万物互联时代,没有任何一家企业能够独善其身,在这个环境下,“协同作战,共同建设网络安全”成了大家一致的想法。
i黑马讯(宫盈)11月4日消息,在首届中国网络安全领袖峰会上,腾讯、百度、阿里、京东四家首次就“网络安全”话题坐在了一起,探讨了网络安全的现状和未来发展方向。腾讯公司副总裁马斌、阿里巴巴安全部副总裁杜跃进、百度安全实验室负责人韦韬、京东集团首席技术顾问翁志和启明星辰首席战略官潘柱廷参加了此次圆桌会议的讨论。
万物互联时代,没有任何一家企业能够独善其身,苹果iOS系统也在前不久爆发了Xcode问题,导致数亿果粉担惊受怕。在这个环境下,“协同作战,共同建设网络安全”成了大家一致的想法。
而且,黑客进步的速度总是超乎想象。他们表示,虽然各大厂商都更加开放了,但是相比于“黑产”的进步依然有很大差距,呼吁要像黑色产业者那样合作,安全企业不能只看到眼前利益,而应该打开企业的边界。
以下为圆桌会议内容,i黑马有删减:
安全要靠生态
杜跃进:现在很多人基本上都认可安全是要靠生态的,任何一个单一环节,任何一个单一的组织其实都没有办法来解决安全的问题,所以说生态是抓的非常的好。
韦韬:我们从很早开始就意识到安全很大程度上是生态的问题,整个安全不是一时一刻的,而是整个产业链安全问题。“黑产”由于有可观的黑色利益驱动,他们可以快速的变化,有极强的生命力,这个是非常可怕的现象,大家一起要合作对抗这个侵袭。
潘柱廷:现在单靠任何一个单个厂商,不管你多大,都很难去左右整个安全的态势,必须要跟很多其他的厂商在一起。由于互联网技术的发展,我们在看待产业整个新的生态的时候,看企业之间的生态关系的同时,也会看个体,特别是这样的一个技术群体和智库群体在产业当中所产生特殊的作用。所以从生态的角度,从产业生态的角度,我们看自己的企业,往小了看个人的能力,往上看整个国际上大的产业环境融合的发展。
翁志:大家知道互联网和传统行业互相共同融合,互相渗透,大数据的发展,云计算的普及,人们生活当中产生的数据越来越多,背后的安全问题也是非常的关键。我们2012年的美国运营商做了一个调查,在2014年有多达8万家的公司被黑,绝大多数世界互联网、世界500强公司都重标,涉及的国家有60多个,这个是一个很严重状况。对于中国来说这个问题尤其严重。这需要大家共同来努力来净化我们的互联网。
要像“黑产”一样善于合作
潘柱廷:比如说黑产业,这个是具有合作精神的一个,那我们作为一个阳光产业,不能只看到企业之中的这个经济利益的要求,而要看到我们要打开企业的边界,在对威胁的这种观察上,在人才的培养的提升上,在资源的分享和共享上,特别是数据资源和计算资源的共享上,我们是可以合作的。
马斌:中国中医讲了一个最重要的论点,就是上医治未病,结果导向。发生任何的泄露,包括攻击,包括黑产业,这些其实都是结果导向,我们立刻去做,但是最高还是能做好预防,所以我们在这一点上,一方面看到互联网成为经济体,以及跟我们各个的行业全部融合,已经把业态上升到这么高级别的情况下,我们原来安全的能力,技术到产品到整个解决的方案,都要从最开始的源头来抓,如何做好威胁的检测,包括态势的感知,这些是我们这些企业能做的,现在连黑产、灰产都可以做到分享,何况我们这些企业,互联网经济体的时代下帮助更多的企业做好安全防护的防范,这些是我们应该做好的。
翁志:与黑产做斗争是我们生活当中的一部分,像现在电商当中有一个单打独斗的形态,大家有这种帐户互通的方式,一旦有安全问题绝对不是一家的问题,而是一个产业链的问题,会涉及到方方面面,所以说从这个角度来说我们会一起来做。
