17日,ISC 2016 大会进入第二天日程,各论坛会议内容精彩纷呈。耀疆继续现场学习,并从前方发回中国互联网安全精英峰会分论坛的报道。
![]()
《跨越虚实世界的安全挑战 : 关键基础设施的网络攻击》Barny Sanchez,IBM安全事业部威胁防护与认知安全首席技术官
人工智能(IBM的Walson)+ 信息安全 —》认知安全?即利用认知计算(机器学习之类的),从杂乱无章的非结构化数据中“挣脱”出来,从而提升安全技术。从城堡和护城河这种被动防御的传统技术,到以数据分析为主的安全情报,再到现在的认知安全——将前二者更好地结合,重要的是,认知系统可以自我学习和改进。Walson for cybersecurity的工作方式:获取—》学习—》测试—》经验。将人工智能运用于信息安全,和将其用于医疗、交通、行旅等广泛的传统领域一个道理,基本的专业技术+大数据+AI,即认知计算。总体上来讲,似乎还是大数据应用的一个概念延伸吧。
![]()
《世界碰撞:云时代下的产品安全与安全产品》褚诚云,微软可信赖计算部网络安全战略总监
传统意义上相互分离的“安全产品(服务)”和“产品(服务)安全”,在云计算时代,至少对云供应商来说,基本上要合二为一了:云供应商为保证自己产品和服务(云基础设施)而采取的安全措施即产品安全,势必向更广泛对象开放,而最终变成安全产品(服务)的形态。
![]()
《创业维艰,知易行难》卜峥,美国资深硅谷安全技术专家,连续创业者和天使投资人
卜铮:通过在国内和美国先后三次创业的回顾,告诉我们,技术创业者的酸甜苦辣。对比中美安全市场,告诉我们,未来的机会在哪里?推动安全发展的,一是攻防,二是业务变革,对国内来说,反黑产更是非常重要的一个推动力(为此要协调联动)。
![]()
《我有病,你有药么?》 谭晓生,360公司首席安全官
谭校长给过于强调漏洞挖掘而忽略防御保护的安全产业现状泼了一盆“冷水”:
当万物皆可破解,漏洞挖掘或渗透测试还会像以前那样价值凸显吗?你可以很轻松拿出一份测试报告,轻而易举就能指出一堆问题,可客户更需要的是解决问题!
这就像北京的雾霾,当几乎所有人都知道PM2.5爆表的时候,你是告诉我雾霾很严重?还是更该告诉我到底怎么办呢?
靠强化客户“恐惧感”而做安全的路子该改改了。
其实,相比漏洞挖掘,防御更难做,他要考虑比挖漏更多的平衡问题,防御者因此而需掌握的基本功课也远比挖漏要多。
比如家用摄像头,评测报告显示,绝大多数都有安全问题,可是,民众买这个东西,他是更多会问价格和功能?还是首先关心安全?
再比如工业控制系统,也是一堆问题,可谁又敢对领导说,我只要加固就没问题了呢?谁敢担保加固不会导致其他风险?
再说安全产品,说实话,相比互联网消费级产品,企业安全产品差的不是一点点,但要知道,后者在部署、维护等方面,有着很多无奈的现实困境。
还有鄙视链的问题:各种攻防大赛,把光环都投给了优秀的“攻击者”。可防御者呢?开门即零分!忙活了半天,到最后很可能还是被打脸,防御者如果不是基于责任和信念,又怎能坚持?我们是否给予防御者的考虑太少?攻防两端的失衡问题,的确是个问题。
基于以上,360开始重新梳理内部角色设置和工作序列,意图对防御者有更公正的认可。
攻击性思维 vs 防御性思维,(未知攻焉知防,却变成了只知攻不知防),此一时彼一时,该到了平衡发展的时候了。
补充几点其他tips:
关于协同,想象一下,如果腾讯、阿里和360,三家一起联合打击黑产,这将是多么美好的一副图景?(为什么老谭没提百度?呵呵)
关于市场,业界中肯的说法,也就200、300百亿的规模,上千家企业,中间还有很多壁垒,这就是安全市场的现实。安全人力成本和互联网看齐,可安全产业规模和盈利能力又根本没法和互联网比。
网络安全的春天来了吗?至少,我们听到了她的脚步声,但这有赖于所有业者的协同联动,而非彼此隔阂内斗。
顺便说一下,老谭提到不久前在一个小范围内的分享,指的就是他在我们安创汇沙龙活动里的分享,那次,他泼的冷水更冷,也更酣畅,我喜欢!
![]()
