婷婷亚洲精品一区二区三,韩国亚洲中文字幕第一页

信息科技審計(jì)分會(huì)年會(huì)召開(kāi)，基調(diào)聽(tīng)云安全事業(yè)部總經(jīng)理盧中陽(yáng)受邀演講

2024-12-25 13:29 來(lái)源：互聯(lián)網(wǎng) 閱讀次數(shù)：4574

2024年12月18日，由中國(guó)計(jì)算機(jī)用戶(hù)協(xié)會(huì)指導(dǎo)，中國(guó)計(jì)算機(jī)用戶(hù)協(xié)會(huì)信息科技審計(jì)分會(huì)主辦的“信息科技審計(jì)分會(huì)2024年會(huì)暨信息科技風(fēng)險(xiǎn)管理與審計(jì)（ITGRA）論壇”在北京召開(kāi)。

為了針對(duì)當(dāng)前金融行業(yè)面臨的安全挑戰(zhàn)，提供一個(gè)高層次的溝通與合作平臺(tái)。通過(guò)行業(yè)內(nèi)頂尖機(jī)構(gòu)的深度交流與合作，推動(dòng)金融應(yīng)用系統(tǒng)安全管理水平的提升，保障金融業(yè)務(wù)的安全穩(wěn)定運(yùn)行，維護(hù)金融市場(chǎng)的健康發(fā)展，大會(huì)設(shè)置了金融應(yīng)用系統(tǒng)安全管理論壇（2024）。

中國(guó)農(nóng)業(yè)銀行、中國(guó)建設(shè)銀行、光大銀行、恒豐銀行、江蘇銀行、銀河證券、泰康保險(xiǎn)集團(tuán)等金融行業(yè)翹楚的信息化代表齊聚一堂。

基調(diào)聽(tīng)云安全事業(yè)部總經(jīng)理盧中陽(yáng)以“下一代運(yùn)行時(shí)安全技術(shù)方案探討——ASPM應(yīng)用安全態(tài)勢(shì)管理平臺(tái)”為題，發(fā)表了精彩演講，與現(xiàn)場(chǎng)與會(huì)嘉賓就技術(shù)、產(chǎn)品相關(guān)問(wèn)題展開(kāi)深入交流，獲得現(xiàn)場(chǎng)與會(huì)嘉賓的一致好評(píng)。

盧中陽(yáng)，原烏云社區(qū)核心白帽黑客，在應(yīng)用安全、DevSecOps等領(lǐng)域擁有十年以上工作經(jīng)驗(yàn)。

2020年創(chuàng)立火線安全，任聯(lián)合創(chuàng)始人兼CTO，主導(dǎo)研發(fā)并推出了全球首款開(kāi)源的交互式應(yīng)用安全測(cè)試產(chǎn)品洞態(tài)IAST，已在全球20多個(gè)國(guó)家實(shí)現(xiàn)實(shí)際落地部署應(yīng)用。現(xiàn)任基調(diào)聽(tīng)云安全事業(yè)部總經(jīng)理，全面負(fù)責(zé)基調(diào)聽(tīng)云安全產(chǎn)品的研發(fā)與產(chǎn)品工作，主導(dǎo)推出了國(guó)內(nèi)首款應(yīng)用安全態(tài)勢(shì)管理產(chǎn)品安云ASPM。

盧中陽(yáng)首先分析了當(dāng)前應(yīng)用安全領(lǐng)域面臨的挑戰(zhàn)：

1. 漏洞數(shù)量激增：從2014年到2024年，應(yīng)用相關(guān)的漏洞占比接近80%，主要原因包括應(yīng)用更新頻繁、組件復(fù)雜度增加、以及底層系統(tǒng)升級(jí)導(dǎo)致的新漏洞不斷出現(xiàn)。

2. 0-day 漏洞威脅：未知漏洞在未修復(fù)前對(duì)企業(yè)系統(tǒng)構(gòu)成巨大風(fēng)險(xiǎn)，傳統(tǒng)安全設(shè)備難以及時(shí)識(shí)別和應(yīng)對(duì)。

3. 傳統(tǒng)安全產(chǎn)品的局限性：

WAF（網(wǎng)絡(luò)應(yīng)用防火墻）：

雖然能檢測(cè)已知攻擊，但對(duì)未知攻擊和細(xì)粒度防護(hù)能力不足。

RASP（運(yùn)行時(shí)應(yīng)用自我保護(hù)）：

部署和維護(hù)成本高，對(duì)業(yè)務(wù)性能有影響，且需要深度依賴(lài)開(kāi)發(fā)團(tuán)隊(duì)支持。

為了有效應(yīng)對(duì)以上挑戰(zhàn)，基調(diào)聽(tīng)云推出了全新的 ASPM（應(yīng)用安全態(tài)勢(shì)管理）理念，即通過(guò)可觀測(cè)性、應(yīng)用性能管理與應(yīng)用安全相結(jié)合，實(shí)現(xiàn)深層次的應(yīng)用運(yùn)行時(shí)安全防護(hù)。

● 結(jié)合可觀測(cè)性平臺(tái)的優(yōu)勢(shì)：通過(guò)擴(kuò)展現(xiàn)有的可觀測(cè)性 Agent，無(wú)需額外部署安全 Agent，實(shí)現(xiàn)對(duì)安全數(shù)據(jù)的采集和分析，降低成本和維護(hù)難度。

