首屆中國互聯網安全領袖峰會:One World, One Dream
北京清冷的秋風瑟瑟,此次峰會舉辦地國家會議中心比鄰奧林比克公園,在那里透過泛黃的銀杏葉,鳥巢和水立方在不遠處仍依稀可見。午飯時分,空氣中不停地回蕩起這首歌:One World One Dream。
不禁讓人聯想到這次安全領袖峰會似乎也是這個主題:
One World——同處一個網絡空間,
One Dream——共枕一個安全理想。
當我們再談安全……
這次的安全峰會不同以往,不再是純粹的技術當家。來自政府、企業、學院、研究機構的安全從業與學者從各自的角度探討了安全行業的發展與新思路。下面是給小編留下深刻印象的幾個關鍵詞。
安全生態圈
中國互聯網安全行業的發展時間并不算很長,而隨著“互聯網+”巨浪的襲來,網絡安全的重要地位逐漸突顯,IT技術的日新月異也為安全行業帶來更多挑戰與機遇。從IT時代到DT時代,“沒有人能獨善其身”。
在3日中午的媒體采訪中,啟明星辰首席戰略官潘柱廷指出:
在技術領域里面,安全廠商共同的對手是攻擊者是黑產是破壞者,當然在做生意的時候有可能會有一些競爭,其實大家是一個交互的關系。
騰訊COO任宇昕也認為哪怕單一企業規模再大、經濟和技術實力在強,仍沒有辦法100%地規避“安全事故”。企業只能防御針對自己的攻擊,沒有辦法靠一己之力守護與自己連接起來的整個上、下游。
此次峰會中BAT安全掌門人的聚首不失為一個好的開端,盡管沒有如大家期待的那樣建立緊密的安全聯盟,但是我們不難發現無論是安全廠商、BAT還是其他企業,都在朝著這一方向而努力。
好的生態系統更容易孕育出優秀的物種。
網絡安全標準化
2006年8月9日,Google首席執行官埃里克·施密特(Eric Schmidt)在搜索引擎大會(SES San Jose 2006)首次提出“云計算”的概念。由此算來,云計算的出現其實短短不過9年時間,可以它的運用已經非常廣,小到每個人可以使用的網盤,大到企業網站的云服務器。然而云的安全狀況往往令人堪憂。
網絡是一個虛擬社會,可是沒有規矩又怎成方圓?
四川大學教授陳興蜀詳細地解讀了由她主持完成的“云計算服務安全指南”和“云計算服務安全能力要求”標準。內容當中事無巨細地囊括了從合同的內容、數據所有權、安全責任的歸屬等等規則。由此,無論是云服務商、安全廠商或是企業都可以根據其中的條款履行責任、承擔義務。
必須承認,這是一幅極具吸引力的美好藍圖。
威脅情報
情報是基于大數據之上。天際友盟CTO楊大路介紹了他們是如何利用威脅情報追查到兩名印尼“匿名者”黑客組織的成員。
威脅情報在未來是一股不容小覷的力量,簡單理解就是“威脅”+“情報”。通過收集可能危及企業或客戶安全的所有信息和數據,經過專業地威脅分析、產生直觀的結果交由企業處理,從而避免災難的發生(這里的災難指的是網絡空間中的)。威脅情報讓網絡安全防御變得不再被動,威脅情報有時還能指引我們找到實施攻擊的幕后黑手。
然而,這一立足于充足數據之上的業務目前面臨諸多挑戰。
首先,大數據的資源較多的集中于BAT或一些各自領域發展較好的企業之中。潘柱廷認為整個安全里面威脅情報是最具價值的,需要這些情報的人則要有交易心態:
“現在擁有大量的威脅情報數據,具有情報持續分析能力的企業,像BAT都是具有很強的這樣的能力,那需要適當的去共享,甚至于免費共享,就是因為在整個安全領域,從崩潰到好之間還是有一個距離的,我希望離崩潰的線遠一點。”
其次,威脅情報的利用也面臨一個信任問題。特別是安全行業中,我們好像時時處于危險與不安之中,因此信任鏈十分脆弱。雖說“沒有永遠的敵人,只有永遠的利益”,既然如此,誰又真正敢加入到情報共享的行列之中?
供應鏈安全
這是一個來自“企業信息安全閉門交流會”中圓桌討論的一個話題。
今年XcodeGhost后門的爆出堪稱在行業內掀起軒然大波。在此之前,人們即便是不喜歡高冷的蘋果生態,但是打心底里也會佩服其有驕傲的資本。而Xcode所引發的尷尬則給我們帶來些許思考:供應鏈原來還是個“大坑”。
2012年Gartner就出了一份報告提到:供應鏈很可能會出問題。據TK教主介紹,IT供應鏈其實有很多,硬件、軟件、開發工具供應鏈(包括編譯器、第三方開源庫、閉源庫、第三方硬件和driver)等等,所有這些都很有可能成為安全的短板。
由此,基本不設防的供應鏈應該得到更多的關注與重視。正所謂最好的防御也是進攻,此前TK教主在極棒現場演示的“掃二維碼攻擊”便是最好的研究實踐。
CSO的“職業生涯規劃”
CSO是首席安全官的縮寫,傳說中薪酬漲幅最高、離職率也不低的那個職位。
對于CSO這一處于風口浪尖的職位,每位大牛都有自己的看法。
CSO需要做到哪些?
大潘:安全是由事件和合規驅動的。CSO要抓住事件驅動的機會,獲得開展供應鏈安全的契機。聯合其他部門工作,搞清企業自身軟硬件知識產權的問題(用過的開源軟件之類),供應鏈體系的資產問題等。
騰訊應用安全運維中心負責人胡珀認為CSO應當將更多人卷入安全當中,而不是自己扛所有的責任。騰訊安全平臺也不是所有的安全項目,業務自身的安全還是需要其自身完善,因為他們是最熟悉自身邏輯的。
現場有位來自聯想的安全從業者踴躍發言:很多企業安全部門之所以難做,是因為他們沒有讓企業風險體現出來。“既不能死人,也不能不出事。”團隊應定期發布報告,讓boss知道安全現狀,形成持續壓力。
撞庫
之所以談到這個詞,是因為上述內容似乎都不太接地氣。
峰會現場,小編親眼目睹一位熱心觀眾拉住來自騰訊玄武實驗室的TK教主,向教主反應QQ盜號的問題。
密碼和每個人都息息相關,然而越來越多的安全事故開始被扣上“撞庫”的帽子。而實際上,這樣的悲劇是可以避免的,用戶不要使用簡單密碼、通用密碼,定期變更自己的賬戶密碼等等手段,都可以讓撞庫的風險離自己遠一點。
對于普通人來說,安全意識要比安全技術更為重要。
小結
安全并不是一個玄學問題,而是一個動態平衡、更是一種理想狀態。如同人——大自然中最為復雜、精致的系統都會生病一樣,外來威脅會與自身BUG并存的時候,我們還是應該抱有積極的心態去迎接挑戰!
