2021年10月15日,由安世加主办的“EISS-2021企业信息安全峰会之深圳站”在深圳四季酒店成功举办。峰会以”直面信息安全挑战,创造最佳实践案例“为主题,总共吸引了近300位来自各行业的企业安全负责人,安全专家出席。
本届峰会是安世加在深圳连续举办的第三次峰会,通过数字化转型与数智化安全、云原生安全应用实践、安全数字化等新颖和热议的话题对当下安全行业的发展进行了深入的分享与探讨,旨在共同探索企业信息安全的未来与发展!
本次峰会共有Imperva、火线安全、瑞数信息、Fortinet、Palo Alto Networks、Tenable、Gigamon、蔷薇灵动、思睿嘉得、安势、永安在线及娜迦科技,共12家企业赞助,并获得多达52家单位和30家安全媒体的鼎力支持。
上午主会场
本次峰会的首位演讲嘉宾是来自雪松控股集团的CIO兼CDO 李洋博士,他的演讲主题是《数字化转型与数智化安全》。
数字经济时代下,数字产业的蓬勃发展驱动了产业数字化转型如火如荼和快速迭代升级。在以数据资产化、科技战略资产化、业务数字化为重要特征的数字化转型过程中,企业面临着越来越多的系统、数据、业务等安全风险,勒索病毒、数据泄露、黑客攻击等一直困扰着CEO、CIO、CDO等企业经营决策者和科技工作者们。不转型是“死”,转型中缺乏安全把控则可能会“死”得更快,已经基本成为业界共识。
基于此,本次分享将基于李洋博士近20年来作为CIO/CDO、CSO在海尔集团、平安集团、雪松控股集团等世界500强多元化集团从事信息化、数字化和安全风控的工作经验,首先向大家介绍数字化转型的安全诉求和顶层设计,然后针对企业CSO们需着重关注的数字化基础设施安全、数字化办公安全、数字化业务安全等典型数智化安全问题,结合制造、金融、产业金融等行业和世界500强集团的具体实践进行精要分享。
第二位演讲嘉宾是来自Imperva的资深安全专家 刘沛旻,他的演讲主题是《新法规下的数据库安全思考》。
2021年国家连续通过了《数据安全法》和《个人信息保护法》两个数据安全重磅法规,同时近年来数据库环境也发生巨大的变化,物理环境在向私有云和DBasS发展、结构化数据存储在向非结构化数据存储发展,传统的数据安全防护思路还能够满足新的环境和新的法规要求吗?会面临怎样的新挑战?Imperva将以实际项目经验出发,为您提供新环境、新法规下的,可落地的数据库安全建设思路。
第三位演讲嘉宾是来自火线安全的联合创始人 曾垚,他的演讲主题是《基于攻防社区的企业安全风险管理》。
软件安全漏洞频发、资产管理存在未知盲点、业务逻辑漏洞发现难度高等诸多因素导致企业业务攻击面不断增大,漏洞发现成本持续增加,无法积累安全能力。火线安全将分享如何通过优质的社区资源,帮助企业打造可持续化的安全风险发现能力,降低安全风险发现成本。
第四位演讲嘉宾是来自华润网络的安全总监 李斌,他的演讲主题是《云原生安全应用实践》。
本次演讲主要介绍云原生环境面临的安全风险,以及在K8S集群环境下的容器镜像安全、第三方组件安全、容器运行时安全检测方案和应用实践。
第五位演讲嘉宾是来自某研发技术型企业的企业数据安全负责人 Vesen,他的演讲主题是《安全数字化建设分享》。
本次分享主要以什么是数字化,为什么要做数字化及怎么做安全数字化建设三个点展开。
第六位演讲嘉宾是来自瑞数信息的华南区技术经理 黄志敏,他的演讲主题是《应用数据安全主动防御》。
随着业务数据不断丰富和细化,应用数据安全需求也越发突出,如极速增长的微服务、移动端APP等应用。数据显示,敏感数据泄露事件39%由web漏洞导致、61%的数据泄露涉及登录、81%的数据泄露来自于外部以及85%的数据泄漏来自于人的因素。攻击手法如常见的各类爬虫攻击、针对API的攻击、利用自动化工具实现的撞库攻击等;《中华人民共和国数据安全法》(2021年9月1日施行)、《中华人民共和国个人信息保护法》(2021年11月1日施行)中提到了对外开放性数据的安全治理。瑞数为众多一线客户提供了应用数据安全的主动防御,全渠道覆盖数据安全防护需求,通过API防护产品、动态应用防护产品来应对日益严峻的应用数据安全现状。
下午分会场一:企业安全应用
