未分类

业务视角看网络安全规划

未分类

业务视角看网络安全规划

一、背景 又到了一年中总结过往规划未来的季节,差不多5年的基础安全能力建设,网络安全进入深度运营区,如何做好明年的安全规划,是我思考最多的话题。 以往的规划也做过分享,是从分工专业化的角度,对公共能力建设与安全运营进行领域划分,着眼于如何做的角度,以麦肯锡MCME相互独立,完全穷尽的方式进行工作分解,围绕着业务场景的安全风险评估,以企业风险接受程度为限进行规划,指导预算申请,沟通以及项目建设。 以往的规划遵循了网络安全战略与业务战略一致性,并且从业务角度关注业务场景中的安全需求,并从价值驱动的视角,实现网络安全与公司战略和业务发展的一致性。针对数字化业务的典型特征,在传统网络安全的基础上,更加注重数字化作业平台的研发安全管理体系,实现安全左移能力建设。围绕企业安全之外的运营安全,产品安全,提出了跳开网络安全方法论,从数据的可复制性、流动性资产特征出发,建设全流程的数据安全跟踪溯源机制,跳出企业数据安全的局限,严控数据生态合作企业数据安全能力评估与监测,以监控和元数据分析为核心,重构数据安全底层逻辑的理念与实践。围绕着2C场景的用户数据保护,电信欺诈,业务欺诈以及黑灰产对抗,

By david liu
Gartner2024年安全运营技术成熟度曲线随感(下)

未分类

Gartner2024年安全运营技术成熟度曲线随感(下)

4、对抗性暴露验证 漏扫工具的漏洞扫描关注资产的脆弱性发现。漏洞管理,漏洞验证作为脆弱性管理的工具提供关于脆弱性的治理能力。静态的漏洞发现,验证,修复在传统企业安全场景中,因系统生命周期的稳定性和场景的简单化以及资源的可以利用性,可以解决企业安全基本风险的脆弱性治理。但在运营安全中,面对敏捷开发的业务适应性需求,系统版本的生命周期短,技术栈和部署结构复杂,安全与研发资源投入不足,静态的漏洞管理思维主导的脆弱性治理模式受到挑战,传统的漏洞公共评级难以适用企业实际安全政策。 漏洞的利用验证,部署环境的安全补偿性控制措施绕过,多漏洞组合利用的业务损害,构成攻击有效性的评估,整合成暴露管理的控制措施。互联网暴露面管理工具关注的是互联网暴露资产的脆弱性发现,评估,但忽略了内部资产漏洞的利用验证和攻击路径的整合。涉及到部署方式和检测能力以及对外部威胁的防御能力,互联网暴露面管理具有市场价值。 对抗性暴露验证,从漏洞的可利用性评估验证以及漏洞组合利用的业务破坏进行攻击评估验证,是对破坏性攻击模拟(BAS),自动化渗透测试/自动化红队等技术和产品的整合,可以实现攻击场景的验证。 这和资产管理,

By david liu
Gartner2024年安全运营技术成熟度曲线随感(上)

未分类

Gartner2024年安全运营技术成熟度曲线随感(上)

一、背景 Gartner的技术炒作曲线是网络安全产业产品与技术发展的关键风向标之一,基于市场数据的调研,从技术产品概念的生命周期指引需求和方案的匹配与发展。网络安全运营作为安全风险的威胁和脆弱性持续发现,分析,控制,以及风险暴露的预警,响应,处置的动态可持续的治理的手段,是安全全生命周期的需求,设计,开发,部署,运行的体系化管理能力,借用应用DevOps的概念,安全运营关注的是SecDevOps的Ops。 VUCA时代是数字化社会在面临地缘政治经济变革,民粹主义崛起,科技脱钩对抗背景下的典型特征,作为数字化社会的安全风险管理(SRM)的关键保障,安全的体系化治理愈加复杂,经济下行压力下,预算资源下滑与安全从业人员短缺进一步恶化安全风险管理的趋势,导致网络信息安全引发的社会问题日益突出。如何洞察趋势,选择合适的产品与技术应对安全风险是从业者需要思考和行动的主题。 Gartner结合市场调研数据以及行业发展洞察,定义了技术炒作曲线,从技术创新,炒作顶峰,泡沫破裂,重整旗鼓,全面应用定义了市场对技术产品的接受程度,从概念到50%的市场占有率,产品和技术需要经过市场和实践的考验与验

By david liu
法律规制对网络安全发展趋势的影响——基于《法律3.0》的网络安全思考

未分类

法律规制对网络安全发展趋势的影响——基于《法律3.0》的网络安全思考

上篇对《法律3.0》这本书进行了自己的综述与评价,忽略了《法律3.0》自身的论述与案例解析,虽然对我而言这本书带来的震撼依然在延续和思考,但写的文章读者读起来未免显得枯燥无味。周末的间隙,跑步的过程,反思网络安全与法律的关系,不免觉得拿网络安全来阐释法律3.0,更为鲜活,也希望能给大家带来更多的启发和思考。 一、法律3.0回顾 首先还是要回顾下法律3.0的核心思想,法律1.0是规则规制主义,即以立法规则规范人的行为符合权利义务的强制规则,并通过司法对法律事件和法律结果按照规则确定责任和惩治违规行为实现对权利损害的强制力救济。事前的教育、指导、威慑,以及事后的惩治与救济是法律1.0的典型特征。 法律2.0是工具规制主义,规则规制主义的主要问题在于司法过程的教义(doctrine)一致性会造成实质的权利保护和义务强制的不公平。典型就是美国宪法修正案相关的争议判例,在种族歧视,言论自由等领域的一些案例争议就在于是按照宪法立宪的目的去评估还是按照宪法的条目符合性去评估,这是法律在社会变革过程中,社会环境,集体意识形态变动带来的难题。法律2.0的工具规制主义,相对于规则规制主义的教义一致性

