2021年10月23日,第五届勘学安全开发者峰会在上海静安洲际酒店圆满落下帷幕。本次峰会以“共筑安全 共赢未来”为主题,聚焦数字化升级时代网络安全新技术新进展,与业界同仁共同探讨网络安全新趋势。
勘学的初心始终是只分享实用的技术。峰会除了精彩纷呈的十大技术话题外,还设置了由安全419创始人张毅(MT)主持,中国黑客教父、绿色兵团创始人、现任联商网络首席安全官龚炜,安恒信息上海总部副总经理周亚超,上海交通大学信息安全博士、(ISC)2中国上海分会主席石勇,武汉芯创始人、泉州市人工智能学会副理事长钱林松共同主持的圆桌讨论。
五位行业领袖就当前网络安全面临的新挑战,重点关注数据安全领域,涵盖法律法规层面以及企业面临的现实挑战,并就未来网络安全攻防、漏洞生态等热点话题展开深入探讨。
以下是速记说明:
问题 1
法规政策
张毅(安全419创始人、主持人):首先我想问您一个业界普遍关心的问题,《数据安全法》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理条例》三部对网络安全行业影响深远的政策法规已经正式实施。在强政策的推动下,在具体的安全建设过程中,给您的企业带来了多大的变化?从技术角度来说,会面临一些新的挑战吗?
龚炜:随着我们国家相关政策法规的出台,整个行业的安全理念都会发生一个变化,我们的重点已经从信息安全、网络安全逐渐转移到数据安全风控和治理的理念上,未来一切安全风控和治理都会围绕数据安全展开。
我在这个领域才刚刚起步,相信很多公司跟我们一样,走到这个阶段之后,都遇到了各种各样的问题。甚至连第一步——识别数据资产的风险,都会遇到困难。很多公司特别是互联网公司的数据量是极其庞大的,包括数据库的建立、数据血缘关系的建立等等,这些都会成为公司不得不面对的安全难点。
在这个过程中我们也在尝试利用一些新技术,比如AI技术,用自动化的方式去学习和分析数据的同步、选择关系。在这个尝试的过程中我相信未来这个领域会有很多的新产品、新技术,无论是对行业发展还是对客户应用都会起到非常好的推动作用。
【联尚网络首席安全官-龚炜】
周亚超:数据安全法律法规的实施,对安全合规带来了新的需求。金融、证券、政府、互联网等行业的数据运营者承载着大量的个人信息和重要数据,但实际上数据安全、个人权益、个人信息保护还远远不够。网络安全防护能力和技术水平还比较传统,所以在这个大数据环境下能做的事情还比较有限。作为网络安全公司,在这个过程中,我们需要加强与行业内很多其他机构,比如研究机构、律师事务所、咨询公司等的合作,为企业提供从规划咨询、产品部署到运营服务的全套解决方案。
【安恒信息上海总部副总经理 周亚超】
石勇:其实我们今年发现一个很有意思的现象,就是有大量的律师开始研究网络安全,包括我们交大,比如我们法学院有很多教授,现在都是上海市网信办和相关职能部门的高级顾问。整个法律体系包括一些法律基础,大家还是在快速地进行法律的研究,由此产生的问题其实是比较复杂的。
我觉得未来无论是数据分类定级,包括跨境数据保护,作为保护者,我们在给客户提供保护之后,需要规范自己的行为和要求。这里面有非常大的市场,最近出现了很多数据相关的厂商,其实也带来了一波非常大的机会。
未来的网络安全行业也是如此,随着新法规、新要求的不断出台,比如关键基础设施保护、安全审查等要求,网络安全从业者将面临大量的机会,这对个人创业或者企业创新都会是很大的推动力。
【上海交通大学信息安全博士、武汉科锐创始人-石勇】
钱林松:有些时候,安全性可能会和合法合规发生冲突。一个典型的例子就是,通过大数据来追溯威胁的时候,可能会和隐私保护产生一些冲突。比如恶意样本的传输链路。在追溯作案者的信息的过程中,不可避免地会涉及到传输线路中的设备和人员。以前是可以直接从大数据来追根溯源,但是随着各类与数据、个人隐私等相关的法律出台之后,这种方式就会遇到一些阻碍。所以也需要制定相应的配套法规来约束。这是值得大家后续进一步探讨的一点。
【武汉芯创始人、泉州市人工智能学会副理事长钱林松】
第二季度
勒索软件
张毅(安全419创始人、主持人):第二我想讲一下勒索病毒攻击,这可能是近年来全球网络安全面临的最大问题。特别是它对一个国家的关键信息基础设施造成的破坏已经到了非常严重的地步。其中一个比较显著的特点就是攻击者善于利用批量自动化攻击的方式对目标进行大规模攻击,这对传统的防御手段是一个新的挑战。
我想问一下各位,在这几年技术发展的过程中,你们有没有一些更好的想法去解决问题,去更好的预防勒索病毒?特别是现在威胁都是批量产生的,我们是否也能更加有效的提供风险感知和防御能力?
