网安市场,跌宕起伏应该是常态。目前进入寒冬,不全是坏事,至少表明有矛盾要解决。人工智能解决矛盾前,潜伏了几十年,如今一点就着,星火燎原。
在这个调整阶段,思辨、分析、创新等能力,正在成为安全从业者的基本生存技能。安全是什么?为什么遇冷?我们要怎么办?
要回答这些问题,这些年的政策解读、发展期望、国外对标等演绎推导显得与当下无关。因此,我们需要践行归纳,重塑理解,实证和案例研究成为必要的途径。尽管追根溯源、探求完整过程的案例研究非常稀少且耗费时间,但它们在厘清网络安全本质与核心诉求方面具有不可替代的价值。
在垂直行业,涛哥牵头组织的行业实验室,通过闭门研讨会等多种形式,汇聚了业内顶尖企业新的思维模式和实践平台。在各大东道主的现场活动中,聚焦具体领域,探讨现实场景、安全概念与技术方案的衔接,切实拓展了大家急需的高质量交流空间。
我有幸参访几家,作为知识搬运工,分享一次笔记,谨作实证案例素材。作为实践者,也从我的视角提供一家之言。
太阳底下没有新鲜事,安全模式、形态、场景比我们想象的多,重要是根据自己内外部条件,做出恰当选择。
一、参访感悟:只有精进的团队才能卷动未来
本月初,参访了南京某头部企业的安全团队,东道主被业内戏称为"卷王"。令人赞叹的是,现场高端大气的大屏,PPT精心编排的大框架,都被有意简略。团队直接展示了他们的实战成果(详见第三部分):
深度自研的赋能平台 全打通的多元数据 基于真实场景的解决方案 - 业务-研发-安全的创新协作模式
东道主在一个又一个具体的重点上,超越现有的局限,精准识别核心问题,反复打磨,推动产品服务的效果达到新境界。团队展现出:
扎实的自研传统和能力,这才谈得上对细节的重视 出色的安全策略统筹能力,精准落地的自编规则 面对多层次限制和复杂挑战,勇于试验创新的决心 谦逊的人品,开放包容且持续创新的文化
没有护城河,但有开放胸襟、海纳百川的态度,并能持续探索与涌现。细细品味,“卷王”从一开始就不是卷出来的 —— 当精进超越了某个临界点,便不再是简单的重复与竞争,而是升华为真正的创新与进化。
---
几次参访引发了我对行业竞争力构建、公共交流空间营造、趋势变化以及安全本质的思考。
二、行业洞察:从现象到本质
1、竞争力再定义:是护城河还是军垦开拓?
技术浪潮的快速迭代和广泛普及,使得单纯的技术优势不再能构建起护城河。固守不变的技术架构不仅无法形成优势,甚至加速腐化。
在这样的背景下,拥有大甲方背景的顶尖团队,像“军垦”开拓一样,成为创新主力军。
2、公共空间价值重判:看热闹还是看门道?
当下安全行业的公共空间呈现出一个有趣的悖论。
- 大会、标准、生态、联盟以及直播活动越来越多,热闹非凡。
- 内行人冷暖自知,真正的创新和高价值分享,却往往是在闭门环境中产生,主题聚焦,定向深入探讨复杂和敏感问题。
这种现象反映出行业对交流形式的理性回归:从追求声量转向追求深度,从广泛传播转向精准对接,从光鲜亮丽转向衔接现实。
3、趋势展望:去产能还是产业升级?
2025年两个趋势将更加明显:
市场加速驱动去产能。当前,网络安全市场低价竞争激烈,产品同质化严重,显示行业正进入去产能的调整阶段。 大甲方引领产业升级。大甲方团队之所以成为创新的主力军,是因为他们更贴近市场深层次的需求,且具备整合资源能力,这预示着产业升级的必然趋势。
4、协作模式重构:如何寻找新定位?
市场大浪淘沙,需求去伪存真,场景姿态万千,各方需要经常校准自身定位。
对于一般乙方企业而言:
- 如何通过战略收缩回归产品核心功能?
- 如何将”被集成”扩大为发展优势?
- 在市场调整期如何找到突破口?
对于大甲方而言:
- 如何充分发挥集成、打通、编排、精细化运营的优势?