● 多階段威脅識(shí)別：

· 攻擊探測(cè)階段：識(shí)別異常請(qǐng)求、惡意掃描等行為，捕獲攻擊前兆。

· 攻擊執(zhí)行階段：檢測(cè)惡意代碼執(zhí)行、SQL 注入、內(nèi)存泄露等實(shí)際攻擊行為。

· 數(shù)據(jù)泄露階段：監(jiān)控敏感數(shù)據(jù)訪問(wèn)和傳輸，防止數(shù)據(jù)外泄。

● API 資產(chǎn)梳理：通過(guò) Agent 在應(yīng)用啟動(dòng)階段一次性采集全量 API 資產(chǎn)，解決傳統(tǒng)基于流量和網(wǎng)關(guān)無(wú)法準(zhǔn)確覆蓋 API 資產(chǎn)的盲點(diǎn)。

● 快速溯源與響應(yīng)：利用可觀測(cè)性平臺(tái)的實(shí)時(shí)數(shù)據(jù)和上下文信息，幫助安全團(tuán)隊(duì)快速定位問(wèn)題源頭，提升響應(yīng)效率。

● 業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測(cè)：基于聽(tīng)云可觀測(cè)平臺(tái)精準(zhǔn)的用戶(hù)和用戶(hù)行為數(shù)據(jù)，ASPM 可實(shí)現(xiàn)入撞庫(kù)、爬蟲(chóng)、越權(quán)訪問(wèn)敏感信息等業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)測(cè)。

一家位于上海的公司在完成了整個(gè)安全防護(hù)體系的建設(shè)后，在攻防演練過(guò)程中發(fā)現(xiàn)類(lèi)似內(nèi)存馬等無(wú)文件攻擊可輕松繞過(guò)現(xiàn)有防護(hù)體系，這種攻擊在流量層和主機(jī)層均不會(huì)被察覺(jué)。但 ASPM 可基于運(yùn)行時(shí)代碼堆棧數(shù)據(jù)進(jìn)行入侵檢測(cè)，這類(lèi)攻擊行動(dòng)也無(wú)所遁形。

在一個(gè)實(shí)際落地案例中，基調(diào)聽(tīng)云在客戶(hù)的生產(chǎn)環(huán)境中復(fù)用現(xiàn)有的 APM Agent，快速啟用安全能力，無(wú)論是核心業(yè)務(wù)系統(tǒng)還是邊緣業(yè)務(wù)系統(tǒng)，全部迅速被賦能安全能力。通過(guò)這一部署，聽(tīng)云 ASPM 成功檢測(cè)到了幾起攻擊者利用漏洞繞過(guò) WAF 后進(jìn)入應(yīng)用內(nèi)部的攻擊行為。得益于聽(tīng)云 ASPM 的 Agent 部署在應(yīng)用內(nèi)部，因此具備深度的發(fā)現(xiàn)能力，能夠發(fā)現(xiàn)這些隱蔽的安全威脅。

ASPM 借助可觀測(cè)性平臺(tái)的統(tǒng)一 Agent，不僅減少了額外部署和維護(hù)的成本，還提升了系統(tǒng)的穩(wěn)定性和安全性，實(shí)現(xiàn)了對(duì)應(yīng)用安全的高效觀測(cè)與防護(hù)。可觀測(cè)性與應(yīng)用安全的融合，為企業(yè)提供了一種高效、低成本的安全防護(hù)新模式。通過(guò) ASPM，企業(yè)可以在現(xiàn)有的可觀測(cè)性平臺(tái)上拓展安全能力，及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)應(yīng)用層面的安全威脅，促進(jìn)業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

會(huì)議現(xiàn)場(chǎng)，基調(diào)聽(tīng)云在展臺(tái)為參會(huì)嘉賓帶來(lái)了精彩的展臺(tái)活動(dòng)與精美禮品，基調(diào)聽(tīng)云的技術(shù)專(zhuān)家在展臺(tái)為參會(huì)嘉賓詳細(xì)介紹了基調(diào)聽(tīng)云在可觀測(cè)性與應(yīng)用安全領(lǐng)域的最新創(chuàng)新與實(shí)踐。

此次會(huì)議的圓滿落幕，不僅為金融行業(yè)的信息科技風(fēng)險(xiǎn)管理與金融應(yīng)用系統(tǒng)安全管理提供了高水平的交流平臺(tái)，也彰顯了行業(yè)對(duì)未來(lái)安全發(fā)展的共同期待。

基調(diào)聽(tīng)云安全事業(yè)部總經(jīng)理盧中陽(yáng)的精彩演講，深入探討了下一代運(yùn)行時(shí)安全技術(shù)方案，啟發(fā)了與會(huì)嘉賓對(duì)應(yīng)用安全態(tài)勢(shì)管理的新思考。

展望未來(lái)，隨著科技的不斷進(jìn)步和數(shù)字化轉(zhuǎn)型的深入推進(jìn)，金融應(yīng)用系統(tǒng)的安全管理將迎來(lái)新的機(jī)遇與挑戰(zhàn)。各金融機(jī)構(gòu)和科技企業(yè)唯有攜手合作，持續(xù)創(chuàng)新，共同構(gòu)建完善的安全防護(hù)體系，才能有效應(yīng)對(duì)風(fēng)險(xiǎn)，推動(dòng)金融行業(yè)的高質(zhì)量發(fā)展。

責(zé)任編輯：Linda

【慎重聲明】凡本站未注明來(lái)源為"旅游生活報(bào)"的所有作品，均轉(zhuǎn)載、編譯或摘編自其它媒體，轉(zhuǎn)載、編譯或摘編的目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。如因作品內(nèi)容、版權(quán)和其他問(wèn)題需要同本網(wǎng)聯(lián)系的，請(qǐng)?jiān)?0日內(nèi)進(jìn)行!

精彩內(nèi)容