腾讯安全

腾讯安全 查看完整档案

深圳编辑  |  填写毕业院校  |  填写所在公司/组织填写个人主网站
编辑
_ | |__ _ _ __ _ | '_ \| | | |/ _` | | |_) | |_| | (_| | |_.__/ \__,_|\__, | |___/ 个人简介什么都没有

个人动态

腾讯安全 发布了文章 · 4月9日

持续增长的物联网行业,安全体系建设跟上了吗?| 产业安全观智库访谈

物联网(IoT)实现了物与物、物与人之间的泛在连接,让万物互联从理想走向了现实。从车联网、工业物联网乃至家居物联网,物联网正在为越来越多的行业注入新的发展活力。

在十四五规划中,“物联网”被划定为7大数字经济重点产业之一,并明确指出将在基础设施、接入能力、应用场景三个方面进行布局。毫无疑问,物联网已成为我国十四五建设的重要组成部分,将迎来持续增长空间。

然而,物联网技术在为民生、经济和企业发展带来新机遇的同时,由此引发的黑客攻击、网络攻击、信息泄露、隐私保护等安全问题层出不穷,危害更加突出,物联网安全日益受到企业和消费者的广泛担忧和重视。如何有效地利用物联网技术的优势为自身发展创造价值,成为了物联网行业参与者的“必答题”。

为此,针对“物联网安全”这一核心命题,本期「产业安全观智库访谈」邀请到了中国信息通信研究院安全研究所主任柯皓仁行业资深CSO周智坚两位专家,从物联网安全的当前规律和未来趋势出发,解析IoT安全的痛点和建设思路。
https://www.qq.com/video/s323...

物联网应用持续落地,背后的安全问题亟待解决

Q1:物联网在带来诸多便利的同时,安全性也正在被全社会广泛关注。从近年的物联网安全事件中,可以发现哪些普遍性的规律和趋势?

柯皓仁 :从整体规律来看,首先攻击方式现在比较多样化。从原来一些比较单一的手段,比如说在2000年-2010年之间,都是一些病毒木马、个人隐私等相关的攻击居多。但近几年,攻击目标、攻击手段也逐渐渗透了物联网应用的工业领域或者其他一些行业领域里。原来互联网的安全攻击面向应用,但是现在面向整个物联网的多种应用平台、多种的智能终端。

攻击技术也发生了变化,黑客或者其他的一些具有攻击目的组织,会利用人工智能,区块链这些新的技术发起攻击。特别是到了企业侧,物联网技术应用更加会引起具有商业目的或者敌对国家,有组织行为的攻击。整个攻击方式、工具、技术,相对于原来的个人黑客攻击还不太一样,它造成的危害也会比较大。

从大的趋势来讲,物联网应用的场景以后也要分多层级,去进行相应的安全设计和防护。因为个人更加注重个人隐私保护,但企业更加注重业务应用,包括工业数据或者业务数据安全性的保护。

另外,我们国家也在推数字化转型,重点面向一些国有工业、企业进行工业转移升级、工业4.0,在这个过程中物联网技术应用比较多,物联网安全会更加受到国家关注。在大的趋势上,整个物联网安全相关的一些政策标准会趋于完善,但是目前刚刚起步,虽然物联网已经提了十几年了,但是整个物联网安全的顶层设计,不管是指南性的,或者说标准政策的、法规性的还是比较弱。

周智坚:我个人理解物联网目前还没有大规模的推广,它其实还在一个概念阶段。但是物联网爆发的时间很快会出现,因为国家现在在做整个国企的数字化转型。从趋势来讲,接下来五年到十年的时间,物联网的趋势会越来越明显。

物联网就相当于我们把手机全部放在网上,只要放在网上,它就会有安全问题;相当于生产环境里面所有的东西,都暴露在互联网上,它的安全问题影响会非常大。这也就意味着安全是企业的深层问题。

Q2:您认为当前物联网行业还存在哪些普遍性的安全痛点?

柯皓仁:第一,针对用户的个人应用场景,包括消费互联网、移动互联网。首先终端的多样性,在通信层面我们使用的无线的通信协议,包括Zigbee、传统的电信通信3G,4G,5G、工业领域的通讯协议,智能终端的变化防护起来的话就会比较困难。另外,因为物联网在端一侧大规模、海量的应用,对于防护者来讲的很难做到有效的防护。针对个人用户,物联网应用加大了便利性,但是个人隐私保护,还处于相对不成熟的阶段。这也是防护的重点、想解决的痛点。

第二,从企业侧来讲,应用手段已经相对比较成熟了,但很多企业不敢用,就是所谓的安全痛点在。因为他不知道企业应用物联网技术后,会存在哪些安全风险或者带来一些新的安全危险,可能造成的安全损失比获得的便利性要更加严重。对于物联网应用的普及和推广,作为企业用户,就会有这样的顾虑。

从这个层面看有一些痛点亟待解决。但是企业用户更加需要去解决顶层设计、从整个安全闭环管理上,去解决业务上的安全防护要求,对于企业用户会是比较合适的道路。

周智坚:关键问题是行业没有形成大的、实际上的场景趋势。物联网的参与者,比如物联网平台、以及IoT设备的制造商,他们之间都没有很好的标准,就会有很多的乱象,这是最大的痛点。

这种痛点就导致因为没有场景,企业投入安全面临到底有多少产出的问题,他利益是不成正比,这是最根本的核心问题,并不是他不想去做安全。当场景足够广泛以及安全问题对他的投入产出比影响足够大的时候,那么这种痛点自然而然就会消失。

安全厂商该如何应对,确保物联网产业安全?

Q3:对于物联网安全体系建设,您有哪些建议呢?

柯皓仁:可以从两个方向来讨论,一个是安全管理,一个是安全技术体系的建立。

首先,从安全管理体系的话,也分几个维度:

第一,整个国家的主管部门、行业主管部门到产业链各方,要完善顶层的体系建设、安全管理体系建设,比如行业主管部门应该推动完善一些顶层设计、标准政策、技术标准、管理标准,顶层的建设意见、指南规范等的建设。

第二,回到应用物联网本身,整个安全管理体系的建设能够形成企业内部的安全管理闭环,包括安全风险识别、安全风险管理、组织架构、安全风险评估、应急演练,能够去发现安全事件,进行应急的处置和恢复。

其次,回到安全技术体系,从大的层面上,逐渐完善我们云管边端每个层面的安全技术能力的建设。

  • 端一侧,相应技术体系构建,用一些新的技术,把相应的安全技术进行进一步的提升;
  • 终端一侧,会有轻量级的安全防护解决方案,有相应的产品的孵化和应用;
  • 网络一侧,针对不同的物联网层级,有不同的安全技术防护内容,比如在5G网络环境下,怎么样去利用5G本身提升的安全性能,怎么样在5G+物联网应用过程中,去建设整个安全防护的技术体系。

针对安全防护对象不同、物联网应用的场景不同,去设计安全技术体系,比如数据安全,到底是保护的是个人信息,还是保护企业侧的物联网应用业务数据、生产数据。

所以说,分类别或者分级别去进行安全技术体系的构建,从端、云、平台侧,去构建相对比较完善的技术体系。

周智坚:对于安全,我自己有一个概念叫1+1+N,即一句话的安全架构+一个安全ERP+N个安全产品。未来的物联网安全跟现在的产业物联网数字化转型的区别就在于它加了IoT设备,整个设备从生产、制造设计到运输和部署整个环节的安全问题,因为是一整个生态链很难控制。我对于IoT安全的体系建设的展望:IoT设备的安全加上1+1+N,就能从框架上比较全面的覆盖整个物联网行业的安全风险。
Q4:物联网产业和安全产业应该如何联动去持续优化安全能力,专业的安全厂商可以提供哪些助力?