龚炜:安全不是谁做得最好,而是谁做得最差。因为如果你做最差,那么哪怕是比你稍微好一点的攻击者都可能给你造成巨大的损失,所以不做最差非常重要。
第二,没有安全事故不代表你就安全了。很多企业可能因为感觉很久没有发生过安全事故,就觉得自己很安全了。这种观念是完全错误的。因为安全需要通过感知、数据、识别等多个维度去证明,而不是仅仅依靠“没有安全事故”这样的一个结果。表面上看没有安全事故,背后可能是没有被感知、没有被识别导致的假象。但等到真正发现安全问题的时候,可能已经晚了。应对勒索病毒,大家也需要从各个维度去提升自己,增强对安全的感知能力。
周亚超:我不是这方面的专家,就讲讲工作中的体会。安全是一个有可接受的剩余风险的系统,所以没有绝对的安全。即使再多的人手、再多的产品和设备、再多的安全行动,也未必能完全阻止这种勒索病毒、apt攻击,或者更大规模的攻击。所以,企业一方面需要提升自身的安全防护能力,加强安全态势感知、安全能力、人员意识培训,组织攻防演练;另一方面,完善行业级、地方级、国家级的公共支撑和监测预警平台建设。
石勇:到今年为止,我们国家的敲诈勒索形势其实已经非常严重了。我今年遇到的两起最大的敲诈勒索案,涉案金额是2亿人民币,小的也有3000-4000万人民币。现在我们国家比较麻烦的一个问题,就是我们中国的企业在信息化方面其实发展得非常快,但是他们自身的防护能力却非常薄弱。特别是一些大型的企业,包括基础设施,我们仔细看,他们对于这种纵深攻击的防护能力基本为零。
第一,保护好核心数据。很多公司其实都有容灾,但是目前几乎80%公司的容灾能力都无法防御这种攻击。单纯的只是数据的自动复制、移除,没有考虑到黑客进来之后其实同时破坏了你的容灾,所以这种容灾是无效的,毫无意义的。企业必须迅速转型,确保核心数据不能瘫痪。一旦核心数据瘫痪或者被加密,赎金完全由攻击者决定,公司没有讨价还价的余地。一旦核心数据遭受巨大损失,公司一夜之间破产不是不可想象的。
第二,要大规模提升企业的防护和检测能力。我们现在重点在检测能力上,因为现在很多企业在做服务,但是检测能力很弱。检测能力弱,就会导致这种攻击在企业里存在了3、4个月,企业却浑然不知。这种恶性勒索事件,就可能让一家上市公司倒闭。所以我觉得检测能力的提升,是企业需要迅速加大投入的一个部分。
第三,用相关标准来评估企业在这方面的安全能力。看看企业对这种攻击的防御能力有多强。我们现在强烈建议一些企业对这一部分进行综合评估。其实如果真的用这个标准,很多企业的分数是极低的,这就意味着需要在很多维度上迅速增强。我觉得这个问题可能是未来中国的一个持续性的问题,因为它的收益太高了。增强对勒索攻击的防御能力需要从多个维度进行综合考虑,而不是只关注单一点。
第三季度
安防行业未来发展趋势
张毅(安全419创始人、主持人):作为行业各个领域的技术专家,您如何看待未来网络安全行业技术发展的趋势?有哪些热门技术和应用值得我们特别关注?
