WitAwards 2019获奖项目点评

kgd520

历时近3个月，86天，累计百余个项目申报及提名，经由大众投票、甲方投票、专家投票及现场投票的公平、完善的评审，WitAwards 2019五项年度大奖全部揭晓！
感谢这些团队这一年来在互联网安全领域做出的贡献。FreeBuf很荣幸能够邀请每一位安全从业者、爱好者，共同见证这一安全领域的年度盛典。
% `1 p% o9 {! J; E  ]3 Y2 I近年来，涵盖等级保护、数据安全、隐私保护的一系列网络安全相关的政策法律陆续出台、落实，昭示了政企对抗网络安全威胁的决心。而了解并熟悉企业安全威胁并选择合适的安全产品，对于大多数企业来说是成本较低、见效快的安全建设举措。
6 {6 [" u1 e! s& S/ t0 Z一、WitAwards2019评选结果
1 o3 ?: ?$ j5 t* b
+ N2 f% s3 Z- _* hWitAwards2019中国网络安全创新年度评选结果正式公布：
5 h! o( `2 D* b5 s

[color=#777575 !important]年度创新产品——悬镜安全 悬镜灵脉AI渗透测试平台
& p4 i) Q  `' J) P" Q+ v: c5 S[color=#777575 !important]年度技术变革——阿里云 阿里云WAF AI内核
[color=#777575 !important]年度优秀网络安全解决方案——京东云 云端数据全生命周期安全解决方案
# p( \% J7 m. d% t: P[color=#777575 !important]年度最佳开源项目——陌陌安全 Aswan风控静态规则引擎
- F$ }! f0 z, ?9 D& p& e[color=#777575 !important]年度最受欢迎安全雇主——北京字节跳动科技有限公司
2 `4 |# Y0 h2 Q1 P$ i

二、WitAwards简要回顾

1 G5 i% f* Z1 R7 x" ^- Q2.1初衷

4 c5 o# ~4 d# S6 _2 E4 W「WitAwards中国网络安全创新年度评选」由国内信息安全新媒体领导者FreeBuf主办，已连续举办四届，自2016年举办以来一直饱受赞誉，是业内广受关注的网络安全创新大奖评选。
4 V) i/ T' h7 i/ T0 CWIT评选周期一般在 3个多月，邀请网络安全顶尖行业专家、权威业界媒体、甲方企业安全负责人以及广大安全从业者共同参与甄选。以最专业的角度和最公正的态度，发掘优秀行业案例。我们希望将WitAwards评选打造成为行业标杆，携手业内人士共同推进安全产业的持续创新与发展。
2.2 评选揭秘
4 ]3 _1 A# Y+ m
为了保障评选结果的公正性和权威性，WitAwards 2019在评选环节设置、投票规则等方面都作出了重大改变。
$ f9 q" k" R6 U6 z# U1、新增「甲方投票」
( m1 z6 e$ B/ Y7 {  w甲方安全从业人员自9月3日至10月27日均可报名成为评委，审核通过与投票。
# U5 @; `' E* a& \: X/ Y# M( k2、新增「现场投票」
- F  C- _5 l  A5 Y在「CIS 2019网络安全创新大会」现场，所有与会观众均可为5大奖项参评项目投票，以抉出最终的奖项归属。
此外，规则设定时考虑到了公司规模、不同奖项大众参与度和噪声带来的影响。投票最终计算方式为：

[color=#777575 !important]（大众投票有效票数／该奖项所有大众投票有效票数 X 15% ）+ （甲方投票有效票数／该奖项所有甲方投票有效票数 X 30%）+（评委主席票数／评委主席所有票数 X 40%）+（现场观众投票有效票数／该奖项所有现场观众投票有效票数 X 15%），以此决出最终获奖者。

每一个奖项都是经由专家、安全从业人员和广大网络安全事业关注者共同决定、选出的，真正代表了2019年网络安全创新产品的领先者。
三、获奖项目的背后

WitAwards获奖项目为什么可以脱颖而出？每一票的背后都是大众对获奖产品的认可。
在企业安全建设中，有3大认知前提：

[color=#777575 !important]1、统筹考虑信息系统整个生命周期中所关联的人、事、物，综合人、技术、管理和过程等维度去关注整体的安全问题而非局部；
[color=#777575 !important]2、安全必须考虑成本因素，投入成本应该和安全价值达到一个平衡的比例；
[color=#777575 !important]3、随着整个社会对信息化的依赖，信息安全所维系的不仅仅是对组织的支持和辅助，已成为企业的命脉及核心竞争力。
8 P/ \9 s- j8 g! G) N" {

