WitAwards 2019獲獎項目點評

2019-11-29 44213人圍觀 活動

歷時近3個月,86天,累計百余個項目申報及提名,經由大眾投票、甲方投票、專家投票及現場投票的公平、完善的評審,WitAwards 2019五項年度大獎全部揭曉!

感謝這些團隊這一年來在互聯網安全領域做出的貢獻。FreeBuf很榮幸能夠邀請每一位安全從業者、愛好者,共同見證這一安全領域的年度盛典。

近年來,涵蓋等級保護、數據安全、隱私保護的一系列網絡安全相關的政策法律陸續出臺、落實,昭示了政企對抗網絡安全威脅的決心。而了解并熟悉企業安全威脅并選擇合適的安全產品,對于大多數企業來說是成本較低、見效快的安全建設舉措。

一、WitAwards2019評選結果

WitAwards2019中國網絡安全創新年度評選結果正式公布:

image.png

年度創新產品——懸鏡安全 懸鏡靈脈AI滲透測試平臺

年度技術變革——阿里云 阿里云WAF AI內核

年度優秀網絡安全解決方案——京東云 云端數據全生命周期安全解決方案

年度最佳開源項目——陌陌安全 Aswan風控靜態規則引擎

年度最受歡迎安全雇主——北京字節跳動科技有限公司

二、WitAwards簡要回顧

2.1初衷

「WitAwards中國網絡安全創新年度評選」由國內信息安全新媒體領導者FreeBuf主辦,已連續舉辦四屆,自2016年舉辦以來一直飽受贊譽,是業內廣受關注的網絡安全創新大獎評選。

WIT評選周期一般在 3個多月,邀請網絡安全頂尖行業專家、權威業界媒體、甲方企業安全負責人以及廣大安全從業者共同參與甄選。以最專業的角度和最公正的態度,發掘優秀行業案例。我們希望將WitAwards評選打造成為行業標桿,攜手業內人士共同推進安全產業的持續創新與發展。

2.2 評選揭秘

為了保障評選結果的公正性和權威性,WitAwards 2019在評選環節設置、投票規則等方面都作出了重大改變。

1、新增「甲方投票」

甲方安全從業人員自9月3日至10月27日均可報名成為評委,審核通過與投票。

2、新增「現場投票」

在「CIS 2019網絡安全創新大會」現場,所有與會觀眾均可為5大獎項參評項目投票,以抉出最終的獎項歸屬。

此外,規則設定時考慮到了公司規模、不同獎項大眾參與度和噪聲帶來的影響。投票最終計算方式為:

(大眾投票有效票數/該獎項所有大眾投票有效票數 X 15% )+ (甲方投票有效票數/該獎項所有甲方投票有效票數 X 30%)+(評委主席票數/評委主席所有票數 X 40%)+(現場觀眾投票有效票數/該獎項所有現場觀眾投票有效票數 X 15%),以此決出最終獲獎者。

每一個獎項都是經由專家、安全從業人員和廣大網絡安全事業關注者共同決定、選出的,真正代表了2019年網絡安全創新產品的領先者。

三、獲獎項目的背后

WitAwards獲獎項目為什么可以脫穎而出?每一票的背后都是大眾對獲獎產品的認可。

在企業安全建設中,有3大認知前提:

1、統籌考慮信息系統整個生命周期中所關聯的人、事、物,綜合人、技術、管理和過程等維度去關注整體的安全問題而非局部;

2、安全必須考慮成本因素,投入成本應該和安全價值達到一個平衡的比例;

3、隨著整個社會對信息化的依賴,信息安全所維系的不僅僅是對組織的支持和輔助,已成為企業的命脈及核心競爭力。

安全已經成為必然的趨勢和繞不開的話題,那么針對資源、體量不同,業務需要有異的企業,如何自上而下地在企業內部建立安全策略和落地指標?往往是在熟悉了解企業安全威脅應對流程后,通過自研產品或引入第三方安全服務。

以下,通過獲獎項目來看看2019年的企業安全建設的一些創新實踐,也為2020年的企業安全發展提供一些思路。

1.png

灰盒測試:低成本+高效率

懸鏡靈脈AI滲透測試平臺

安全需要考慮成本,原因之一就是因為安全建設是一個無限期的投入過程,甚至可能很長時間內都無法明顯看到回報,這一點在企業堆疊大量設備、投入大量人力物力后,卻得到一堆更耗費精力的噪聲數據的情況中尤為,明顯。

和以往的安全測試方案不同的是,靈脈創新地采用了AI技術+IAST架構。通過AI訓練,將人工漏洞檢測經驗轉化為機器學習樣本,深度挖掘客戶業務場景,使系統具備全面自適應能力。而交互式應用安全測試(Interactive Application Security Testing),也稱灰盒測試,在《2019企業安全威脅統一應對指南》有所提及,其融合了DAST和SAST技術的優點,大大提高了安全測試的效率和準確率。

人工滲透正在從以往的測試成本高、專業要求高、檢測效率低走向自適應的低成本自動化的模式,并借助第三方平臺高效地應用到從開發到生產的應用生命周期全流程。

2.png

云WAF:低成本VS 精細化

阿里云WAF AI內核

近年來,來自對網站源站的動態數據攻擊,可防護的攻擊類型包括SQL注入、XSS攻擊、CSRF攻擊、惡意爬蟲、掃描器、遠程文件包含等攻擊,以及針對Web服務器軟件漏洞和插件漏洞的攻擊已成為企業面臨的主要Web安全問題,WAF成主要解決手段,其中,云WAF以云為中心的多租戶模式,大大降低了企業安全成本,備受追捧。