杜跃进:这个开放的生态虽然大的公司做了很多,但是我觉得现在还是非常不够的,因为很多事情是跨界在相互的影响,比如黑产整合的挺好的,为什么整合的很好,因为他充分利用到我们这边互相不通的特点,比如说在淘宝上他要想搞诈骗的话,他就要用到其他的交互平台,就可以逃过我们的检测,那我们搞一点社会性的话语系统的话,他要想办法找到另外一家平台,如果说这些之间我们还没有建立起来,或者是不够深入的话,就在给他们提供这样的一个机会,因此我的建议就是我们这样的企业应该有一个更高的一个格局-客户第一。
韦韬:现在有非常多的挑战,我们虽然每家都开放不少,但是整体上离黑产的进步有很大的区别,光靠一定的指标每天分享多少僵硬的数据,并不是能消灭黑产旺盛的生命力,他们可以很高速的变化。在具体操作过程当中我们也尝试和各家一起来分享这些,但是有很多的数据,要不然技术影响数据要不然客户影响数据,如何能够限制他,阻止他们带来更加的严重灾害,还有很多的挑战。
马斌:其实我们本身的连接不够,黑产因为利益会更好的发展,但是对于我们来讲,在云端的联合还好一点,在管道内特别是端的这一层,很多能力还没有完全的释放出来。其实在连接上我们自己不光要有开放的心态还要有行动,你看在端这一侧,我们也想到运营商,他们压力也非常的大,因为老百姓不知道是谁,都会以为是运营商的问题,他们也是受害者,所以我们如何构建这样的一个联合的生态体系,不同的云管端上都可以做好布防。
潘柱廷:一个系统、一个体系并不会因为你出事或者是不出事判断你到底是不是安全,而是说出了问题出了漏洞能够及时的修补和解决。
翁志:一个公司的技术安全技术的能力是取决于他管理层对安全事情的认可度,如果你公司非常重视安全对于公司的重要性的话,他安全就可以有一个很大的提升。
潘柱廷:没有永远的朋友只有永远的利益,这句话说起来很负面,但是其实你应该反过来说,只要把各方面的利益找到了,连接在一起,这样的合作是一种持续,那其实我们如果是要考虑联盟的话,不要试图把一些公司联合在一起,而要把这些企业这些机构的追求联系在一起。
比如人才教育或者是人才培养、人才选拔这个不是短期可以见效的,比如说我们一个企业去资助一个人才培养计划,你会期望马上下一个季度就能产生效益,当年产生效益是不可能的,比如说在大学里面培养人才,需要6年到8年的时间,但是我们在产业中间我们必须有一个战略的眼光去做这个才可以培养。
网络安全要上升到公司最高层面
杜跃进:在未来的所谓的网络安全真的是要到业务的层面,我们要从业务的角度来做安全,我们要从你要保护的企业,从他们的角度来做安全,而不能停留在过去只做了一半,漏洞怎么样这个系统怎么样。
韦韬:美国这些大银行或者是大的中小商他们非常非常鼓励这种创新,非常愿意去尝试新的技术新的产品,而在国内这方面这种趋势还是非常明显的,就是我们这种大的行业可以把这些安全的措施放出来,推动整个市场,能够使整个创新的力量可以爆发出来。
潘柱廷:我的建议是为你的企业做一个诸葛亮,简单的说就是为你的机构确定一个CSO这样的一个角色,首先先转变角色,这个角色可能是CEO来兼,可能是CTO来兼,或者是单独设立一个首席安全官,或者是有懂业务的首席风险官来兼,总之你要有这样的一个角色。
马斌:未来随着这个新技术新材料新的产品的出现,都会有新的安全的形式,我们是要抓住从创新的角度来讲,抓住这个关键点。一定要把安全上升到公司的最高层面,风险的管控是这个公司最重要的意义,他不仅仅是产物,还有数据安全还有业务的安全。
希望我们回归到原点,不忘初心,做安全的初心,从互联网最简单的信息的入口开始,到现在互联网+的大势下,我们的安全的业态发生了转移,从信息的安全到泛安全的这个形态下,任何一个企业不能独善其身,所以从人才的培养、产业的融合,到开放的这个生态,用我们务实的行动共同为整个国家的信息安全、企业的信息安全,为所有用户的信息安全共同努力。
匿名用户