安全已经成为必然的趋势和绕不开的话题，那么针对资源、体量不同，业务需要有异的企业，如何自上而下地在企业内部建立安全策略和落地指标？往往是在熟悉了解企业安全威胁应对流程后，通过自研产品或引入第三方安全服务。
以下，通过获奖项目来看看2019年的企业安全建设的一些创新实践，也为2020年的企业安全发展提供一些思路。
2 l! P/ k8 o( \6 V6 H
; H3 r$ d' }0 i, z) q灰盒测试：低成本+高效率
  F& a) z$ y0 u( [1 x

[color=#777575 !important]悬镜灵脉AI渗透测试平台

安全需要考虑成本，原因之一就是因为安全建设是一个无限期的投入过程，甚至可能很长时间内都无法明显看到回报，这一点在企业堆叠大量设备、投入大量人力物力后，却得到一堆更耗费精力的噪声数据的情况中尤为，明显。
, H. E( q* C& D$ A* F和以往的安全测试方案不同的是，灵脉创新地采用了AI技术+IAST架构。通过AI训练，将人工漏洞检测经验转化为机器学习样本，深度挖掘客户业务场景，使系统具备全面自适应能力。而交互式应用安全测试（Interactive Application Security Testing），也称灰盒测试，在《2019企业安全威胁统一应对指南》有所提及，其融合了DAST和SAST技术的优点，大大提高了安全测试的效率和准确率。
5 `. i& X) N3 {! l5 ~1 o$ s人工渗透正在从以往的测试成本高、专业要求高、检测效率低走向自适应的低成本自动化的模式，并借助第三方平台高效地应用到从开发到生产的应用生命周期全流程。

# \4 Y( Y3 m6 w  `$ J; e5 o云WAF：低成本VS 精细化

5 g$ R+ c; [- ^. E" ?9 v" P

[color=#777575 !important]阿里云WAF AI内核

近年来，来自对网站源站的动态数据攻击，可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击，以及针对Web服务器软件漏洞和插件漏洞的攻击已成为企业面临的主要Web安全问题，WAF成主要解决手段，其中，云WAF以云为中心的多租户模式，大大降低了企业安全成本，备受追捧。
6 v7 `7 H! E: s在《2019企业安全威胁统一应对指南》中，提及企业在选择云WAF供应商时应当关注几个因素：
; P  U5 `' ?) Z  l/ X4 p$ u

[color=#777575 !important]1、高性能、高容量的基础设施
[color=#777575 !important]2、支持中心位置（最好是国内）
[color=#777575 !important]3、能够以中文提供售前和售后支持
: ^( z- A2 n  O# |" q' K' P" w[color=#777575 !important]4、云WAF服务交付的地点

再看阿里云WAF AI内核，符合上述的4大因素，产品的整体思路是「分层治理」和「千站千面」，不仅仅可以应用在应用层的安全检测中，在其他安全场景下也能适用，可以说是通用的智能安全系统的核心范式，同时，对不同的站点利用机器智能自主生成自适应与该站点业务的防护规则或模型，做到定制化、个性化。
' z7 [  [! Q. b2 u5 A% [5 oWAF的AI驱动的智能安全系统趋势愈加明显，而企业开始期待除了降低安全运营成本外的精细化运营。

数据安全：云端数据全生命周期安全解决方案
. ~* f( J/ E) m; y6 ^
) X( `+ ]# C7 W; k7 i0 w

[color=#777575 !important]京东云 云端数据全生命周期安全解决方案

在企业的正常运行过程中，信息系统的各个层面（网络、主机、应用）都涉及到数据的传输、存储和处理，一旦数据遭到破坏，就会影响系统的正常运行。
《2019企业安全威胁统一应对指南》对企业在技术层面面临的主要数据安全挑战进行了归纳：

[color=#777575 !important]1、外部非授权人员对信息系统进行恶意入侵，非法访问隐私数据；
, x) t& |8 {) b/ G& A[color=#777575 !important]2、数据具有易复制性，发生数据安全事件后，无法进行有效的追溯和审计；
[color=#777575 !important]3、数据有流动、共享的需求，大量数据的汇聚传输加大了数据泄露的风险。

