11月3日,騰訊舉辦的首屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會在北京舉行,峰會大咖云集,思想觀點交融碰撞。百度首席安全科學(xué)家、百度安全實驗室負責人韋韜博士,也在峰會上對目前互聯(lián)網(wǎng)安全行業(yè)發(fā)表了自己的看法,頗有新意,值得從事互聯(lián)網(wǎng)特別是安全的同業(yè)們借鑒。
(圖為韋韜博士在分享對互聯(lián)網(wǎng)安全行業(yè)的思考)
讓安全跟上互聯(lián)網(wǎng)的腳步
與自身高速發(fā)展形成對照地,互聯(lián)網(wǎng)幾乎每年都會爆出一些駭人聽聞的安全漏洞。比如2014年爆出的heartbleed,讓全球無數(shù)網(wǎng)站中招;2015年的爆出的XcodeGhost,讓無數(shù)用戶處在安全威脅中,也讓一向以安全著稱的iOS顏面掃地。除此之外,不少互聯(lián)網(wǎng)公司包括互聯(lián)網(wǎng)巨頭,也不時爆出一些影響成千上萬用戶的安全漏洞,在互聯(lián)網(wǎng)安全圈似乎已不是什么新鮮事。
對此,韋韜認為:“現(xiàn)在信息安全生態(tài)是附加在IT生態(tài)之上的。而目前的互聯(lián)網(wǎng)的高速發(fā)展,導(dǎo)致了軟件生態(tài)的摩爾戰(zhàn)爭比硬件摩爾戰(zhàn)爭更慘烈。安全不能跟上IT、互聯(lián)網(wǎng)的發(fā)展速度時,安全問題就會隨之而來。”如何應(yīng)對這種安全和互聯(lián)網(wǎng)IT發(fā)展不匹配的情況?韋韜認為:
一、現(xiàn)在的安全問題是巨型復(fù)雜系統(tǒng)處于一個長期復(fù)雜變化過程中面臨的問題,并不是某一時刻把某個安全問題解決了,就一勞永逸了。新的威脅和挑戰(zhàn)層出不窮,而老的威脅很多還沒有好的解決方案,需要國家、社會、公司的高度重視。
二、用新技術(shù)提升管理能力。現(xiàn)在很多IT體系的點突破特性非常顯著,一個薄弱點被突破,整體安全就被破壞。而傳統(tǒng)的安全管理技術(shù)無法提供有效的覆蓋。在安全管理上,一樣急需顛覆性的新技術(shù)出現(xiàn)。
三、整個互聯(lián)網(wǎng)生態(tài)鏈應(yīng)該給安全廠商應(yīng)有的位置。應(yīng)該把安全納入到業(yè)務(wù)發(fā)展中,成為業(yè)務(wù)中重要的一環(huán)。否則,一旦出了安全問題,安全廠商卻不能幫助到出問題的互聯(lián)網(wǎng)廠商,讓雙方都處于被動局面。比如雖然iOS生態(tài)比Android生態(tài)安全態(tài)勢好很多,但當發(fā)生安全危機事件是,由于生態(tài)上沒有安全廠商的位置,反應(yīng)和處置就明顯不力。比如此次iOS爆出的XcodeGhost事件便是如此。
讓“白產(chǎn)”趕上黑產(chǎn)的腳步
大規(guī)模DDoS攻擊、盜取賬號、釣魚攻擊、電信詐騙……隨著人們對互聯(lián)網(wǎng)的依賴日益增加,人們對這些典型的網(wǎng)絡(luò)違法犯罪行為——所謂的黑色產(chǎn)業(yè),已經(jīng)不再陌生。這些黑色產(chǎn)業(yè),由于利益的驅(qū)動,研究和利用安全漏洞的速度、安全情報分享的速度,甚至超過了以維護網(wǎng)絡(luò)安全為己任的正規(guī)安全行業(yè),即所謂“白產(chǎn)”。
韋韜認為,目前“白道”的安全情報共享水平比黑產(chǎn)還有很大距離。目前常見的安全威脅情報聯(lián)盟,要求加入聯(lián)盟的廠商和組織之間每天都必須分享一定數(shù)量的安全情報,但這種硬性分享,還缺乏立體的生命力,跟不上黑產(chǎn)高速發(fā)展和變化的速度。
韋韜同時認為,盡管在安全威脅情報共享、共同對抗黑產(chǎn)方面存在很多挑戰(zhàn),比如商業(yè)規(guī)范導(dǎo)致一些安全相關(guān)數(shù)據(jù)難以分享,相關(guān)法規(guī)還需完善以允許和鼓勵廠商分享情報等,但不妨礙我們先確立這樣的安全觀念并將之付諸實踐,摸索中前行:當今的互聯(lián)網(wǎng)時代,沒有哪家能靠一己之力做好安全,必須相互合作,建立新的安全生態(tài),才能共同面對新的安全威脅。
讓安全跟上市場的腳步
近年,隨著互聯(lián)網(wǎng)安全事件的頻發(fā),人們對安全的重視度在不斷增加,國家也把互聯(lián)網(wǎng)安全上升到了國家戰(zhàn)略的高度。這些,都為中國安全行業(yè)創(chuàng)造了一個前所未有的、有利的發(fā)展環(huán)境。
據(jù)相關(guān)機構(gòu)預(yù)計,到2018年,國內(nèi)信息安全市場總體規(guī)模有望達到37.13億美元。但和發(fā)達國家相比,我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的現(xiàn)狀仍不容樂觀,信息安全投入占整體IT投入僅為2%左右,遠低于歐美成熟市場8~12%的水平,不僅產(chǎn)業(yè)規(guī)模較小,安全廠商在全球市場份額中的占比也相對偏低。
韋韜認為,在歐美國家,很多廠商特別是大廠商都很鼓勵創(chuàng)新,讓安全廠商獲得應(yīng)有的地位,把市場對安全的需求真正釋放出來。為此,韋韜呼吁,在互聯(lián)網(wǎng)環(huán)境日益復(fù)雜的今天,廠商們應(yīng)該更加重視安全,增加安全投入,給安全以它應(yīng)有的市場地位,讓中國互聯(lián)網(wǎng)行業(yè)擁有一個相對安全的生態(tài)環(huán)境,不至讓安全問題成為企業(yè)發(fā)展的絆腳石。
