9月17日,“金融專場(chǎng)安全技術(shù)沙龍”在深圳市福田區(qū)的大中華國(guó)際金融中心成功舉行。本次沙龍是2018年深圳網(wǎng)宣周系列活動(dòng)之一,由深圳市互聯(lián)網(wǎng)信息辦公室主辦,深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會(huì)、OWASP中國(guó)和應(yīng)用安全聯(lián)盟ASC聯(lián)合承辦。
沙龍邀請(qǐng)到來(lái)自平安金融安全研究院、晨星資訊、魔方安全、SecZone開源網(wǎng)安等多位金融行業(yè)和軟件安全領(lǐng)域的技術(shù)專家,在應(yīng)用軟件業(yè)務(wù)邏輯安全、DevSecOps、S-SDLC等方面做了深入分析講解。吸引平安科技、廈門國(guó)際銀行、小牛普惠、微眾銀行、順豐速運(yùn)、盒子科技、中興網(wǎng)信等廣東及周邊區(qū)域知名企業(yè)人員及我市市民參與。
邱菁萍:平安金融發(fā)布OWASP中國(guó)發(fā)布自動(dòng)化威脅項(xiàng)目
OWASP自動(dòng)化威脅項(xiàng)目(OWASP Automated Threats Project)是OWASP中國(guó)在2018年啟動(dòng)的本土化研究項(xiàng)目,由平安金融安全研究院和互聯(lián)網(wǎng)安全研究中心聯(lián)合開展,該項(xiàng)目能夠從150余種信息來(lái)源中,讀取并篩選出相關(guān)的威脅信息,最終總結(jié)出21個(gè)威脅事件,探究自動(dòng)威脅的癥狀、緩解措施和控制方法。據(jù)邱菁萍研究員介紹,該項(xiàng)目已成為在檢測(cè)和減輕惡意WEB自動(dòng)威脅方面的行業(yè)標(biāo)準(zhǔn),將為開發(fā)人員、架構(gòu)師、運(yùn)營(yíng)商、安全工程師、采購(gòu)商和供應(yīng)商等提供一種通用語(yǔ)言,以促進(jìn)溝通和解決實(shí)際問(wèn)題。
夏天澤:自動(dòng)化威脅利用挑戰(zhàn)下的金融業(yè)務(wù)安全淺析
SecZone開源網(wǎng)安首席戰(zhàn)略官(CSO)、OWASP S-SDLC項(xiàng)目負(fù)責(zé)人之一夏天澤先生結(jié)合《OWASP自動(dòng)化威脅手冊(cè)》的內(nèi)容,分享了對(duì)自動(dòng)化威脅進(jìn)行分類和解決的方法,并提出金融行業(yè)應(yīng)對(duì)自動(dòng)化威脅的正確解決方案,即可以從軟件開發(fā)的源頭保障軟件產(chǎn)品的安全的“軟件安全開發(fā)生命周期(S-SDLC)解決方案”。而SecZone開源網(wǎng)安自主研發(fā)的VulHunter灰盒安全測(cè)試工具,能夠幫助軟件研發(fā)部門快速建立并落地實(shí)施軟件安全開發(fā)流程,構(gòu)建安全可靠的軟件產(chǎn)品。
李俊:金融業(yè)務(wù)上線前后的漏洞管理實(shí)踐
來(lái)自魔方安全的高級(jí)安全顧問(wèn)李俊先生從業(yè)務(wù)視角出發(fā),分析業(yè)務(wù)漏洞帶來(lái)的挑戰(zhàn),分享了金融業(yè)務(wù)上線前后的漏洞管理實(shí)踐與經(jīng)驗(yàn)。
肖文棣:DevSecOps最佳實(shí)踐探索
來(lái)自晨星資訊(深圳)有限公司的安全架構(gòu)師、OWASP中國(guó)資深會(huì)員肖文棣先生則在闡析DevSecOps和DevOps、S-SDL之間聯(lián)系的基礎(chǔ)上,通過(guò)自身的落地實(shí)踐經(jīng)驗(yàn),分享了S-SDLC向DevSecOps的演化經(jīng)驗(yàn),并總結(jié)了金融行業(yè)如何將DevSecOps落地的經(jīng)驗(yàn)。
神秘嘉賓:安全運(yùn)維自動(dòng)化SOAR
作為驚喜之一,現(xiàn)場(chǎng)還邀請(qǐng)到了一位神秘嘉賓為大家分享了SOAR新技術(shù)。據(jù)該嘉賓介紹,SOAR的全稱是安全編排及自動(dòng)化響應(yīng),是近兩年Gartner提出的新技術(shù),也是安全運(yùn)維未來(lái)的方向,SOAR能連接各種安全工具系統(tǒng),并使之協(xié)同工作,以此為基礎(chǔ)實(shí)現(xiàn)響應(yīng)過(guò)程的自動(dòng)化,提升安全運(yùn)維效率。
本次金融行業(yè)論壇探討了金融行業(yè)前沿的軟件安全開發(fā)技術(shù)和最佳實(shí)踐,同時(shí)從應(yīng)用安全的角度為金融行業(yè)的網(wǎng)絡(luò)安全提供了新技術(shù)與新思路。承辦方深圳市網(wǎng)絡(luò)與信息安全行業(yè)協(xié)會(huì)表示,金融行業(yè)是以信息安全為生命的特殊公共行業(yè),沙龍交流有利于強(qiáng)化金融行業(yè)網(wǎng)絡(luò)安全管理,保障市民的資金及個(gè)人信息安全。未來(lái),協(xié)會(huì)將在市網(wǎng)信辦的指導(dǎo)下,聯(lián)合各方面力量,共同舉辦更多針對(duì)不同行業(yè)的網(wǎng)絡(luò)安全沙龍,共促我各領(lǐng)域網(wǎng)絡(luò)安全整體管理水平的提升。
