过去几年间,互联网行业经历了翻天覆地的变化,网络从没有像今天这样深入地影响着人们的生产和生活。而随着信息量激增,安全问题也日益受到重视。今天,51CTO记者特别采访了WOT2016企业安全技术峰会特邀讲师、OWASP中国北京区负责人陈亮,就着相关话题为我们做深入解析。
陈亮,OWASP中国北京区负责人,南京铱迅首席安全顾问,山东安云市场战略官。
据他介绍,OWASP中国会员数量大概是3700人,还在陆续增加中。这些会员要经过一个很严格的筛选,其中有些是针对学生的,各个机构都有OWASP的研究人员在其中。除此之外,还有一个专家池系统,实战经验都很强,这也是相比其他机构的一个优势。
对国内安全现状的看法
谈起对国内安全现状的看法,陈亮认为最核心的问题还是安全意识的薄弱性。很多企业现在面临一个很大的问题是很多时候不懂得自己的安全规划应该如何去做,多数情况下是被厂商去绑架。甲方不了解真正自己的安全需求是什么,乙方不了解甲方的真正想达到什么样的效果,最后导致目标与结果南辕北辙,以至于出现很多安全问题和安全事故。在陈亮看来,最核心的问题还是CIO和CISO的意识不够强大,很多人对CIO和CISO的职责和界定也并不是特别了解。
比方在日本,他们的这种高层的信息安全主管,会定期地进行一些考试。考试非常严格,之前是有十个领域,现在划分成八个领域。在中国这方面的人才可能只有1/3左右,但并不是说日新月异的淘汰与轮替,或者说挖一个高级人才就能给企业带来真正的很大的一个收益。因为企业往往不了解它自己的安全去应该怎么做,这恰恰是需要去深思的。
陈亮认为信息安全的规划必须由企业自己去考虑,而不是让厂商来帮忙做主。或者说应该联合厂商,发一个需求,然后厂商来完成,最后通过评审,通过之后,这才是一个相对合理的做法。
“就像一些安全策略的配置一样,甲方不了解为什么要打这个安全策略,但乙方会告诉他这个里面安全策略能给你带来什么样的保护,但其实安全策略打得越多,整个的性能、资源占用都会受到影响。”
开源与闭源
谈到开源和闭源的话题,陈亮认为开源本身不是为了商业目的,而是为了让大家都积极地投入进来。随着越来越多的人投入到研究中来,发现BUG、修补漏洞,软件会变得越来越完善。国际上特别流行的一句话叫做先业务后安全,业务是最主要的支撑部门。以业务为驱动的开源项目往往先用起来,之后发现问题,然后不断地调整加固。
他提到,现在最有价值的漏洞是业务逻辑漏洞。作为攻击者常常需要换位思考,了解业务核心逻辑是什么,发现并绕过漏洞也好,越权访问也好,就会变得非常容易。而苹果系统比较难遭攻击的原因就在于其自身是闭源的,而安卓手机遇到的问题就很多,可见设置的门槛越高,越不容易被拿下。
如何更好地保护个人隐私
在这个信息爆炸的时代,每个人都在或多或少地与网络发生关联。而今年来,网络泄密事件层出不穷,作为普通网民如何更好地保护个人隐私呢?就着这个问题,陈亮给出了他的看法。他认为首先要有安全意识,要有怀疑态度,不能轻易地去相信。有些人听说积分兑换、银行系统升级等就信以为真,其实往往这些不会通过短信发送给你。第二,不能一套密码打天下。很多人银行密码被窃,包括账号被盗,往往都是因为只使用一套简单的密码,这样非常容易成为撞库的受害者。第三,是不要相信一些小道消息。比如说“抢红包”,常常给一个红包的图片,超链接到诈骗网站。
书籍推荐
对于有志于从事和安全或者运维相关工作的人,陈亮推荐他们可以看看日韩方面的书籍。他在日韩图灵这一块主要负责新安全书籍校验的,所以每本书都看了至少三四遍,校验时也发现了一些问题,但是基本上这些书籍还是很适合从业人员来看。他推荐了《WEB安全权威指南》,是日本方面从事信息安全、脚本挖掘、漏洞扫描等方面的指定教科书。如果想从事软件逆向方面的工作,可以看韩国的,凯利是必然的一个门槛。在运维方面,必过的一个语言就是python,因为现在自动化运维的趋势越来越明显。
演讲议题
采访最后,笔者问及陈亮作为WOT峰会的特约讲师,会在6月的WOT安全峰会上分享哪些内容。他表示如果时间充裕的话,会讲一下OWASP最新梳理的Mobile Top 10,这也是很多企业在移动安全方面比较关注的一个话题。OWASP在这方面从事了很长时间的研究,希望能有时间分享给大家。