周亚超:我从人才发展的角度阐述一下我的观点。未来需要更多综合性的技术人才,懂安全的人不仅要继续加强对安全技术的研究,还要懂一些行业相关的技术,比如车联网安全、工控安全等。同时也要懂汽车的控制系统,这样在防范安全威胁时才会更有针对性,解决问题的能力也会更强。
张毅:目前网络安全人才缺口已经很大,专业领域的安全人才缺口会更大。俗话说“物以稀为贵”,更何况是这种专业人才呢?对于安全研究人员来说,未来新的专业领域或许是他们真正施展才华、名利双收的重要机会。
钱林松:从技术层面来看,人工智能相关技术的应用在攻防方面会进一步大放异彩。人工智能的理论在上世纪 70 年代已经比较完善,但受限于当时的计算能力和训练学习数据问题,未能取得进一步的突破。随着这些问题的解决,人工智能技术已经非常适合参与攻防。
石勇:未来的网络,如果还有机会以人作为攻击者来发动攻击的话,那么防御方单纯依靠人是不现实的。在现在海量流量和数据的情况下,安全一定需要工具,而人工智能一定会是整个网络安全行业热衷于研究的深度技术,也是未来非常大的趋势。
Q4
漏洞管理政策
张毅(安全419创始人、主持人):《漏洞管理条例》的出台对行业有什么影响?您如何解读?解读的重点有哪些?未来如何在解决行业实际问题的同时,更加合法合规地推进工作?
钱林松:法律法规要支撑。90年代末的黑客道德规范里,大部分内容基本上和现在的法律法规不冲突,但是也有冲突的。以前,白帽子能发布一个世界上从来没有发现过的漏洞(0day),是一种荣誉,但是现在不一样了,法规里明确规定不可以。以前,白帽子可以选择把漏洞卖给张三或者李四,两方买家可以竞价,但是现在不一样了,只能给张三,如果给李四,就是违法的。
石勇:首先这个话题有点敏感,漏洞是网络安全最有力的“杀手锏”之一,但目前市场上还没有找到商业模式的最优路径。希望国家未来能出台一些与这个条例相关的配套措施,更好地发挥民间力量,投入到安全工作中,可以让管理更加灵活,而不是僵化。但同时,民间力量发现的大量漏洞如果不加以管控,对社会的危害,甚至对国家的危害都会非常严重。
周亚超:漏洞是国家重要的数据资产,例如在重要数据识别指南标准起草过程中,漏洞也被纳入重要数据范畴。但与其他类型的资产和数据不同,漏洞更容易通过群众的智慧和力量被发现,而不是企业或机构自己能够生产和收集的数据。因此,为了保证漏洞发现的广度和有效性,需要有激励机制,鼓励个人或组织发现漏洞资产。
龚伟:首先我肯定支持在法律层面对漏洞进行一定的管控,但是“为什么中国足球很多有天赋的年轻球员进了国家队之后,表现就变得那么差呢?至于找漏洞,未来10年,可能真的找不到了。”
目前应该在有序的前提下赋予白帽子发现更多漏洞的权力,因为没有漏洞不代表安全,只有发现问题才能改进,才能变得更安全。所以从某种角度来说,白帽子寻找漏洞的工作其实就是让我们更安全。
勘雪SDC简介
安全发展大会(SDC)由拥有近22年悠久历史的老牌安全技术综合网站看雪主办,是中国开发者、安全人员及高端技术从业者的年度盛会。自2017年7月举办首届峰会以来,SDC始终坚持技术与实践相结合的原则,始终致力于建立多领域、多维度的高端安全交流平台,推动互联网安全产业的快速成长。
2021年,第五届勘学安全开发者峰会(2021 SDC)在上海正式启动,本次峰会将重点探讨数字化升级时代网络安全的新技术、新发展,以“共建安全”为主题。
今年的SDC分为训练营和峰会两个部分,10月22日是训练营日,我们邀请行业大神,聚焦近期最火热的领域、最实用的技术,开设技术训练营,点燃你的学习潜能!
10月23日,峰会还有更多精彩话题、圆桌讨论、极客市集等你来战,震撼你的感官、激发你的科技激情、点燃你的最强大脑!
主办方简介
看雪()成立于2000年,是一个专注于PC、移动、智能设备安全研究和逆向工程的开发者社区!也是最资深的安全综合服务网站之一!22年来,看雪培养了大批安全技术爱好者,为网络安全行业输送了大量高素质人才。
最后,感谢各位朋友莅临本次峰会,我们明年再见!
评论列表