首屆中國互聯(lián)網(wǎng)安全領袖峰會:One World, One Dream
北京清冷的秋風瑟瑟,此次峰會舉辦地國家會議中心比鄰奧林比克公園,在那里透過泛黃的銀杏葉,鳥巢和水立方在不遠處仍依稀可見。午飯時分,空氣中不停地回蕩起這首歌:One World One Dream。
不禁讓人聯(lián)想到這次安全領袖峰會似乎也是這個主題:
One World——同處一個網(wǎng)絡空間,
One Dream——共枕一個安全理想。
當我們再談安全……
這次的安全峰會不同以往,不再是純粹的技術當家。來自政府、企業(yè)、學院、研究機構的安全從業(yè)與學者從各自的角度探討了安全行業(yè)的發(fā)展與新思路。下面是給小編留下深刻印象的幾個關鍵詞。
安全生態(tài)圈
中國互聯(lián)網(wǎng)安全行業(yè)的發(fā)展時間并不算很長,而隨著“互聯(lián)網(wǎng)+”巨浪的襲來,網(wǎng)絡安全的重要地位逐漸突顯,IT技術的日新月異也為安全行業(yè)帶來更多挑戰(zhàn)與機遇。從IT時代到DT時代,“沒有人能獨善其身”。
在3日中午的媒體采訪中,啟明星辰首席戰(zhàn)略官潘柱廷指出:
在技術領域里面,安全廠商共同的對手是攻擊者是黑產(chǎn)是破壞者,當然在做生意的時候有可能會有一些競爭,其實大家是一個交互的關系。
騰訊COO任宇昕也認為哪怕單一企業(yè)規(guī)模再大、經(jīng)濟和技術實力在強,仍沒有辦法100%地規(guī)避“安全事故”。企業(yè)只能防御針對自己的攻擊,沒有辦法靠一己之力守護與自己連接起來的整個上、下游。
此次峰會中BAT安全掌門人的聚首不失為一個好的開端,盡管沒有如大家期待的那樣建立緊密的安全聯(lián)盟,但是我們不難發(fā)現(xiàn)無論是安全廠商、BAT還是其他企業(yè),都在朝著這一方向而努力。
好的生態(tài)系統(tǒng)更容易孕育出優(yōu)秀的物種。
網(wǎng)絡安全標準化
2006年8月9日,Google首席執(zhí)行官埃里克·施密特(Eric Schmidt)在搜索引擎大會(SES San Jose 2006)首次提出“云計算”的概念。由此算來,云計算的出現(xiàn)其實短短不過9年時間,可以它的運用已經(jīng)非常廣,小到每個人可以使用的網(wǎng)盤,大到企業(yè)網(wǎng)站的云服務器。然而云的安全狀況往往令人堪憂。
網(wǎng)絡是一個虛擬社會,可是沒有規(guī)矩又怎成方圓?
四川大學教授陳興蜀詳細地解讀了由她主持完成的“云計算服務安全指南”和“云計算服務安全能力要求”標準。內(nèi)容當中事無巨細地囊括了從合同的內(nèi)容、數(shù)據(jù)所有權、安全責任的歸屬等等規(guī)則。由此,無論是云服務商、安全廠商或是企業(yè)都可以根據(jù)其中的條款履行責任、承擔義務。
必須承認,這是一幅極具吸引力的美好藍圖。
威脅情報
情報是基于大數(shù)據(jù)之上。天際友盟CTO楊大路介紹了他們是如何利用威脅情報追查到兩名印尼“匿名者”黑客組織的成員。
威脅情報在未來是一股不容小覷的力量,簡單理解就是“威脅”+“情報”。通過收集可能危及企業(yè)或客戶安全的所有信息和數(shù)據(jù),經(jīng)過專業(yè)地威脅分析、產(chǎn)生直觀的結果交由企業(yè)處理,從而避免災難的發(fā)生(這里的災難指的是網(wǎng)絡空間中的)。威脅情報讓網(wǎng)絡安全防御變得不再被動,威脅情報有時還能指引我們找到實施攻擊的幕后黑手。
然而,這一立足于充足數(shù)據(jù)之上的業(yè)務目前面臨諸多挑戰(zhàn)。
首先,大數(shù)據(jù)的資源較多的集中于BAT或一些各自領域發(fā)展較好的企業(yè)之中。潘柱廷認為整個安全里面威脅情報是最具價值的,需要這些情報的人則要有交易心態(tài):
“現(xiàn)在擁有大量的威脅情報數(shù)據(jù),具有情報持續(xù)分析能力的企業(yè),像BAT都是具有很強的這樣的能力,那需要適當?shù)娜ス蚕恚踔劣诿赓M共享,就是因為在整個安全領域,從崩潰到好之間還是有一個距離的,我希望離崩潰的線遠一點。”
其次,威脅情報的利用也面臨一個信任問題。特別是安全行業(yè)中,我們好像時時處于危險與不安之中,因此信任鏈十分脆弱。雖說“沒有永遠的敵人,只有永遠的利益”,既然如此,誰又真正敢加入到情報共享的行列之中?
