BAT3四大巨头安全负责人破天荒聚在了一起,他们都说了什么?

36氪  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

BAT3四大巨头安全负责人破天荒聚在了一起,他们都说了什么?

近日,第二届XCTF国际网络安全技术对抗联赛落幕,这一届的主题除了探讨网络安全问题,更尝试加速企业与高校之间的融合。尤其值得一提的是,本是相爱相杀的BAT、360公司的安全负责人这一次破天荒聚在了一起,各自分享了他们对安全的看法。

360公司CTO兼副总裁谭晓生:未来的安全是如何处理工具和人之间的关系

作为国内第一大安全公司,360公司CTO兼副总裁谭晓生认为,今天的网络安全面临四大痛点:

第一、面临万物时代必然面临的安全挑战;

第二系统安全网络安全根本问题没有解决,现有的计算系统本身天然有缺陷;

第三、攻防技术理念不平衡,防御更难,但是今天面临问题是源于进行防御人太少;

第四、人才缺口其实扩大,虽然人才培养越来越多,需求量增加更快。

谭晓生表示,过去我们关注IT安全,现在叫OT安全,过去是所谓工厂自动控制系统,如今是看数字安全前景,互联网智能硬件安全不能完全归属于传统IT安全,而且面临更大范畴所谓数字安全,未来扩展到更大领域,不仅仅智能家具还能扩为重要基础设施电力控制系统。

如果,今天IT和OT已经连接起来,电力系统高度自动化,就会像一个PCN网络。OT安全需要关注的一个问题是,别人问你我有病,你有没有药?那么如果你没有药,对不起还是不要把安全隐患告诉有病的人为好。

谭晓生还提到,国内的黑客文化过去就是培养一部分人攻击,但缺乏系统性思考,这方面相对美国弱太多。如果国家安全做起来,不仅仅需要培养直接的攻击黑客,更要了解系统脆弱性,让防御自动化。

尤其是现在,即便是有防御方法但执行的时候会遇到非常多的问题,比如说我们说上下文相关的安全,做监测和响应工具是什么?信息威胁有效性遇到很大挑战,他们能起到一定防御作用,面对真正监测能够响应,但这里面其实会产生很多矛盾,工具就是固化你的处理过程,能够减少人工作量一种东西,工具如果净化到足够好程度,我们对人需求也能够降低。

但目前的状态是工具没有做好,人也不够。言外之意,想要实现真正的安全,就要首先协调工具与人之间的关系。

谭晓生认为,未来网络安全防御的链条会越来越长,一定是一个联防联控的局面,整个网络信息安全要做好,需要政府、民间多个企业之间共同协作。

百度安全事业部总经理马杰:安全世界里,能力越大责任越大

什么是黑客?就是坏人吗?马杰认为,黑客很大程度是也是一个网络守护者,他们发现漏洞、抓取漏洞,正是有了他们的存在,企业才会具有防患意识。

马杰举例说,阿桑其是他心中很厉害的黑客,年轻的时候干过很多狭义黑客事情,也黑过美国国防部和五角大楼网站,后来他觉得这些小东西没有意思,人还是做一点能真正改变世界事情。于是,他开设了危机解密网站,这个网站里面公布了美军,美国政府在伊拉克、阿富汗战争中的一些秘密。

阿桑奇做的这件事情更像黑客精神,因为在这个网络世界中信息应该是平等交流,应该是自由的,美国军队为了掩盖战争的实情,把很多文件藏起来,而阿桑其把他公布了。

当然也有一部分黑客做了黑产的事情,但他们大多是没有管住自己的手,一时技痒觉得好玩而已。那么,如何打击这种挖掘黑产的黑客?

事实上,安全世界里面就是能力越大,责任越大,对于安全从业人员更是如此。

但是,现在局面已经开始改变,大家不再像以前那样敌视黑客,而是希望能够一起合作,在黑客事业中探索未知,不屈不饶他们让这个世界变得更美好一点,从而构建这个世界的免疫系统。

阿里安全副总裁杜跃进:今天的战场,已经不是纯粹的技术对抗

按照杜跃进的观察,在现实中攻方可以仅凭一个单点突破达到目标,也可以通过系统侦查,多个环节配合,通过一个点达到攻破目的,但防守方每个点都要做,点和点联合起来,整合在一起才可以应对攻击。

他表示,曾经把对手分成四种:大、小、黑、白,黑产是对手之一,白开心不用太管他,从淘黑金开始越来越高级的威胁,黑产对手了解他,在黑产整个体系里面看非常清楚,技术只是其中一部分。

同时,今天的战场早已经不是过去的战场,已经不是纯粹的技术对抗,社会工程学的因素加入非常之多,尤其黑产领域里面非常明显,相信另外两个更高级纯小偷、大玩家里面社会工程学完全不可或缺,今天已经不再是计算机网络,我们今天是一个网络空间。

那么,今天攻防双方在PK的是什么?最关键的主线之一就是数据,再到后面的时候计算机网络和通讯网络结合起来。

因为从攻击者角度来讲价值发生很大的转变,所有东西联系在一起,从智慧城市、交通、物联网等,数据里面极大丰富,这些东西对攻击者价值是什么?这张网络已经不仅仅是说我们用来做信息的交换了,他是我们生存所依赖的网络,是业务所依赖的网络。

所以,过去的时候,商业就是传统的商业,但是今天网络融到一起了,过去的时候有非常成熟的一套体系来控制风险,但是今天所有的东西都在融进互联网,那么如果黑客发起攻击,我们防御用什么?

杜跃进表示,未来的安全一定是一种融合的安全,一定不能够仅仅停留在技术层面。当然,我们依然把网络空间和其他的空间分开来看,网络空间和物理空间并不是隔离,因为真实场景下攻防更加复杂,可以做出更加复杂的谋略对抗,但是单点对抗永远输定,不可能说单点突破你。

 腾讯北京分公司总经理刘勇:腾讯如何打造自己的安全团队?

对于社交巨头来说,腾讯大量的用户数据面临的安全隐患会更大,比如腾讯目前QQ活跃数8亿,微信用户数也有7亿,在与同行不断博弈中,腾讯如何体现安全的能力?

刘勇认为,首先就需要一套安全人才的培养机制,因为在国内并没有一个权威的安全人才培训和认证标准,培养机制存在很大缺陷。腾讯是怎么做的?刘勇总结了四点人才体系构建的经验:1、资源支持;2、从技术转化;2、独立空间;4、导师培养。

他吐露,腾讯现在已经用了7个安全实验室,每一个安全实验室都有一个leader来掌控,不仅为腾讯自己的业务服务,也会涉及到2C、2B相关等政企业务。

除此之外,腾讯还赞助了Geek Pwn,以期打造一个安全的人才培养体系,在连接安全、系统安全、设备安全、云安全、信息安全和应用安全方面提前布局。

随意打赏

bat三大巨头互联网四大巨头四大科技巨头bat三巨头bat3巨头四大巨头bat3
提交建议
微信扫一扫,分享给好友吧。