热议红蓝对抗,探索数据安全新路径
2024年攻防演练活动正如火如荼进行中,无数红蓝队伍在虚拟世界里展开一场场激烈的「战斗」,以实战化的方式检验企业安全能力。基于此,7月25日,FreeBuf在北京维景国际大酒店,策划了一场攻防演练大会,聚焦当下热门的攻防演练实战化与数据安全,吸引数百位网安人一起深入探讨。
本次活动以**「红蓝军攻防与数据安全」**为主题,邀请10余位行业领袖、企业安全负责人、知名安全专家等分享主题演讲,从红蓝对抗的具体设置与运用、漏洞情报、数据安全的监管与治理、人工智能安全等多维度,分享攻防理论与技术的实战经验,探寻数据安全的落地实践。
大会上午场共有4位嘉宾登台分享,分别是PCSA安全能力者联盟常务副秘书长金锴、火山引擎大模型安全渗透领域专家刘彦南、某大型金融机构安全与合规部门负责人谢文博、美团安全负责人戴鹏飞。
PCSA安全能力者联盟常务副秘书长金锴以《主责数据保护与流动安全监管思考与实践》为议题,指出在数据安全已经立法的当下,要做到「用数」不违法,需从技术体系、管理体系、运营体系、监管体系四大方面打好组合拳。为应对数据安全保护在多方视角下面临的挑战,提出以「1-3-6-N」架构,从主要监管场景、数据安全治理具体范围与目标、多层次的治理体系以及多个数据和安全角色,从而构建基于行业最佳实践的主责数据保护与流动安全监管框架。
PCSA安全能力者联盟常务副秘书长 金锴
为应对当下AI的安全风险,火山引擎大模型安全渗透领域专家刘彦南以《大模型安全风险分析与应对实践》为议题,以针对大模型的具体攻击案例入手,从设计缺少安全考量、模型泄露Prompt、模型指令缺乏管控三大典型风险进行了深入分析,并提出了Prompt安全加固、指令安全检测、强化指令与数据边界等具体应对措施,为大模型安全治理提供了可靠参考。
火山引擎大模型安全渗透领域专家 刘彦南
某大型金融机构安全与合规部门负责人谢文博以《AIGC在安全领域的应用》为议题,例举了AIGC在内容安全、漏洞识别和分析、漏洞验证、软件依赖分析、修复方案和报告、缓解补丁开发和安全策略生成等具体安全领域的运用,并以PentestGPT、AutoScanLLM为实例,详细探讨了AIGC在渗透测试、自动探测LLM漏洞等具体场景的操纵案例。
某大型金融机构安全与合规部门负责人 谢文博
美团安全负责人戴鹏飞从数据安全驱动力入手,在《数据安全:先发制人》议题中,从合规驱动、黑产对抗、业务驱动方面强调先发制人,数据安全只靠守是守不住的,需威慑、情报、先敌行动、联合打击等手段并用。数据安全是一个更广泛的攻击和对抗活动,能打仗,打胜仗才是根本竞争力。
美团安全负责人 戴鹏飞
上午场嘉宾议题分享结束后,现场进行了第一轮惊喜抽奖,共有7位幸运儿获得了小熊电风扇、京东卡、机械工业出版社赞助的精美图书等礼品。
下午场由易车安全总监李玲、斗象科技安全专家王涛、联想GIC全球安全实验室(中国)安全专家&产品安全蓝军负责人陈德毅、联想GIC全球安全实验室(中国)高级安全研究员&TimelineSec联合创始人Lyric、百度安全运营中心负责人丁小力、某能源企业信息安全专家王云贵、新知长观研究院发起人&北京软件协会(BSIA)专家杨新刚共7位嘉宾进行了议题分享。
易车安全总监李玲围绕《数据安全实践与探索》,通过介绍数据安全三大相关上位法,引出目前企业数据安全存在的合规难点,并借用案例剖析了数据安全治理工作的重要性。她认为不仅需要数据安全治理框架的顶层设计,还应充分利用内外部数据安全软实力,夯实基础安全建设,建立数据安全风险有效落地的安全管理体系。同时还需注重分别面向企业高管、研发、员工的安全影响力建设,制定相应的解决方案。
易车安全总监 李玲
现代网络灵活多变的立体化攻击,对于功能堆叠或设备堆叠的企业防御体系来说如同降维打击的存在。在《多源漏洞情报数据的攻防领域应用》议题分享中,斗象科技安全专家王涛认为,企业需要攻击者的视角与情报关联,进行动态的主动防御——从攻击视角出发,实现探测能力、打击能力、漏洞研究三大方面的能力提升,从防守视角出发,实现预警能力、开发能力、知识技能、监测能力、回溯能力五大方面能力的提升。
斗象科技安全专家 王涛
产品安全往往面临着多样性、复杂性、紧迫性等诸多挑战,通过正向建设的方式仍然会存在安全盲区,由联想GIC全球安全实验室(中国)的安全专家陈德毅及高级研究员Lyric联合带来的《红蓝对抗思想在联想产品安全中的应用》议题分享中,认为基于红蓝对抗的思想,通过攻击者视角,采用任何可以利用的攻击技术和方法,作用于整个产品生命周期涉及到的各个环节,可以更加全面地识别到产品安全所面临的外部的、内部的和未知的风险,并以体系化建设的思路帮助目标消除或降低已识别到的威胁,全面提升产品安全质量,通过分享的案例,也很好地印证了这一点。
联想GIC全球安全实验室(中国)安全专家&产品安全蓝军负责人 陈德毅
联想GIC全球安全实验室(中国)高级安全研究员&TimelineSec联合创始人 Lyric
在《企业人员安全风险治理》议题分享中,百度安全运营中心负责人丁小力强调了员工是企业集团第一道安全防线,为了避免员工安全意识不足、操作不规范导致的数据泄露等问题,认为需从员工全生命周期出发,围绕培养正确安全认识、保护员工关键信息、规范员工行为操作三方面维度做好相应的治理工作,并配合做好人员组织风险的可视化、可量化,帮助业务管理者更清晰地了解所在团队的安全风险。
百度安全运营中心负责人 丁小力
随着攻防演练日趋常态化,红队越发需要可靠、隐蔽、灵活的方式部署基础设施。某能源企业信息安全专家王云贵在《红队基础设置自动化》议题分享中,指出红队需要更加自动化来摆脱过去手动、复杂且非常耗时的部署形式,并通过介绍GoPhish、Evilginx2等钓鱼测试及中间人攻击框架的自动化设置,为红队更加便捷、高效的基础设施部署提供了详细的方法论。
某能源企业信息安全专家 王云贵
以客户为中心的保险服务中,数据要素发挥着重要作用。在《保险数智化转型:科技创新与数据安全》议题分享中,新知长观研究院发起人&北京软件协会(BSIA)专家杨新刚以「科技 + 业务」的双轮驱动,重塑业务流程和生态,通过高可用&高算力体系架构以及大模型等技术的运用,实现数据驱动创新,在保证数据安全的同时推动业务持续发展。
新知长观研究院发起人&北京软件协会(BSIA)专家 杨新刚
伴随着下午场惊喜抽奖环节的结束,本次「红蓝军攻防与数据安全」主题研讨会活动迎来了尾声。但攻防对抗的较量和数据安全的治理实践仍在继续,FreeBuf企业安全俱乐部将持续为企业信息安全体系建设、企业信息安全管理提供优质的交流平台,不断推动推动信息安全生态圈健康发展,我们期待不久的将来与您再度相会。