BAT终于在一件事情上达成共识了…洞见
海量数据不断产生,移动互联网越来越普及,物联网起步,这是当前网络时代的显著特点。来自BAT、360、启明星辰、绿盟科技、FireEye等公司的网络安全从业者的共识是:网络安全问题已经日益严峻,企业以及机构的安全意识需要提升。
“目前中国网络黑灰产业链的从业者已经超过了40万人,依托其进行网络诈骗人数至少有160万,年产值超过1100亿元。”7月13日,阿里巴巴集团首席风险官刘振飞在2016阿里安全峰会上给出了这样一组数据。
安天首席架构师肖新光指出,中国是网络APT(高级持续袭威胁)最大的受害国之一。
海量数据不断产生,移动互联网越来越普及,物联网起步,这是当前网络时代的显著特点。来自阿里巴巴、腾讯、百度、360、启明星辰、绿盟科技、FireEye等公司的网络安全从业者的共识是:网络安全问题已经日益严峻,企业以及机构的安全意识需要提升,安防思维也应当有相应的变革。
阿里:建立大数据防控体系
阿里巴巴集团CEO张勇认为,安全是阿里生态系统以及中国互联网生态系统的基石,“安全是技术驱动的,但更要重视技术背后的人,捕捉技术背后人的行为。”
这种“捕捉”建立在阿里的大数据基础上。“在保证数据信息安全的前提下,对数据进行合法、合理的大数据的分析,可以快速拼凑出网络背后一个自然人的特写,精准定位。”蚂蚁金服首席风险官陆杰讯解释说,面对当前的安全局势,要有进攻意识,而进攻的武器就是大数据。
刘振飞也认为传统的静态防控已经不适用于DT(数据技术)时代,要构建大数据防控体系,基于当前网络安全“无边界、不可控、海量用户”的现状,阿里安全推行九字方针,即“轻管控、重检测、快响应”。轻管控,是减轻各种限制,让业务发展创新更加便利;重检测,是充分利用大数据和人工智能技术,快速地辨别和定位各种危害;快响应,则是第一时间建立防御,进行清理或精确打击。
刘振飞认为,由于互联网安全没有边界,信息安全已经没有独立的个体。如果一个平台出现泄密,黑客利用有关数据去“撞库”,同样会使得其它平台的账户安全受到严重威胁。近两年,大量的安全事件已经证明了这一点。
刘振飞还在峰会上宣布了“电子商务生态安全联盟”正式成立,这一联盟旨在提高电子商务生态参与者整体的安全能力。
阿里官方提供的数据显示:目前联盟已经吸纳超过20家有行业影响力的服务厂商、物流公司、商家等生态合作伙伴加入。阿里为联盟伙伴提供了包括“御城河”在内的安全产品、标准等方面的解决方案。
物联网、移动、大数据带来的安全隐患
两年前,360安全团队声称发现了特斯拉电动 Model S的安全缺陷,攻击者可以远程控制行驶中 的相关部件。两年后,360首席技术官谭晓生仍然在强调物联网安全问题严峻:八成的摄像头都存在严重的安全漏洞,漏洞利用成本很低; 上的车载雷达、超声波传感器等也很容易被攻破;还有机器人的控制系统、工业互联网等都需要更多的安全设计。
谭晓生认为物联网安全本身是跨界的,不仅包括传统的IT(信息技术),还要把OT(操作技术)以及物理安全涵盖进去。在物联网安全领域,安全防控“不再是购买安全产品的思路,而是产品本身在设计时就要内置安全基础”,在逻辑上应当是“会被攻破”的假设,通过UEBA(用户与设备的行为分析)快速检测进而响应,形成“防护、检测、响应”的体系。另外可信计算模型、通信协议安全等也是可行的研究方向。
百度首席科学家韦韬认为,即使是在已经进入每个人生活的智能手机上,安全问题也依然存在,比如APP的分发过程非常严格,但安全厂商到了最末端,不足以对每一个移动设备进行保护。无论是安卓系统还是IOS系统,都存在缺陷。安卓系统的修复链条很长,内核驱动配置碎片化,手机厂商没有能力修复,安全厂商没有权限也没有源码去修复;IOS系统没有生态性的漏洞,但是也无法抵挡APT的攻击。韦韬认为,要解决这些问题,依靠技术突破是一方面,还要加强整个生态链的“协同联防”,比如给专业的安全厂商留下位置。
互联网时代,每个人或多或少都需要“交出”自己的各种数据信息,从身份证号到各种密码。这些数据本身的安全同样重要。阿里巴巴安全部技术副总裁杜跃进说,数据安全主要包括三个方面数据安全:首先数据停留在平台上,要保证不会被内部员工利用,不会有侵犯到个人隐私的事情发生;其次是防止数据泄露;最后保证超出平台的全业务流程的动态数据同样安全。对于体系庞大的阿里来说,第一点尤为重要。杜跃进介绍,阿里通过数据安全成熟度模型DSMM(组织结构、机制体制、技术能力、人员能力)来推进。阿里也将这一模型在三十家以上的企业免费推广,试图推进全行业标准的制定。
知名网络安全公司FireEye前副总裁卜峥认为,安全是一个快鱼吃慢鱼的产业,草根可以逆袭权威的行业,新的威胁会不断出现,对安全厂商来说,重要的是找准方向,真正解决问题。
来源:天下网商
1. 遵循行业规范,任何转载的稿件都会明确标注作者和来源;2. 的原创文章,请转载时务必注明文章作者和"来源: ",不尊重原创的行为 或将追究责任;3.作者投稿可能会经 编辑修改或补充。