8月27日，第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(Cyber Security Summit2018，簡稱CSS2018)在京舉行。本次峰會，由中央網(wǎng)信辦、工信部、公安部等部委支持和指導(dǎo)，騰訊公司、中國互聯(lián)網(wǎng)協(xié)會、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國網(wǎng)絡(luò)空間安全協(xié)會聯(lián)合主辦，吸引了包括中國工程院院士鄔賀銓、國際智能控制早期開拓者、中國科學(xué)院自動化研究所復(fù)雜系統(tǒng)管理與控制國家重點(diǎn)實(shí)驗(yàn)室主任王飛躍、通用汽車旗下Cruise自動駕駛安全首席架構(gòu)師Charlie Miller、Security Research Labs首席科學(xué)家Karsten Nohl、騰訊高級副總裁丁珂在內(nèi)的國內(nèi)外百位安全專家參加分享。

[[241653]]

騰訊高級副總裁丁珂

在上午的開幕式致辭中，騰訊高級副總裁丁珂圍繞四個(gè)關(guān)鍵詞：行業(yè)共建、生態(tài)共治、政府監(jiān)管和企業(yè)自律，對數(shù)字經(jīng)濟(jì)時(shí)代的安全趨勢做了研判和解讀。丁珂表示，數(shù)字經(jīng)濟(jì)時(shí)代信息安全已不只是一種基礎(chǔ)能力，還是產(chǎn)業(yè)發(fā)展升級的驅(qū)動力之一;安全是所有0前面的1，沒有了1，所有0都失去了意義。

丁珂表示，數(shù)字安全新生態(tài)建設(shè)需要在兩大路徑上努力：首先，是安全升維，安全問題未必出現(xiàn)在原有的體系內(nèi)，因此，企業(yè)要以全新視角去理解安全問題;其次，是轉(zhuǎn)換安全觀，以協(xié)作為基礎(chǔ)，推動政府、企業(yè)、用戶聯(lián)動，共同提升防護(hù)意識。

而騰訊作為安全新生態(tài)的首倡者，丁珂認(rèn)為可以從“一橫一縱”兩大維度為數(shù)字安全新生態(tài)建設(shè)提供助力，全面開放騰訊在安全領(lǐng)域的領(lǐng)先技術(shù)能力和平臺資源。

以下是丁珂發(fā)言的全文：

這已經(jīng)是第四屆“互聯(lián)網(wǎng)安全領(lǐng)袖峰會”。過去三年，我們與行業(yè)同仁交流、分享了萬物互聯(lián)時(shí)代，安全到底扮演什么角色，又該如何去構(gòu)建安全生態(tài)體系的問題。如今，在各行各業(yè)轉(zhuǎn)型擁抱數(shù)字化浪潮成為行業(yè)趨勢的背景下，我們將以“安全強(qiáng)驅(qū)動，數(shù)字新生態(tài)”為主題，繼續(xù)我們的討論和分享。

隨著AI、云、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)發(fā)展，以及各個(gè)傳統(tǒng)領(lǐng)域擁抱數(shù)字化變革進(jìn)程的不斷深入，安全問題越來越復(fù)雜，且其重要性越來越被凸顯，相關(guān)案例不勝枚舉。

2018年以來，勒索病毒GlobeImposter家族最新變種在國內(nèi)爆發(fā)，大批政府、高校、醫(yī)院等公共基礎(chǔ)設(shè)施中招，導(dǎo)致眾多文件和應(yīng)用被病毒加密破壞無法打開，影響這些機(jī)構(gòu)正常運(yùn)行。

除了臭名昭著的勒索病毒，黑客攻擊的不斷升級同樣威脅著關(guān)鍵基礎(chǔ)設(shè)施，幾個(gè)月前，國內(nèi)多家醫(yī)院服務(wù)器遭遇黑客入侵。攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù)，之后利用某軟件的分享文件功能下載多種挖礦木馬以謀取利潤。

教育、醫(yī)療、政府等社會關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域之外，新興的AI領(lǐng)域，同樣暴露出來許多安全隱患。更加諷刺的是，號稱“最安全”的新技術(shù)“區(qū)塊鏈”，同樣沒能擋住攻擊：2018年1月，日本最大的加密貨幣交易所之一CoinCheck遭遇黑客攻擊，平臺全部(5.26億)NEM幣(新經(jīng)幣)被非法轉(zhuǎn)移。

這些現(xiàn)象背后，都在傳遞這樣一個(gè)訊息：在數(shù)字經(jīng)濟(jì)時(shí)代，信息安全已經(jīng)不只是一種基礎(chǔ)能力，還是產(chǎn)業(yè)發(fā)展、社會正常運(yùn)轉(zhuǎn)的驅(qū)動力。安全已成為所有0前面的1，沒有了1，所有0都失去了意義。