By david liu
法律的技术主义与技术管理的监管——《读法律3.0》要义

未分类

法律的技术主义与技术管理的监管——《读法律3.0》要义

一、概念 法律是基于规则和规范的行为和法律结果的调整与救济,初始的法律注重法律规则的融贯性(coherent)也就是一致性,在作者看来,这属于法律1.0的范畴,注重规范规则的教义(doctrine)一致性。 在技术逐渐进入和影响社会各个层面,法律教义融贯性难以满足各种细分场景的行为与法律结果的调整,如果遵循教义融贯性可能导致法律目的的背离,这就需要从风险的角度评估规则,考虑技术方案(作者将Technocracy翻译为技术主义,指的是技术上的解决方案解决规制问题)对风险的治理,实现法律目的的有效性,这就提出了法律2.0的概念,就是规制工具主义。 规制工具主义从法律目的和法律的有效性出发在海洋法系国家可以在法院层面实现个案的立法目的和有效性的法官主观能动性的判断,但在大陆法系成文法国家,从立法层面实现存在巨大的困难,如何实现法律对VUCA时代新技术爆炸的规制,存在争议,以技术无关性实现插槽式立法,实现新技术在旧体系中的影射,越来越体现法律的脆弱。 同时,我们这个时代越来越多的规则不再以文本和规范的方式由公权力制定,通过技术方案对人的自由意志和主观能动性进行约束,以技术实现

By david liu
从科学跑步到网络安全运营

未分类

从科学跑步到网络安全运营

跑步是一个科学过程,但相对于每一个人而言,都是一个应用实践工程,你当然可以先做理论学习,然后再去跑步,但对于大多数人而言,如果想在跑步中考虑科学因素,首先需要行动起来,从实践中不断的克服困难,总结经验,才能更好的理解和应用跑步需要的科学知识。 一、过程与原始数据 为什么要跑步?初始的原因是想减肥。 1、第一个阶段:硬干 大概是2013年,体重在83KG,再一次体脂测试中,36岁显示生理年龄大概在45岁,第一次跑是跑去荔香公园,2KM,气喘嘘嘘,两眼冒金星,即没有智能手表监控心率,也没有关于配速和距离的监测,更遑论说跑前的热身,跑后的拉伸,就是硬干。 坚持还是可以做到的,野蛮的行动持续了好多年,基本每周末跑一次,距离逐渐提升到6KM,每次都是痛不欲生的历程,在我们4楼平台的小操场大概200米周长跑30圈,每次焦虑的数圈几乎是一种求生的本能,当然,跑的久了,确实有多巴胺效应。小腿肚,左腿弯侧神经,左脚踝,左跟腱疼痛是常有的事,大概2016年左跟腱疼的一度行走困难。 虽然买了嘉明的手表,但主要是计时和配速,心率没怎么关注。当时的配速大概是6:

By david liu
网络安全内容的思考,表达,传播

未分类

网络安全内容的思考,表达,传播

近几年经常收到一些邀请,做一些网络安全领域的分享,近一年来也开始规律化的通过公众号写作和分享一些内容。无论是演讲还是写作,尽量避免已有知识体系的直接传播,而是希望在知识提炼和挖掘的同时,包含自己认知体系带来的见解,观点,创新,希望通过分享和表达,影响更多的从业者,形成共识,推动行业的进步和持续改进。 虽然是网络安全从业者,读者也以网络安全行业为主,但我的兴趣爱好相对还是比较宽泛,喜欢通过跨界的学习和思考,引发创新和思考。因此,我想总结下自己所讲、所写的内容究竟与别的分享着有什么样的区别,这些区别背后的内容是什么样的结构和模式。 持续思考这个主题的过程中,有次和朋友探讨数据生产要素,数据资产,以及新质生产力如何在数据领域发生价值,形成商业模式的问题。看讨论完记录者整理的书面材料,发现不仅内容需要理清,在表达和传播上,同样存在着一些问题,很容易用思考的逻辑代替表达表达逻辑,缺少正确的表达形式,表达的对象模糊不清,达不到理想的传播效果。觉得倒不如从内容到思考,表达,传播的链条做一次完整的分享,所以成文。 一、内容 标准的知识框架我们从DIKW(数据,信息,知识,智慧)谈起,数据

By david liu

信息安全

诸子笔会2022 | 刘志诚:企业与行业网络安全发展趋势预测

自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。 企业与行业网络安全发展趋势预测      文 | 刘志诚 刘志诚 乐信集团信息安全中心总监 关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。 又到了年底总结的时刻,微观维度执行的总结和规划趋

By david liu

未分类

诸子笔会2022 | 刘志诚:网络安全职业成功的三个层次路径详解

自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。 网络安全职业成功的三个层次路径详解      文 | 刘志诚 刘志诚 乐信集团信息安全中心总监 关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。 安在的超级CSO课程举办三期,为解决信息安全职场迷茫期的新生力量成长的烦恼,适时推出了未来CSO的课程,忝列为导师,参加了关于网络安全职场成长的第一期直播,畅谈网络安全这碗饭到底香不香。囿于时间原因,再加上圆桌访谈,颇感意犹未尽,恰好本期征文主题涉及这个话题,就仗着自己近25年的工作历程,反思过往,复盘过程中的抽象总结,体系化谈一下这个问题。

By david liu