51CSO俱乐部：2016年的安全路该怎么走?

 一年之计在于春，春季是一个充满诗情画意的季节。三月的北京，阳光柔和，花草灌木都泛出绿意，玉兰、迎春、樱花也都已悄然绽放，让人赏心悦目，到处充满春天的气息。

2016年3月24日，阳光明媚的午后，一群人围坐在位于北京市海淀区中关村南路的骏马国际酒店三层咖啡厅，好像在密谋着什么，争论着什么，说着“安全威胁”、“安全防御”、“企业安全”……

[[164486]]

他们是谁?他们来自哪里?他们在做什么?

他们是一群关注网络信息安全，来自IT行业巨头IBM，以及运营商、银行等传统行业的安全专家，他们因 51CSO俱乐部而聚集到这里。这10位来自51CSO俱乐部的嘉宾,在咖啡厅里，针对“2016年的安全路该怎么走?”这一主题进行了深入分享交流。

2016年的安全威胁形态和技术

活动刚刚开始，针对2016年安全威胁及技术话题，各位安全专家就认真的分享交流起来。一时间，激情四起，火花飞溅。

来自IDC的王培老师，曾多次参加安全会议RSA大会，于是谈到安全趋势，他提到了刚刚结束的2016年美国RSA大会。并表示相比以前几届大会， 今年的新技术相对较少，今年关注最多的是物联网安全，另外关注比较多的就是工控安全。从每年的十大初创公司展示的技术来看，今年也区别于往年，往年关注度比较的趋势技术，会有过半的初创公司关注，而今年并没有出现这种情况，方向模糊。综合观察来看，国际上将主要在物联网安全，态势感知，响应自动化几个方向 比较关注。

[[164487]]

王培

针对互联网金融安全趋势，陈云开老师谈到，安全威胁日益复杂多样，银行重点安全防御方向也随之转变。最初的安全防御只是针对防病毒，目前的防御方式更加深入，包括终端安全，数据安全，交易安全。特别是针对数据防泄密方面加大了力度。原来可以通过邮件发送的绝密信息，目前必须需要通过安全组件进行推 送，保证信息安全。此外，银行也更加的注重交易的安全。

此外，郭亮老师认为，在2016年及未来，在态势感知、云安全以及关于网络安全的教育方面可能会发生重大变化。他表示：“2016年，可视化的应用 将可能提升感知能力;在教育行业，随着网络空间安全成为一级学科，学校将会为社会输送更多的安全人才;在云安全方面，未来可能会进行行业领域的分化。”除 上面所述，他还提到了芯片的安全问题，目前芯片进口量颇大，作为最底层的硬件，其安全问题在未来应需要多多关注。

如何让你的安全防御形同虚设

在经过激烈的安全趋势讨论之后，我们迎来了干货时间，高级工程师陈小兵老师带来了关于《如何让你的安全防御形同虚设》精彩演讲。他从事网络安全工作已有15年，拥有丰富的渗透经验，主要研究国内外新漏洞，Web渗透技术，APK安全等技术。

[[164488]]

陈小兵

他首先介绍了攻击的因果，攻击者之所以攻击有很多原因，或是看中了数据，或是想要证明自身的价值，或是盗取源代码等技术资料，亦或是仅仅是个恶作剧。

陈老师表示，目前架构型0day威胁巨大，Struts S-16和Struts S-17等远程溢出漏洞对目标对象可谓是所向披靡!架构型站点一般属于大公司，数据商业价值巨大，功能复杂，需要高级语言支持，而且漏洞修补较为困难。攻击者可以通过多个入口对目标对象进行攻击，例如：Ctrix渗透、科学渗透、无线网络渗透、Web服务器渗透、员工及手机渗透。针对特定的目标，攻击者 会进行有针对性的攻击，例如发起APT攻击，或者仿冒公司进行跨站攻击等等。最后，陈老师提醒大公司一定要做好安全防护工作。

网络金融安全

此次51CSO俱乐部邀请的嘉宾很多都与金融有关，那么关于网络金融安全这个话题，我们又怎么会错过。对网络金融安全有着丰富经验的网络安全专家曹岳，从监测数据出发与大家分析了互联网金融的安全态势，并分享了涉及DDoS攻击溯源、大规模网银钓鱼等攻击的几大防御案例。

据曹老师介绍：从银行抽查情况来看，安全性整体较好。

银行认证体系基本完善，技术应用世界领先，系统防护体系趋于成熟，并且风险控制体系逐渐形成，安全防护维度多，管理层安全意识高，政策监管也在加强。但是，从高强度渗透测试来看，存在大规模网络攻击风险。从国家信息安全战略来看，挑战非常严峻。例如：国产率低，自主可控压力大;系统复杂，防护滞后，科技风险集中;黑色产业趋利化、集团化、跨境化;另外，相关法律法规、信用体系仍待完善。

仅靠多方防御不够 还需分析数据情报共享

最后，来自IBM研究院的安全专家黄鹤远老师针对企业安全管理问题，与大家一起分享了IBM在这个领域所做的事儿。

[[164489]]

IBM研究院安全专家 黄鹤远

黄老师表示，在互联网+时代，不断有企业与组织遭到攻击。

面对内鬼，云安全问题，端点与数据安全威胁，DDoS攻击，只靠多方防守是不够的。还需要依靠大量的数据进行整合分析，找到威胁，进一步解决威胁。以零售业为例，其最大的困扰是如何防范高级威胁，各个角度都需要考虑。针对APT攻击防范，需要怎样去做，面对木马的传播，又该如何去防范。针对银行业，最重要的是数据，惊天案件通常是通过内鬼造成，内鬼有权限做很多的事情，通常做了不该做的事情。 虽然我们需要一个整合的免疫系统，但是不同的行业面临不同的困扰，有不同的需求。

如何有效的管理企业，加强防护能力?IBM X-FORCE每年会发布很多安全趋势分析报告，有针对全球的，有针对国内的，不同时间段的安全报告。但是，IBM X-FORCE的视角也是有限的。因此，IBM允许第三方将安全情报上传至X-Force Exchange这一安全情报开放平台与大家分享。IBM Security APP Exchange作为一个安全能力开放平台允许第三方从数据，分析，可视化，工作流程等多角度进行扩展，整合其特有的安全能力，帮助客户更全面地防范安全威胁。

写在最后

51CSO俱乐部第一期活动在我们的恋恋不舍中结束了，各位安全专家根据自身的所见、所闻、所感、所知，围绕我们的活动主题进行了深入的交流分享。虽然活动已经结束，相信大家关于安全的思考还在继续。让我们一起期待下一次活动的到来!