近日,第二屆XCTF國際網絡安全技術對抗聯賽落幕,這一屆的主題除了探討網絡安全問題,更嘗試加速企業與高校之間的融合。尤其值得一提的是,本是相愛相殺的BAT、360公司的安全負責人這一次破天荒聚在了一起,各自分享了他們對安全的看法。
360公司CTO兼副總裁譚曉生:未來的安全是如何處理工具和人之間的關系
作為國內第一大安全公司,360公司CTO兼副總裁譚曉生認為,今天的網絡安全面臨四大痛點:
第一、面臨萬物時代必然面臨的安全挑戰;
第二系統安全網絡安全根本問題沒有解決,現有的計算系統本身天然有缺陷;
第三、攻防技術理念不平衡,防御更難,但是今天面臨問題是源于進行防御人太少;
第四、人才缺口其實擴大,雖然人才培養越來越多,需求量增加更快。
譚曉生表示,過去我們關注IT安全,現在叫OT安全,過去是所謂工廠自動控制系統,如今是看數字安全前景,互聯網智能硬件安全不能完全歸屬于傳統IT安全,而且面臨更大范疇所謂數字安全,未來擴展到更大領域,不僅僅智能家具還能擴為重要基礎設施電力控制系統。
如果,今天IT和OT已經連接起來,電力系統高度自動化,就會像一個PCN網絡。OT安全需要關注的一個問題是,別人問你我有病,你有沒有藥?那么如果你沒有藥,對不起還是不要把安全隱患告訴有病的人為好。
譚曉生還提到,國內的黑客文化過去就是培養一部分人攻擊,但缺乏系統性思考,這方面相對美國弱太多。如果國家安全做起來,不僅僅需要培養直接的攻擊黑客,更要了解系統脆弱性,讓防御自動化。
尤其是現在,即便是有防御方法但執行的時候會遇到非常多的問題,比如說我們說上下文相關的安全,做監測和響應工具是什么?信息威脅有效性遇到很大挑戰,他們能起到一定防御作用,面對真正監測能夠響應,但這里面其實會產生很多矛盾,工具就是固化你的處理過程,能夠減少人工作量一種東西,工具如果凈化到足夠好程度,我們對人需求也能夠降低。
但目前的狀態是工具沒有做好,人也不夠。言外之意,想要實現真正的安全,就要首先協調工具與人之間的關系。
譚曉生認為,未來網絡安全防御的鏈條會越來越長,一定是一個聯防聯控的局面,整個網絡信息安全要做好,需要政府、民間多個企業之間共同協作。
百度安全事業部總經理馬杰:安全世界里,能力越大責任越大
什么是黑客?就是壞人嗎?馬杰認為,黑客很大程度是也是一個網絡守護者,他們發現漏洞、抓取漏洞,正是有了他們的存在,企業才會具有防患意識。
馬杰舉例說,阿桑其是他心中很厲害的黑客,年輕的時候干過很多狹義黑客事情,也黑過美國國防部和五角大樓網站,后來他覺得這些小東西沒有意思,人還是做一點能真正改變世界事情。于是,他開設了危機解密網站,這個網站里面公布了美軍,美國政府在伊拉克、阿富汗戰爭中的一些秘密。
阿桑奇做的這件事情更像黑客精神,因為在這個網絡世界中信息應該是平等交流,應該是自由的,美國軍隊為了掩蓋戰爭的實情,把很多文件藏起來,而阿桑其把他公布了。
當然也有一部分黑客做了黑產的事情,但他們大多是沒有管住自己的手,一時技癢覺得好玩而已。那么,如何打擊這種挖掘黑產的黑客?
事實上,安全世界里面就是能力越大,責任越大,對于安全從業人員更是如此。
但是,現在局面已經開始改變,大家不再像以前那樣敵視黑客,而是希望能夠一起合作,在黑客事業中探索未知,不屈不饒他們讓這個世界變得更美好一點,從而構建這個世界的免疫系統。
阿里安全副總裁杜躍進:今天的戰場,已經不是純粹的技術對抗
按照杜躍進的觀察,在現實中攻方可以僅憑一個單點突破達到目標,也可以通過系統偵查,多個環節配合,通過一個點達到攻破目的,但防守方每個點都要做,點和點聯合起來,整合在一起才可以應對攻擊。
他表示,曾經把對手分成四種:大、小、黑、白,黑產是對手之一,白開心不用太管他,從淘黑金開始越來越高級的威脅,黑產對手了解他,在黑產整個體系里面看非常清楚,技術只是其中一部分。
同時,今天的戰場早已經不是過去的戰場,已經不是純粹的技術對抗,社會工程學的因素加入非常之多,尤其黑產領域里面非常明顯,相信另外兩個更高級純小偷、大玩家里面社會工程學完全不可或缺,今天已經不再是計算機網絡,我們今天是一個網絡空間。
那么,今天攻防雙方在PK的是什么?最關鍵的主線之一就是數據,再到后面的時候計算機網絡和通訊網絡結合起來。
因為從攻擊者角度來講價值發生很大的轉變,所有東西聯系在一起,從智慧城市、交通、物聯網等,數據里面極大豐富,這些東西對攻擊者價值是什么?這張網絡已經不僅僅是說我們用來做信息的交換了,他是我們生存所依賴的網絡,是業務所依賴的網絡。
所以,過去的時候,商業就是傳統的商業,但是今天網絡融到一起了,過去的時候有非常成熟的一套體系來控制風險,但是今天所有的東西都在融進互聯網,那么如果黑客發起攻擊,我們防御用什么?
杜躍進表示,未來的安全一定是一種融合的安全,一定不能夠僅僅停留在技術層面。當然,我們依然把網絡空間和其他的空間分開來看,網絡空間和物理空間并不是隔離,因為真實場景下攻防更加復雜,可以做出更加復雜的謀略對抗,但是單點對抗永遠輸定,不可能說單點突破你。
騰訊北京分公司總經理劉勇:騰訊如何打造自己的安全團隊?
對于社交巨頭來說,騰訊大量的用戶數據面臨的安全隱患會更大,比如騰訊目前QQ活躍數8億,微信用戶數也有7億,在與同行不斷博弈中,騰訊如何體現安全的能力?
劉勇認為,首先就需要一套安全人才的培養機制,因為在國內并沒有一個權威的安全人才培訓和認證標準,培養機制存在很大缺陷。騰訊是怎么做的?劉勇總結了四點人才體系構建的經驗:1、資源支持;2、從技術轉化;3、獨立空間;4、導師培養。
他吐露,騰訊現在已經用了7個安全實驗室,每一個安全實驗室都有一個leader來掌控,不僅為騰訊自己的業務服務,也會涉及到2C、2B相關等政企業務。
除此之外,騰訊還贊助了Geek Pwn,以期打造一個安全的人才培養體系,在連接安全、系統安全、設備安全、云安全、信息安全和應用安全方面提前布局。
京公網安備 11010502049343號