之前我在2021年的快手安全沙龙及2019年的CIS等会议上都讲过红蓝对抗的主题,这段时间又有了一些新的认识,就把之前的主题整合优化一下再讲讲。
简单说就是红蓝对抗是安全体系发展到一定程度的必经之路,要从关注实际安全风险到关注安全体系的整体有效性,由此再推动安全体系优化。目前能看到的比较好的安全体系建设方法是把安全融入业务流程和基础设施,这点就不展开讲了,未来有机会再说。
上PPT:
去年有个同志看到这个图对“渗透测试”的定义表示了不满,还发朋友圈表达了一下,当时我还在上一家公司任职,怕影响到公司从不敢与人争论。现在我不怕啦,我就是这样定义的,谁有不同意见就来PK。
话说,自从2017年Gartner提出BAS这个概念后现在是越来越火,目前也有一些大佬创业在做这个方向,比如不久前刚刚官宣的金融安全圈大佬、《企业安全建设指南:金融行业安全架构与技术实践》作者、安全运营四杰之一聂君,他公司的第一个产品就是离朱安全验证平台,之前也有幸观摩过离朱beta版,思路很不错功能很强大。“离朱之明,察秋毫之末于百步之外”,贴切。也祝君哥创业成功,为互联网安全添砖加瓦。
谷歌的BeyondCorp就是零信任,关于这个话题零信任之父何艺见解最深。昨天正好跟何艺交流了一番,他去年从完美出来创立持安科技,主打零信任产品。看下他们的产品,格局很大,他们的零信任产品定位不只是VPN替代者和SDP,还包括了部分EDR上的功能(准入、事件追溯、数据安全),SDP上的访问控制颗粒化也很细,终端加上网关,这里可做的事情很多,想象空间很大。
亚马逊出来的大佬都喜欢搞甲方联盟,之前sowhat搞了个互联网安全工作组,现在avfisher搞了Security Practice Summit和Cyber Offenisve Security。此处有意向加盟SPS及COS的同志可以联系avfisher获取准入门槛。
最后作为工联众测的特聘专家,我也呼吁工业互联网企业和白帽子们能够参与到工联众测平台( https://www.caiisec.org.cn ,点击阅读原文直达)中来,一起来为我国的工业互联网安全做一些微小的贡献。他们除了众测平台,还有工业漏洞库、测绘平台、漏洞靶场等,有兴趣的同志可以看看。