柯皓仁:目前物联网安全厂商专业划分不多,很多传统的安全厂商、头部企业都有自己的产业互联网、物联网的安全事业部或者分支。但从本身的赋能来讲,技术能力、技术体系是趋向一致的,并没有特别大的变革。物联网安全企业它本身的驱动力是有的,行业是逐步上升的趋势。一些产业预测物联网安全是持续增长,到2025、 2030可能会有一个比较好的市场爆发。

我认为存在这两种发展道路:第一,像头部的安全企业,或者是传统的网络安全企业,针对物联网安全再去细化或者做整个产品线的迭代,产品的应用能够深入推广,逐渐形成第一梯队。第二,从工信部的角度来讲的,也希望能够培育出来细分领域的龙头物联网安全企业,对产业是比较好的趋势。

但是要把物联网安全企业和物联网产业充分结合起来,要打通的东西还比较多。除了顶层设计上缺失外,物联网的一些设备终端的提供商,不管是从他的能力上或者成本角度来讲,对于安全的驱动力是弱的。但是物联网安全企业他了解安全风险的隐患,有大的驱动力去投入。

不仅如此,个人用户和企业用户对物联网安全企业也提出了不同需求,比如专注于消费物联网还是回到企业一端,有两个大的区别。这也注定了物联网安全企业,在整个物联网产业链条上要寻找好自己的定位。

总的来讲,未来5-10年,包括一些权威的产业预测,物联网安全企业的发展还是向好的。

周智坚:实际上,物联网行业跟现在所处的数字化转型或者产业互联不同的点在于,数字化转型可能只是把业务信息化、数据化、甚至自动化。但是物联网会把所有的生产性设备都互联化了,成为了生产的一部分,物联网安全跟企业本身融为了一体、跟业务是完全融合的。这也是物联网安全的特点:没有安全,物联网的产品本身就很难去走向市场,安全也是它物联、互动的关键。

所以物联网时代,它的产业跟安全的结合点应该要实现一体化的运营,安全也要数字化、自动化。这样的话,它们的联动、生态才能不断的扩展,往健康的方向去走。

目前安全厂家做准备就行了,因为盈利的时代还没有来,它只要关注。比如说关注现在IoT设备到底有哪些?看看他们到底有哪些问题。

我有三个建议:第一,对于设备这一块,要有评价的标准,可以是服务。第二,对于设备本身符不符合安全等级,要有检测的平台或者模拟攻击的平台去检测它。第三,整个平台的运营过程中,要按照安全的数字化运营的方式,我刚才提到的安全1+1+N的方式去做,1+1+N现在也有很多企业都在做。打好现在的基础,那么以后loT来了自然而然的就能赶上一波好时代。

写在最后

近几年基于物联网技术的智慧城市、工业互联网、智慧医疗等相继落地,我国物联网市场规模不断扩大。数据显示,到2024年中国物联网市场支出将增加到3133亿美元。然而,物联网还面临着需求碎片化、技术复杂多变,安全事件频发、安全风险扩大,以及成本过高、盈利模式不明确、缺乏顶层设计、行业标准等多层次的问题。这也就对物联网的发展提出了进一步的要求,多方共建共治共享成为大势所趋。

作为产业安全的领导者,腾讯一直深耕物联网等前沿技术领域的安全研究。在车联网方面,汇总了实验室过去四五年间在车联网安全上的经验积累,发布了专注于嵌入式系统的全自动安全基线审计的渗透测试辅助平台工具sysAuditor,可以把90%共性安全问题检测出来;为促进行业规范化发展,腾讯牵头的国际标准“物联网异构设备的数据安全要求”成功通过了国际电信联盟的审议并立项。在生态建设上,与泰尔实验室共建创新研发中心,护航物联网产业安全。未来,腾讯将持续开放安全能力,共建繁荣的物联网产业生态。

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 4月8日

今天,和上汽集团官宣!

今天,上汽集团和腾讯签署战略协议,宣布共建网络安全联合实验室。双方围绕智能网联汽车网络安全标准规范、攻防技术、安全研发、安全运营等领域开展深度合作。
image车联网

此次成立联合实验室,是上汽集团和腾讯立足国家战略、着眼产业发展的有力举措,将有效保障智能网联汽车用户的个人隐私、数据安全。双方将针对智能网联汽车开展车辆攻防、安全技术研发,共同打造网络安全产品;将网络安全建设融入整车研发制造流程,提升智能网联汽车云管端一体化的网络安全水平。

同时,联合实验室还将建立覆盖智能网联汽车全生命周期的网络安全运营体系,实现快速、全面、精准的监测预警和应急响应,形成行业领先的智能网联汽车网络安全运营能力。

上汽集团和腾讯将携手打造用户的“网络安全底座”,共同树立智能网联汽车网络安全行业新标杆。

上汽集团作为国内规模领先的汽车上市公司,全力推进电动智能网联汽车技术的产业化发展,积极引领“数据决定体验、软件定义汽车”的行业变革,向移动出行服务与产品的高科技企业全面转型。2018年成立了行业内首个网络安全实验室与安全应急响应中心,目前已初步建立了包括远场、近场、车载及车内四大类安全场景的智联网联汽车网络安全能力,积极树立差异化的网络安全技术优势。

腾讯作为目前中国领先的互联网增值服务提供商之一,在数字内容、云计算、大数据、人工智能、信息安全等领域均走在全球前列。其中腾讯安全在物联网、工业控制、智能机器人、智能基础设施等领域积累了丰硕的安全研究成果,具备国际领先的安全自动化分析能力。尤其在智能网联汽车网络安全领域,以科恩实验室为代表的腾讯网络安全团队,输出了多个如特斯拉、宝马、丰田等网联汽车的国际级研究成果,并为包括上汽在内的20家余家整车企业提供网联汽车安全解决方案和专家服务。

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 4月8日

放榜!腾讯iOA、腾讯天幕入选国内数字化可信服务首批认证产品

近日,由中国信息通信研究院、中国通信标准化协会主办的“2021数字化转型发展高峰论坛”上,腾讯安全再获两大殊荣,腾讯 iOA 、腾讯安全网络入侵防护系统(腾讯天幕)入围国内数字化可信服务首批认证产品
image

腾讯安全两大产品以及腾讯云旗下TCE服务、企点客服成为国内首批认证产品,标志着腾讯云在云安全领域的技术能力和探索实践得到了有关部门的专业认可。

落地实践+标准制定,腾讯 iOA 助力提升业务安全和办公效率

腾讯 iOA 是腾讯安全在零信任领域的重要落地实践。早在2016年,腾讯自研的 iOA 率先在企业内部实践落地零信任安全架构,去年疫情期间,腾讯 iOA 成功为超过7万名员工和10万台服务终端的跨境、跨城远程办公提供了安全护航。

