2021 SDC | 圆桌会谈-业内大咖齐聚,共话新安全

发布者:Editor
发布于:2021-11-10 18:42

图片


2021年10月23日,看雪第五届安全开发者峰会于上海静安洲际酒店圆满落幕。本届峰会聚焦数字化升级时代下网络安全的新技术、新发展,以“共筑安全”为主题,携手业界同行一同探寻网络安全新态势。


议题只分享干货技术是看雪一直以来的初心,峰会现场除了十大精彩的技术议题之外,一场由安全419创始人张毅(MT)主持,中国黑客教父,绿色兵团创始人,现连尚网络首席安全官龚蔚;安恒信息上海总部副总经理周亚超;上海交通大学信息安全博士、(ISC)2中国上海分会主席施勇以及武汉科锐创始人、泉州市人工智能学会副理事长钱林松共同参与的圆桌会谈也颇为引人注目。


图片


5位业内大咖就当前面临的网络安全新挑战进行了深入探讨,内容重点涉及数据安全领域,其中涵盖法律法规层面以及企业面临的现实挑战,同时探讨了未来网络安全攻防与漏洞生态相关的热门话题。


以下为速记内容:



Q1

法规政策


张毅(安全419创始人兼主持人):开场想先请教大家一个当前业界普遍比较关注的问题,《数据安全法》、《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》三部对网络安全行业意义深远的政策法规正式施行,强政策驱动下,在具体的安全建设过程中,给大家的业务带来了多少变化?技术层面来讲,是否会面临一些全新的挑战?


图片



龚蔚:在我国的相关政策法规陆续出台的大环境下,将会令整个行业在安全理念上有所转变,我们的中心已经从信息安全、网络安全逐渐转向以数据安全风险管控和治理这样一个理念,而未来所有的安全风险的管控和治理,都将以数据安全为核心。


那么在这个当中其实我也是刚刚起步,我相信很多企业跟我们一样,经历到这一步以后也碰到了各种各样的问题。甚至第一步——做好数据资产的风险识别方面就会遇到难题。很多企业尤其是互联网企业的数据量的规模都极为庞大,包括数据库的建立、数据血缘关系的建立等等方面都会成为企业要面对的安全难点


那么在这个当中我们也尝试着去运用一些新的技术,比如说AI的技术,以自动化的方式去学习、分析数据的同步关系和选择关系。在这个尝试过程中,我相信未来在这个领域会有很多新的产品和技术出现,无论是对于行业发展还是客户应用层面都会起到非常良好的促进作用。


图片

【连尚网络首席安全官-龚蔚】



周亚超:数据安全法律法规的实施带来安全合规新需求,金融、证券、政府、互联网等行业的数据运营者,承载着大量的个人信息和重要数据,但实际上数据安全、个人权益和个人信息保护这块做得还不够。网络安全防护能力和技术水平还是比较传统的,那么针对这种大数据环境下能做的还是比较有限。作为网络安全企业,我们需要在这个过程当中跟业内的很多其他机构,如研究单位、律所、咨询公司等加强合作,为企业提供完整的从规划咨询、产品部署到运营服务全套的解决方案。


图片

【安恒信息上海总部副总经理-周亚超】


施勇:其实我们今年也发现一个非常有意思的现象,就是大量的律师开始研究网络安全的一些工作,包括我们交大。像我们有法学院有好多个教授,现在已经是我们上海网信办和相关的职能部门的高参,在整个法体上面,包括法律的一些依据上面,大家现在还在对法律进行快速的研究,那么衍生出来的问题其实是相当复杂的。

我觉得可能在今后,不管是在数据分级分类,包括跨境数据保护,我们作为一个保护者来说,给到客户保护以后怎么来规范我们的一些行为和要求,这里面有巨大的一个市场存在,最近有很多数据相关的一些厂商,其实应该说引来一波很大的机会。

 

在未来的网络安全产业当中也是一样,随着不断的有新的法律出来,新的要求上来。例如关基保护的要求、密评的要求等等,都会为网络安全从业人员提供非常多的机会,对于个人而言去选择创业也好,或是对企业而言去追求创新也好,都会有很好的推动力。


图片

【上海交通大学信息安全博士、武汉科锐创始人-施勇】



钱林松:在某些情况下安全可能会和合法合规之间产生一些矛盾,一个比较典型的例子,在通过大数据做威胁的大数据溯源反查时,就有可能会同隐私保护产生一定的冲突,比如恶意样本的传播链路,在追查作案者信息的过程中,必然会涉及到传播线路中的设备、人等等,在以往是可以从大数据中直接溯源,但在各项数据、个人隐私等相关的法律出台后,这种方式就会遇到一些障碍,因此还需要去制定与之相应配套的规范去约束,这是后面值得大家共同再深入探讨的一个点。