- 在产品能力构建方面,还需从哪些维度突破?
- 下一轮产业升级中,重点布局方向是什么?
5、回归安全本源:认知就是安全的边界
头部企业的探针、规则、数据规模是普通企业的10倍以上,数字化水平远超想象。我用数字孪生方法做安全研发,网络安全与软件产业数字化、软件数字孪生本就同源同体。
从数字化这个角度看,安全本质是构建数字世界完整认知,表面上包括应用、数据或攻防等安全,更核心的诉求是通过全域感知、精准建模,帮助企业真正理解和掌控自己的数字世界。
在数字化浪潮中,近水楼台先得月,当安全与数字化深度融合,将安全定位为认知数字世界设计形态、制造形态、运行形态的基础设施,而不仅仅是防护手段,这种视角转变可能会带来新的机会和方向,或许可以释放巨大的创新潜能,Security is eating the world, 加油!一切皆有可能!
预祝同仁在新的一年:福慧祥和,法喜充满。
---
接下来的内容是交流笔记,当日信息量太大,本人水平有限,错误疏漏、移花接木难免,请多包涵。
全文无图,师者匿名,非研发及安全人士请直接绕行。
三、实践参考:创新团队的具体实践
笔记目录 |
- 开门见山:领导的安全思维方式 - 主题1:开发安全 - 安全和项目长在一起 - 开发安全赋能平台 - 渗透测试 - 开源及容器安全 - 应用攻击面系统 - 主题2:安全攻防 - 优先事项:精细化运营 + 自研能力提升 - 数据计算:探针数据化,能力规则化 - 厂商可辅助,但不能依赖 - 守住关键:朴素的防护原则 - 主题3:数据安全 - 数据安全实践的核心逻辑 - 具体数据安全能力建设 - LLM: 从攻防、应用安全看数据安全 |
领导开场简短,偶有点评,如切如磋,非常到位:
- 关于交流:行业内多交流是高价值的。即便是交流时大家讲的段子、大白话、同行事件,也可以成为汇报中生动简洁的例子,让决策者更容易理解和记住关键信息。
- 关于标准:安全不是标准化的,不是“应该是那样、必须是那样”;是结合每个公司内安全实际的话语权、地位、投入、IT系统建设和部署等综合考虑的;
- 关于安全:安全是结合公司现状的当前实践,涉及团队整合、能力协作乃至办公场地相关的问题,是实打实的东西。
- 关于能力:没有一个产品能解决所有问题,安全只能说是能力的混搭。更多的需要试探、感知、响应,在实践、复盘过程中,涌现新实践。
- 关于环境:需求是底层逻辑,安全的组织逻辑从属于大框架和大架构,团队设置、人员规模、预算、乃至暴露面收缩,是框架内、平台上思维,而不是当事人视角。
感受:开发安全、内生安全,是“生”、“养”的能力,需要长周期才能形成。Common Criteria甚深,浅尝辄止、半途而废、一锤子买卖的居多,如此研用,做成平台,持续赋能,构建符合高标准安全要求的产品,确属罕见。
要点:
- 开发安全或应用安全,业界从业人员、技术大会、参考资料都比较少,需要有框架来思考、规划自己怎么做。
- 做到一定程度,工具、平台、技术规范、流程都建立之后,强调精细化运营,每个点都要深度运营。
- 安全产品自研,策略上可能和领导偏好有关系;一线工作中,满足自己需求,要很大的定制化,自研可能是最快最有效果的途径,有大量需求
安全和项目长在一起
人员配合:
- 专业安全人员,作为安全顾问,负责几个中心的需求、设计、测试等节点的全周期安全咨询、安全架构设计、安全评估。
- 项目组内的安全对接人员,作为安全BP。要经过安全培训,通过安全考试,能使用安全平台。能画出部署图,是一个门槛。
- 架构师分两层,中心架构师和应用架构师。会有中心架构师审核通过,但是架构被安全打回去的情况,所以安全要提前加入到架构评审环节。
- 架构委员会是个实体组织
制度:
- 发布开发安全指引,明确卡点,角色职责,安全实践,尤其是业务强相关的流程。