作为腾讯级安全解决方案的标杆,腾讯 iOA 也实现了对外输出和助力。为满足猿辅导在线教育3.5万内部员工面向4亿用户的办公需求,腾讯 iOA 为猿辅导打造了兼具云端业务与员工终端安全高效连接,和快速扩容安全响应的一站式零信任安全体系,实现了业务安全和办公效率的双重提升

产品实践之外,腾讯安全还致力于引领国际国内零信任标准落地,主导推进了CCSA(中国通信标准化协会)、ITU-T国内及国际零信任标准立项。去年12月,腾讯牵头与16家产学研用代表机构共同成立的零信任产业标准工作组(现32家),正式发布了 “零信任系统技术规范”联盟标准,将进一步助力完善行业标准。

深度打造安全算力算法,腾讯天幕帮助实现自动化安全运营

基于腾讯云及内部安全实践打造出的安全算力算法PaaS平台——腾讯安全网络入侵防护系统(腾讯天幕),荣获“数字基础设施一体化云平台服务商能力要求”认证。

腾讯天幕拥有60多项国家专利安全算力的自研技术,形成了具备海量实时、自动智能、新型安全防护、安全可视化等优势的整体风险管控能力体系。通过软硬件联动升级,尤其是安全算力算法向的深度打造,实现了高达99.99%的网络威胁旁路阻断成功率。

目前,腾讯天幕已成功助力金融、能源、广电媒体、航空等行业标杆客户实现在国家级安全演练、边缘计算、安全合规等场景中的自动化安全运营。

随着产业数字化转型的不断深入,未来会有更多企业选择云作为承载数字化转型的平台。继两款产品首批通过数字化可信服务评估后,腾讯安全将不断完善云上安全解决方案,为企业数字化转型夯实底座。

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 4月8日

腾讯安全正式发布《IoT安全能力图谱》

IoT技术,正在融合物理和数字世界的边界。

近年来,智能家居、智慧城市、工业互联网、智慧医疗等领域快速发展。IoT技术以联结为基础、数据作核心,在提升公众生活质量、增加企业生产效率、优化政府公共管理等场景中实现了突破性的价值创造,逐步成为新时代不可或缺的基础设施。

但技术和安全永远是一体两面。任何新技术的应用,都不可避免地会带来全新的安全风险和挑战。IoT技术也不例外,由之带来的安全风险亦呈现出全新特征:

  • IoT的攻击难度更低:攻击者可以从分布式的物联网终端获得更多的攻击入口和对象。
  • IoT的防守成本更高:物联终端因其功耗和计算能力限制,往往难以直接应用现有的防御技术。
  • IoT攻击的危害更大:物理和数字的融合,使得恶意攻击者能够真正给物理世界带来更巨大的破坏。

对企业的安全管理者来说,在业务快速拥抱IoT技术变革的时代,如何使其安全能力快速匹配新业务场景,延续有效的安全控制水平,正在成为其核心的目标和关注点。

腾讯安全专家咨询中心,结合IoT相关标准和国内外IoT最佳实践,针对企业如何构建IoT安全能力体系,发布整体能力清单和指导框架,绘制成通用性的IoT安全能力图谱,旨在帮助企业面向万物互联时代进行安全能力转型和升级。
image

关注腾讯安全(公众号:TXAQ2019)

回复【IoT安全能力图谱】获取原图

腾讯IoT安全能力图谱提出了六大能力:IoT安全治理能力、信任链构建能力、价值链保护能力、IoT系统“管边端”安全管控能力、IoT系统生命周期管理能力、IoT系统安全运营能力。

  • IoT安全治理能力,是高阶的风险治理能力和组织、流程保障机制,以建立对IoT风险的有效分析、评价、处置和监控能力。
  • 贯穿“云管边端”的信任链构建能力和贯穿数据生命周期的价值链保护能力,主要强调从全局视角,在IoT系统各能力组件和参与方之间,建立起可信的网络和业务联结,并基于其核心业务价值保护,对IoT系统采集和处理数据建立完整的全生命周期管控能力,这两个能力的构建需要充分打通IT和OT技术的边界,从企业治理视角进行综合考量。
  • IoT系统“管边端”安全管控能力,聚焦IoT技术不同于传统IT技术的特点,针对其“管边端”业务场景特点给出了针对性的控制能力特化要求。
  • IoT系统生命周期管理能力和IoT系统安全运营能力,定位于对IoT安全治理要求和上述三项能力在IoT系统建设中的有效执行落地、以及运营过程中的持续监控和处置。

一、IoT安全治理能力

任何信息安全治理能力的核心,都是对风险的有效识别和持续管控,IoT安全同样并不例外。该能力构建的重点在于建立企业层面针对IoT风险的管控体系,并匹配相应的组织、人员、流程和监督保障。这些能力的构建,是独立于特定IoT系统的,但却是做好特定系统IoT安全所必不可少的基础支撑。

此外,IoT安全治理能力无需独立于IT安全治理,其高阶风险管理、方针政策均应保持统一,但在规范与流程层面,则应建立基于各自业务特点的差异化要求和融合支撑机制。

二、贯穿“云管边端”的信任链构建能力

以联结为基础的IoT系统,往往涉及了云、管、边、端、人之间复杂和灵活的业务交互场景,且其核心能力的构建,很多情况下还需要与其他IoT系统或第三方之间建立更多业务和数据交互。这些复杂联结关系和业务逻辑,是恶意攻击者最关注的对象,仿冒、控制、窃密、篡改等等手段不一而足。

所以,通过有效的身份治理、可信计算、认证鉴权和AI行为分析能力构建的贯穿“云管边端”信任链,就必然成为IoT安全的最核心能力要求,只有确保可以信赖IoT系统的各个能力组件和服务,其上构建的复杂业务才能够获得基础的安全保障。

三、贯穿数据生命周期的价值链保护能力

IoT系统的核心价值创造,高度依赖于数字化联结之上的信息和数据采集、传输、分析和处置,而这也是另一个被恶意攻击者密切关注的对象。对核心业务价值的保护,离不开基于业务场景的数据资产梳理和数据流分析。只有清楚确定了保护对象,以及基于数据流分析所识别的安全与合规风险,才能有效保障这些数据及其承载的业务。

价值链保护能力围绕数据生命周期,并重点关注CII和PII数据合规,从IoT系统设计阶段,就应将安全与合规的要求整合到业务和场景当中,而不是依赖后加的数据安全产品来提供相应的保护。

四、IoT系统“管边端”安全管控能力

IoT系统“管边端”安全管控能力聚焦于IoT系统不同于传统IT系统的特点,对其散布在非可控空间的端侧和管道侧组件,提出针对性的能力要求。不同于前两点的全局性能力,IoT系统“管边端”安全管控能力往往内嵌在IoT终端或网络服务供应商的产品解决方案中。

