希腊神话中,上神普罗米修斯从太阳神阿波罗那里盗走火种送给人类,为人类带来了光明,但同样,火也会制造危害与困难。
而今天,如果把互联网比作希腊神话中的上神,无数白帽子以及网络安全运营者发现的漏洞便是火种,用的好是希望,用不好是灾难。
能力越大,责任越大,手持火把应如何前行?这是第一个问题。
彼得·蒂尔曾说过,“我们想要一辆会飞的汽车,得到的却是 140 个字符。”而在网络安全领域,如何创造一辆“会飞的车”又不仅限于“140个字符”,面对补不完的漏洞,安全公司在过去十几年到底做了些什么又发生了什么改变?这是第二个问题。
以上这两个问题似乎都可以在i春秋主办的 2018 互联网安全责任峰会上得到答案,来自京东首席信息安全专家Tony Lee,滴滴出行信息安全部战略副总裁弓峰敏,阿里巴巴集团技术副总裁、首席安全专专家杜跃进,百度安全副总经理沈鹏飞围绕上述问题进行了讨论。主持人潘柱廷,北京永信至诚科技股份有限公司高级副总裁兼首席战略官。
以下为大会实录,雷锋网(公众号:雷锋网)宅客频道(微信公众号:letshome)编辑整理。
潘柱廷:作为网络运营者有哪些重要的安全责任?
Tony Lee:事实上我们不仅是网络运营者,也是数据运营者。我们做安全并非为多写一行代码,多赚一块钱,最核心的、最本质的驱动是责任感和正义感。
从京东的角度,我想谈两件事,第一件是我们其实经常遇到一些攻击,不久前我们做溯源分析时候遇到一次攻击,发现攻击者有一个包含几十家公司的攻击目录。也就是说这个人在攻击的时候,其实将木马覆盖了几十个公司。可以看到类似这种威胁并非针对一家公司,而是横扫一片,因为它要争夺计算和网络资源,攻击对象当然越多越好。当时我们把这一信息传达给目录上的这几十家公司,这就是责任感,一旦发现事情要及时通报。
另一件事是京东未来的重要业务,其一是智能家居的协议,其二是AI。
我们经常思考的一个问题是,不管是 AI 还是 IoT,安全该怎么做?过去的二三十年出现的众多安全问题,归根到底是没有关注网络协议层面的安全问题。今天所需要众多安全产品也是因为一开始没有设计安全在里面。反之,iPhone为什么不需要安装杀毒软件?
而未来的 IoT 与 AI 无处不在,特别是 IoT 设备很难管理,这种情况下该如何做安全?对于京东来说,我们的责任就不仅仅是找漏洞或者是代码安全,而是从整个安全机制,安全协议出发,所做的东西是在为未来铺路,这也是责任感。
弓峰敏:对于任何一个安全服务提供商,最重要也是第一位的是对用户数据、隐私保护。而与这一服务相关的安全,实际上更应该受到关注。对于滴滴来说,尽管它是服务型的公司,但我们的理念是安全第一,体验第二,第三才是效率。安全本身就是服务的一部分。实际上今天我们做的安全,已经把出行安全包含在内,所以我们采取的种种措施,比如怎样监控行程状况,都会影响到客户。
在做安全过程中,我们也意识到,今天做安全必须要有广泛的合作与共享。如果能把信息迅速共享,就能提升整个生态的效率,接下来才是大家做补丁的操作过程。
杜跃进:我觉得责任至少要体现在这样三层,第一层所有人都容易理解,安全是发展的重要保障,所以任何一家企业,任何一个网络运营者的安全部门,首先要保证业务能够按照预期设想前进。但后两个层次我觉得很多人没有理解到位,才会产生某个部门有责任却不修补漏洞甚至指责白帽子发现漏洞。
这是因为对于网络运营者来说,他的安全责任不仅仅在于自己的产品,还在于其用户。在过去的时候,网络运营者多指运营商、网站以及与互联网有连接的,或者说借助互联网提供服务的企业。但今天网络运营者已经变成了一个非常广泛的概念,几乎所有的行业,可能过两年“几乎”两个字也可以去掉了,所有的行业都是网络运营者。因为所有的行业、所有的业务,都在拿互联网做基础设施。
因此,既然企业通过网络运营,那他就会有用户,他自己的安全就会涉及到其用户的安全。网络安全不仅仅是自己的事儿,也是别人的事儿。此时发现漏洞不修当然不可以,因为这不仅仅关系到自己,还关系到别人。
第三个层面,我觉得我们网络运营者也要重视生态或者是行业发展的责任。比如说阿里,我一直在呼吁的是,如果大家对于在网上买东西都失去了信心,大家觉得网上的评价全是假的,或者网上购物会导致信息泄露引来诈骗,认为互联网金融是不安全的。如此一来不仅会影响消费者的信心,企业发展也会受到影响,安全更做不下去了。
所以对于网络运营者来说,大家应该有这样的一个认识,就是我们所做的事情,最大的目标是让消费者相信我们这个行业,尤其是安全,然后才可以让行业健康的发展下去。我觉得这三层都是网络运营者在安全上面的责任。
沈鹏飞:昨天我的朋友圈发布了一条信息:2017 年百度内部可以给大家一组数据,我们发现每天新增的恶意网址达到 766.8 万条,一年发现的恶意网址大概 202 亿左右。
如何保证网民在上网的过程中不会被钓鱼,并提供相应的号码安全、网址安全,都是我们积极做的事情。另外针对与黑产的对抗,在全网的安全监测、攻击溯源、网络犯罪研究、黑产的追踪上面,我们也做了很大投入。
从整个黑产来讲,最早的 Web 端到手机端,AI 时代已经到来,未来物联网的设备安全、系统安全,都需要我们密切关注。而百度在 AI 层面打通系统,打造更开放的平台,更具有活力以及安全性。
潘柱廷:在各位看来,如何与其它网络运营者进行合作?