過去幾年，我們持續(xù)呼吁各行各業(yè)重視安全、重視安全投入，事實(shí)上，轉(zhuǎn)變在持續(xù)發(fā)生，各領(lǐng)域?qū)Π踩耐度朐诔掷m(xù)加大。Gartner Group 2018年4月的報(bào)告顯示：全球安全產(chǎn)業(yè)規(guī)模穩(wěn)步增長。2017年規(guī)模達(dá)990億美元;2018 年預(yù)計(jì)增長至 1060 億美元。

不過，投入持續(xù)加大，并未有效降低信息安全風(fēng)險(xiǎn)。Ponemon Institute的報(bào)告顯示，2017年全球企業(yè)遭受網(wǎng)絡(luò)攻擊總量較去年增長15%，嚴(yán)重性增加了23%。而且，在破壞的嚴(yán)重性方面，已經(jīng)不再局限于傳統(tǒng)意義上的物質(zhì)、財(cái)產(chǎn)損失，而是會影響到運(yùn)營、制造乃至人的生命安全。

由此也可以看出，安全的重要性。那么，如何以安全作為核心驅(qū)動力推動數(shù)字新生態(tài)建設(shè)呢?我們認(rèn)為，需要從兩個(gè)方向進(jìn)行努力。

首先，安全認(rèn)知升維。

大數(shù)據(jù)、云計(jì)算、AI等新技術(shù)不斷進(jìn)入人們的日常生活，安全不僅關(guān)涉隱私、財(cái)產(chǎn)安全，還可能直接關(guān)聯(lián)人身、生命安全，安全不只是一種防護(hù)、一種責(zé)任，還是所有0前面的1。

在上個(gè)月，我們協(xié)助山東警方破獲了一起木馬案，涉案的某高新技術(shù)企業(yè)控制了包含389萬臺電腦的“僵尸網(wǎng)絡(luò)”，并用這些電腦閑置的CPU資源“挖礦”。這個(gè)案例暴露出了很多企業(yè)、個(gè)人依舊忽視信息安全保護(hù)，沒有做好足夠防御措施。

數(shù)字時(shí)代，這種漠視，極有可能導(dǎo)致不可挽回的生命、財(cái)產(chǎn)損失。今年3月，優(yōu)步(Uber)開發(fā)的無人駕駛汽車在美國利亞桑那州撞倒了一位行人，導(dǎo)致其重傷不治身亡。案件發(fā)生之后，無人駕駛技術(shù)遭遇輿論挑戰(zhàn)，優(yōu)步也暫停了北美的無人駕駛路測。

如果沒有充分認(rèn)知，類似的安全問題同樣可能發(fā)生在其他汽車廠商身上。在針對特斯拉的安全研究中，2016年、2017年，騰訊安全科恩實(shí)驗(yàn)室持續(xù)發(fā)現(xiàn)了多個(gè)漏洞，基于這些漏洞，黑客可以通過無物理接觸的遠(yuǎn)程攻擊方式，在駐車模式、行駛模式下對特斯拉進(jìn)行任意遠(yuǎn)程操控。

對于傳統(tǒng)企業(yè)而言，安全認(rèn)知升級，還應(yīng)該超越現(xiàn)有的業(yè)務(wù)邊界，以全新視角去理解安全問題，因?yàn)椋踩珕栴}未必出現(xiàn)在原有的體系內(nèi)，而是發(fā)生在體系外。例如，傳統(tǒng)汽車廠商都在進(jìn)行數(shù)字化轉(zhuǎn)型升級，寶馬在汽車IT安全方面一直位列前茅，然而，2017年，騰訊安全科恩實(shí)驗(yàn)室的研究團(tuán)隊(duì)受邀為寶馬提供技術(shù)支持，在13個(gè)月的時(shí)間里，發(fā)現(xiàn)了14個(gè)不同的安全問題。

其次，轉(zhuǎn)換安全觀。

傳統(tǒng)安全觀以攻防為主體，面對新的數(shù)字生態(tài)，應(yīng)該跳出攻防概念，以協(xié)作為基礎(chǔ)，推動政府、企業(yè)、用戶聯(lián)動，共同提升防護(hù)意識，避免鏈條中某一環(huán)節(jié)被攻破導(dǎo)致整個(gè)生態(tài)體系的安全防護(hù)毀于一旦。

企業(yè)用戶正在，面臨釣魚郵件APT攻擊、DNS劫持、軟件供應(yīng)鏈攻擊三大安全威脅。其中，APT是一種高級持續(xù)性威脅攻擊，利用先進(jìn)的攻擊手段對特定高價(jià)值目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，隱蔽性強(qiáng)、危害大。

今年初，國內(nèi)曾發(fā)生過“黑鳳梨”(BlackTech)和“人面馬”組織針對企業(yè)的APT攻擊行動。6月27日和7月4日，新加坡遭遇嚴(yán)重APT攻擊，黑客利用被惡意軟件感染的計(jì)算機(jī),竊取了150萬新加坡人的健康記錄數(shù)據(jù), 其中包括新加坡總理李顯龍。

