BAT坐在一起聊安全,他们都说了什么?
BAT 在一起了!别紧张…是在一起聊网络安全大问题。在首届中国互联网安全领袖峰会,BAT 三位主管安全的高管同台亮相,腾讯副总裁马斌、阿里巴巴安全部副总裁杜跃进、百度首席安全科学家及百度安全实验室负责人韦韬首次对话网络安全。
咦,日常我们只看到他们明争暗斗,是各种买买买,这一次却破天荒的搬上小板凳坐一起探讨整个网络安全大环境。莫非是看到日前 XcodeGhost 病毒、某邮箱泄漏等安全事件给用户带来很大的损失和危机感。要给用户提供福利了?为何突然举办一个安全峰会?别闹!人家可是有做功课的,这不,安全峰会刚 开始就发布了一份《CTO 企业信息安全调查报告》,报告显示:
- 超过 45% 的企业在过去三年曾发生过不同量级的信息安全事故,仅有 15% 的企业认为自己的安全措施完全可以防范风险,大型企业(规模超 500 人)与电信行业尤其是重灾区,分别有超过 57% 和 64% 的企业发生过信息安全事故;这些安全事故直指商业机密、用户信息等核心信息资产;
- 对于企业安全事故,尽管有接近 75% 的威胁都被认为来自企业外部,近 80% 的公司管理层认为信息安全的事故责任应由安全团队承担,其中有 20% 管理层甚至直接归咎于企业 CTO(CTO 表示亚历山大...);
- 48% 的企业认为信息安全不再是一两个人或系统就能解决的,安全隐患是变化的、动态的、不可控的;
- 35% 的企业认为“行业交流与合作的机制”是更有效保障“生态”安全的重要手段;
- 小微企业尤其是小微金融企业成为信息安全的最大风险点,接近 40% 的小微企业(100 人以下)无信息安全团队和资金投入,而超过 50% 的金融企业没有任何安全方面的投入。
总而言之,“安全意识和技术”以及“企业单打独斗”被认为是主要的障碍,让信息安全服务于“互联网+” 已成业界共识。那么 BAT 三位安全负责人坐在一起都说了什么?
百度安全实验室负责人韦韬:“黑客”已经是一种可怕现象
黑客们进入市场已经成为一种现象,他们研究的数据比企业还要多,这是非常可怕的现象。尤其是现在安全生态是在 IT 之上的,IT 生态在非常快速的演进,软件非常的凶残。一旦安全成为附加的生态,就会出现很多的安全问题。这就导致安全跟不上现在 IT 互联网发展的速度,从经济角度来看也是必然现象。
所以,企业不仅要加大安全投入,还要让技术和管理并重,靠技术提升安全防护,来逐步提升门槛。不过,有时候安全也并不是企业的权利,而是与法规相关,这个时候就需要政府相关部门来协调了。
腾讯副总裁马斌:上医治未病,最高安全是做好预防
在各个行业都进入到互联网的生态系统建设,其中 IT 的建设最重要的就是安全建设,虽然很多企业说有一个 IT 的建设,但是没有在安全领域上有这种构建的能力。所谓上医治未病,但目前很多安全事故的发生,都是结果导向,最高层次的安全是能做好预防。
如何做好威胁的检测以及态势的感知,是下一步的重心,总结起来就是左手是数据,右手是安全。巨头要联合成立一个安全领域最大的联盟团队,用这样的方式帮助整个行业对安全体系的认知,不断探索和构建更高的安全防护能力。
阿里巴巴安全部副总裁杜跃进:从企业和法律两个层面保护数据安全
马云不只一次提到,数据经济是阿里巴巴的未来。庞大的数据就意味着首先就要保证安全,用户数据最好从企业和法律两个层面进行保护。前段时间,阿里巴 巴成立了 ISC 联盟,希望把电商环节里面很多很多的商家背后大量的软件供应商组织起来,因为他们很多的漏洞就是被黑客抓住直接时时的信息泄露出去进行诈骗。所以,就需要 建立一个联盟搞测试,让防护能力能够滚雪球似得逐渐提升。
为了保护用户的安全,为了对抗黑产,行业内要拾起维护用户安全的初心,因为目前业界的问题是,一家发生安全问题的时候,另一家不说帮助,而是在幸灾乐祸。友商的用户就不是你的用户了吗?用户就是用户,用户对这个行业失去了信心我们企业都会有损失的。
从三位 BOSS 的谈话来看,一致认为巨头们就应该持有开放的心态,一起组建联盟互联互通、共享共治,从企业和用户两端建立防止攻击的机制,但最终结果却是由于某些业务厂 商之间是竞争关系,最后得出结果...我们还是各干各的吧,先把自己的用户和合作伙伴服务好......
探讨安全之余,三家也有不间断的针锋相对,主要围绕在“生态和开放”:
腾讯副总裁马斌说,我们从工具平台到生态,都会一起搭建,并且会把我们的能力开放给合作伙伴,和合作伙伴实现共赢;
阿里巴巴安全部副总裁杜跃进接着说,开放的生态大公司是做了不少,但还是非常不够的,因为很多事情如果跨界就会相互影响;
百度安全实验室负责人韦韬也加入进来,他说光靠一定的指标每天分享很僵硬的数据,并不能消灭黑产旺盛的生命力,开放之前安全是最大挑战,需要大家进一步合作,把端这块更好的防护住。
事实上,在网络安全构建这块,还真的要学学美国,最近几年美国的互联网界从美国军方学到一个词汇叫做 VUCA,V是 volatility(易变性),U是 uncertainty(不确定性),C是 complexity(复杂性),A是 ambiguity(模糊性),VUCA 背后是倡导企业建立了一个预期,演化,准备以及干预的学习模式,它也恰恰指明了我们今天面临的严峻挑战。
如今互联网空间已经变成了第五空间,但是对互联网空间的困难性和复杂性的认知,我们才刚刚开始,而在认知的过程当中,我们需要面对新的挑战,同 时要警惕我们思想当中存在的对传统安全的落后认识,尤其对于安全来说,从来都是一个特殊的领域,安全恰恰又是横跨私域和公域非常重要的领域,可谓路漫漫, 挑战不断,步履维艰。