Tony Lee:我想和大家分享一下反病毒公司间的合作,要知道全世界的反病毒公司都是协作的,你很难想象之前还是竞争者的公司会真的分享病毒样本和情报,当然他们有加密的 key,也有几个机制在里边。其互相合作的水平,紧密度是安全行业最高的。
但除了反病毒,我们还没有看到行业中有类似分享,这也是我们需要去提升的空间。特别是国内,没有国外的开源文化环境。目前国内不管是做安全还是整个互联网企业,更多的是拿着开源的技术,根据自身的特点进行改进。
经常会发生的状况是,在一段时间里我们有了一定的基础,以及技术发展之后,却发现国际水平又变化了,此时又得重新做一轮升级。这是我们的困境,从技术角度看,如何做到更多的开源,以及分享十分重要。
另外一个,在这个生态中是有不同角色的,不同角色拥有的数据也不一样,而角色也决定了我们的合作方式不同。而对于一些互联网大国,比如滴滴、百度也好、阿里等,我们要有额外的责任。比如大力发展的 AI 技术如何落实到实际应用场景,比如无人门店、无人仓库、无人机、无人卡车等,以及金融科技里的一些 AI 技术、IOT等,我们必须得分享出来。
很多安全工作者很难接触到最新的技术,而我们有责任,把自己最好的东西拿分享,让这些技术工作者有机会在此之上进行安全研究。
弓峰敏:简单从三个维度概括我们所做的事情,第一是情报共享,包括SRC联盟,以及在此基础上的黑产对抗。另一个层面有些技术性的摸索,比如不同的平台提供各种线上服务,不可避免有付费的环节。这里需要考虑,想要做好风控对黑产进行打击,在我们的平台以及一些付费系统中,什么数据是可以共享的?什么数据需要进行脱敏?这需达成共识。从更深的层次安全实践来说,漏洞、挖掘、补洞是很重要的一个层面。如果多数企业对安全实践的基本做法有完整认知的话,会对其安全防御能力大幅提升。
杜跃进:我们所有人都认同的是任何一家企业不能独善其身,任何一个国家也无法应对整个网络框架的安全威胁,这也是为什么我国也提出了人类命运共同体。但现实中,我们合作得并不好。
为什么大家合作不好?是因为我们这些网络运营者者没有有大的格局。至今我依然认为现在的很多甲方企业,不论是愿意还是不愿意,变成了网络运营者之间商业竞争的一个攻击武器。
实际上网络安全运营者之间应该是合作者关系,我们的对手是黑灰产不法分子。我希望整个行业有更多的人能认识到这一点,大格局很重要,安全力量应该被团结起来。
沈鹏飞:百度开展了以下几个方面的合作,第一,与华为和中国信通研究院发起,将自己的技术进行分享、开源给所有的联盟企业。另外从运营商层面,我们与移动和连通,在号码安全、网址安全,包括伪机站方面,进行了合作。还有现在也在与各个公安机关进行合作,通过自己技术和能力,结合一些信息和数据进行有效的溯源,追踪黑产信息,从各个维度形成通力合作。
潘柱廷:各大公司应该怀揣大格局、大视角的心态,不仅看重自身企业业务的发展,也要为现在和未来搭建生态合作,合纵连横,形成各个公司之间的奇妙纽带。
文章由雷锋网宅客频道编辑,欢迎关注雷锋网宅客频道(微信公众号:letshome)。
。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/112099.html