对于企业管理者来说,更重要能力的是基于实际IoT业务场景的安全风险,参照本图谱建议评估厂商方案的完备性。中长期来看,IoT安全能力体系的建设中,可以由监管和测评机构建立对IoT系统“管边端”安全管控能力的评价和背书,以降低企业安全管理者在具体技术细节评估层面的投入。

五、IoT系统生命周期管理能力

IoT系统生命周期管理能力是一项过程能力,它强调的是安全管理者应该在IoT系统设计、建设、使用和废弃的全生命周期中,建立持续的安全风险识别、跟踪和处置能力。

特别是在系统设计和建设阶段,充分将安全控制措施内建在IoT系统自身逻辑中,而不过分依赖外加的安全产品。此外,多数IoT系统冗长和复杂的上下游生态和供应链,则提出了更严格的供应链安全管理能力要求。

六、IoT系统安全运营能力

与治理能力类似,IoT系统安全运营能力同样不隶属于特定的IoT系统,且同样建议和IT运营能力同步建设,是上述其他安全能力有效和持续运作的基础支撑,重要程度不容忽视。

IoT系统安全运营能力中,除了基础的安全运营监测、威胁与脆弱性管理外,非常重要的一个特点是,应特别关注对核心业务的隔离与保护能力,避免信息安全事件延伸到重大人身、生产和国家安全事件。

出品人:腾讯安全专家咨询中心——吕一平、陈颢明、曹静、田立、张康、朱新新、董林楠

腾讯安全IoT安全沙龙参会专家——柯皓仁、林志泳、苏洪江、李津、谭艺、吴鹏、乔冠霖、孙雪莱、周智坚、张金池、罗科峰、杨祥骏、陈凯、傅鹏君、孙强、李锋、孙晓奇、陈贤平、张富川、庞健荣(排名不分先后)

欢迎业内技术专家加入腾讯IoT技术讨论群,共同探讨IoT能力和技术实践。

扫描二维码进群

或添加小助手微信【 tencent_security
image
发送【IoT安全】进群

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 4月7日

产业安全专家谈丨数字经济高速发展,数据要素安全该如何保障?

今年“两会”期间,“数字经济”成为高频热词。数字经济之下,数据已成为推动产业转型升级、加快数字社会建设的重要的生产要素。

不过,在数字经济带来发展新机遇的同时,数据安全的形势亦不容乐观。公开资料显示,2020年全球数据泄露的平均经济损失为1145万美元。

面对数据泄露带来的风险,国内相关法律法规不断完善。针对国家法律法规及相关标准对企业提出的数据安全防护合规要求,企业该如何应对?如何高效通过密码合规的新难题?由腾讯安全联合云+社区打造的「产业安全专家谈」第二十八期就邀请到了腾讯安全云鼎实验室高级研究员谢灿,全面透析企业数据加密的策略和规划,并分享腾讯安全保障数据要素安全的落地应用。
https://www.qq.com/video/g323...

Q1:在前不久结束的“两会”上,“数字经济”成为一个被频繁提及的热词。那么数据在数字经济发展过程中承担了什么样的角色?

谢灿:从广泛意义上讲,凡是直接或间接利用数据来引导资源发挥作用,推动生产力发展的经济形态都可以纳入数字经济的范畴。

2020年,全球经受了新冠疫情的重大考验。在这样的考验下,数字政务、新零售、新文旅等在中国得到了进一步发展,也充分展现了数字经济的巨大潜力。我们说,资本、技术是工业经济的关键生产要素,那么数据则是数字经济时代关键生产要素。企事业单位利用好,发挥好数据价值,是数字经济时代业务创新、提升生产力的最主要动力。

Q2:数据的重要性不断提升,近年来企业数据安全事故也屡见不鲜,那么数据安全面临的风险主要有哪些?

谢灿:数字经济的核心是数据与产业的融合,其前提是数据的应用。数据在采集、共享、分析、流动与使用等环节都将面临不同层面的风险,这包括数据产权、数据流通、跨境传输和安全保护等层面的风险问题。

从单一数据安全层面上讲,在数据的生产录入与上传过程中,可能会遇到身份冒用的风险;在传输过程中,未妥善加密的数据面临着被黑客挟持等外部威胁;海量数据上传归集到大数据平台后,可能会面对拖库、撞库、误操作等大数据平台风险;处理完的数据,会流向各类办公人员,该环节也可能发生人员泄密,敏感数据失控外传等内部泄密问题。可以说,数据安全的风险实际是贯穿在数据全生命周期,需要基于信息安全技术,实现数据端到端的机密性、完整性、真实性、不可否认性的保护。

Q3:目前,国家法律法规以及相关标准对企业的数据安全防护有哪些硬性的合规要求?企业应该如何应对?

谢灿:从合规性要求上,国际在发展数据隐私的合规性标准规范方面更为成熟,如GDPR 、PCI DSS或者是ISO27001等。不过近年来,国内在数据安全这一领域也不断推出了一些法律法规,从最初的《网络安全法》到《密码法》,以及正在制定的《数据安全法》、《个人信息保护法》等,都在对数据安全和个人信息方面做出比较体系的规范。

其中,《密码法》以及GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》针对基于密码技术的数据安全防护提出规范性的要求。同时,针对关键基础设施以及等保三级系统,推出了《商用密码应用安全性评估》要求,确保在发展数字经济的前提下,数据安全防护行之有效。

政务、泛金融、交通、教育以及央企等行业,会最先面临相应的规范和要求。针对这些行业,我们建议首先对相关的合规要求进行分析,同时对自己的数据进行梳理,再去分析如何运用相应的安全防护方式,从而形成一个体系化的落地方案。

Q4:刚刚提到的基于密码技术实现数据安全防护,用密码技术来保护数据有哪些优势,企业用好密码又有哪些难点?

谢灿:信息安全的本质实际上是保护信息的机密性-不被泄露,完整性-不被篡改,真实性-身份不被冒用,以及不可否认性-抗抵赖,这些都可以通过密码技术得到比较完善的保障。比如现在大家已经比较熟悉的比特币、数字人民币等,它们还有个名字叫做“加密货币”,也是利用密码技术实现信息的高度安全保障。可以说,密码技术是构建网络安全和信任体系的核心技术和基础支撑。

其实,密码技术看似离我们很远,但在日常生活中却经常会用到它。但是从一个数学学科的角度来看密码技术的话,它用起来还是比较复杂的。

从国内密码市场现状来看,密码技术主要面临三大难点——难做,难用,难管。难做是开发门槛高,需要技术人员对密码技术进行一定的掌握;难用是密码算法、密码产品、密码应用三者脱节,需要大量的开发工作;难管是密码应用分散,行业缺乏统一的标准,我们在运维管理工作上面会存在一定的难度。

Q5:针对企业进行密码改造的难点和挑战,腾讯有哪些能力和解决方案?

