GCCP五大年度分享评选

拉到文末，直接投票。

企业安全建设实践群，由聂君创建，是目前国内规模最大、熵值最高的甲方企业安全建设社群。社群采取邀请制，对所有入群人员人工进行身份核实，确保身份真实性。

2017年创建之初，即汇聚了银行、证券和保险等金融行业安全负责人200余人（CSO、安全总监、安全主管），经过五年运营，社群成员超过2000人，完整覆盖金融、政务、互联网、能源、通信和制造等行业，群成员按照安全负责人、安全骨干、安全新人构成充满活力的梯队。

社群以实践为宗旨，聚焦甲方安全痛点，通过群友碰撞给出切实可落地的方案。社群内讨论的内容，以周报形式输出到“君哥的体历”公众号（订阅3w+），目前已至第171期，单篇最高阅读破万。在安全行业形成了广泛的影响力。

金融实践群有着一年一度的大型技术交流线下群友见面活动，从2019年开始，至今已是第三届。峰会优先群友报名，部分名额对外开放。议题内容拒绝广告和包装，因其实践价值，获得群友一致认可，形成良好口碑。

今年峰会将在四大城市站举办，活动分别是：

2022年11月19日 · 深圳站

2022年11月26日 · 北京站

2022年12月10日 · 重庆站

2022年12月17日 · 上海站

本次活动组织了干货密度较高的议题，以及真实再现的沙盘推演，还对全年实践群做了总结，并为部分群友准备了荣誉称号。

金融实践群将在深圳站活动上发布金分享奖，现根据热度选出了十篇精彩文章，需大家进行投票，一人仅能投一票，我们将通过最终投票数选出前五篇，评为金分享奖。

金分享奖候选文章展播

（点击标题即可跳转到对应文章）

张游知

我们今天要谈终端安全运营的实践，就不过多的堆叠和阐述一些概念性的东西，而是沉下去，毕竟实践出真知，实践是检验真理的唯一标准。在这里我们主要围绕三个方面来谈：

公司终端安全运营的发展过程和现状，在过去一年多的时间里，我们发现了哪些终端安全的风险和隐患，遇到了哪些问题和阻碍，摸索落地了哪些运营思路和流程，效果如何，目前的运营状态如何；
我们在终端安全运营中，发现了哪些共性的问题，也就是大家关心的所谓痛点，对于这些问题，有一部分我们拥有了比较成熟的运营思路和流程加以应对，有一部分我们也没有找到最佳实践，还在反复的摸索和尝试中；
聊一聊今年一月份，我们内部进行的一次攻防演练，在这次攻防演练中，终端安全扮演了哪些角色，发挥了哪些作用，我们又发现了哪些终端安全的问题。

邬晓磊，东方证券系统运行总部信息安全总监，CISSP、CISP、CISA、ISO27001 LA，20年信息安全从业经验。

这次分享主要是挑选了一些HW中的关键词，着眼在防守方视角，特别是防守方的准备阶段，内容更多的是管理、流程和一些关键点，不会涉及太深入的技术内容。有理解不到位的地方欢迎大家指正。

郭威，深圳金融科技协会网安分会委员。武能带队打CTF担任Web主力、做Windows补丁二进制分析，文能担任支部宣传委员在各类报告的“摧残下”茁壮成长。更重要的是，作为前线负责人，带领7位“战友”亲历了2019年大型攻防演练活动并取得好成绩。本次分享将还原演练前、中、后的一系列关键场景，并总结经验。

在缺人少装备的情况下，如何利用一个月时间快速搭建起完善的防守体系，并在实战中取得最终胜利？郭威将分享自己在攻防实战中的一些心得，不单单是攻防技术总结，更有对组织、架构、流程的全面思考，希望能对大家有所帮助。

何淇丹（Flanker），毕业于浙江大学少年班和香港科技大学，蓝莲花战队早期核心成员，前腾讯科恩实验室高级研究员，资深安全专家，现任某美股上市公司安全总监。专注于安全攻防研究和大规模应用、系统安全防御体系研究建设。曾获Pwn2Own Mobile和PC双料冠军、BlackHat Pwnie Award最佳客户端漏洞提名、Master of Pwn称号，Google Android Security Top Researcher称号。多次在BlackHat & DEFCON & CanSecWest & RECon & PoC & QCON等发表演讲。

传统的端点入侵方式依赖于钓鱼网站或文档、可执行文件、CHM等作为载体，欺骗没有防御意识的目标主动下载和执行，或泄露自己的认证凭据。针对警惕性高的目标或成熟组织，这套方法存在很大的局限性。高阶端漏洞通过多个无交互漏洞链组合，目标可能在完全无感的情况下设备即被控制，造成机密数据泄露或成为进一步渗透的跳板。这次给大家分享一些从底层攻击的角度回头看防御的想法。