下午分会场一的首位演讲嘉宾是来自平安科技的安全运营资深经理 王治纲,他的演讲主题是《平安DevSecOps之“道”与“术”》。
本次分享主要分为三点:痛点与挑战、“明道”与“炼术”、On the road。面对外部因素和内部因素,平安如何运用平安DSO之道:一个中心、三大要素和平安之术:八种武器来实现DevSecOps的实践落地。
下午分会场一的第二位演讲嘉宾是来自Fortinet的南中国区技术顾问 Kenny Yu,他的演讲主题是《SASE构建安全驱动的全球互联》。
随着互联网新时代的到来,传统网络架构与联网方式已经发生了翻天覆地的变化。新背景下的防护概念SASE也应运而生。然而SASE方案的主流供应商数据中心多部署在海外,其完全的云交付方式,也需要更多时间才能被企业逐渐接受。如今,借助Fortinet,企业可以轻松定制构建适合自己的SASE安全环境,解决传统SASE海外云交付落地难与自主可控的问题,为新时代背景下的企业数据安全保驾护航。
下午分会场一的第三位演讲嘉宾是来自Tenable的中国区总经理 赵阳,他的演讲主题是《确保AD域控安全应对网络高级威胁攻击》。
放眼全球:90% 的《财富》1000 强企业都使用 Active Directory 作为其企业用户身份验证和授权的主要方法,而且大多数企业具有复杂的、不断发展的Active Directory体系结构。近期包括 SolarWinds数据泄露和Microsoft Exchange 黑客攻击等事件,突显了预防权限提升、横向移动保障 Active Directory 和身份基础设施的安全至关重要。成功的数据泄露往往都是从对 Active Directory 的攻击以提升权限开始,改善 Active Directory 的安全是每个使用AD域控的企业需要关注的重要问题。
本次演讲会分享全球顶尖AD安全企业的最佳实践,如何在不需要安装代理和高级域账户权限的情况下,通过自动化手段准确持续检测AD弱点及实时威胁。
下午分会场一的第四位演讲嘉宾是来自Gigamon的南中国区(含香港、澳门地区)销售总监 南武戎,他的演讲主题是《构建全新安全体系的基石-Gigamon安全平台解决方案》。
面对层出不穷的安全事件,企业如何及时应对与解决?本次演讲主要内容包含安全面临的挑战,技盟安全交付平台的介绍、安全交付的场景及技盟方案所提供的优势所在。
下午分会场一的第五位演讲嘉宾是来自腾讯的企业IT高级安全研究员 薛逸钒,他的演讲主题是《高级对抗下蓝军攻击技术思考》。
在当前网络环境下,随着安全体系建设逐渐完善,WAF/HIDS/EDR等安全产品应用逐渐广泛,渗透测试的难度不断加大,如何选择一条合适的攻击路线以及攻击手法尤为重要。
本议题以外网攻击者的角度介绍渗透测试中会遇到的挑战以及如何去应对高强度防御体系下的网络环境攻防,如何以高效、稳定的方式开展一次红队行动。
下午分会场一的第六位演讲嘉宾是来自TCL的软件安全部长 林舜大,他的演讲主题是《AIOT智能家电网络安全策略分享》。
TCL自2019年春季发布会发布AI×IoT战略以来,以持续为全球用户提供智慧健康生活相关的产品与服务为己任,聚焦AI×IoT应用落地,带来“懂得”消费者的创新产品和极致的智慧科技体验,持续在AIoT的新赛道上一路驰骋,同时也专注于AI、IoT和云服务等安全的研发和应用,为AI×IoT战略落地提供有力的安全保障,总结了在AI×IoT战略实施以来的一些安全策略和大家分享。
下午分会场一的第七位演讲嘉宾是来自安信证券的安全团队负责人 李家攀,他的演讲主题是《攻防对抗形式下的安全运营实践》。
近几年,随着国家攻防演练活动的开展,越来越多的企业也逐渐通过攻防演练这种方式来发现现有防御体系中的问题,不断提升自身的安全能力。如何在攻防对抗新形势下开展以攻促防工作?本次演讲将会分享安信证券安全团队相关实践经验。
下午分会场最后一个环节是由来自德勤的风险咨询部总监 叶天斌、AKULAKU的安全总监 熊耀富、金山办公软件的安全负责人 刘振全、OnePlus的安全负责人 刘宗勋和某医药公司的安全专家 陈勇组成的小组讨论:企业安全实践方法论。
