2023年9月1日,第二期“未来CSO训练营”通过线上直播的形式举行了答辩结营仪式。历时三周,13位学员顺利完成了12节课程,同时也意味着此次充满知识、技巧和专业解读的学习之旅正式落幕。
通过特邀各界精英组成超能讲师团,线上线下相结合的授课形式,充分体现出未来CSO训练营广受众、短周期、高精度、重实务、社群互动交流等特点,最终成功为本期训练营划上句号。
2023年8月19日,第二期未来CSO训练营正式官宣。
作为超级CSO研修班的姊妹篇&精简版,未来CSO训练营由安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办。特邀24位各界精英组成超能讲师团,通过8+4+1的学制进行授课,为有志于未来成为企业CSO/CISO/安全负责人的网安业者提供更具特色和针对性的培训研修。
本期训练营在参照超级CSO研修班课程框架的基础上适当精简,力求主题更聚焦、内容更落地。让学员了解真正的CSO应该关注什么、怎样思考、如何做事;一览CSO从业所需养成的知识体系和进阶方法;告诉学员企业网络安全日常工作中各种“疑难杂症”和“避坑妙招”。从而让每一位学员当下的工作更得心应手,并为将来成为真正的CSO打下坚实的基础。
2023年8月19日,第二期“未来CSO训练营”正式开课。 某跨国企业CSO赵锐连续为学员们带来了三堂干货满满的专业课程,分别围绕“业务安全”“安全文化”“实力塑造”等重点内容,总结了未来CSO需要掌握的技能和特质。
安言咨询副总经理钱伟峰通过自身实践,指出了CSO在“管理实务”方面需要认识到哪些重要的法律法规和标准,并在安全管理框架上,需要明确哪些具体的架构和组织。
8月20日,某外企大中华区信息安全总监陈皓详细解读了“数据隐私”,围绕体系、政策、人员、流程等维度,向学员们展示了未来CSO的重点治理目标主要关注于数据。
某跨国支付公司信息安全经理沈勇提出,“开发运营”是安全工作中的重中之重,为了面对之后飞速发展的产品市场,维护、治理、创新等,都需要安全部门自己来完善。
某科技公司银河实验室负责人王延辉表示,企业的“攻防对抗”能力建设要从知己和知彼开始,同时企业的防御思路可以从彻底防御转向纵深防御。
“法规政策”方面,段和段律师事务所主管合伙人刘春泉,首次以律师身份从爱护CSO这个群体自身安全的角度,为大家解读法律、选编案例、分析利弊得失。
8月22日,数世咨询创始人&总经理李少鹏介绍了《中国数字安全年度报告》,并从对象、规模、增长率、客户占比、数字安全模型等方面展开了深入的“产业洞察”。
8月23日,某科技公司信息安全总监刘凯详细介绍了CSO该如何做好“组织规划”,其重点是关注于业务战略、愿景、环境趋势、状态评估差距分析、优先级排序、批准和报告。
8月29日,网络安全专家陈世翔从数据安全定位及态势的角度,为学员们介绍了当下“检查审计”的重点该落在哪些方面,同时企业又该如何配合安全人员去完善各审计环节。
8月30日,某金融安全专家何老师以大型商业银行数据安全建设实践为例,为学员们介绍了“技术框架”,同时强调了数据安全体系需要“支撑、管理、保障”等相应的防护手段。
最终,在度过了为期三周,8节线下和4节线上的授课后,第二期“未来CSO训练营”于2023年9月1日正式结营。
经过训练营讲师团和学员们的认真推荐,共有3位学员代表最终获邀参与论文答辩。货拉拉信息安全专家周峤、某保险支付科技公司安全运维经理金昊、某大型企业高级工程师夏文宁,3位学员依次进行了25分钟的精彩演讲和答辩,为自己在本期训练营中的学习思考交出了答卷。
《容器安全实践》
当前,业务正逐步迁移到容器部署,而主机、容器攻击方式又发生了变化,主机安全agent无法支持容器场景,因此容器安全成为重点关注对象。
建设容器安全的核心理念需要围绕生命周期,其具备这几个阶段:首先是镜像生成,接着是容器编排,往后依次为容器运行和镜像回收。其中涉及的安全分别为镜像安全、生态安全、基线安全、容器运行时安全。