車企當(dāng)屬所有傳統(tǒng)領(lǐng)域當(dāng)中最重視安全性的產(chǎn)業(yè)之一。但隨著車聯(lián)網(wǎng)技術(shù)的應(yīng)用和普及，聯(lián)網(wǎng)、上云也帶來了網(wǎng)關(guān)，云端等各個(gè)環(huán)節(jié)的安全隱患。騰訊安全科恩實(shí)驗(yàn)室針對寶馬和特斯拉提交的漏洞，都可以在非物理接觸的條件下，實(shí)現(xiàn)遠(yuǎn)程控制車輛。

不僅企業(yè)，如果不轉(zhuǎn)變安全思維，產(chǎn)業(yè)鏈的安全威脅有可能隨時(shí)爆發(fā)。年初，騰訊安全玄武實(shí)驗(yàn)室首次發(fā)現(xiàn)的“應(yīng)用克隆”攻擊模型，用戶只要點(diǎn)擊鏈接，攻擊者即可克隆賬戶權(quán)限盜取賬號和資金。而這種“克隆病毒”就是基于一系列漏洞耦合在一起而產(chǎn)生的風(fēng)險(xiǎn)，并不是某一個(gè)APP的個(gè)案問題，而是移動APP面臨的普遍問題。

可見，協(xié)作、聯(lián)防，構(gòu)建整體安全防護(hù)，是數(shù)字時(shí)代安全的必然趨勢。傳統(tǒng)企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型，需要注意每一個(gè)環(huán)節(jié)的安全隱患。安全也不再是單企業(yè)、某個(gè)領(lǐng)域企業(yè)的事情，需要超越邊界，構(gòu)建全領(lǐng)域合作模式。

這也是我們在去年P(guān)13共識基礎(chǔ)上，推動構(gòu)建P16安全領(lǐng)袖俱樂部的原因所在。只有從根本上轉(zhuǎn)變安全觀念，提升安全認(rèn)知維度，才能真正地以安全為驅(qū)動力，構(gòu)建真正意義上的數(shù)字安全新生態(tài)。

多年來，騰訊安全將始終秉持開放心態(tài)，為所有合作伙伴、各領(lǐng)域企業(yè)提供安全助力。未來，在全行業(yè)擁抱數(shù)字變革、進(jìn)行數(shù)字化轉(zhuǎn)型的背景下，騰訊將繼續(xù)輸出安全能力，并從“一橫一縱”兩大維度，為數(shù)字安全新生態(tài)建設(shè)提供驅(qū)動力。

在橫向安全能力建設(shè)上，騰訊搭建了國內(nèi)首個(gè)安全聯(lián)合實(shí)驗(yàn)室矩陣，安全研究覆蓋包括互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、云、AI等各個(gè)領(lǐng)域，其中，針對傳統(tǒng)領(lǐng)域的數(shù)字化轉(zhuǎn)型，騰訊安全構(gòu)建了云、管、端一體的安全產(chǎn)品和安全引擎，讓安全能力保障數(shù)據(jù)生產(chǎn)、傳輸和存儲全鏈路;此外，騰訊安全還建設(shè)了“騰訊靈鯤大數(shù)據(jù)金融安全平臺”，致力于通過安全科技，解決金融監(jiān)管、食品藥品安全追蹤、打擊治理網(wǎng)絡(luò)假冒及網(wǎng)絡(luò)傳銷等社會問題。接下來，這些安全能力都將開放給政府機(jī)構(gòu)、各領(lǐng)域企業(yè)，為構(gòu)建全方位安全體系建設(shè)提供助力。

在縱向安全能力建設(shè)上，騰訊不僅聯(lián)合16家安全上市公司，發(fā)起P16安全企業(yè)領(lǐng)袖俱樂部建立，推動安全產(chǎn)業(yè)協(xié)同發(fā)展，還搭建了產(chǎn)學(xué)研一體化的安全人才培養(yǎng)體系，通過與廣州大學(xué)、西安電子科技大學(xué)、武漢學(xué)院等多家院校展開深度合作，成立了“騰訊智慧安全創(chuàng)新研究院”與“網(wǎng)絡(luò)生態(tài)安全聯(lián)合實(shí)驗(yàn)室”，從基礎(chǔ)層進(jìn)行人才培養(yǎng);同時(shí)，我們舉辦了TCTF，極棒等安全極客賽事，以半實(shí)戰(zhàn)環(huán)境選拔網(wǎng)絡(luò)安全人才，最終實(shí)現(xiàn)企業(yè)端輸送，完成安全人才培養(yǎng)的閉環(huán)。

期待，透過“一橫一縱”體系的建設(shè)，可以連接、攜手更多合作伙伴，完善安全驅(qū)動力，推進(jìn)數(shù)字安全新生態(tài)建設(shè)，為“數(shù)字中國”提供助力。