【2016中国企业服务峰会】SaaS服务安全如何保证?
编者按:安全一直是被挂在嘴边但从未重视过的问题,对于安全企业也往往存在着侥幸心理和亡羊补牢的行为。但随着 SaaS 行业的不断发展,SaaS 平台上正存储着越来越多的重要数据,那么 SaaS 服务的安全如何保障?在这场企业服务峰会上,XCon 创始人王英健,安全狗 CEO 陈奋青藤云安全 CEO 张福四叶草安全 CEO 马坤,IDF 实验室联合创始人万涛就这个问题做了分享。
万涛:最近邮件勒索等事件引起了广泛关注,随着 SaaS 服务在企业内的普及,就会产生越来越多的数据,但安全问题也随之而来,各位怎么看?
王英健:首先,我认为所有的勒索邮件以及现在锁 iPhoneID 都是社会发展的必然阶段。这十几二十年来我在做这方面的安全研究的方面,我们看到攻击方法的不断的变化,由简单到复杂,由复杂到简单,而现在的方式变得加简单。
随着时代和整个互联网的发展,我认为这是一个必然的阶段,但这不完全是一件坏事,它会成为互联网成长中的一部分。
就象以前我们没有汽车,也不会考虑到堵车的问题,我认为这是正常的,就要研究如何解决和消除它,推动整个产业和互联网行业的前进。
陈奋:勒索邮件最近确实比较严重,我身边很多朋友都遭受到这样的攻击。我们对它的病毒也专门做了分析,黑客确实用了一些比较特别的手段,加密的强度非常高,目前这个阶段的技术基本上没有办法破解这个密码。那么我们的安全厂商是不是只能举手投降了?我觉得这个问题应该分开来看。
首先针对企业来讲,许多企业安全意识还不高,所以企业需要做好基础的安全意识的培训,比如说我们针对来源不明的邮件千万不要点附件,这是最基础的常识,但许多非技术岗的人最容易受到这方面的攻击。
另外一方面,企业需要加大安全方面的投入。从企业发展的信息化程度来看,未来安全方面投入多少钱,我觉得都不算多。前年索尼的安全事件,虽然它在安全方面投入了几千万美金,但仍做不到非常完美。对于我们现在中国的企业来说,在企业发展过程中,就应该在安全领域投入资金和精力来做到事前的防御。
马坤:之前我收到过勒索的邮件,从两个方面来说,一是培养我们自己的安全意识,另外一方面是可能相关的厂商的安全做得不够好。
个人意识上我们是需要慢慢培养的,但企业级安全是需要加强的。中国大概 80%甚至 90%以上的企业是没有在安全方面投入资金,如果企业被黑客攻击导致据泄露,就会出现连带效应。因此作为一个企业来说在安全上,最好能够防范于未然。
张福:大家都讲得很清晰了,我最后补充三点:
第一,在法律层面希望能够进一步的完善,来保障企业权利。
第二,希望企业在安全方面其实要有一些投入,如果平时没有安全投入,出了问题也很难解决。企业对于用户的数据应该有契约精神,用户的信息保存在企业里,企业就有义务要保管好它。
第三,对于勒索来讲,中国现在 ID 管理系数比较低,企业内部要做好安全培训来避免这个问题。
万涛:SaaS 兴起以及云化的服务对安全提出新的要求,越来越多的企业走向 SaaS 服务化的时候,我们的优势在哪?
陈奋:现在企业在做互联网化的业务时,传统防火墙架构无法适应云环境,这个时候就需要我们这些新兴安全公司来提供完整的解决方案。安全狗和阿里云、腾讯、Ucloud、都是非常好饿合作伙伴,我们的安全能力和他们的防御业务相结合,为用户提供云服务的完整解决方案。
我们去年年 底在 AWS 在平台上提供一键创建安全环境的功能。以前可能要花几个月的时间去搭建硬件防火墙的功能,现在在云平台下可能花几分钟就能完成,这是在新的安全环境能实现的,也是新兴的安全公司才能做的事情。
所以我认为在新的形势下,我们会有一些新的解决方案,帮我们的用户在新的环境下创建这种新的防御的方案。我们也跟一些 SaaS 的服务厂商合作,为他们的底层基础设施提供安全防御,这样用户就可以有更放心的平台。
张福:我想说四点,第一,现在 IT 基础设施变得越来越动态和复杂了,除了新的软件其实层出不穷外,基础环境因为有云平台又变得很动态,对于企业来讲,要把安全做好变得比过去更困难了。
第二点,不知道大家有没有看过 AWS 提的安全责任共担模型,对于云平台来讲,它能够解决云平台自身的安全问题。但是用户安全问题—包括企业数据,安全的漏洞、配置,需要由企业自己来完成的。
第三点,由于青藤云和安全狗将安全的能力云化,这样使得安全产品越来越便宜,把安全从一个奢侈品变成了一个大众消费品,随着安全服务的普及,大家的数据也会更有保障。
第四点,按照之前的构想,所有企业的安全连在了一起,而之前黑客那种一招鲜吃遍天的情况就不太容易出现。
当一家企业遇到的安全问题,我们得到的经验和教训可以共享给其它企业,从而总体降低安全的成本。
万涛:漏洞发现的能力是否是衡量安全公司技术能力的标准?是不是需要通过报出他们更多的安全漏洞来让他们提升安全性,有没有其他的方式让用户和厂商去重视安全这个问题?
