毕尔巴鄂对阵皇家社会:两支近邻球队将于西甲联赛 “巴斯克德比”中为捍卫荣耀而战贝壳第三季度营收226亿元 经调净利润17.8 亿元 同比下降17.46%AI营销,让科技巨头尝到了大模型商业化的甜头安恒信息范渊在乌镇峰会谈AI:以工具视之、以工具用之、以工具治理之诺基亚与微软再合作,为 Azure 数据中心供货延长五年天岳先进发布业界首款 300mm(12 英寸)N 型碳化硅衬底三星介绍内部安全团队 Project Infinity 攻防演练项目,高效修复 Galaxy 手机平板漏洞上海市将推进低空飞行服务管理能力建设,2027 年底前累计划设相应航线不少于 400 条岁末,海尔给您备好一套“小红花”为什么说Q10K Pro是今年最值得入手的电视?看完这几点就明白了!“小墨方·大不凡”!Brother“小墨方”系列彩喷一体机全新上市黄仁勋:AI智能需求强劲,“物理定律”限制英伟达芯片增长诺基亚与微软再合作,为Azure数据中心供货延长五年国家数据局:到2029年基本建成国家数据基础设施主体结构中国已发展成为全球最大的互联网市场,拥有全球最多的网民和移动互联网用户中国铁塔:计划按照10:1的比例合股美国FCC正式划定5.9GHz频段用于C-V2X技术在AI领域奋起直追!苹果要对Siri大革新 2026年正式发布日本机构公布量子专利榜单:本源量子、国盾量子位居全球第1中国联通:拟向华为、中兴展开5G网络设备竞争性谈判采购
  • 首页 > 网络安全频道 > 云安全

    360政企安全集团发布重磅方法论,驱动实战化安全能力建设

    2021年08月13日 18:51:23   来源:手机凤凰网

      数字时代下,0day 攻击、APT 攻击、勒索软件等威胁愈发严重,安全对抗的水平在不断提高。安全最终是要以实战攻防效果来衡量的,面对接踵而来的新威胁、大挑战,发展实战化的安全能力成为大安全时代的刚需。

      然而传统网络安全建设过程中,顶层设计与落地执行之间存在断层,无法很好的应对实战攻防,这一系列问题,给业界提出了挑战。8月9日-12日,在ISC 2021云峰会上,360政企安全集团重磅发布了“实战驱动的网络安全方法论”,提出将实战攻防元素与传统网络安全模型、框架驱动的方法相结合,提供实战化的网络安全规划与度量方法。

      在ISC 2021云峰会上,三六零(股票代码:601360,以下简称360)集团创始人、董事长周鸿祎以军队打仗为行动思路,提出了“体系化作战”,不能再把网络安全当作数字化的附庸,试图堆砌碎片化产品解决不断变化的安全问题,而是应该直面安全挑战,以“作战、对抗、攻防思维”为指导,进行实战化的安全能力建设。此次发布的方法论,即是从实战化的角度去规划与度量网络安全能力建设的具象。

      360集团创始人、董事长周鸿祎

      以方法论持续提升网络安全能力

      在本次ISC大会中发布的方法论是360政企安全集团自上而下的一次战略规划。由360集团首席运营官、360政企安全集团首席执行官叶健阐述了方法论的核心思想与构成,并将其作为360政企安全集团的核心能力之一对外提供服务;360政企安全集团高级副总裁高翰昭阐述了方法论全景以及如何指导网络安全体系建设;360政企安全集团产品战略规划专家何帆阐述了如何将攻击框架、防御框架、成熟度模型三大基础元素相关联,从而将实战攻防元素与传统网络安全模型、框架相结合来驱动网络安全规划与度量;360集团战略创新研究院副院长吴露渟阐述了如何利用360网络安全成熟度模型来度量网络安全能力及其特点。

      其中,360集团首席运营官、360政企安全集团首席执行官叶健在题为“新形势、新战法、新使命、新生态”的演讲中提出了360网络安全新战法的三大能力,其中重点之一是安全实战方法论,他分别从如未知攻、岂能知防;纵深防御、体系运营;检验机制、不断提升的维度阐述了网络安全建设需要了解安全攻击全景、构建安全防御体系、并且持续进行安全成熟度评估的安全实战方法论来提升网络安全能力。