图片

【武汉科锐创始人、泉州市人工智能学会副理事长钱林松】



Q2

勒索病毒


张毅(安全419创始人兼主持人):第二,想聊一下勒索病毒攻击,这可能是近年来全世界网络安全面临的一个最大的问题。特别是它对于一个国家关键信息基础设施造成的破坏,已经到了非常严峻的形势。有个比较显著的特征就是,攻击者擅长用批量自动化的攻击方式来对目标进行大规模的打击,这对于以往传统的防御手段而言是一个新的挑战。


想请问各位,在近年来的技术发展过程中,大家是否有一些更好的解题思路,能够更好地防范勒索病毒?特别是比如现在威胁是批量产生的,我们是否也能够有办法更有效地提供风险的感知能力及防御能力?


龚蔚:做安全不是看谁做的好,而是看谁做的最烂。因为如果你做的最烂,那么即便是比你好一点点的攻击者对你发起的攻击,都有可能会让你遭受到巨大的损失,所以这一点是非常重要的,你不要做最烂。


第二,没有安全事件,不等于你很安全。可能会有不少企业会觉得自己很安全,因为他们觉得很长时间没有发生过安全事件,这个理念是完全错误的。因为安全需要通过感知、数据、识别等多个维度去证明的,而不是仅仅依靠“没有安全事件”这样的一个结果去证明,表面上没有安全事件,其背后也许就是没有感知到、没有识别到所造成的假象,但真当你发现安全问题的时候,也许就已经晚了。针对勒索病毒也是需要大家在各个维度去提升自己,增强自己对于安全的感知能力。


周亚超:我不是这方面的专家,所以我从工作当中谈一些感受。安全是一个残留风险可接受的一个系统,所以没有绝对的安全。可能即便再多的人,再多的产品和设备、安全运营,可能也到不了那种完全防止这种勒索病毒、apt攻击或者更大规模的攻击。因此,一方面需要企业自身提升安全防护能力,加强安全态势感知、安全能力、人员意识培训,组织攻防演练;另一方面,完善行业级、地方级、国家级公共支撑保障和监测预警平台建设。

 

施勇:到今年为止,其实我们国内的勒索的情况已经是非常严重了,我今年接触到的两起最大的勒索事件的属性是2亿人民币,小一点的有3000万-4000万。对于我们国内来说现在比较麻烦的一个问题就是,实际上我们中国的企业在信息化发展的速度是很快的,但是防护的能力是极弱的。特别是一些大企业,包括基础设施,我们认真去看的话,它对这种比较深度的攻击防护能力基本上为0。


第一,核心数据保护好。很多企业实际上它是有灾备的,当前几乎80%的企业所具备的灾备能力在应对此类攻击时是没有防护能力的。纯粹就是一个数据的自动拷贝跟取走,没有考虑到黑客进来之后,实际上它把你的灾备是同时进行破坏,所以这种灾备根本就没有效果,没有任何意义。企业要快速的进行改造,保证核心数据不能瘫痪。一旦核心数据瘫痪或者被加密后,赎金完全是攻击者说了算,企业根本没有讨价还价的余地。一旦核心数据蒙受巨大损失,让企业一夜之间倒闭并非不可想象。

第二,大规模的增强企业的防护和检测能力。我们现在重点强调的是检测的能力,因为现在很多企业建设的东西基本上是以服务为主,但检测的能力非常的弱,检测能力弱就导致这种攻击在企业当中已经存在了3、4个月它可能完全不自知,那么这种恶性的勒索事件,可以让一家上市的公司直接关闭。所以我觉得检测能力的增强是现在企业非常需要去速增大投入的部分。


第三,应用相关的标准来对企业这方面的安全能力进行评估。看看企业在应对此类攻击时的防护能力到底是如何的。我们现在很建议一些企业你应该综合去打这部分,实际上如果你真的拿这个标准的话,很多企业的分数是极低的,那么也就是说在非常多的维度上面需要快速去增强,我觉得这个问题可能未来会是我们中国面临的持续问题,因为它的收益太高了。增强应对勒索软件攻击的防护能力是需要从多个维度去全面考量,而非是单独去关注某一个点就可以实现的。



Q3

安全行业未来发展趋势


张毅(安全419创始人兼主持人):作为行业里各领域的技术大拿,各位对于未来网络安全行业的技术发展趋势怎么看,有哪些热门的技术及应用值得我们重点去关注的?