陈奋:虽然漏洞的发现对于安全厂商很重要,而且市面上的安全事件都是以漏洞的角度展示给客户,但漏洞在整个安全领域都是冰山一角,其他方面也很重要。比如,配置上的风险、源组织架构上的风险,以及资产上的安全管理……一个体系化的东西。需要企业投入大量的精力,但如果基础问题没有解决好,必然会面临更大的风险。
王英健:首先不是漏洞不是报不报漏洞的问题,而是企业对于安全的重视程度。如果企业不重视,就算安全厂商报了漏洞也无所谓,所以我们应该让企业认识到问题的重点,漏洞会对你造成什么损害,这才是报漏洞的意义。像乌云这些漏洞提交平台对于企业来说是非常有意义的事情,花了很少,甚至不花钱就能帮你改进产品质量,而不是等到造成不良后果之后采取 PR,那样是没有意义的。只有企业意识到危害,努力的去修改提升安全系数,才是有意义的。从目前的发展程度来看,这是最有效最直接的方法。
马坤:说到漏洞,一些企业不太关注,觉得对其自身业务没有什么影响。拿心脏出血的例子来说,在全球范围修复率还没到 80%。
为什么会这样?就是因为企业没有意识到漏洞带来的危害,所以白帽子们去平台提交漏洞的时候,会有一个过程,需要用户去理解,然后知道如何解决。因此我们安全厂商会在这个过程中提供服务。
张福:我想从另外一个角度说一下,安全应该是一家企业的核心竞争力之一,它不仅仅是一个基础保障。比如说 IDG 也投了很多 SaaS、企业服务等公司。其实对这些企业来讲,如果你的安全做得好,你就是比别人牛,在竞争中取胜的可能性就会更大。许多企业将人力或财务数据放在 SaaS 上,在产品产不多的时候安全就成为核心竞争力。所以在商业竞争里,安全对于企业来说是提升核心竞争力的我。
万涛:用一句表达你们目前的发展情况和对于未来市场的展望。
陈奋:随着中国信息化和互联网化的加快,未来企业在安全上的投入会越发重要,未来企业一定会重视安全,这也是我们这些安全创业公司所希望或憧憬的。
马坤:我认为安全就是信息化的脊梁骨,在安全发展的过程中,未来的形态一定是越快越好,你要快过那些黑客可能才知道怎么样服务,所以我们后期会往快的方向上努力。
张福:未来会是安全市场和企业级市场发展非常快的十年,但现在安全企业还没有一家亿级公司,所以一定会有很大的机会,我相信我们的公司一定会成为这样的巨头,但如果我们的水平不够也可能是别人,但未来十年一定会有一家这样的公司产生。
以下是赞助商广告:
XCon:安全焦点信息安全技术峰会是国内知名度、权威性较高、规模较大的信息安全会议之一,在全世界也具有一定的影响力。
链接:http://xcon.xfocus.net/#
安全狗:互联网安全品牌,云安全与解决方案提供商。 第七届中国云计算大会上,云服务器安全与解决方案提供商安全狗推出了 “云安全,新运维” 的产品理念。
链接:http://www.safedog.cn/
青藤云安全:是一家自适应云安全技术服务提供商,旗下主要产品是青藤自适应云安全平台。
链接:https://qingteng.cn/
四叶草安全:是一家专业安全服务提供商,旗下有安全服务、安全产品研发、CloverSec 实验室等三个业务模块。
链接:http://www.seclover.com/