      360集团首席运营官、360政企安全集团首席执行官叶健

      如何利用安全实战方法论来进行网络安全体系建设?360政企安全集团高级副总裁高翰昭在题为“面向实战的安全体系建设方法论”的演讲中进行了阐述,他提到了在过去很多年中,网络安全的顶层设计与网络安全的落地执行路径在很大程度上出现了断层,原因是提供顶层设计的第三方咨询公司或者提供安全产品与解决方案的安全厂商都没有很强的实战攻防经验,然而360则是最擅长实战攻防的网络安全公司,因此也更责无旁贷地帮助各级机构从实战攻防的角度去度量与提高网络安全能力。

      演讲中,高翰昭提出了安全体系建设需要定量、客观的以安全能力提升为目标的方法论。网络安全体系设计需要与企业业务的发展保持一致,以满足各类合规要求、充分了解自身业务和信息系统的安全风险、新型安全攻击趋势等因素作为输入;以大数据的手段驱动安全建设,打造能够沉淀安全能力的网络安全基础设施,攻防与管控内外兼修,培育安全人才、构建持续的安全运营能力等基本原则作为指导思想;从网络安全顶层设计、能力建设、实战评估、改进计划的闭环输出以资源、管理、技术、执行等四大元素所构成的网络安全能力。

      其中最为关键的部分就是如何通过实战衡量和检验每一步建设的成果,主要由三个关键元素来提供支撑,分别是:网络攻击知识图谱、网络安全防御效能和网络安全成熟度模型。

      360政企安全集团高级副总裁高翰昭

      三大基础关联驱动实战规划与度量

      方法论最关键的部分,也是最大的创新是将网络安全实战攻防元素与传统的网络安全咨询规划建设方法相结合,通过实战度量与改进网络安全能力。具体来说,如何提供实战化的网络安全能力度量与规划?

      360政企安全集团产品战略规划专家何帆在“ATT&CK安全能力衡量论坛”上,发表了题为“网络安全能力度量与规划”的演讲,提出其核心是将网络安全攻击框架、防御框架、成熟度模型三者之间产生关联,并分别利用三者进行入侵模拟、防御评估与成熟度评估,并且使三者间前者的评估结果能够为后者提供输入,从而使实战攻防元素与传统的咨询规划方法想结合,形成了实战化的评估与度量方法,最终结合差距分析的结果进行建设规划。

      与此同时,何帆在演讲还分享了360在方法论中的实践,构建了360攻防全景知识图谱、网络防御框架、网络安全能力成熟度模型,并使其产生关联,并且将其工程化、自动化,落地本地安全大脑在攻、防、度量的视角中协助各级机构进行网络安全能力的提升。

      360政企安全集团产品战略规划专家何帆

      在网络安全能力度量过程中,更大的挑战是如何能体系化定义面向业务实战的网络安全能力成熟度模型,在当下十四五开年各大部委行业安全负责人思考未来五年网络安全整体规划之际,这一点显得更加重要。在云峰会的“国家关键信息基础设施安全防护研讨峰会”上,360集团战略创新研究院副院长吴露渟带来了题为“关键信息基础设施安全能力体系建设”的演讲,他指出,关键信息基础设施的安全应建立网络安全综合防御体系。360构建了一套安全能力的成熟度模型。这套模型具有很多特点:第一是量化,安全状态可量化,引入百分制的机制,通过机制对政企现有的安全状态进行评价;第二是能力成熟度建设,这个是360安全能力公式落地的基础工程;第三是持续校验;第四是特色网络安全能力度量标准。

      360集团战略创新研究院副院长吴露渟

      目前,360这套方法论是基于自身服务国家、城市、行业、企事业用户过程中的总结和提炼。从全球经验来看,不同行业都有自身独特的业务战略和安全需求。未来,360政企安全集团希望与各行业、各领域专家共同探索与落地具备行业特色的安全能力建设方法,真正构建起面向未来的新一代安全能力框架。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    [No. X043]
    分享到微信

    即时

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。

    研究

    中国信通院罗松:深度解读《工业互联网标识解析体系

    9月14日,2024全球工业互联网大会——工业互联网标识解析专题论坛在沈阳成功举办。