供應鏈安全
這是一個來自“企業(yè)信息安全閉門交流會”中圓桌討論的一個話題。
今年XcodeGhost后門的爆出堪稱在行業(yè)內(nèi)掀起軒然大波。在此之前,人們即便是不喜歡高冷的蘋果生態(tài),但是打心底里也會佩服其有驕傲的資本。而Xcode所引發(fā)的尷尬則給我們帶來些許思考:供應鏈原來還是個“大坑”。
2012年Gartner就出了一份報告提到:供應鏈很可能會出問題。據(jù)TK教主介紹,IT供應鏈其實有很多,硬件、軟件、開發(fā)工具供應鏈(包括編譯器、第三方開源庫、閉源庫、第三方硬件和driver)等等,所有這些都很有可能成為安全的短板。
由此,基本不設防的供應鏈應該得到更多的關注與重視。正所謂最好的防御也是進攻,此前TK教主在極棒現(xiàn)場演示的“掃二維碼攻擊”便是最好的研究實踐。
CSO的“職業(yè)生涯規(guī)劃”
CSO是首席安全官的縮寫,傳說中薪酬漲幅最高、離職率也不低的那個職位。
對于CSO這一處于風口浪尖的職位,每位大牛都有自己的看法。
CSO需要做到哪些?
大潘:安全是由事件和合規(guī)驅(qū)動的。CSO要抓住事件驅(qū)動的機會,獲得開展供應鏈安全的契機。聯(lián)合其他部門工作,搞清企業(yè)自身軟硬件知識產(chǎn)權的問題(用過的開源軟件之類),供應鏈體系的資產(chǎn)問題等。
騰訊應用安全運維中心負責人胡珀認為CSO應當將更多人卷入安全當中,而不是自己扛所有的責任。騰訊安全平臺也不是所有的安全項目,業(yè)務自身的安全還是需要其自身完善,因為他們是最熟悉自身邏輯的。
現(xiàn)場有位來自聯(lián)想的安全從業(yè)者踴躍發(fā)言:很多企業(yè)安全部門之所以難做,是因為他們沒有讓企業(yè)風險體現(xiàn)出來。“既不能死人,也不能不出事。”團隊應定期發(fā)布報告,讓boss知道安全現(xiàn)狀,形成持續(xù)壓力。
撞庫
之所以談到這個詞,是因為上述內(nèi)容似乎都不太接地氣。
峰會現(xiàn)場,小編親眼目睹一位熱心觀眾拉住來自騰訊玄武實驗室的TK教主,向教主反應QQ盜號的問題。
密碼和每個人都息息相關,然而越來越多的安全事故開始被扣上“撞庫”的帽子。而實際上,這樣的悲劇是可以避免的,用戶不要使用簡單密碼、通用密碼,定期變更自己的賬戶密碼等等手段,都可以讓撞庫的風險離自己遠一點。
對于普通人來說,安全意識要比安全技術更為重要。
小結
安全并不是一個玄學問題,而是一個動態(tài)平衡、更是一種理想狀態(tài)。如同人——大自然中最為復雜、精致的系統(tǒng)都會生病一樣,外來威脅會與自身BUG并存的時候,我們還是應該抱有積極的心態(tài)去迎接挑戰(zhàn)!