谢灿:金融、政务、交通、能源、制造等关键行业、以及相应的政务云、金融云、大数据平台等系统平台都是数据安全防护的重点要求对象。

针对用户的数据安全挑战以及密码应用合规的难点,我们推出合规密码应用解决方案,核心目标是帮助用户以最小的成本来满足数据安全防护以及密码合规的一些要求;基础思想是将密码技术以服务化、组件化的方式,对外提供数据安全服务,提供从终端身份认证、传输安全、存储安全以及运维管理等等方向的能力,实现数据从获取到传输、分析、使用、消费整个过程的数据安全防护,帮助企业应对数字经济时代的一些数据安全挑战。

image

Q6:能否结合相关实践案例,谈一谈合规密码应用解决方案的优势?

谢灿:第一,安全融合。数字经济的基础是网络基础设施与智能信息技术,我们这套数据安全体系可以无缝融合到基础设施架构里,实现基础架构自带安全;

第二,密码即服务。我们前面提到密码技术应用的一些难点,基于腾讯云合规密码应用解决方案,我们将复杂的密码运算以及密码设计转换成数据安全服务,大大降低密码应用难度;存储安全上,我们提供的云访问安全代理CASB服务,只需要通过简单的配置就可以完成数据存储的机密性和完整性保护,而且可以满足国家密码管理局的相关合规性要求;

第三,默认合规。数据安全中台基于密码技术的身份认证、传输安全、存储安全、管理安全等组件确保具备商用密码产品认证证书;安全架构设计上,基于融合设计,实现基础架构的默认合规,减少用户的合规成本。

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 4月7日

腾讯发布“仓运通”,为每件商品发放“身份证”!

发布一条真实新闻:

2021中国电商食材节上,腾讯云正式发布了面向餐饮食品行业的仓运通食品可信追溯平台。

“仓运通”融合了腾讯云成熟的中台能力、腾讯安全领先的安全技术与码链技术以及餐北斗多元的行业组件和算法,能有效帮助物流企业提高经营管理效率,优化食品安全管理流程,提升餐饮食品行业供应链数字化水平。

image

仓运通高度可配置,实现食品精细化、自动化管理

仓运通平台具备高度可配置特性,拥有130+数据接口,可对接国内外主流ERP系统、电商平台、快递系统。
依托腾讯云的中台和底层技术能力,以及行业成熟的WMS、TMS、BMS、OMS体系,仓运通平台可以满足B2B、B2C各类复杂业务场景的精细化管理需求,精确管理到商品的最小SKU单位。平台还支持数据智能分析并自动生成BI报表,可实现食品临期预警、库存预警、自动补货决策等功能。此外,平台还可集成和驱动库内的分拣、搬运、传输、扫描、称重、打印等各种自动化设备,实现全自动化管理。
image
基于仓运通平台,腾讯云还针对连锁餐饮、生鲜电商、商超卖场等细分业务场景打造了专属解决方案,可帮助企业节约15%以上的租金、人力和运输成本,平均缩短3.9天的库存周期,提升资金周转率

助力食品安全溯源,仓运通为每件商品发放“身份证”

在餐饮和食品行业,食品安全是任何一家企业都无法绕过的话题。依托底层的区块链技术,仓运通平台与腾讯安全强强联合,为企业、政府提供完整的商品溯源服务,基于一物一码锚定商品,相当于为每件商品发放了一张“身份证”。
商品从生产到销售,每一个环节的主体都以自己的身份(私钥)将信息签名写入区块链,信息不可篡改,身份不可抵赖。万一出现纠纷,可以很快定位出问题的环节,从而进行举证和追责。
image
去年疫情期间,多种进口冷链食品外包装检测出新冠病毒阳性,给疫情防控提出了巨大考验。为助力疫情防控,腾讯云基于仓运通平台紧急上线了腾讯冷链食品可信追溯平台。

腾讯优码技术为每批次货品定制专属的随附码,相当于货品的“身份证”,一旦某箱货品出现疫情相关问题,市场监管部门和企业能在第一时间纵向关联批次货品所涉及的人、仓库及运输车辆,同时也可横向锁定同批次、同来源所有问题货品。

快速精准识别羊毛党,让实惠真正触达消费者

除食品安全溯源外,腾讯优码结合腾讯安全天御的AI 营销风控模型,还能在营销活动中帮助品牌主快速精准识别出羊毛党,让实惠触达真正的消费者。腾讯优码在智慧零售领域已连接商品超过30亿,平均为品牌主营销活动带来15%的ROI提升,节约营销资金超过3亿

2018 年,蒙牛作为FIFA世界杯全球赞助商,拨出了2亿元的现金红包与消费者互动。为了配合蒙牛打造这次现象级营销,腾讯拿出了优码数字化营销解决方案,为蒙牛节省超过1000万营销资金。

目前,腾讯云仓运通平台已应用于全球19个国家,服务超2000个物流中心,管理1800多万平米的仓储面积。随着平台正式发布,未来还将有更多企业接入进来,共同提升餐饮食品行业的数字化程度和安全水位。

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 4月6日

区块链技术加持,腾讯安全助推上海“易盾计划”数字版权保护工作

为全力打响“上海文化”品牌,贯彻落实“上海文创50条”,加强数字文创内容版权保护,助力优质数字版权内容创作生产,促进全市数字版权交易,上海率先推出服务中小微文创企业及个人、提供免费数字版权存证保护专项行动“易盾计划”,启动发布会于4月2日上海市影视版权服务中心成功举办。

image

会上,主办单位代表12426版权监测中心主任吴冠勇详细介绍了“易盾计划”具体服务内容。据悉,本次活动面向拥有图片、短视频、音乐、音频、文字、游戏、动漫及衍生品、电影、电视剧及综艺等任意类型版权作品,且经营或注册在上海的中小文创企业及个人。满足条件者可通过“易犬版权开放平台”享受免费版权存证保护服务,包括:作品区块链存证、免费监测及维权服务、免费发函维权服务、诉讼维权服务以及定期监测及维权的增值服务。

作为“易盾计划”的技术支撑单位之一,腾讯安全总经理陶思南在现场对腾讯安全版权保护安心计划进行了分享。他提出,区块链技术日渐成为版权保护的首选方案,其以信息可验证、可追溯、不可篡改、公开透明等特性,与版权溯源有着天然的契合性。基于区块链系统,能够实现内容版权的快速确权,使得交易流转清晰明确,从而有效节省线下成本。

image

腾讯安全版权保护安心计划提供一站式版权监测保护服务,“一确(确权)二审(审核)三查(监查)四发(发函)五拦(拦截)六证(取证)七维权,面向全平台,为全类型作品实施多维度、全时段的监测,以保障“易盾计划”的顺利推行,为更多作品提供存证保护监测和维权服务。一旦发现问题,法务将全程跟进下线处理,按需举证,择优诉讼,保障全流程的知识产权执法维权管理系统运行通畅。

腾讯安全版权保护安心计划基于全网检测、维权拦截、溯源取证的独属能力,建立全量覆盖侵权监测场景和全链路确权联盟链,以知识产权保护为核心,以区块链技术为支撑,打造完善的知识产权确权、在线识别、实时监测、侵权取证、证据固证的技术支撑体系,保障作品在授权、使用、传播等各个途径的版权价值最大化。