在《2019企業安全威脅統一應對指南》中,提及企業在選擇云WAF供應商時應當關注幾個因素:

1、高性能、高容量的基礎設施

2、支持中心位置(最好是國內)

3、能夠以中文提供售前和售后支持

4、云WAF服務交付的地點

再看阿里云WAF AI內核,符合上述的4大因素,產品的整體思路是「分層治理」和「千站千面」,不僅僅可以應用在應用層的安全檢測中,在其他安全場景下也能適用,可以說是通用的智能安全系統的核心范式,同時,對不同的站點利用機器智能自主生成自適應與該站點業務的防護規則或模型,做到定制化、個性化。

WAF的AI驅動的智能安全系統趨勢愈加明顯,而企業開始期待除了降低安全運營成本外的精細化運營。

3.png

數據安全:云端數據全生命周期安全解決方案

京東云 云端數據全生命周期安全解決方案

在企業的正常運行過程中,信息系統的各個層面(網絡、主機、應用)都涉及到數據的傳輸、存儲和處理,一旦數據遭到破壞,就會影響系統的正常運行。

《2019企業安全威脅統一應對指南》對企業在技術層面面臨的主要數據安全挑戰進行了歸納:

1、外部非授權人員對信息系統進行惡意入侵,非法訪問隱私數據;

2、數據具有易復制性,發生數據安全事件后,無法進行有效的追溯和審計;

3、數據有流動、共享的需求,大量數據的匯聚傳輸加大了數據泄露的風險。

面臨數據安全挑戰,很多企業不得其法,僅從局部去找問題,導致類似的數據泄露事件一再發生。面對這種情況,企業應該建立數據安全體系,將網絡安全、系統安全、業務安全、云服務商安全等多種因素納入到一起考慮,通過分層建設、分級防護,做到數據安全的全面覆蓋。而全數據生命周期管理的形式是2019年數據安全防護的一個思路,京東云就以數據全生命周期為范圍,利用自主生成和管理密鑰手段,讓租戶自行對企業內數據實行精準分析,在數據安全上做出了創新實踐。

4.png

開源:中小企業安全運維的“輔助”

Aswan風控靜態規則引擎

數據時代下,圍繞新的運營模式而來的羊毛黨、黑產給企業業務開展帶來重重困難。與此同時,即便中小型企業希望獨立建立復雜風控系統以及招聘專業風控運營人員成立安全團隊,但現實情況下很難做到。由于安全板塊可投入的資源有限,尋求外部幫助成為中小型企業的普遍做法。

Aswan風控系統提供名單管理、日志管理、權限管理、規則管理等功能,通過對用戶已經采集的并進行預處理的日志進行靜態規則的判斷,從而輸出不符合相關規則的異常數據,達到告警監控的目的。值得一提的是,Aswan風控靜態規則引擎已經開源,讓中小型企業避免重復造輪子,降低研發成本。這也是今年新增年度最佳開源項目的目的所在,我們鼓勵更多企業擁抱開源,將自由與分享的精神保持下去。

國家信息技術安全研究中心總師劉鴻運同樣認為:“陌陌安全開源的Aswan風控系統,相比其他開源的風控系統,具有運營、接入成本低,策略配置靈活豐富,運行高效等特點,為中小企業建設運維風控系統提供了新的思路和解決方案。”

5.png

最佳雇主:安全離不開人

北京字節跳動科技有限公司

最佳雇主是WitAwards 2019五大獎項中唯一一個非技術性的獎項,但依然在列的原因正是因為,如今的網絡安全行業其實是安全人才爭奪的行業。隨著政企對網絡安全的重視程度不斷提高,企業內部對于安全人才的需要倍速增長,與此同時,又因為網絡安全人才門檻較高,供需不平衡下,企業迫切希望吸納優秀的安全人才。

通過甲方投票和大眾投票,為網絡安全人才評選出2019的年度最受歡迎安全雇主——北京字節跳動科技有限公司。可以發現,網絡安全人才對于雇主企業的認可離不開企業發展前景、薪酬福利和企業文化等多方面維度。

四、小結

綜合WitAwards 2019的評選結果來看,中小企業成企業安全建設金字塔的“中部力量”,即資源相對不那么充足,但企業數量大,對安全建設的起步需求迫切,更依賴第三方安全建設服務產品與服務,是倒逼網絡安全產品和服務創新發展的一股力量。

此外,通過新技術去解放人力已經成為一種正在踐行的趨勢。將一些已經相對成熟的新技術應用到網絡安全中來仍然可以帶來驚喜。最直觀的就是安全運營人員從數據降噪、日志管理分析、預警處理等繁雜枯燥的工作中解放出來,通過自動化的形式,提升檢測響應效率,并且大幅度減少誤報。新技術應用的同時,我們仍然要強調:安全的管理離不開人,人永遠是企業安全建設的核心所在。

微信圖片_20191129164244.png

最后,對《2019企業安全威脅統一應對指南》有興趣的話,可以點擊下載報告

相關推薦
取消
Loading...

特別推薦

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