由于業(yè)務(wù)競爭的關(guān)系,你似乎很難在公開場合看到,BAT同一業(yè)務(wù)線的負責(zé)人坐在一起,就一個共同的話題談?wù)摫舜说母惺堋?/p>
在周二召開的“首屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會”上,這三大中國互聯(lián)網(wǎng)巨頭的安全負責(zé)人坐到了一起,他們一起談?wù)摰闹黝}是“互聯(lián)網(wǎng)安全新生態(tài)”。也就是說,在萬物互聯(lián)的環(huán)境下,如何做好安全。京東和啟明星辰的相關(guān)負責(zé)人陪坐這一場圓桌討論。
簡單來說,安全已經(jīng)從一個工具上升到生態(tài)環(huán)境,因此各個企業(yè)和組織需要共同來解決安全問題,尤其是面對日益猖獗且資源互相的黑產(chǎn)。
阿里巴巴安全部副總裁杜躍進:大公司幫助企業(yè)止血難以為即,產(chǎn)業(yè)聯(lián)盟將能力延伸
由于任何一個單一環(huán)節(jié)、任何一個但以組織其實都沒有辦法來解決安全的問題,所以現(xiàn)在的共識是安全是要靠生態(tài)的。
阿里巴巴手里有很多的數(shù)據(jù)。從公司、法律、個人用戶和上市企業(yè)等多個角度的要求,都需要對數(shù)據(jù)進行保護,但再怎樣做也有很多做不到的事情。
人人都知道在淘寶上買東西可能會受到詐騙,但詐騙者需要拿到這個消費者的信息,而信息的泄露是可以通過其他途徑,這個鏈條非常的長。在淘寶購物的環(huán)節(jié),阿里巴巴可以管控,但更多的需要結(jié)成聯(lián)盟,把商家背后的軟件供應(yīng)商組織起來,因為他們的漏洞很容易被黑客抓住,進而造成信息泄露引發(fā)詐騙。
阿里巴巴原來只是幫助產(chǎn)業(yè)“止血”,但后來發(fā)現(xiàn)這樣難以持續(xù),所以需要結(jié)盟,通過測試讓能力滾雪球般提升,延展至阿里巴巴之外。
對于開放的生態(tài),雖然大公司做了很多,但是現(xiàn)在還是非常不夠的,因為很多事情是跨界在相互的影響。是事實上,黑產(chǎn)反而整合的很好,原因在于其充分利用到互聯(lián)網(wǎng)公司互相不通的特點。比如,在淘寶上,如果黑產(chǎn)想要進行詐騙的話,他可以到其他的交互平臺逃過阿里巴巴的檢測。
當把客戶放到第一的時候,就可以想到大企業(yè)怎樣在威脅情報或者是在其他領(lǐng)域的合作可以走得更快一點,或者是步子更大一點。
產(chǎn)業(yè)已有很多的聯(lián)盟,但主要是運作的問題。
我們的初心是為了保護用戶的安全,是為了對抗黑產(chǎn)。其實最大的障礙就是把這件事情再拿出來,把做安全的初心再撿起來。
未來網(wǎng)絡(luò)安全要到業(yè)務(wù)的層面,所以要從業(yè)務(wù)的角度來做安全,要從要保護的企業(yè)的角度來做安全,而不能停留在過去只做了一半,漏洞怎么樣這個系統(tǒng)怎么樣。
百度安全實踐室負責(zé)人韋韜:產(chǎn)業(yè)分享需要政府相關(guān)部門來協(xié)調(diào)
安全不是一時一刻的,而是整個產(chǎn)業(yè)鏈面臨整個社會,各種相互配合中,有很多需要大家一起合作、一起研究,共同提升。
黑客對產(chǎn)業(yè)的研究要比白產(chǎn)(與黑客所對應(yīng)的正義一方)的速度要快,這是非??膳碌默F(xiàn)象,現(xiàn)在需要呼吁大家一起合作對抗侵襲。
現(xiàn)在安全問題出在一個長期復(fù)雜性的中間,并不是某一時刻把這個問題解決了,以后就一勞永逸,而是現(xiàn)在安全生態(tài)是附加在IT之上的,很多時候很難跟上現(xiàn)在IT互聯(lián)網(wǎng)的速度,像蘋果(Xcode入侵)這次反應(yīng)就非常被動。