周亚超:从人才的发展角度来阐述一下观点。未来需要更综合性的技术人才,懂安全的人才不仅要继续加强在安全技术方面的钻研,还需要去了解一些行业背景相关技术。例如车联网安全、工控安全,同时也要懂得汽车的控制系统等,这样在应对安全威胁的防护方面会有更强的针对性,解决问题的能力才会更强。


张毅:当前网络安全人才的缺口本就很大,而专业领域的安全人才缺口会更大,所谓“物以稀为贵”,又更何况这种专业人才呢?对于安全研究人员而言,未来新的专业领域也许就是自己真正大展才华、名利双收的重要机会。


钱林松:从技术角度来说,人工智能相关技术的应用会在攻防层面进一步大放异彩。人工智能的理论在上世纪70年代就已经比较完善,但受限于当时的算力问题以及训练、学习数据的问题未能得到进一步的突破,当前随着这些问题的解决,人工智能技术已经非常适于参与到攻防之中。


施勇:在未来的网络当中,如果说用人去作为攻击者发起攻击还有机会的话,那么在防御一方,单纯的依靠人去做是不现实的。当前海量的流量、数据情况下,安全一定是需要工具的,而人工智能一定会是整个网络安全行业所热衷于研究的深度技术,也是未来一个非常大的趋势。



Q4

漏洞管理条例


张毅(安全419创始人兼主持人)其中漏洞条例的出台,对于业界的影响如何?大家如何解读,有哪些重点去解读?后面工作的推进,如何才能更合法合规又能解决实际的行业问题?


钱林松:法律法规一定要支持的,在上世纪90年代末的黑客道德守则中,大部分内容还是同现在的法律法规基本不冲突,但冲突点也有,此前能够公布一个全世界都未发现的漏洞(0day)对白帽子而言是一项荣誉,但现在就不同了,规定明确了是不允许的。以前白帽子还可以选择将漏洞出售给张三或李四,这两个买方还可竞价,但现在不同了,只能将其给张三,如果给了李四就违法了。


施勇:首先,这个话题是有点敏感的,漏洞是网络安全中最厉害的“杀手锏”之一,但目前在市场上还并没有找到商业模式的最优路径。期望国家能够在未来会出台一些与该规定相关的配套措施去更好的发挥民间力量,将其投入到安全工作中去,这可以令管理变得更加灵活而不僵硬。但同时,民间力量所发掘的大量漏洞,如果不加以管控的话,其所产生的社会危害甚至是对国家的危害,都会非常沉重。


周亚超:漏洞是国家重要的数据资产。举例来说,在重要数据识别指南标准起草过程中,也将漏洞纳入了重要数据的范畴。但是,与不同于其他类型的资产和数据,漏洞更多是通过群众的智慧和力量去发现的,而不是企业或机构自身就可以生产采集的数据。因此,为了保证漏洞发现的广泛性、有效性,需要有激励机制鼓励个人或组织发掘漏洞资产的。

龚蔚:首先肯定是支持法律层面去针对漏洞进行一些管控,但是“为什么中国很多踢球的天才少年一进入国家队之后就差的一塌糊涂?就挖漏洞而言,在未来10年以后,也许我们真的就没有能力再去挖了。”

当前还是应该在有序的前提下,让白帽子有权利去更多的挖掘漏洞,因为没有漏洞,不代表它是安全的,只有发现了问题才会改进问题,才会变得更加安全,因此从某种角度看,白帽子寻找漏洞的工作,其实是为了让我们更安全。



看雪SDC简介


看雪安全开发者峰会(Security Development Conference,简称SDC)由拥有近22年悠久历史的老牌安全技术综合网站——看雪主办,面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。自2017年七月份开始举办第一届峰会以来,SDC始终秉持技术与干货的原则,始终致力于建立一个多领域、多维度的高端安全交流平台,推动互联网安全行业的快速成长。


2021年,第五届看雪安全开发者峰会(2021 SDC)在上海正式开启。本届峰会将聚焦数字化升级时代下网络安全的新技术、新发展,以“共筑安全”为主题。


本届SDC分为训练营与峰会两大部分。10月22日为训练营日,我们邀请到业内大师,聚焦近期最热门的领域、最实用的技术,开设技术训练营,引爆您的学习潜能!


10月23日峰会现场,更有精彩议题、圆桌会议、极客市集等您来,震撼您的感官、激发您的技术热情、燃烧您的最强大脑!



主办方简介


看雪(www.kanxue.com)创建于2000年,是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区!同时也是最资深的安全综合服务网站之一!22年来看雪滋养了大量安全技术爱好者,为网络安全行业输送了大批高质量的优秀人才。


图片


最后感谢各位朋友们莅临峰会现场,我们明年再会!







图片

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



声明:该文观点仅代表作者本人,转载请注明来自看雪