- 业务部门自己买saas,应用系统直接在互联网,上线要评估,如有高风险,要业务领导签发。
- 对于自研系统的残余高风险,上线需要业、技部门双领导签发,业务部门一般不会和技术部门一起签发自研系统的风险。
开发安全的工具链:
- 安全工具链已经建好,每个工具都在更新
- 工具链很多是集成,能自动化就自动化、
- 建立了安全自动化测试平台,可以进行自动化编排
- 形成了安全测试工具集群
- 自研开发安全赋能平台(单独介绍)
开发安全赋能平台
新应用及应用系统重大变更,须获得剩余风险报告才可上线
在线系统每年至少完成一次安全评估
项目启动第一时间就在平台内建系统,平台自动生成任务单
安全问卷:
- 安全调查问卷的重点是画出部署图,图不是上传的,是在平台上画,图要精确,威胁建模才能数图联动,后续步骤才能自动化。
- 坚持“费时费力”的部署图。部署图比清单、文字说明更直观,体现用户场景,架构师会审核看是否合理,进而明确安全控制。
- 有标准化的部署图可以复用
- 提供了标准化安全架构,是很重要的卡点
- 每天有一半时间,在做安全评估
威胁建模:
- 开发安全需求分类编号,包含需求来源、理由、目标、内容和最佳实践
- 威胁建模生成安全需求清单,并跟踪至关闭
安全测试:
- CVE、可达性、可利用性误报较多。自己制定的黑名单才是真正标准
- 源代码、组件有自己定制的黑名单,进入黑名单是一定要修复,其他直接放过去。
- 源代码扫描也有误报,也有黑名单,列入黑名单的,才必要修。
- (精准的黑名单,真体现责任心)
生产验证:
- 安全套件、应用风险、生产漏洞验证
评估报告:
- 安全BP发起审核,安全顾问提供审核意见
渗透测试
测试人员交叉验证,防止测试疲软。
以史为鉴,及时复盘:
- 如果发现越权的多,就要在前期进行沉淀和整改
- 设计缺陷,提供解决方案
- 安全编码培训课程,有考试,让外包进行培训(宰相家丁知府职!)
- 自己写安全案例库,如短信验证码不失效等问题
开源及容器安全
外部引入的容器镜像,需要扫描,修复漏洞后才能入库、上线。有大厂提供的容器,被扫除1000+漏洞,修复后才上线。
自研的容器镜像,主要做好基础镜像的安全
应用攻击面系统
覆盖互联网系统、开放端口、web站点、域名、api接口、公共号、小程序、saas、IP资产。
全打通:
- 应用系统的基础资源,列出图,关注IP、策略
- API资产,和全流量溯源、平台应用登记等去重分析汇总
- 自动化测绘,发现新暴露端口、管理页面,可以自动化处置
- 多种扫描器打通,所有日志打通
感受1: 精细化运营可以提升对复杂攻击的应对能力,确保‘有备无患’。
感受2:自研能力的提升为应对未来威胁提供了更强的适应力,也是用户体验的关键。
感受3:积累了丰富的“临床试验 + 治疗能力”。
优先事项:精细化运营 + 自研能力提升
核心策略是通过自定义规则和深度学习内网活动,来精细化运营、减少误报并提升整体检测能力。更重视对日志源的控制与利用、内网横向渗透测试以及安全防御策略的持续验证。这些措施有助于提升对高级持续性威胁(APT)等复杂攻击的防御能力。
优先事项 | 对应内容 |
1. 提升告警准确性,降低误报率 | 规则由团队自行编写,减少误报,提升检测准确性。误报永远无法消除,“度”是日常能够处理得过来。 |
2. 提升应用系统日志接入覆盖面 | 从http数据、源头(如 Sysmon)获取日志,而非仅仅依赖 EDR,EDR日志在应对真实攻击事件时还不够,有缺失。重点推sysmon等新工具的原因是为了日志数据的原始性和完整性。 |
3. 内网横向攻击检测与响应能力 | 通过模拟攻击(内网横向渗透测试)来学习日志数据,配置新的检测规则,产生告警。之前侧重边界防御,挡住攻击;真实演练和事件响应之后,做了内网攻击检测。已经收集了100+款工具。 |
