内容来源:
2017年8月15日,第三届中国互联网安全领袖峰会(CSS),笔记侠受邀参会。照片来自Vphotos.
责编
| Even
第1662篇
深度好文:5760 字 | 8 分钟阅读
笔记君说——
侠客,你好!新商业路上,笔记侠时刻与你相互守望,并肩作战。
随着网络的普及,大家关注的安全不仅仅是硬件方面的安全问题,更多的还要关注人的数字资产问题。关于互联网安全,第三届中国互联网安全领袖峰会第一天就邀请了众多大牛,共同探讨全球网络安全最新发展趋势。
笔记侠受邀参会,现场整理了三位大牛的精彩观点:
全行业如何跨过企业信息这道坎呢?
企业平时该怎么做,提高自身安全性呢?
人工智能的到来,未来会是光明的还是黑暗呢?
以上问题,你可以在本文中得到解答。
一、腾讯COO任宇昕:
全行业如何跨过信息安全这道坎?
新形势下,全行业该如何跨过信息安全这道坎呢?我认为,应该从社会安全意识、应急响应机制、基础建设投入、法治保障体系四个层面入手,这也将成为保障数字经济发展的四条“中枢神经”。
第一,社会安全意识需要转变,安全问题前置、安全已成为业务流程重要组成。
对全行业来说,安全治未病时代已经到来,头疼医生的“看护式”安全模式,必须向全民健体的“保健式”安全模式转变。企业要在产品设计之初就具备安全意识和防范能力,如同具备大数据能力、云计算能力一样,只有这样才能有效解决牵一发而动全身的安全问题。信息安全公司作为一个独立的产业,边界将越来越模糊,如同一个健康教练一样,帮助企业增强网络安全建设能力。
第二,建立协同应急响应机制,人才、技术、数据全面共享,释放安全“势能”。
客观来说,中国安全人才梯队和技术创新能力已经全球领先,不断在众多全球顶级的黑客大赛中取得领先成绩,如腾讯自研杀毒引擎在全球评测中连续夺冠;同时,中国安全产业规模及参与企业数量也位居全球前列。然而,勒索病毒等新攻击一来,大家还是手足无措,政府、企业、安全公司没有有效联动,安全势能没有得到有效释放。
第三,加大安全基础建设投入。
目前国内信息安全投入不足1%,远低于美国、日本。目前国内企业在信息安全建设方面的重视和投入都不足,比如像勒索病毒的攻击到来,在面对的时候还是略显不足。
第四,提升安全法治保障体系。
6月1日,《网络安全法》落地实施,这是我国首部网络安全相关立法;同时,国家网信办会同相关部门起草了《关键信息基础设施安全保护条例》意见稿,保障关键信息基础设施安全。这意味着,国家法治保障体系建设已初具规模,接下来,就需要企业主体的责任和担当,以确保相关法律法规的落地执行。
一家企业能力很有限,腾讯能做甚少,信息安全发展需要全产业联动。
开放、共享、合作,已经成为数字经济时代信息安全产业共识。作为数字经济的重要参与单位,我们呼吁有能力、有担当的企业积极承担责任,积极参与信息安全这一“神经系统”的构建。作为CSS安全领袖峰会的发起方,腾讯在开放合作、技术创新和产业融合三方面将不断发力,为推动建立全产业联动的安全生态新体系做出切实努力。
二、腾讯云鼎实验室负责人董志强:
企业安全如何做?
当我们做一款安全产品,解决一个安全问题的时候,希望解决的是有效,少一些炫技的成分。作为一名安全从业人员,我当然希望自己在实验室里有一些炫技的成分,但是产品解决用户问题时,希望比较务实解决用户的问题。我们有几个基本结论和大家分享:
漏洞是造成入侵的主要原因。
我们有什么样的思路能够从漏洞角度解决安全的问题,这是非常好的一个点。我们还会发现除了漏洞之外,密码破解这种古老的攻击技术,今天已经是一种常态化的存在,而且因为其利用成本比较低,在云上和漏洞几乎占据70%的入侵原因,是非常有风险的。有什么样的产品能够很好地解决这样的问题,也是我们所关注的。
在过去一年,我和我的团队试图通过终端+流量,构建这样一个安全体系,我们做了一些尝试。随后我们还会发现由于现在匿名货币,比特币这种越来越普及,包括暗网这样的东西越来越普及,黑客的变现方式已经有所转移,从开始DDOS攻击、做端口扫描,变成勒索了,所以加密勒索也是黑客变现的主要方式,也是我们面对的一个主要风险。
比如,我们通知用户要打补丁,用户说:好,然后没有打。最后他的服务器被勒索了之后,找我们帮忙解密。其实做安全的都知道,很多基于密码学的解密现在是非常困难的。
为此,我们给企业安全提出了几个建议:
一是规避数据的损失。
无论我们基于自己的数据备份,还是在云平台上通过镜像方式做数据备份,都是非常有必要的。
二是软件要及时更新。
当漏洞出现之后,这里会有一个时间差,只要我们能及时更新,就能避免大部分问题。当数据有良好备份之后,一旦出现数据的风险,我们也能尽量降低自己的安全损失。
三是员工的安全意识。
大部分入侵都是把AMP一个自动化一站式建站工具用一个弱口令就绑定到一个外网的IP上,这其实很有危险。而且在过去案例中,我们也发现有一些公司,包括员工,把代码提交到一些开源的社区上,甚至有的公司将自己的数字签名都提交到社区开源上。
对企业来说,还有一个办法就是企业上云,因为云平台有专门的运营团队,可以让我们的安全水平建立在一个基线上。
最后分享一个观点,在过去一年,我们通过终端和网络,试图建立起一套安全防御体系。我们联合腾讯其它的实验室,对公有云平台建立这样一个红蓝军的攻防,试图通过漏洞挖掘、防御,做这样一个工作。
2016年,我在“云+”会议上讲了“发现决定一切”,怎么样发现?最好的办法就是建立一套纵深的防御体系,才能有利于我们更好的发现。除此以外,当我们建立起这样一个体系之后,会收获大量的日志、大量的告警,以及其他我们自己抓取的数据,我们如何解决呢?
这个时候我们需要很好的识别能力,对我们所使用的第三方引擎,我们所接入的情报来说,需要有很好的识别能力。所以除了快速发现之外,还要有精准检测能力。
