11月24日,第八期“安全范儿”沙龙**「甲方安全攻防建设」专场圆满结束!本次沙龙由字节跳动安全与风控发起,得到京东SRC、小米安全中心、平安SRC的大力支持。沙龙为观众邀请到来自京东** 蓝军 、小米蓝军及字节安全的4位攻防专家,围绕当下热门的甲方攻防建设话题,分享来自一线实战的真实案例和实践干货。
本次沙龙大咖云集,群星荟萃;专家金句频出,妙语不断;观众互动提问,应接不暇;更有多重豪礼送给云端的观众,可谓诚意满满。
让我们一同回顾下本次沙龙的精彩议题吧
蓝军 视角下的逻辑漏洞挖掘和治理 : 精攻促防, 赋能安全
第一位分享的嘉宾是来自京东蓝军团队的安全研究员黄嘉隆,他指出当前逻辑漏洞占比大幅提升,并且容易造成较大危害,包括给企业带来巨大经济损失、以及严重的数据泄露风险隐患。基于京东蓝军团队的实战经验,嘉隆详细分享了“逻辑漏洞之难在哪里”和“逻辑漏洞之解在哪里”两部分内容,并从目标设定、试点实施、复盘培训等介绍了逻辑漏洞治理专项如何落地。通过实战和经验的积累,京东蓝军团队不仅沉淀出了自动化工具,更与业务方相辅相成、共同提升。
基于流量分析的 API安全 实践: 利用API清单、风险场景类型标签,开展安全治理
第二位演讲的嘉宾是来自字节跳动的安全工程师邵凯强,他从字节跳动对于流量的安全分析实践出发,分享了基于流量分析建设API安全的思路,并重点分析了资产自动化发现、风险场景识别、API安全检测、API威胁感知、防止数据泄露这5种API安全能力的应用场景。流量分析应用于风险治理有利于促进举一反三发现安全问题,促成更系统的解决方案,从而提升产品安全水位。
小米企业 蓝军 与安全建设:攻防对话,共同提升
来自小米的高级安全工程师张冠廷,首先强调了企业内部的蓝军建设,有利于帮助发现企业内部潜在风险,从而降低安全建设推进阻力。随后基于小米企业的蓝军行动实战经验,重点分享了复杂认证逻辑下的一些蓝军行动技巧,以及面对严格的网络环境,如何实现数据外带。最后他提到在安全建设过程中,要将安全融入研发流程,加快安全左移,夯实安全基线,并落地零信任体系。
生产网Kubernetes攻击与防护:安全左移,助力DevOps协作共赢
最后一位演讲的嘉宾是来自字节跳动的云安全研究员韦伟, 他谈到Kubernetes 作为容器编排系统的事实标准,在提升DevOps 效率的同时,也引入了新的安全风险。随后为大家讲述了不同业务场景中,Kubernetes可能面临的攻击面和攻击手法,并结合案例分享了这些安全威胁的应对思路和方法。最后总结了Kubernetes 可以帮助实施安全左移,但仍需结合具体场景,打磨安全能力和产品,与DevOps 同学协作共赢。
获取演讲PPT
关注【字节跳动安全中心】公众号
回复关键词【1124安全范儿】获取PPT
获取沙龙回放
点击链接观看:bytedance.feishu.cn/file/boxcnL…
至此,字节跳动安全范儿沙龙第八期—「甲方安全攻防建设」专场,正式落下帷幕,感谢各位安全从业者、安全爱好者、白帽子,对安全范儿沙龙一直以来的关注和支持!让我们第九期再会~