4. 防御验证能力建设BAS(攻击模拟) | 使用 BAS 工具模拟攻击,发现和修正现有防御中的漏洞。例如NTA某个探针失效,不会产生告警了,BAS可以发现。 |
5. 提升终端安全检测能力 | EDR主要用于办公环境中的终端安全,作为其他安全措施的补充。UEBA做数据安全。 |
数据计算:探针数据化,能力规则化
采集80+种日志,采集器、检测系统非常多元,每日新增10T级数据
以数据为中心,自己写规则检测威胁,作为大量的探索实验和能力积累的沉淀
资产信息维度多,且实现了关联
探索性攻击系统,看有什么日志,没有日志要采集新日志,有日志没告警就要配置规则
厂商可辅助,但不能依赖
随着数据积累和技术平台的完善,如何与厂商的合作也成为了一个关键议题。有了技术、数据、平台,怎么看厂商:
- 越来越希望有全量数据,有更底层的数据,而不是依赖厂商产品加工后的数据
- 不满足于厂商简单策略的自动化,基于数据的更多字段,实现更灵活的控制、压制能力
- 厂商可以帮助发现问题,指出你的某项检测能力和业界相比较差,但是调研、研究、检查,还需要一个个场景自己去做,实际也是自己一个个做出来的。
- 团队必须掌握完整技能栈,厂商可辅助,但不能依赖
守住关键:朴素的防护原则
防护原则:
- 暴露面最小化,服务器访问纵深化,特权账户最小化,检测能力定制化,补丁最新化。
零日漏洞:
- 回归到内网渗透,因为要假定防御设备扛不住,打进来之后要能捕捉到关键攻击信号,把入侵踢掉,让入侵者不能横向移动,成功止血。
- 防御时单点的误报率比较高,但是要把多种信号串起来
- 自定义规则,才可能有高置信度的告警
- RASP防零日漏洞确实有用,能多抗一段时间,让黑客放弃转而去追逐其他目标
国产组件:
- 国产组件或开源组件,需要自己去搜集漏洞,扫描器很多不支持国产组件,或者历史漏洞扫描不出来,但是攻防时这类就类似0 day,就有人打进来
漏洞运营:
- 停止在不会带来风险的漏洞上浪费时间
- 自动化,修补确实有风险的3-5%的漏洞
- 漏洞直接发单到责任人,修复自动关闭
- 需要异构扫描器、多种扫描方式、覆盖不同服务类型;还需要收集常用POC,自己去扫,并脚本化
SOAR形成协同作战平台:
- 用API集成、打通分散的安全能力,形成协同作战平台
- SOAR作为安全自动化的中枢,按照剧本,打通、触发组织动作
- 邮件安全、社工攻击剧本实践:技术繁杂、沙箱类别多,联动环节多,暴露面收缩、限制使用行为也很关键。
攻防演练:
- 演练需要设计能达到的目标,确保有效果,能找到问题,事先合同约定未达到预设目标要扣款。
- 预设目标:外部要突破互联网边界,内部要获取应用权限或堡垒机权限等
攻击面收缩的老难题:
- 攻击面收缩面临的主要问题包括重视不足(同行出丑闻后才下决心)、安全团队话语权低(提了但未得到认可,或者就没往上提准备自己抗锅)、安全与用户体验冲突。
- 主要表现为系统过度暴露、不当配置管理和安全措施被忽视。
- 要有效收缩攻击面,需各方认可的安全意识,风险评估上报机制。
感受:错综复杂的数据安全,让人感觉无从下手。庖丁解牛,大体就是这样吧。
要点:
- 数据安全能力建设,应是更新的领域,场景差异明显。
- 数据安全成本高、影响大、监管多变。
- 处罚力度相对人性化,一般当事人的上级会先说“这类数据不重要”、“业务需要”。
数据安全实践的核心逻辑
“PbD(隐私设计理念)+SDLC(软件开发生命周期)”、“数据全生命周期”、“数据安全运营”、“重点能力建设”相结合:
- 横向上,软件生命周期中的每个阶段都涉及数据安全需求,和开发安全实践深度绑定,隐私设计嵌入软件生命周期。即通过各个工序阶段、持续的风险评估,确保数据在生命周期内符合合规要求。
