热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

安全公司要合纵连横?大佬们这么说

希腊神话中,上神普罗米修斯从太阳神阿波罗那里盗走火种送给人类,为人类带来了光明,但同样,火也会制造危害与困难。而今天,如果把互联网比作希腊神话中的上神,无数白帽子以及网络安全运营者

希腊神话中,上神普罗米修斯从太阳神阿波罗那里盗走火种送给人类,为人类带来了光明,但同样,火也会制造危害与困难。

而今天,如果把互联网比作希腊神话中的上神,无数白帽子以及网络安全运营者发现的漏洞便是火种,用的好是希望,用不好是灾难。

能力越大,责任越大,手持火把应如何前行?这是第一个问题。

彼得·蒂尔曾说过,“我们想要一辆会飞的汽车,得到的却是 140 个字符。”而在网络安全领域,如何创造一辆“会飞的车”又不仅限于“140个字符”,面对补不完的漏洞,安全公司在过去十几年到底做了些什么又发生了什么改变?这是第二个问题。

以上这两个问题似乎都可以在i春秋主办的 2018 互联网安全责任峰会上得到答案,来自京东首席信息安全专家Tony Lee,滴滴出行信息安全部战略副总裁弓峰敏,阿里巴巴集团技术副总裁、首席安全专专家杜跃进,百度安全副总经理沈鹏飞围绕上述问题进行了讨论。主持人潘柱廷,北京永信至诚科技股份有限公司高级副总裁兼首席战略官。

以下为大会实录,雷锋网(公众号:雷锋网)宅客频道(微信公众号:letshome)编辑整理。

安全公司要合纵连横?大佬们这么说 | 2018 互联网安全责任峰会

潘柱廷:作为网络运营者有哪些重要的安全责任?

Tony Lee:事实上我们不仅是网络运营者,也是数据运营者。我们做安全并非为多写一行代码,多赚一块钱,最核心的、最本质的驱动是责任感和正义感。

从京东的角度,我想谈两件事,第一件是我们其实经常遇到一些攻击,不久前我们做溯源分析时候遇到一次攻击,发现攻击者有一个包含几十家公司的攻击目录。也就是说这个人在攻击的时候,其实将木马覆盖了几十个公司。可以看到类似这种威胁并非针对一家公司,而是横扫一片,因为它要争夺计算和网络资源,攻击对象当然越多越好。当时我们把这一信息传达给目录上的这几十家公司,这就是责任感,一旦发现事情要及时通报。

另一件事是京东未来的重要业务,其一是智能家居的协议,其二是AI。

我们经常思考的一个问题是,不管是 AI 还是 IoT,安全该怎么做?过去的二三十年出现的众多安全问题,归根到底是没有关注网络协议层面的安全问题。今天所需要众多安全产品也是因为一开始没有设计安全在里面。反之,iPhone为什么不需要安装杀毒软件?

而未来的 IoT 与 AI 无处不在,特别是 IoT 设备很难管理,这种情况下该如何做安全?对于京东来说,我们的责任就不仅仅是找漏洞或者是代码安全,而是从整个安全机制,安全协议出发,所做的东西是在为未来铺路,这也是责任感。

弓峰敏:对于任何一个安全服务提供商,最重要也是第一位的是对用户数据、隐私保护。而与这一服务相关的安全,实际上更应该受到关注。对于滴滴来说,尽管它是服务型的公司,但我们的理念是安全第一,体验第二,第三才是效率。安全本身就是服务的一部分。实际上今天我们做的安全,已经把出行安全包含在内,所以我们采取的种种措施,比如怎样监控行程状况,都会影响到客户。

在做安全过程中,我们也意识到,今天做安全必须要有广泛的合作与共享。如果能把信息迅速共享,就能提升整个生态的效率,接下来才是大家做补丁的操作过程。

杜跃进:我觉得责任至少要体现在这样三层,第一层所有人都容易理解,安全是发展的重要保障,所以任何一家企业,任何一个网络运营者的安全部门,首先要保证业务能够按照预期设想前进。但后两个层次我觉得很多人没有理解到位,才会产生某个部门有责任却不修补漏洞甚至指责白帽子发现漏洞。

这是因为对于网络运营者来说,他的安全责任不仅仅在于自己的产品,还在于其用户。在过去的时候,网络运营者多指运营商、网站以及与互联网有连接的,或者说借助互联网提供服务的企业。但今天网络运营者已经变成了一个非常广泛的概念,几乎所有的行业,可能过两年“几乎”两个字也可以去掉了,所有的行业都是网络运营者。因为所有的行业、所有的业务,都在拿互联网做基础设施。

因此,既然企业通过网络运营,那他就会有用户,他自己的安全就会涉及到其用户的安全。网络安全不仅仅是自己的事儿,也是别人的事儿。此时发现漏洞不修当然不可以,因为这不仅仅关系到自己,还关系到别人。

