摘要:考慮到咱們的IT工作者們平時已經(jīng)過的夠苦X了,所以這次咱聊點輕松的話題:說,為什么照比于美國的公司,咱們中國的公司更容易被攻擊者“拿下”?
今天是愚人節(jié),考慮到咱們的IT工作者們平時已經(jīng)過的夠苦X了,所以這次咱聊點輕松的話題:說,為什么照比于美國的公司,咱們中國的公司更容易被攻擊者“拿下”?
之所以想聊這個話題起因于剛剛參加的一次由國內(nèi)某領(lǐng)先廠商舉辦的安全技術(shù)沙龍,援引當天一位IDC中國分析師的說法,中國的公司之所以更容易被黑是因為過多采用開源,而美國的公司則大多采用商用系統(tǒng),相比之下,尋找漏洞沒那么容易,要黑起來自然更費事一些。
這種解釋簡單粗暴,但任誰聽了想必都會有如此的內(nèi)心戲:他說的好有道理,我竟無言以對。當然,也肯定有筆者這種愿意再進一步思考和總結(jié)的,于是今次我們從三個角度來細致地八一八為什么中國的公司更容易被黑。
用戶角度:你能承受的“失敗成本”是多少?
可以說安全意識是個老生常談的話題,隨著近幾年國家對安全越發(fā)重視(將網(wǎng)絡(luò)安全提升至國家戰(zhàn)略高度種種),人們的安全意識確有加強,然而落實到企業(yè)在對安全的投資上則立馬就不那么明顯了。客觀上講,企業(yè)也很無奈,因為安全本身就是一個相對的概念,沒有被攻擊,就都是安全的,用“不進棺材不落淚”來形容安全在企業(yè)中的地位一點不為過。從用戶角度來講,就是看你能承受的“失敗成本”是多少,只有那些對“失敗”零容忍的機構(gòu)(政府、金融等)才會對安全投資特別敏感和用心。
除卻之前提到的中國公司偏愛開源自帶潛在危險外,攻擊形勢也由以往的已知漏洞轉(zhuǎn)向未知威脅,針對未知威脅,國內(nèi)探索的解決方案大致呈三種細分形態(tài):第一種是針對網(wǎng)絡(luò)端進行的防御,其二是針對端點的檢測,第三是結(jié)合大數(shù)據(jù)分析的內(nèi)部分析。盡管關(guān)于未知威脅的種種探討非常熱門,但真正落地下來用戶可以使用的方案可以說鳳毛麟角,且鑒于對國家安全的考量,外企即便有更先進的方案中國公司也是“想用而無門”罷了。
廠商角度:什么才是做安全的正確姿勢?
再來看廠商,這個在安全方面更有活力也更具話語權(quán)的群體。國內(nèi)外廠商做安全呈現(xiàn)的狀態(tài)明顯不同。在美國,無論老牌還是初創(chuàng)安全公司都比較專注和單一,有做沙箱的,有做下一代防火墻的等等,然后專注不同領(lǐng)域的公司合作起來,一同為用戶提供多種防御,這是一種良性的生態(tài)環(huán)境。而國內(nèi)安全市場則競爭非常激烈,廠商都在做一體化的方案以保持用戶粘性,往往陷入價格戰(zhàn)的惡意競爭。
當然,也不能一竿子拍死,近年來國內(nèi)的安全廠商也開始由競爭走向聯(lián)合和協(xié)作,這里也包括技術(shù)上的聯(lián)合,常見的我們看到友商間開始共享威脅情報。因為安全是個非常大的課題,單靠單一廠商的設(shè)備和服務(wù)是無法為企業(yè)實現(xiàn)絕對保護的。我們說廠商間的協(xié)作也只是聯(lián)合大家的能力來緩解攻擊,想要完全解決,這一點無論是國內(nèi)外廠商都尚有很長的距離要走。
市場角度:安全硬件仍是主力 云安全起步晚了n個段數(shù)
安全意識和能力在市場這張晴雨表上體現(xiàn)的特別明顯。全球市場是安全軟件和服務(wù)快速增長,中國情況相對特殊,硬件設(shè)備增速快,占安全軟硬件服務(wù)增長一半以上。據(jù)IDC的調(diào)研數(shù)據(jù)顯示,中國安全軟硬件服務(wù)復(fù)合增長率在20%,美國是7%。在去年,國內(nèi)是合規(guī)比較重要,軍隊采購非常多,硬件集采占20%,軟件在10%左右。
隨著基礎(chǔ)設(shè)施云化、軟件化,安全也要隨之發(fā)生變化,未來服務(wù)和云安全將會迎來跳躍式增長。云安全在國外發(fā)展已較為成熟,而在國內(nèi)則起步較晚,大型互聯(lián)網(wǎng)廠商牽頭做云也只是在以互聯(lián)網(wǎng)服務(wù)來發(fā)展用戶,因而初創(chuàng)公司做云安全前景會比較好。云安全因為盤子小今年的增長會呈翻倍狀態(tài),協(xié)作和云服務(wù)將更有益于彌補用戶需求和廠商提供間的差距和鴻溝。
我們對比國內(nèi)外安全發(fā)展的不同并非長他人志氣滅自己威風(fēng),而是希望通過對比,學(xué)習(xí)他人的優(yōu)勢來彌補自身發(fā)展的不足。且安全作為特殊的領(lǐng)域,遇上IT重塑產(chǎn)業(yè)的“互聯(lián)網(wǎng)+”時代,我們希望看到更多金錢以外的東西,更重要的是維護“科技改變生活”的初心。