面临数据安全挑战，很多企业不得其法，仅从局部去找问题，导致类似的数据泄露事件一再发生。面对这种情况，企业应该建立数据安全体系，将网络安全、系统安全、业务安全、云服务商安全等多种因素纳入到一起考虑，通过分层建设、分级防护，做到数据安全的全面覆盖。而全数据生命周期管理的形式是2019年数据安全防护的一个思路，京东云就以数据全生命周期为范围，利用自主生成和管理密钥手段，让租户自行对企业内数据实行精准分析，在数据安全上做出了创新实践。

开源：中小企业安全运维的“辅助”
8 j; W: p! H2 _) Q9 l) q/ h; g% S
5 z7 t& ?0 X' X1 V* T% I

[color=#777575 !important]Aswan风控静态规则引擎

数据时代下，围绕新的运营模式而来的羊毛党、黑产给企业业务开展带来重重困难。与此同时，即便中小型企业希望独立建立复杂风控系统以及招聘专业风控运营人员成立安全团队，但现实情况下很难做到。由于安全板块可投入的资源有限，寻求外部帮助成为中小型企业的普遍做法。
Aswan风控系统提供名单管理、日志管理、权限管理、规则管理等功能，通过对用户已经采集的并进行预处理的日志进行静态规则的判断，从而输出不符合相关规则的异常数据，达到告警监控的目的。值得一提的是，Aswan风控静态规则引擎已经开源，让中小型企业避免重复造轮子，降低研发成本。这也是今年新增年度最佳开源项目的目的所在，我们鼓励更多企业拥抱开源，将自由与分享的精神保持下去。
国家信息技术安全研究中心总师刘鸿运同样认为：“陌陌安全开源的Aswan风控系统，相比其他开源的风控系统，具有运营、接入成本低，策略配置灵活丰富，运行高效等特点，为中小企业建设运维风控系统提供了新的思路和解决方案。”
/ n  Y( B* Y% {+ u, |
最佳雇主：安全离不开人
5 @" [+ @# X& z$ o) n. @+ M

[color=#777575 !important]北京字节跳动科技有限公司
9 x5 o* U& u& H2 `  c; E& Q7 m

最佳雇主是WitAwards 2019五大奖项中唯一一个非技术性的奖项，但依然在列的原因正是因为，如今的网络安全行业其实是安全人才争夺的行业。随着政企对网络安全的重视程度不断提高，企业内部对于安全人才的需要倍速增长，与此同时，又因为网络安全人才门槛较高，供需不平衡下，企业迫切希望吸纳优秀的安全人才。
通过甲方投票和大众投票，为网络安全人才评选出2019的年度最受欢迎安全雇主——北京字节跳动科技有限公司。可以发现，网络安全人才对于雇主企业的认可离不开企业发展前景、薪酬福利和企业文化等多方面维度。
- y; K( \0 _; N. P. C四、小结

综合WitAwards 2019的评选结果来看，中小企业成企业安全建设金字塔的“中部力量”，即资源相对不那么充足，但企业数量大，对安全建设的起步需求迫切，更依赖第三方安全建设服务产品与服务，是倒逼网络安全产品和服务创新发展的一股力量。
此外，通过新技术去解放人力已经成为一种正在践行的趋势。将一些已经相对成熟的新技术应用到网络安全中来仍然可以带来惊喜。最直观的就是安全运营人员从数据降噪、日志管理分析、预警处理等繁杂枯燥的工作中解放出来，通过自动化的形式，提升检测响应效率，并且大幅度减少误报。新技术应用的同时，我们仍然要强调：安全的管理离不开人，人永远是企业安全建设的核心所在。

% {* ~" A% r4 T: f5 e' G  J最后，对《2019企业安全威胁统一应对指南》有兴趣的话，可以点击[阅读原文]下载报告。
7 C/ n8 D5 M% Z/ F  z  J

, C7 @# H8 S+ |) ~4 W精彩推荐

, N  C! q+ A  e: }% {# ]
$ v  w8 F  I2 I! d) Y# d/ ~: B5 ]

9 w2 H: W# u8 C' N

" w  c5 Z3 x; v% L3 P
7 N5 X& r  ^; n" Q. R0 y  C% G( g, U来源：http://mp.weixin.qq.com/s?src=11&timestamp=1575059405&ver=2004&signature=6tfed6kLDqXbn2ksnAnqPLIjAS2bwVqaERsSqVwJVhQC9WQeiMV7osqBL42-T08eB-b6K0visRhPQe4pE7ddZyXhfiCbNQ6q4GpfhDotH*TZd76AXC1lQXh4LLisN2F4&new=1
& c2 x( E: D  D) J! P0 s( p0 q免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！