FIT 2019议题前瞻：三重奏，网络安全建设的方法论 | 企业安全俱乐部

随着“互联网 +”逐渐成为信息时代产业发展的主要技术经济形态，互联网在企业生产、管理、销售等领域的参与度越来越高，促进商业模式不断调整，工作效率大大提高。在新趋势、新变化带来便利的同时，网络安全隐患日益彰显，安全隐患源头与种类越来越多，成为了影响互联网行业发展，乃至国家安全的重要因素。

企业管理者应当充分认识到“互联网+”环境下企业安全管理的现状以及存在的安全威胁，树立全面安全管理意识，保障企业信息安全。

本次FIT2019大会组委会特别邀请斗象科技漏洞盒子产品负责人来勇、阿里巴巴资深安全工程师柳兮、美图安全经理/Security Paper 创始人史鑫磊等重磅嘉宾为我们带来《企业如何赢在SRC的起跑线》、《企业SDL实践与经验》 、《如何做好业务安全红蓝对抗》等干货议题分享，从多个多维讨论如何保障企业安全。

企业如何赢在SRC的起跑线

近年来，由于企业网络安全漏洞未能及时封堵而引发的信息泄露、系统宕机、服务瘫痪等事件频频出现，直接或间接的经济损失往往十分巨大。网络安全问题已经由过去的幕后逐步走到台前，越来越多的企业成败多了一条评判标准就是网络安全。在经过了防火墙，渗透测试，红蓝对抗等等方案后，企业SRC这一安全解决方案逐步进入业界并如雨后春笋一般成长。

目前，国内的大型互联网公司均自建了SRC，解决白帽找不到有效渠道和动力来提交漏洞的问题，但大多数企业并没有这个实力。

一是因为缺乏安全技术积累，也没有与白帽子直接对接的机制和渠道；

二是SRC建立容易运营难，搭建后需要投入大量人力物力进行漏洞审核、跟踪修复、技术运营等工作。

对于大企业来讲，资源虽然不是问题，但SRC毕竟不是核心业务，投入有限。而中小企业本身资源有限，重业务而轻安全是普遍现象，在安全当中的投入非常之有限，且人员配备不足。

国内的SRC该如何发展，这是每个SRC运营者都在思考的问题。SRC平台在很大程度上已成为企业安全防御系统能力好还是不好的最直接证明。牢固的防御系统为什么会被白帽子攻破？安全弱点在哪里？还有哪些类似的安全漏洞？企业的安全系统为什么没有发现这些问题？

FIT2019组委会充分利用现有优势资源，邀请斗象科技漏洞盒子产品负责人来勇带来 《企业如何赢在SRC的起跑线》 的议题分享，为更多企业成功构建SRC提供积极的思路和建议，解答如何在资源有限又责任重大的情况下建设好企业自身SRC的问题。

来勇是斗象科技高级产品经理，拥有丰富的产品经理经验。曾经服务并参与可口可乐、强生中国、百威英博等多家世界五百强企业的内部管理系统研发。在加入斗象科技后主导“漏洞盒子”和“Freebuf”两款产品的设计策划。曾多次为国家机关及商业银行提供SRC的建设意见及方案，部分方案已经落地成熟运行并成为行业的重要参考案例。

企业SDL实践与经验

随着信息技术飞速发展，互联网早已渗透到了各行各业，现在的信息安全所影响的早已不止是网络空间，对物理世界的企业生产、经营都能带来很大的关联。信息技术能够帮助企业转型升级，快速发展，提升效率以及竞争力，但同样也会带来很大的安全隐患。

信息就是财富，安全才有价值。现在的互联网企业多数依赖网络技术发展生存，企业信息安全决定了企业的生死存亡，是市场竞争的利器。因此，想要企业健康可持续性发展，信息安全是基本的保证之一。随着网络环境日益恶化，企业管理者也逐渐走出以往的误区，信息安全建设成为了很多企业的重点任务，但不同的企业需要不同的应对措施，多数往往不得其法。

在此背景下，FIT 2019组委会邀请美图集团安全经理史鑫磊参加企业安全俱乐部，为大家带来企业SDL应用与实践的分享，通过实地经验，讲述SDL带来的改变。想要知道如何快速构建企业安全，以及作为甲方企业如何实行SDL落地方案，还请关注史鑫磊先生的议题 《企业SDL应用与实践》 。

企业安全中最重要的即是安全可控，本次分享内容主要是针对企业SDL流程的实践，美图SDL过程中遇到的一些问题和难点，大部分的企业安全团队都会作为一个独立的团队存在，而SDL把安全和开发紧密结合在一起，让企业在开发过程中保持高效的研发速度和可控的安全性。

史鑫磊作为美图集团安全经理，主导美图整体安全建设，同时还是security paper创始人、SDL概念的发起者，在公司安全团队组建初期，通过开源项目整合方式，快速构建企业安全防护体系，包括主机防护、漏洞扫描、漏洞管理平台、网络威胁感知、安全情报监控等。通过在美图集团的实地应用中，在SDL安全生命周期管理中解决了很多问题，使得企业SDL得以持续的发展以及不断的改进。

如何做好业务安全红蓝对抗

随着勒索病毒事件的不断发生，如WannaCry、GandCrab等，传统的企业网络安全防护手段已经捉襟见肘，许多企业发现自己已陷入一种看似不可回避、纯粹的保守安全补救措施的循环之中。在这样的大背景下，越来越多的企业安全管理者开始摈弃传统思维，转向漏洞众测、渗透测试和红蓝对抗等新兴模式。

红蓝对抗的概念首先是从军事领域衍生出来的，随着企业不断丰富自身安全能力，红蓝对抗模式也越来越被企业认同和接受，红蓝对抗所暴露的问题不仅包括技术漏洞，还有安全管理、防护能力以企业高层视角等领域的薄弱点。

通过红蓝对抗，企业的防护态度将发生转变，从传统的安全事件触发应急转向到异常挖掘和攻击复现，以构建新型威胁响应模型。但是在业务红蓝对抗的新领域，我们该如何做好全方位立体的业务蓝军体系？如何解决实践过程中遇到的很多挑战？

阿里巴巴集团安全部-归零实验室成员柳兮将在FIT2019大会企业俱乐部项活动中为大家带来 《如何做好业务安全红蓝对抗》 议题分享，对上面的问题进行解答。

柳兮熟悉WEB安全、移动应用安全、渗透测试、代码审计等领域，有着较为丰富的电商安全SDL工作经验。近3年来一直致力于业务安全红蓝对抗方向的研究，包括业务红蓝对抗的体系化建设、平台建设等。

FIT 2019互联网安全创新大会

FreeBuf互联网安全创新大会（FIT）是由国内领先的互联网安全新媒体平台FreeBuf.COM主办的年度互联网安全盛会，WitAwards互联网安全颁奖盛典也将同期举行。

FIT 2019大会会期为 2018年12月12日～13日 ，会议将在 上海宝华万豪酒店 举行。本次大会主论坛议程聚焦 「全球高峰会」、「前沿安全神盾局」、「WitAwards颁奖盛典」、「WIT安全创新者联盟」「X-TECH技术派对」、「HACK DEMO」 六大板块，独立分设 「白帽LIVE」 及  「企业安全俱乐部」 两大分论坛，与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽安全专家、研究机构等共同展开演讲与探讨。同时 「中国首席信息安全官高峰论坛 」、 「漏洞马拉松线下邀请赛」 也将在特色分会场同期举行。此次盛会致力于分享2018年度安全行业创新硕果，共同探索与展望未来安全新边界。

>>>【FIT 2019官网】