在实践层面,腾讯安全版权保护安心计划已经取得了一些成绩,在腾讯内容开放平台(企鹅号)上,基于腾讯安全灵鲲监测和领御区块链的能力,完成原创发文存证10万+,侵权发文取证15000+,全网侵权监测量完成3500万,成功维权量已达800万。其中,腾讯视频日侵权取证次数也已超6000,版权侵权打击能力显著提升,保护了百万原创作者作品的合法权益。

未来,腾讯安全还将为“易盾计划”不断输送技术力量,持续推进“区块链+”行业解决方案的落地,为产业区块链的健康发展保驾护航。

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 3月31日

云时代下,安全运营中潜藏的“竞”与“机”

大数据和云计算的时代,数据和个人信息成了“云上的金子”,因为其堪比石油的巨大价值,针对企业和个人的数据泄露、网络攻击等安全事件时有发生。这个时候,新一代 SOC(Security Operation  Center,安全运营中心)应运而生,在网络与信息安全保护中充当着越来越重要的角色。

那么,云时代大趋势下,安全运营工作衍生出了哪些新变化?从被动式防御到自适应实时监测与响应、智能安全编排与自动化,新一代网络安全运营架构涌现出了哪些令人雀跃的新特征、新技术?技术与模式支撑下的变革演进又有了哪些新实践心得?在与安全风险的持续博弈和“竞技”中,SOC又能获得怎样的发展新机遇......

基于这些云时代下安全运营的热门话题,上海雾帜智能科技有限公司 CTO 傅奎、绿盟科技集团股份有限公司天枢实验室高级安全研究员张润滋、天融信大数据分析产品线总监鲍青波、腾讯安全 SOC 产品负责人肖煜、腾讯安全SOC产品总监刘桂泽等数位安全运营领域资深专家,于3月27日齐聚在腾讯安全思享会,围绕“云时代下SOC的变革与演进”的主题进行了深入探讨,共同探索云时代安全运营的建设之道。

01

Cloud SOC—云时代让安全运营工作焕发新生

在题为《Cloud SOC—云时代让安全运营工作焕发新生》的演讲中,腾讯安全 SOC 产品负责人肖煜为大家带来了云时代下 SOC 运营存在的问题与解决秘诀:

腾讯安全 SOC 产品负责人 肖煜

云时代安全运营面临的问题大家不陌生,还是会存在事多、人杂、不好管的状况。

其中,“事多”体现在事件量大,云时代之后这个问题依然存在,大量安全事件堆积难以处置,让安全运营人员疲于奔命。“人杂”是因为涉及到一些第三方帐号,用户行为对于安全运营人员来说是一个新的挑战,不久前 Solarwinds 事件爆发,原因可能就在于供应链管理上存在大量不可追溯的帐号问题,供应链管理、人员帐号管理没有做到位。“不好管”,在指云时代的资产有着快速消亡与新建的特点,相对传统环境来说更灵活,但更容易出现再衍资产,做好资产管理梳理也是云时代所面临的问题。

由此,云时代出现了一些新需求,比如平台模式下服务方、消费方都会产生安全诉求,服务方要求自身安全管理和消费者安全有保障,消费方也希望自身安全管理做到位。此外,云场景下平台与租户的责任划分也是一个新的需求。腾讯为此提出一个新概念,叫做 Cloud SOC,它要解决的就是安全和管理上的问题。

租户和多环境两个模块是要解决管理问题,而处理安全问题的思路则是进行监测和深挖,利用可视化和开放平台等技术手段来解决问题。

总的来说,Cloud SOC 会把相关安全信息,包括云上日志、第三方数据汇集到体系中进行运营,安全体系包括防御、检测、相应、预测模式,同时兼顾平台和租户。

这个体系的安全思路,在防御方面,强化自身就是最好的防御策略,同时在检测和相应模块打造一个有机闭环,以可靠的服务作为支撑整个体系运转的基础保障。

其中,防御要解决“不好管”的问题,腾讯 Cloud SOC 可以做到通过端、API 对原生资产与第三方资产进行打通,而在这一点上,腾讯拥有多年从端、流量中获取资产数据的经验。

在云这方面,Cloud SOC 的 CSPM(云安全态势管理)是指云安全风险配置化的管理检查,利用此机制对云上资产进行自动化检查,不符合要求的配置会被平台识别为风险资产,并提醒安全运营人员。

针对“人员杂”的问题,Cloud SOC 会在检测和相应两个环节,通过腾讯自己提出的 XDR 小闭环,SIEM,以及智能 UEBA 模式,针对可靠流量和端点,获得精准的情报信息,进而归纳总结,抓取真实的威胁信息,提高安全运营覆盖,以此进行有质量的告警及响应。

从管理思路上来说,Cloud SOC 模式的驱动整体上还是平台+人,依赖于监控、分析响应和总结报告等服务,加上运营专家/攻防专家,让平台高效运转起来。

另一方面,在平台方和租户的责任划分上,Cloud SOC 天然地从兼顾双方的视角来看问题,在平台侧和租户侧打上一些鲜明的标签对数据进行区分,利用经典和成熟的 RBAC 进行功能相关的控制 。此外,这个数据标签还可以拓展到所有平台模式上,将相关数据责任人归属于平台方或租户,并利用云平台的优势,对相关数据功能进行统一纳管和运营。

如今,腾讯 Cloud SOC 已经在实践中经过检验,比如在某企事业单位,Cloud SOC 利用强检测响应闭环构建“演练”最佳防护,在某大型金融组织机构中,Cloud SOC 可在专有云或 IDC 部署,实现多环境数据统一纳管,并适配上下级联,实现全局可管、可控安全运营。

02

安全运营 SOAR Easy!

接下来,上海雾帜智能科技有限公司 CTO 傅奎带来了《安全运营 SOAR Easy》的主题分享:

上海雾帜智能科技有限公司CTO 傅奎

我之前也做过一线的安全运营人员,切身体会到一些痛苦的现状,比如每天接到四千万条事件运营,但真正能有效处理的事件不到 10 个。安全运营过程中的人工交互太多,费时费力。虽然过去二十多年,安全运营在安全理论、技术、产品、客户运营水平上有所提高,检测时间越来越短,但是安全运营人员同时还面临着自动化、智能化、网络武器作战平台的“对手”,而绝大多数用户只能徒手应急响应——沟通靠吼,响应靠手。为改变现状,我们用  SOAR 帮助我们快速开展安全运营。

目前,国内外已经有不少厂商在跟进SOAR相关技术,并做到了分钟级和秒级响应。大家的基本思路都是通过图形化的剧本编排界面,使用低代码或无代码实现安全事件响应过程的编排,支持数据交互和任务调度。

SOAR 可以是独立平台,也可以是内置模块。在实际落地中,SOAR的应急响应快准稳,其出色的表现已经得到业界的认可。今天我们可以依靠系统,实现通用安全事件响应场景80% 以上步骤的落地。以一个典型的威胁IP处置过程为例,经过与人工操作的对比会发现,SOAR 自动化处置可以实现分钟级和秒级,仅时间效率就提升了 84 倍,这还不包括人员成本的加工地。实际上,SOAR 在实际应用中可以在不同场景里产生不同的效果,不仅能够实现应急响应,还能快速完成事件分析、诊断、协同、写报告等,避免了人工的浪费。而且,这种“套路”一旦沉淀就可以重复使用。