第三个层面,我觉得我们网络运营者也要重视生态或者是行业发展的责任。比如说阿里,我一直在呼吁的是,如果大家对于在网上买东西都失去了信心,大家觉得网上的评价全是假的,或者网上购物会导致信息泄露引来诈骗,认为互联网金融是不安全的。如此一来不仅会影响消费者的信心,企业发展也会受到影响,安全更做不下去了。

所以对于网络运营者来说,大家应该有这样的一个认识,就是我们所做的事情,最大的目标是让消费者相信我们这个行业,尤其是安全,然后才可以让行业健康的发展下去。我觉得这三层都是网络运营者在安全上面的责任。

沈鹏飞:昨天我的朋友圈发布了一条信息:2017 年百度内部可以给大家一组数据,我们发现每天新增的恶意网址达到 766.8 万条,一年发现的恶意网址大概 202 亿左右。

如何保证网民在上网的过程中不会被钓鱼,并提供相应的号码安全、网址安全,都是我们积极做的事情。另外针对与黑产的对抗,在全网的安全监测、攻击溯源、网络犯罪研究、黑产的追踪上面,我们也做了很大投入。

从整个黑产来讲,最早的 Web 端到手机端,AI 时代已经到来,未来物联网的设备安全、系统安全,都需要我们密切关注。而百度在 AI 层面打通系统,打造更开放的平台,更具有活力以及安全性。

潘柱廷:在各位看来,如何与其它网络运营者进行合作?

Tony Lee:我想和大家分享一下反病毒公司间的合作,要知道全世界的反病毒公司都是协作的,你很难想象之前还是竞争者的公司会真的分享病毒样本和情报,当然他们有加密的 key,也有几个机制在里边。其互相合作的水平,紧密度是安全行业最高的。

但除了反病毒,我们还没有看到行业中有类似分享,这也是我们需要去提升的空间。特别是国内,没有国外的开源文化环境。目前国内不管是做安全还是整个互联网企业,更多的是拿着开源的技术,根据自身的特点进行改进。

经常会发生的状况是,在一段时间里我们有了一定的基础,以及技术发展之后,却发现国际水平又变化了,此时又得重新做一轮升级。这是我们的困境,从技术角度看,如何做到更多的开源,以及分享十分重要。

另外一个,在这个生态中是有不同角色的,不同角色拥有的数据也不一样,而角色也决定了我们的合作方式不同。而对于一些互联网大国,比如滴滴、百度也好、阿里等,我们要有额外的责任。比如大力发展的 AI 技术如何落实到实际应用场景,比如无人门店、无人仓库、无人机、无人卡车等,以及金融科技里的一些 AI 技术、IOT等,我们必须得分享出来。

很多安全工作者很难接触到最新的技术,而我们有责任,把自己最好的东西拿分享,让这些技术工作者有机会在此之上进行安全研究。

弓峰敏:简单从三个维度概括我们所做的事情,第一是情报共享,包括SRC联盟,以及在此基础上的黑产对抗。另一个层面有些技术性的摸索,比如不同的平台提供各种线上服务,不可避免有付费的环节。这里需要考虑,想要做好风控对黑产进行打击,在我们的平台以及一些付费系统中,什么数据是可以共享的?什么数据需要进行脱敏?这需达成共识。从更深的层次安全实践来说,漏洞、挖掘、补洞是很重要的一个层面。如果多数企业对安全实践的基本做法有完整认知的话,会对其安全防御能力大幅提升。

杜跃进:我们所有人都认同的是任何一家企业不能独善其身,任何一个国家也无法应对整个网络框架的安全威胁,这也是为什么我国也提出了人类命运共同体。但现实中,我们合作得并不好。

为什么大家合作不好?是因为我们这些网络运营者者没有有大的格局。至今我依然认为现在的很多甲方企业,不论是愿意还是不愿意,变成了网络运营者之间商业竞争的一个攻击武器。

实际上网络安全运营者之间应该是合作者关系,我们的对手是黑灰产不法分子。我希望整个行业有更多的人能认识到这一点,大格局很重要,安全力量应该被团结起来。

沈鹏飞:百度开展了以下几个方面的合作,第一,与华为和中国信通研究院发起,将自己的技术进行分享、开源给所有的联盟企业。另外从运营商层面,我们与移动和连通,在号码安全、网址安全,包括伪机站方面,进行了合作。还有现在也在与各个公安机关进行合作,通过自己技术和能力,结合一些信息和数据进行有效的溯源,追踪黑产信息,从各个维度形成通力合作。