技術(shù)和管理應(yīng)當并重,很多時候管理沒有辦法解決,是因為現(xiàn)有的基礎(chǔ)條件不能很好的解決這個問題。
面對現(xiàn)在非常多的挑戰(zhàn),雖然每家(企業(yè))都開放不少,但是整體上與黑產(chǎn)有很大的區(qū)別。因為光靠一定的指標,比如每天分享多少這種很僵硬的數(shù)據(jù),并不是能消滅黑產(chǎn)旺盛的生命力,后者可以很高速的變化。
在具體操作過程中,嘗試過與產(chǎn)業(yè)分享。但有很多數(shù)據(jù),受到技術(shù)和客戶的影響,有些東西不能夠人意的分享。
有時候不是企業(yè)的權(quán)利,有時候是法規(guī)的相關(guān)的,需要政府相關(guān)的部門來協(xié)調(diào)。
大公司可以把這些安全的措施放出來,推動整個市場,能夠使整個創(chuàng)新的力量可以爆發(fā)出來。
騰訊副總裁馬斌:人才培養(yǎng)、產(chǎn)業(yè)融合和生態(tài)產(chǎn)業(yè)鏈建設(shè)是共同話題
沒有任何一家企業(yè)說能夠可以獨善其身。每一家企業(yè)都構(gòu)建了不同的安全能力,但需要共同打造一個安全的生態(tài)。
面臨著互聯(lián)網(wǎng)經(jīng)濟的升級,使得產(chǎn)業(yè)意識到互聯(lián)網(wǎng)安全的重要性和迫切性。從原來簡單地防御,現(xiàn)在則需要從感知開始發(fā)展到預(yù)測開始。這意味著,要在“云管端”各個方面做立體式的安全防護。從信息安全到泛安全,生態(tài)系統(tǒng)不斷延伸。
從今天看來,人才的培養(yǎng)、產(chǎn)業(yè)的融合到整個生態(tài)產(chǎn)業(yè)鏈是各個公司共同的話題。
O2O領(lǐng)域的公司都會進入到支付的閉環(huán),在支付過程當中,任何一家公司的連接(變得)如此的緊密。因為整個系統(tǒng)沒有被保護,使我們支付帳號被盜,這樣的損失(現(xiàn)在)是我們自己承擔(dān)的,所以(應(yīng)當思考)怎么構(gòu)建企業(yè)的安全和支付的安全,使我們更好的融合。
“互聯(lián)網(wǎng)+”提出后,各個行業(yè)開始進入互聯(lián)網(wǎng)生態(tài)系統(tǒng)建設(shè),但很多企業(yè)并沒有在安全領(lǐng)域上游能力構(gòu)建,因此構(gòu)建一個基于IT系統(tǒng)上的安全能力很重要。
我們原來安全的能力,原來技術(shù)到產(chǎn)品到整個解決的方案,都要從最開始的源頭來抓,如何做好威脅的檢測,包括我們態(tài)勢的感知,這些是我們這些企業(yè)能做的,
現(xiàn)在連黑產(chǎn)、灰產(chǎn)都可以做到分享,何況我們這些企業(yè)。
在向產(chǎn)業(yè)開放的過程中,希望更多的企業(yè)認知到對于安全的理解,可以從原來的互聯(lián)網(wǎng)成長演進過程上升到一個生態(tài)系統(tǒng),從工具平臺到生態(tài)。
在云端的聯(lián)合還好一點,在管道內(nèi)特別是端的這一層很多的這個能力還沒有完全的釋放出來。我們可以把各自的能力都能夠放到最大化。
物聯(lián)網(wǎng)下,眾多的智能設(shè)備的鏈接與70億的人口的鏈接,如果以結(jié)果為導(dǎo)向就太可怕了。
大家的價值觀還是要結(jié)合在一起,這個是很重要的,因為構(gòu)建一個良好的基礎(chǔ)是由這個來構(gòu)建的。
隨著這個新技術(shù)新材料新的產(chǎn)品的出現(xiàn),都會有新的安全的形式,我們是要抓住從創(chuàng)新的角度來講,抓住這個關(guān)鍵點。
風(fēng)險管控是這個公司最重要的意義,它不僅僅是產(chǎn)物,還有數(shù)據(jù)安全還有業(yè)務(wù)的安全,公司有可能在風(fēng)險當中首先消失掉,這個是最可怕的地方,所以說一定要有CSO的位置。