目前,雾帜在 HoneyGuide 中通过虚拟作战式和 AI 机器人解决事件响应过程中协同问题,用编排和自动化帮助客户实现加速安全运营。此外,除了自动化响应,雾帜还希望能够用自然语言与机器人进行交互,提高安全运营效率。基于安排编排自动化响应以及 AI 人机协同的安全运营,雾帜SOAR可实现分钟级或秒级的应急响应,大幅节约了人工操作时间。

SOAR 是数字化经验帮助安全团队实现运营传承和技能积累的有效手段,通过充分发挥人类工程师的智慧和机器的智能与速度,最终让“安全防护超越攻击的速度规模”成为可能。

最后,不得不提的是,自动化永远都是手段,持续运营才是灵活。运营团队要有思想,主动采取战略,主动思考,借助自动化手段实现目标,不能完全依赖工具,这才是最重要的。

03

智能安全运营技术发展思考与实践

绿盟科技集团股份有限公司天枢实验室的张润滋还分享了主题为《智能安全运营技术发展思考与实践》的主题演讲:

绿盟科技集团股份有限公司 天枢实验室的张润滋

安全运营团队的痛苦都是相似的,虽然解决思路和方法略有不同,但大的趋势都是依靠自动化来对抗信息爆炸带来的困难。

安全专家数量有限,告警疲劳和痛苦的作战方式,倒逼安全运营技术迭代式地发展,从传统的单点攻防到边界防御,再到安全运营中心,安全运营的下一步是智能化运营。

Gartner 为安全运营打上了一些关键的技术标签,比如 SIEM、UEBA 等,最近 SOAR、XDR 等也是比较热门的话题,但似乎这些都缺乏内在安全机制,隐私防护需求也造成系统黑盒。目前,安全运营的还面临着一些关键挑战,如运营需要细节与态势并重,数据膨胀找到安全威胁犹如大海捞针,召回模型高误报,技术/平台低交互或无交互,以及缺乏鲁邦安全性等。

为应对这些问题,我们提出了 AISecOps,就是广泛地把人、机器和流程资源结合起来做运营。

实际上,国外和国内已经形成了智能运维的研究生态,我们要做的就是把自动化、智能化带到运营中。

从概念上来说,AISecOps 包含四大要素,即“智能驱动安全运营,以安全运营目标为导向,以人、流程、技术与数据的融合为基础,面向预防、检测、响应、预测、恢复等网络安全风险控制、攻防对抗的关键环节,构建具有高自动化水平的可信任安全智能,以辅助甚至代替人提供各类安全运营服务的能力,”我们的最终目标,是用技术支持运营,且技术自身可运营。

为了让技术本身可运营,我们需要做一个模型来指导方向,思考自己在做的事情覆盖到了运营的哪些阶段。从上图可以看到,我们离自动化运营还很远,处于 L2-L3 阶段,只是在有限场景下,运用数据分析手段,把情报打通。

为了支撑完整的自动化运营,我们需要把从感知识别到认知产生,再到产生策略的全流程串联起来,打通人机协同循环。这是我们的工作模型和思考,目标是希望人机协同能够在未来 5-10 年间在很多场景下是此案完全自动化运营。

上图为 AISecOps 的 16 个前沿技术图谱,能为我们下一步应该做什么提供指导。

目前,我们在做的一些工作包括超融合知识图谱,在底层建立可以支撑全数据、多场景的 DSL 语言设计,建立融合的数据分析机制。

在此基础上,打造可以针对不同场景下所需的不同检测单元、召回单元、风险评估单元、反馈解释单元的可编排推荐引擎,让引擎学习专家或运营的不同偏好。

此外,我们还初步基于开源的文本类型解释模型创建了可解释引擎,可以实现自动化提取关键词,目前仅支持文本,但后续将支持图。

为了做到以数据驱动的方式支持人机协同,我们利用规则提取引擎,通过可解释模型将学习成果告诉专家,并在推荐引擎中提取的知识中找出规律,形成规则和策略,然后通过搜索引擎,用统一的语言抽象进行知识固化。

总结起来,安全专家的经验难以复制,人的精力有限,但是机器可以做到。第一,数据驱动的方式只是缓兵之计,面临关键决策,要分具体情况,但以数据支撑决策和策略是我们技术路线的根本出发点;可编排能力要支撑不同业务场景,在每个运营环节做响应;“授人以鱼不如授人以渔”,要能解释清楚为什么用数据驱动能解决一切问题;最后一点是要打造可信任的安全智能“战友”,保证 AI 的安全性。

安全运营无法一步到位,我们希望将安全运营中的知识固化下来,形成打造机器的战甲,不能要求每个人都是超人,我们要做的就是要打造机器型的战甲。

04

建智能化纵深安全分析体系

天融信大数据分析产品线总监鲍青波分享了主题为《构建智能化纵深安全分析体系》的精彩演讲:

天融信大数据分析产品线总监 鲍青波

我的分享主要聚焦于安全分析,两个关键词分别是“智能化”和“纵深”。

首先介绍一下我国网络安全现状。据 CNCERT 统计,2019 年,面向我国工业控制系统的网络资产嗅探事件约有 14,900 万起,较 2018 年的约 4,451 万起有显著增长。经分析,嗅探行为源自于美国、瑞士、法国等境外 130 个国家和地区,目标涉及我国能源、制造、电信等重点行业的联网工业控制设备和系统。大量关键信息基础设施和联网控制系统的网络资产信息被境外嗅探,给我国网络空间安全带来隐患。对此国家非常重视,从十三五规划到《网络安全法》、《等级保护 2.0》到“十四五规划”,国家要求建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力,特别是要加快人工智能的安全技术创新。

人工智能赋能安全分析,是此次演讲的核心。不得不说,当前 AI 在特定场景下赋能安全分析,还面临着一些困境,如数据标注、特征处理、结果评估,以及工程化难题,特别是针对零日、APT 高级攻击、长周期潜伏的未知威胁时,AI 不一定能发挥很好的作用。这时,通常情况下会采取行为分析的手段,通过时序分析等方式发现异常。

网络安全分析场景可分为“已知的已知”、“已知的未知”和“未知的未知”三个部分,为应对不同程度的分析需求,我们建立了一套智能化纵深安全分析体系。

这套智能化纵深安全分析体系,主要包括智能检测、自动化处置和智能研判三个部分。

从最左侧典型的数据处理流程之后,进入智能检测,这是纵深分享的第一步,也是最核心的一步。这里,系统会通过关联分析、AI 分析、行为分析、专项分析等分析引擎手段,利用深度学习、机器学习和图分析等方法,建立深度学习模型,以串联或组合的方式进行智能检测。

之后进入自动化处置流程,这一步可以做到误报去除和告警智能归并,把单点告警以更高维度的指令聚合起来进行智能化处置。

而对于规定后无法自动化处置的,就进入下一步的智能研判,经过研判可视化和全域数据分析发现重点数据的步骤后,系统会从重点数据出发,以人机交互的方式提供利于专家做智能研判的依据,如内置各种数据处理算子、机器学习、特征处理、结果评估和模型部署算子等,研判后再连接 SOAR 进行响应。

