北京清冷的秋风瑟瑟,此次峰会举办地国家会议中心比邻奥林比克公园,在那里透过泛黄的银杏叶,鸟巢和水立方在不远处仍依稀可见。午饭时分,空气中不停地回荡起这首歌:One World One Dream。
不禁让人联想到这次安全领袖峰会似乎也是这个主题:
One World——同处一个网络空间,
One Dream——共枕一个安全理想。
当我们再谈安全……
这次的安全峰会不同以往,不再是纯粹的技术当家。来自政府、企业、学院、研究机构的安全从业与学者从各自的角度探讨了安全行业的发展与新思路。下面是给小编留下深刻印象的几个关键词。
安全生态圈
中国互联网安全行业的发展时间并不算很长,而随着“互联网+”巨浪的袭来,网络安全的重要地位逐渐突显,IT技术的日新月异也为安全行业带来更多挑战与机遇。从IT时代到DT时代,“没有人能独善其身”。
在3日中午的媒体采访中,启明星辰首席战略官潘柱廷指出:
在技术领域里面,安全厂商共同的对手是攻击者是黑产是破坏者,当然在做生意的时候有可能会有一些竞争,其实大家是一个交互的关系。
腾讯COO任宇昕也认为哪怕单一企业规模再大、经济和技术实力在强,仍没有办法100%地规避“安全事故”。企业只能防御针对自己的攻击,没有办法靠一己之力守护与自己连接起来的整个上、下游。
此次峰会中BAT安全掌门人的聚首不失为一个好的开端,尽管没有如大家期待的那样建立紧密的安全联盟,但是我们不难发现无论是安全厂商、BAT还是其他企业,都在朝着这一方向而努力。
好的生态系统更容易孕育出优秀的物种。
网络安全标准化
2006年8月9日,Google首席执行官埃里克·施密特(Eric Schmidt)在搜索引擎大会(SES San Jose 2006)首次提出“云计算”的概念。由此算来,云计算的出现其实短短不过9年时间,可以它的运用已经非常广,小到每个人可以使用的网盘,大到企业网站的云服务器。然而云的安全状况往往令人堪忧。
网络是一个虚拟社会,可是没有规矩又怎成方圆?
四川大学教授陈兴蜀详细地解读了由她主持完成的“云计算服务安全指南”和“云计算服务安全能力要求”标准。内容当中事无巨细地囊括了从合同的内容、数据所有权、安全责任的归属等等规则。由此,无论是云服务商、安全厂商或是企业都可以根据其中的条款履行责任、承担义务。
必须承认,这是一幅极具吸引力的美好蓝图。
威胁情报
情报是基于大数据之上。天际友盟CTO杨大路介绍了他们是如何利用威胁情报追查到两名印尼“匿名者”黑客组织的成员。
威胁情报在未来是一股不容小觑的力量,简单理解就是“威胁”+“情报”。通过收集可能危及企业或客户安全的所有信息和数据,经过专业地威胁分析、产生直观的结果交由企业处理,从而避免灾难的发生(这里的灾难指的是网络空间中的)。威胁情报让网络安全防御变得不再被动,威胁情报有时还能指引我们找到实施攻击的幕后黑手。
然而,这一立足于充足数据之上的业务目前面临诸多挑战。
首先,大数据的资源较多的集中于BAT或一些各自领域发展较好的企业之中。潘柱廷认为整个安全里面威胁情报是最具价值的,需要这些情报的人则要有交易心态:
“现在拥有大量的威胁情报数据,具有情报持续分析能力的企业,像BAT都是具有很强的这样的能力,那需要适当的去共享,甚至于免费共享,就是因为在整个安全领域,从崩溃到好之间还是有一个距离的,我希望离崩溃的线远一点。”
其次,威胁情报的利用也面临一个信任问题。特别是安全行业中,我们好像时时处于危险与不安之中,因此信任链十分脆弱。虽说“没有永远的敌人,只有永远的利益”,既然如此,谁又真正敢加入到情报共享的行列之中?
供应链安全
这是一个来自“企业信息安全闭门交流会”中圆桌讨论的一个话题。
今年XcodeGhost后门的爆出堪称在行业内掀起轩然大波。在此之前,人们即便是不喜欢高冷的苹果生态,但是打心底里也会佩服其有骄傲的资本。而Xcode所引发的尴尬则给我们带来些许思考:供应链原来还是个“大坑”。
2012年Gartner就出了一份报告提到:供应链很可能会出问题。据TK教主介绍,IT供应链其实有很多,硬件、软件、开发工具供应链(包括编译器、第三方开源库、闭源库、第三方硬件和driver)等等,所有这些都很有可能成为安全的短板。
由此,基本不设防的供应链应该得到更多的关注与重视。正所谓最好的防御也是进攻,此前TK教主在极棒现场演示的“扫二维码攻击”便是最好的研究实践。
CSO的“职业生涯规划”
CSO是首席安全官的缩写,传说中薪酬涨幅最高、离职率也不低的那个职位。
对于CSO这一处于风口浪尖的职位,每位大牛都有自己的看法。
CSO需要做到哪些?
大潘:安全是由事件和合规驱动的。CSO要抓住事件驱动的机会,获得开展供应链安全的契机。联合其他部门工作,搞清企业自身软硬件知识产权的问题(用过的开源软件之类),供应链体系的资产问题等。
腾讯应用安全运维中心负责人胡珀认为CSO应当将更多人卷入安全当中,而不是自己扛所有的责任。腾讯安全平台也不是所有的安全项目,业务自身的安全还是需要其自身完善,因为他们是最熟悉自身逻辑的。
现场有位来自联想的安全从业者踊跃发言:很多企业安全部门之所以难做,是因为他们没有让企业风险体现出来。“既不能死人,也不能不出事。”团队应定期发布报告,让boss知道安全现状,形成持续压力。
撞库
之所以谈到这个词,是因为上述内容似乎都不太接地气。
峰会现场,小编亲眼目睹一位热心观众拉住来自腾讯玄武实验室的TK教主,向教主反应QQ盗号的问题。
密码和每个人都息息相关,然而越来越多的安全事故开始被扣上“撞库”的帽子。而实际上,这样的悲剧是可以避免的,用户不要使用简单密码、通用密码,定期变更自己的账户密码等等手段,都可以让撞库的风险离自己远一点。
对于普通人来说,安全意识要比安全技术更为重要。
小结
安全并不是一个玄学问题,而是一个动态平衡、更是一种理想状态。如同人——大自然中最为复杂、精致的系统都会生病一样,外来威胁会与自身BUG并存的时候,我们还是应该抱有积极的心态去迎接挑战!