- 纵向上,以外防内控的场景为抓手,做资产探测、流转检测、防泄漏、UEBA重点基础能力;也能从数据全生命周期构建更精细的场景化技术能力。即构建以技术为支撑的场景化能力,确保各环节数据安全。
- 闭环角度,运营能力的核心在于将静态设计(软件生命周期)和技术能力(数据生命周期)动态化、闭环化,实现全局化、实时化的数字安全管理。
具体数据安全能力建设
数据安全评估能力建设:
- 基线化:制定清晰的评估基准,翻译“法律语言”为“业务语言”,便于业务与技术人员理解与实施。
- 工程化:将数据安全与个人信息保护措施融入业务流程的全生命周期(SDLC)。包括合规性评审、需求分析与设计、编码、测试、发布上线、持续运行监控等阶段。
- 技术化:研发自动化数据安全与隐私保护检测工具,(逆向多),提高检测效率并生成分析报告。
APP 安全隐私管控:
- 定期评估:识别隐私风险并设计改进方案,确保新旧版本的App均符合法律与监管要求。
- 制度规范:建立内部隐私管理制度,明确责任分工与技术管理措施。
- 完整保护体系:将隐私保护要求嵌入开发全流程,建立隐私政策更新与技术测试机制。
重要数据梳理与处理:
- 识别重要数据范围:明确数据的种类、应用场景、存储位置及访问权限。
- 清单化管理:形成重要数据清单,指定针对数据的保护措施,确保及时发现和应对异常操作。
- 全流程监管:从数据的收集、处理到存储,实现全面分析和风险预警。
数据安全溯源来源:
- 外部监测:实时监测外部社交平台、交易活动等信息泄露情况。
- 客户投诉受理:处理涉及数据泄露的客户投诉,定位数据安全事件根源。
- 内部事件分析:通过行为分析和日志记录发现潜在数据风险。
人员管理与安全:
- 外包管控:基于API和数据监测能力识别外包操作的异常行为。
- 离职审计:分析员工离职后的潜在数据风险,防止数据泄露。
数据分类与保护技术手段:
- 使用技术手段(如Hook系统、日志数据分析、隐私检测技术)对网络数据、日志数据及个人隐私数据进行深度分析和实时保护。
LLM: 从攻防、应用安全看数据安全
维度 | 数据安全运营 | 网络攻防安全运营 | 应用开发安全运营 |
目标与侧重点 | 聚焦数据生命周期中的安全、合规与隐私保护,处理业务与法规相关问题 | 保障系统和网络架构的稳定性,抵御外部攻击和系统级威胁 | 确保开发阶段功能实现的安全性,减少上线后漏洞与风险 |
复杂性来源 | 数据与业务逻辑的深度耦合,需要理解业务场景进行安全问题研判 | 外部攻击手段复杂多变,需快速检测并响应 | 开发流程复杂,对安全左移的需求导致流程前置化管理 |
依赖资源 | 跨部门协作(业务、IT、安全、法务)、法规知识、数据治理能力 | 技术工具(入侵检测、防火墙)、实时威胁情报和响应能力 | 开发工具链(CI/CD)、安全测试流程、代码审查机制。 |
处理方式 | 基于规则和业务场景的研判分析,人工介入较多 | 自动化监测与快速对抗,实时响应威胁 | 在开发流程中嵌入安全措施,以预防为主 |
关注对象 | 数据的生成、存储、处理、使用、传输和销毁全过程 | 网络攻击、系统漏洞、外部威胁 | 应用代码、功能逻辑、用户隐私数据 |
实时性需求 | 中等:需要一定的时间分析数据与业务场景 | 高:强调快速检测与响应外部威胁 | 低:更强调开发阶段的前置性保障 |
技术与业务融合 | 强:需要深刻理解业务逻辑与场景,确保数据安全措施贴合业务需求 | 中等:以技术工具为主导,业务逻辑融合较少 | 弱:主要关注技术流程的安全性,业务逻辑涉入较浅 |
风险防控重点 | 防范数据泄露、敏感信息滥用、违规使用 | 防范外部攻击、APT、DDoS等高危事件 | 防范开发阶段代码漏洞、功能风险与用户隐私泄露 |
如有侵权请联系:admin#unsafe.sh