总结起来,通过智能检测、自动化处置和智能研判等方面的工作,我们建立了一套纵深的安全分析体系,有了这些能力之后,我们才有基础去考虑人工智能赋能网络安全究竟能带来什么样的价值。

05

圆桌论坛共话 SOC 未来

活动最后,几位专家还以圆桌论坛的形式,探讨了 SOC 的最新演变和发展趋势,共议新时代下 SOC 的压力与机遇所在。

从左至右依次为:腾讯安全SOC产品总监 刘桂泽(主持人)、上海雾帜智能科技有限公司CTO 傅奎、腾讯安全SOC产品负责人 肖煜、天融信大数据分析产品线总监 鲍青波,以及绿盟科技集团股份有限公司天枢实验室 高级安全研究员 张润滋

至此,这场汇聚安全领域专家的精彩活动圆满结束,让在座的观众与线上的网友对于 SOC 技术与严谨有了更加清晰的认知,满载而归。

安全是个经久不衰的话题,只要有网络覆盖的地方,新的安全问题就将不断涌现出来,无论你是安全领域的从业者,还是普通的网络用户,安全问题都与我们息息相关,更多安全问题,敬请关注我们的后续活动~

查看原文

赞 0 收藏 0 评论 0

腾讯安全 发布了文章 · 3月31日

关于IoT安全,20位大厂CSO这样说……

智能扫地机器人、联网的咖啡机、可以远程控制的汽车……随着越来越多的物联网(IoT)设备走进消费者身边,万物互联渐成现实。在给消费者带来便利的同时, IoT设备等安全和隐私问题也引发了广泛关切。不止是在消费场景,工业、农业、能源、零售等等众多关系到国计民生的领域,物联网也作为重要的数字化工具,正在加速落地。同样需要关注的是,IoT设备一旦联网,安全风险也将随之而来,企业的生产运营、品牌声誉都将面临更严峻的挑战。

3月27日,腾讯安全CSO俱乐部邀请中国信通院、南方电网、华为、广汽、比亚迪、荣耀、OPPO、VIVO等领军企业的二十多位首席安全官(CSO)、研发主管齐聚深圳,共同探讨IoT时代的安全体系建设,寻找企业可以借鉴的IoT安全能力图谱。

中国信息通信研究院安全研究所主任 柯皓仁

中国信息通信研究院安全研究所柯皓仁主任从“管”、“服”协同的角度,分享了他对数字时代下的IoT安全破局的思考。柯皓仁认为,在我国的消费互联网发展历程中,网络安全顶层设计落后于应用发展。但在产业互联网的落地发展进程中,应同步、甚至提前进行网络安全规划设计,保障产业互联网安全发展。

具体到物联网安全的建设,柯皓仁提出六点建议:

一是明确基线。对于物联网的应用来讲,不同安全应用的场景去提出不同安全级别的安全防护基本要求。

二是摸清底数。主管部门要摸清重要企业清单和重要数据保护目录,应用企业要摸清自身物联网应用的相关保护对象与资产情况。

三是重点突破。针对重点行业、重点企业开展相关安全能力评估与能力提升。

四是示范推广。在C端和B端按不同的要求推进,C端侧重隐私保护计划与能力示范,B端侧重企业贯标要求示范。

五是基础能力。物联网本身平台终端比较多,所以应形成多种类平台、终端的基础资源库,包括对应的安全漏洞库建立。

六是机制建立。应鼓励企业去建立包括监测预警、信息共享、协同处置等在内的整个安全闭环的工作机制,去形成管理闭环。

行业资深CSO 周智坚

行业资深CSO周智坚从信息安全产业的发展历程,分析了安全的过去,现在和未来的IOT供应链安全。根据欧洲相关IOT安全准则的风险描述,周智坚将IoT供应链安全风险概括为物理攻击、知识产权损失、恶意活动和滥用、法律要求、非恶意损失及信息丢失5大领域,和相应的9个风险点。

他认为,IOT供应链安全可以从参与者、流程、技术3个安全关注点,29条安全改善措施出发,站在IoT业务逻辑图的角度,把IoT业务分成IoT设备、IoT网关、IoT平台、IoT应用、业务运营五个模块,而IoT供应链安全的可能解决方案可以概括为:IoT设备安全+一句话安全+安全ERP+N个安全产品。

对于不同主体的安全能力建设,周智坚建议,对于甲方安全的负责人,做好了现阶段的安全1+1+N,就可以从容应对IoT供应链安全。对于其他安全技术人员,攻击渗透促进安全建设的逻辑未来一样有效,应多了解和发现IoT供应链上的安全漏洞和风险。安全厂商可以从IoT设备安全质量评级、IoT设备安全质量自动检测工具、业务过程中的安全ERP及数据分析平台等方向发力。

腾讯安全技术专家 张康

腾讯安全技术专家张康在会上分享了腾讯安全科恩实验室的物联网攻防实践。他认为,碎片化严重、缺乏威胁检测方法、更新缓慢以及隐私保护,是物联网面临的主要风险挑战。

从技术角度来说,任何一个场景,不管IoT还是物联网,最小权限、系统默认、保持更新、纵深防御,这些信息安全的原则永远不会过时。

张康认为,如果把安全基本原则做好了,系统就已经处在相对比较高的安全等级。同时,结合一些漏洞扫描、检测的自动化工具应用到安全开发流程中,可以进一步提升安全能力。他介绍了腾讯安全研发的嵌入式系统安全审计平台sysAuditor。作为一款自动化检测工具,sysAuditor沉淀了科恩实验室的渗透测试经验,可以帮助企业实现国家、行业、企业自身多个层面的安全基线合规,检测结果以API的形式输出,可以与现有平台集成。

在分组讨论环节,与会嘉宾就产业实践中关注的IoT风险点、与业务场景的关联、安全需求与资源的矛盾以及物联网安全的未来趋势等议题展开深入讨论,探讨IoT安全治理与安全运营所需的能力图谱。

参会嘉宾就IoT安全能力建设展开深入讨论

万物互联,安全先行。在物联网即将加速渗透的关键阶段,安全无疑是需要提前打好的“地基”。通过腾讯安全CSO俱乐部沙龙搭建的交流平台,物联网厂商与安全厂商得以深入交流彼此关切,分享实践经验,从不同视角探索IoT安全建设的可行路径,从而达到“众行者远”的效果。

近年来,为解决物联网的安全痛点,腾讯相继发布了腾讯物联网安全技术规范,以及sysAuditor等物联网安全检测工具,助力物联网产业安全、稳健发展。未来,腾讯安全将继续借助CSO俱乐部等交流平台,与产业保持深度互动,共建繁荣的物联网产业生态。

查看原文

赞 0 收藏 0 评论 0

认证与成就

  • 获得 17 次点赞
  • 获得 1 枚徽章 获得 0 枚金徽章, 获得 0 枚银徽章, 获得 1 枚铜徽章

擅长技能
编辑

(゚∀゚ )
暂时没有

开源项目 & 著作
编辑

(゚∀゚ )
暂时没有

注册于 2019-12-27
个人主页被 3.7k 人浏览