测——重点业务安全态势检测——事件检测。

关联分析

三个关键词：机器学习功能算法、业务数据、威胁事件。

CSO高峰论坛

安全态势全景，挑战持续变化。

攻击团队持续专业化、攻击手段持续更新、数据安全风险持续、损失持续扩大。

篡改、仿冒、诈骗持续增长，成为热点标题。

可持续网络安全运营的团队组织，服务团队、运营团队、技术支撑团队。

云原生安全

传统的攻击方式对容器同样有效，内核漏洞逃逸等、配置安全、计算、网络运行环境安全、CI/CD安全、镜像安全等。

解决方案：平行容器+主机agent，镜像安全扫描+镜像运行时阻断。

特权账号管理

思路：识别（资产、账户收集）——防御（身份认证、访问控制）——检测（弱口令检测）——响应——恢复（账号台账、物理设备恢复）。

ATT&CK安全能力衡量论坛

实战驱动的网络安全方法论。

攻击者视角全景框架：网络杀伤力框架（洛克希德-马丁）、入侵者技术战术知识框架（MITRE）、公共网络威胁框架(美国国家情报)、技术性网络威胁框架（美国国家安全局）;
防御者视角全景框架：网络安全框架（NIST）、主动防御框架（MITRE）、社区防御模型（CIS）、网络安全对策知识图谱。能力视角成熟度：网络安全成熟度模型认证，CMMC（美国国防部）、CMM2（美国能源部）。
确保三个元素的关联性：攻击框架（CTF/TCTF/ATT&CK）——防御框架（NIST CSF/SHIELD/MITRE/D3FEND）——成熟度模型（CMMC、CMM2）。

360全景攻防知识图谱：兼容ATT&CK模型（杀伤链攻击全景）——攻击战术、攻击实体元素、关系模型、攻击检测规则、APT组织——应急预案（漏洞和受影响的资产）。
360网络安全防御框架：进攻反制——情报运营——主动防御（框架覆盖，shield、d3fend）——被动防御。
360成熟度模型：获得能力——积攒能力——提升能力——输出能力。
个人见解：继续深、广化ATT&CK防御能力，研究shield、d3fend框架，构建知识库。