讨论围绕三个问题展开:如何看待企业面临的数据勒素,是否有解决之道、企业里是否有自动化安全运营工具,主要应用的场景、数安法、个保法出台后,对企业信处安全工作有那些影响。五位嘉宾以自身企业的视角,通过实践经验的阐述,为与会者提供了有价值的借鉴经验。
下午分会场二:信息安全新技术
下午分会场二的首位演讲嘉宾是来自乐信集团的信息安全中心总监 刘志诚,他的演讲主题是《非结构化数据安全管控实践》。
本次分享包括:企业中非结构化数据的存储分布、非结构化数据安全的重要性、非结构化数据管理的中间件、非结构化数据生命周期等内容。
下午分会场二的第二位演讲嘉宾是来自Palo Alto Networks的中国区新兴市场技术总监 金志勇,他的演讲主题是《创新技术助力企业数字化转型时期的安全落地》。
用户的数字化转型为企业发展提供动能,但随之带来的安全挑战也日益凸显。包括:零信任如何落地,传统安全设备能否有效抵御未知威胁,公有云/私有云一体化中面临挑战,容器安全,如果在使用场景的不断扩展情况下提升自动化运维的效率等。Palo Alto Networks提供独特创新的功能和专业服务帮助企业实现安全零信任架构的落地,使得您在网络、端点、云的场景实现便捷的安全落地,保护您在任何位置的用户,应用和数据,助力您业务的发展。
下午分会场二的第三位演讲嘉宾是来自蔷薇灵动的产品总监 熊瑛,他的演讲主题是《基于微隔离的数据中心零信任实践》。
在全球抗击疫情及企业数字化转型的双重驱动下,零信任理念得以加速推广并落地。同时,数据中心内部的东西向流量始终是安全管控的薄弱环节,本议题将介绍如何通过微隔离对数据中心东西向流量实现基于身份的访问控制,从而实现数据中心零信任的落地。
下午分会场二的第四位演讲嘉宾是来自货拉拉的网络安全负责人 王建强,他的演讲主题是《货运场景下的SDL实践》。
本次分享主要介绍如何从 0 到 1 的落地 SDL,并在实际的场景下结合 SDL 整合安全能力,并持续的向左移,最终提高整体产研交付物的安全质量。
下午分会场二的第五位演讲嘉宾是来自平安银行的应用安全负责人 秦伟强,他的演讲主题是《甲方安全建设之有效落地安全测试的探索实践》。
随着企业应用安全体系建设的完善,在应用生命周期的各阶段都有一些机制保障安全活动的质量,比较有效的提升了应用的安全质量,但是在安全活动的执行过程中,存在非常多的“灰犀牛”问题,安全测试就是其中之一,在这里我们将交流分享,如何更有质量的落地安全测试。
下午分会场二的第六位演讲嘉宾是来自某集团的安全负责人 姜山,他的演讲主题是《企业数据安全建设的思考》。
数据安全是近年来讨论的热点,相关法律法规纷纷发布,对于企业信息安全建设从业者来说这是挑战也是机遇。数据安全和信息安全的关系、如何逐步开展数据安全工作以及如何满足数据安全合规要求都是我们要思考的问题。
下午分会场二的第七位演讲嘉宾是来自虎牙的安全架构师 曹政,他的演讲主题是《数字水印落地和实践》。
随着数据安全意识的提高,现在企业内部很多关键系统都加上了水印,对数据外泄起到了初步的震慑作用,但是在面对另有所图的 “企业内鬼” 来说,传统的水印,往往存在易PS去除,易调试去除等问题。我们将分享如何将攻防思维带入数字水印技术,来应对各种的绕过挑战。
下午分会场二的第八位演讲嘉宾是来自某金融机构的安全专家 刘顺,他的演讲主题是《基于研发生命周期的个人信息保护实践》。
数据安全法和个人信息保护法的相继颁布,与网络安全法形成国内网络安全的总体法律框架,个人信息保护近期可谓是“存在感十足”,本议题将基于整个研发生命周期,介绍如何把个人信息保护融入研发安全管控(SDLC)体系,从而确保个人信息的合规与安全。
下午分会场二的最后一位演讲嘉宾是来自微众银行的数据安全专家 向非能,他的演讲主题是《安全基础工具建设思路与实战》。
本次演讲主要讲解微众银行面临的安全现状,安全基础工具需要解决哪些问题以及建设的思路,另外分享微众银行三个安全基础工具解决的问题、成果以及方案。
精彩瞬间
最后,感谢支持本届EISS企业信息安全峰会的赞助商、演讲嘉宾、支持单位、媒体以及所有参会来宾。正因为有你们的支持,EISS企业信息安全峰会才能连续第三次在深圳圆满举办,安世加也将继续秉承一丝不苟的信安精神,探索和开创更多的形式,致力于为行业提供更为优质的平台!2022,我们再见!