秦波，在互联网荒芜时期蹒跚前行，作为安服老兵曾实践和标准化一些服务类型：渗透、评估、应急、培训，也是国内某top安全产品（第一款 waf）的早期研究人员，留下一些教材、国标、专利、工具和技术文章。2017加入滴滴，网络安全部负责人，包括SDL、移动安全、渗透蓝军、反入侵团队，从零开始建设 SDL 体系，经历了工具化 -> 平台化 ->自动化阶段。

其实SDL方法论早在十几年前就已形成了多个流派和最佳实践，以微软和McGraw的 BSI两大流派尤为著名，前者在微软落地实践了OS和Office系列取得了卓效成就，这里就不赘述了，后者也在IEEE、searchsecurity多个学术机构发表技术见解，获益良多。

关于“工具化->平台化->自动化”的提炼，不要理解字面意思，这个是我个人观察整个建设过程中，看重的某个点，以此来陈述个人观点，不代表业内最佳实践路线。

吴翰清，本篇是吴翰清（道哥）为《企业安全建设指南：金融行业安全架构与技术实践》所作序一，道哥的书和一系列文章照亮了我的企业安全建设之路，乃我辈安全从业人员之楷模。道哥在序文中提到安全从业者存在的意义：帮助先进生产力解决好安全问题，让新时代更快、更稳定的来临。寄望整个安全行业，以及从业者的我们不忘初心，越来越好。

胡珀(lake2)，曾任腾讯公司安全平台部总监，因负责腾讯TSRC（安全应急响应中心）为广大白帽子所熟知，江湖人称“TSRC CEO”。

大家都在谈运营，我理解的安全运营是什么呢？除开系统研发之外的所有工作都属于运营，比如：策略的调优、事件的跟进处理、还包括安全意识的宣导。总之，一切围绕着提升安全能力开展的工作都属于安全运营。

ThreatSource，阿里云安全扫地打杂工程师，曾负责阿里云云产品SDL、阿里云红蓝军对抗、阿里云专有云安全架构师，以及多个大型客户安全架构，对云安全有丰富的攻防、安全架构经验。

分享内容梗概：

1. 目前国内外云厂商安全情况分析

2. 云安全风险简介

3. 浅谈国内外云安全技术亮点

4. 浅谈国内外云安全架构亮点

陈然（b0b@c），曾任职于某安全公司网络安全部，负责内部安全异常检测规则，包括内网渗透、威胁情报、攻击模拟、攻击特征提取、检测规则工程化，目前致力于在安全运营框架下，构建基于ATT&CK模型的实战攻击模拟和检测能力。

最近两年我们开始在内部进行常态化安全红蓝对抗，红队有我们专门承担攻击任务的安服团队，也有我们内部安全的模拟攻击队（虚拟红队），前者更多是全阶段攻击模拟：侦查范围、定位目标、设计攻击方案、实施攻击、达成目的；后者更多是分阶段攻击模拟：模拟某一个或者某几个具体的TTPs，比如测试T1075– Pass the Hash的横向移动在目标机器上正常执行。通过不断的真实对抗，我们还是发现了很多问题，我们的网络与信息系统依然面临着不少风险，也存在着一些问题。

不得不说，攻击队师傅们的手法非常精妙啊，例如代码审计出应用0day、权限维持框架工具重写、各类白利用内存执行绕安全工具等等，思路也是清奇：从地下车库或者角落里翻窗进入大楼啊，买一箱子零食绕保安进入公司、发邮件控终端耐心摸清上下游再脱域拿域管账户... 我们也是在一次次抵抗中不断复盘总结，吸取经验教训。

吕毅，目前就职于中国人民银行金融信息中心信息安全部，分别在人行科技司、香港金管局交流工作，高工，CISSP、CISP、信息系统项目管理师（高级），三次获得银行科技发展进步奖。17年信息系统管理及安全建设运维实践经验，长期开展安全管理及一线运维，目前从事信息安全运营、应急响应及互联网攻防。撰写《从信息安全运维向信息安全运营进化的探讨》(计算机工程与应用)、《基于攻击视角完善信息安全弹性防御体系的思考》（《金融电子化》）、谈银行业网络安全人才观（中国信息安全）等多篇文章。

本篇深入剖析了组织IT和安全战略的关系，提出了安全战略做什么，怎么做，路线图等实践思路，对企业安全建设负责人做好信息安全战略规划和建设整体框架提供了非常好的案例和实践，强烈推荐。

-----------------------------------------------------------------------------

投票时间截止到2022年11月15日12:00。