镜像安全的重点,是看其中是否存在密码、密钥等敏感信息,以及是否存在高危CVE漏洞或后门;生态安全方面,重点需要关注和K8S相关的节点、配置、安全策略和接口api安全检查;基线安全方面,最重要的是pod安全和基线检测;容器运行时安全方面,分为事前、事中、事后。事前要关注容器资产和容器风险,事中要关注爆破感知、webshell检测、反弹shell检测等,事后要关注登入记录、命令执行记录、网络连接记录等。
货拉拉具备HIDS整体架构,其能统一安全Agent、Server,能关联容器pod,收集基础数据,同时能进行容器安全场景检测。其在事前能通过Agent梳理pod资产,包括能识别pod进程和进程的参数,以识别出业务线,找到相应的责任人;事中能进行异常监测,主要检测“反弹shell”和“命令注入”等常见攻击方式;事后能审计日志。
《小公司安全建设之路》
小公司的安全建设可以依据CSF的IPDDR,融合国内等保/国际ISO体系等认证。在合规建设方面,主要围绕等级保护和ISO 27001。云上安全的合规建设可以参考阿里公共云发布的《合规能力技术白皮书》,以及华为云发布的《华为云网络安全等保2.0合规能力白皮书》。
对外安全建设方面,小企业由于缺少预算,所以可以将经费重点集中在WAF、HIDS、云防火墙、数据库审计和SSL,而在威胁狩猎、堡垒机、数据库堡垒机方面可以有所节省。开源WAF方面可参考长亭雷池社区版;威胁狩猎方面可参考Hfish;堡垒机方面可参考jumpserver;数据库管理平台可参考Archery;威胁情报方面,收费的厂商有微步在线和威胁猎人,免费的有阿里云和携手云安全。
对内安全建设方面,分为内网安全和SDL建设。内网安全的建设重点在终端杀毒和零信任,零信任可以很好地替代VPN,包括腾讯的SaaS化产品,可以快速地部署终端。SDL建设方面,在开发阶段可重点关注管控私库和API资产管理;在测试阶段,可以用到洞态IAST检测工具,并关注开源组件和漏洞治理;在安全核查阶段,可以用到XRAY安全评估工具,并关注于漏扫核查。
《浅谈公司数据保护》
数字化转型时代,数据泄漏可能带来客户隐私泄漏、商业机密泄漏、法律、安全漏洞等风险。
数据保护措施方面,首先在技术手段上需要具备加密技术、访问控制、数据备份、安全审计、漏洞扫描等;其次,在管理策略上,要制定数据保护政策,设立数据保护团队,同时要定期进行数据安全培训,实施数据加密和访问控制,建立数据备份和恢复机制,以及定期进行数据安全审计和评估。
对于数据安全全生命周期管理,我们知道,数据本身分为动态和静态,绝大部分风险来源于数据动态流动使用过程中;从暴露面角度来看,数据使用过程最为复杂,暴露面最大,风险相对也最高;而从建设基础层面来看,数据使用和共享保护措施薄弱,其余部分相对建设难度低。所以数据安全治理的建设重点在于数据使用安全,企业需要在采集、传输、存储、使用、共享、销毁等环节做好安全保障,特别是在使用和共享上,需要做好相应的溯源、监控,包括审计和告警等。
在应对内部数据安全风险时,企业需要做好安全培训,重点可集中在数据安全、邮件安全、社交媒体安全意识培训、如何识别钓鱼邮件、办公环境安全、个人信息保护、密码口令保护上。钓鱼邮件演习可每半年举行一次,除此之外,配合国家信息安全宣传周,企业可举办类似于“Hacker的十二时辰活动”等。
答辩结束后,安在新媒体合伙人,未来CSO训练营联合出品人张威,作为评委代表依次对3位学员的论文及发言进行了点评。
最终,周峤荣获“优秀答辩奖”,并获得奖金1000元。与此同时,6名学员在顺利完成此次课程后,获得了由安在新媒体颁发的“未来CSO训练营结业证书”。
为期三周的课程学习终于落下帷幕,相信导师和学员之间都收获到了属于各自的成果和经验。总的来说,作为一直推动以甲方协作交流为基调的组织机构,安在新媒体近年来所致力的,就是以甲方业者为依靠,搭建一个能够让大家学习积累、总结实践、价值提升的平台。
因此,未来CSO训练营计划在今年年底,于北京开办第三期未来CSO训练营。在8+4+1学制的基础上,将继续完善优化课程设置和内容。自本文发布之日起,欢迎各界报名。
参学从速,码上报名。
未来CSO训练营介绍
| |
2023未来CSO训练营第1期
| | |
2023未来CSO训练营第2期
| |
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...