潘柱廷:各大公司应该怀揣大格局、大视角的心态,不仅看重自身企业业务的发展,也要为现在和未来搭建生态合作,合纵连横,形成各个公司之间的奇妙纽带。

安全公司要合纵连横?大佬们这么说 | 2018 互联网安全责任峰会

文章由雷锋网宅客频道编辑,欢迎关注雷锋网宅客频道(微信公众号:letshome)。


推荐阅读
  • 玩转直播系列之消息模块演进(3)
    一、背景即时消息(IM)系统是直播系统重要的组成部分,一个稳定的,有容错的,灵活的,支持高并发的消息模块是影响直播系统用户体验的重要因素。IM长连接服务在直播系统有发挥着举足轻重的 ... [详细]
  • 这是原文链接:sendingformdata许多情况下,我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单,但是 ... [详细]
  • 本文介绍了Web学习历程记录中关于Tomcat的基本概念和配置。首先解释了Web静态Web资源和动态Web资源的概念,以及C/S架构和B/S架构的区别。然后介绍了常见的Web服务器,包括Weblogic、WebSphere和Tomcat。接着详细讲解了Tomcat的虚拟主机、web应用和虚拟路径映射的概念和配置过程。最后简要介绍了http协议的作用。本文内容详实,适合初学者了解Tomcat的基础知识。 ... [详细]
  • 本文介绍了南邮ctf-web的writeup,包括签到题和md5 collision。在CTF比赛和渗透测试中,可以通过查看源代码、代码注释、页面隐藏元素、超链接和HTTP响应头部来寻找flag或提示信息。利用PHP弱类型,可以发现md5('QNKCDZO')='0e830400451993494058024219903391'和md5('240610708')='0e462097431906509019562988736854'。 ... [详细]
  • 数字账号安全与数据资产问题的研究及解决方案
    本文研究了数字账号安全与数据资产问题,并提出了解决方案。近期,大量QQ账号被盗事件引起了广泛关注。欺诈者对数字账号的价值认识超过了账号主人,因此他们不断攻击和盗用账号。然而,平台和账号主人对账号安全问题的态度不正确,只有用户自身意识到问题的严重性并采取行动,才能推动平台优先解决这些问题。本文旨在提醒用户关注账号安全,并呼吁平台承担起更多的责任。令牌云团队对此进行了长期深入的研究,并提出了相应的解决方案。 ... [详细]
  • Google在I/O开发者大会详细介绍Android N系统的更新和安全性提升
    Google在2016年的I/O开发者大会上详细介绍了Android N系统的更新和安全性提升。Android N系统在安全方面支持无缝升级更新和修补漏洞,引入了基于文件的数据加密系统和移动版本的Chrome浏览器可以识别恶意网站等新的安全机制。在性能方面,Android N内置了先进的图形处理系统Vulkan,加入了JIT编译器以提高安装效率和减少应用程序的占用空间。此外,Android N还具有自动关闭长时间未使用的后台应用程序来释放系统资源的机制。 ... [详细]
  • 背景应用安全领域,各类攻击长久以来都危害着互联网上的应用,在web应用安全风险中,各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击而存在 ... [详细]
  • 本文介绍了Windows Vista操作系统中的用户账户保护功能,该功能是为了增强系统的安全性而设计的。通过对Vista测试版的体验,可以看到系统在安全性方面的进步。该功能的引入,为用户的账户安全提供了更好的保障。 ... [详细]
  • ShiftLeft:将静态防护与运行时防护结合的持续性安全防护解决方案
    ShiftLeft公司是一家致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性的公司。传统的安全防护方式存在误报率高、人工成本高、耗时长等问题,而ShiftLeft提供的持续性安全防护解决方案能够解决这些问题。通过将下一代静态代码分析与应用开发自动化工作流中涉及的安全工具相结合,ShiftLeft帮助企业实现DevSecOps的安全部分,提供高效、准确的安全能力。 ... [详细]
  • 目录浏览漏洞与目录遍历漏洞的危害及修复方法
    本文讨论了目录浏览漏洞与目录遍历漏洞的危害,包括网站结构暴露、隐秘文件访问等。同时介绍了检测方法,如使用漏洞扫描器和搜索关键词。最后提供了针对常见中间件的修复方式,包括关闭目录浏览功能。对于保护网站安全具有一定的参考价值。 ... [详细]
  • Harmony 与 Game Space 达成合作,在 Shard1 上扩展 Web3 游戏
    旧金山20 ... [详细]
  • 浅解XXE与Portswigger Web Sec
    XXE与PortswiggerWebSec​相关链接:​博客园​安全脉搏​FreeBuf​XML的全称为XML外部实体注入,在学习的过程中发现有回显的XXE并不多,而 ... [详细]
  • 篇首语:本文由编程笔记#小编为大家整理,主要介绍了VoLTE端到端业务详解|VoLTE用户注册流程相关的知识,希望对你有一定的参考价值。书籍来源:艾怀丽 ... [详细]
  • GSIOpenSSH PAM_USER 安全绕过漏洞
    漏洞名称:GSI-OpenSSHPAM_USER安全绕过漏洞CNNVD编号:CNNVD-201304-097发布时间:2013-04-09 ... [详细]
  • 物联网市场:得安全者得天下
    物,联网,市场,得 ... [详细]
author-avatar
北海盗羽翼800
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有