乌云网创始人方小顿(剑心)在2015 IT价值峰会上说,互联网模式下企业内部IT系统一打开,外面就是一群狼!如果连这些狼是什么都不知道,那么企业都不知道是怎么死的!
乌云网是一个白帽子黑客(相对于恶意的黑帽子黑客而言)社区,通过发现和通报企业的安全漏洞,督促企业在信息安全方面改进,让企业安全防御形成良性循环。近年来企业界的多项信息安全事件都由乌云网爆光而引起业界关注,包括前几个月的携程网瘫痪事件,以及去年酒店行业影响巨大的客户信息泄漏事件等。
“互联网+”时代,信息安全问题陡生!有黑客说,互联网金融就是黑客的提款机!传统企业和社会性功能接口对互联网开放,曾经的机密信息、用户权限等对外暴露无余,现在已经进入了网络信息安全无边界的时代!
以下是方小顿在2015 IT价值峰会上的分享内容,经ITValue整理:
方小顿:首先介绍一下我自己,我是安全团队80sec创始人,这个团队曾经发现了谷歌以及很多开源系统的安全问题。后来我到百度成为了百度安全负责人,带领百度的安全团队从5个人做到30多个人,之后离开百度创建了一个社区叫做乌云漏洞平台。当然,仅做社区还是不够,于是我们有了自己的一个安全产品,这是一个基于SaaS的云安全产品叫唐朝云安全。
用户、业务与行业的互联网化
现在很多的业务本质上已经因为互联网的介入而发生了很大的改变。金融行业出现了P2P公司,虽然此类公司本身在经营金融业务,但是实际上所有的业务都被强制公开了。如果不注重信息安全,那么包括用户数据以及每天的结算数据在内的重要信息都能很轻易地被获取。
整个互联网化是不可逆转的趋势,当每个用户互联网化后,会对产业上下游产生不可预测的影响。例如,中国人寿与产业链上下游打通之后,中国人寿的信息安全可能影响到华住酒店,华住酒店的信息安全反过来也会影响到中国人寿。
京东是一个电子商务的平台,但它的安全性也会跟技术社区的安全性联结在一起的。我们通过一个泄露的数据库做了一个测试,发现CSDN技术社区出现的问题也可以影响到电商的数据。电商的数据很敏感的,因为这里面包括了交易的数据。我们今天核心谈的是安全,安全核心的影响是什么?就是数据。
数据边界的消失
用户、业务与行业的互联网化,首先带来的第一个变革就是已经不知道数据存放在哪里了。每天早晨起来打开手机,发现移动的终端上没有数据了。特别是很多做saas业务的人员,他们的手机上面其实不存留数据。传统的情况下,把数据存储在家里的电脑上,这个让人感觉放心。但即使把手机和电脑锁在家里,就能说是安全的吗?
微信上有朋友的数据,企业的SaaS云有工作的数据,数据边界正在消失。在这种前提下,安全怎么样做?传统的安全很简单,有针对笔记本电脑的数据安全软件。但现在对于传统做IT安全的来说,数据已经不再存储在自己的服务器上面了,而是存储在云端。甚至为了业务的发展,需要把数据通过VPN开放给产业链上下游,与不同产业链上的企业和用户打通数据。那么,当企业主动把数据放在云端,防火墙就不再起作用了,安全的边界就消失了。但是,云计算数据中心却不会把安全措施共享给企业。
安全边界消失了之后,责任边界也在随之消失。乌云社区里可以看到一个典型的例子,阿里云用户手机中了木马,木马把银行的钱盗走了,真正受损失的是银行。银行、用户、运营商,到底钱是在哪消失的,问题出在哪方身上?因为现在安全的全部链条都是连接的,所以安全责任并不在用户这里,而是在银行业务这里,这就是责任边界的模糊和消失。
对于互联网安全的挑战
数据边界的消失给互联网带来了极大的安全挑战。以前的安全措施很简单,传统的IT安全只考虑内部的业务和数据,内部IT系统天然形成了一堵“墙”,这个“墙”就是传统IT的边界。但是现在为了业务,这个“墙”要主动拆掉,要与合作伙伴打通。但拆掉这个“墙”带来的一个根本性的变化,就是要直接面对外部黑色产业链冲击的威胁,而这个黑色产业链已经发展了七八年左右的时间。
以前有内部系统构成的“墙”保护,黑客攻击的成本高一些,现在这个“墙”拆掉了,攻击成本也降低了。加上数据的云化,以及互联网很大的想象空间,企业面临着不可预知的威胁。比如,听说过一个电商,是一个传统商场的电商公司,当电商业务开放第一天,搞了一个成交一单送一袋洗衣粉的活动,结果那天送了70多万袋洗衣粉出去。之前企业没有考虑做这个事情能带来什么威胁,因为是内部的系统。当内部系统对外开放后,必须知道将面对外面的一群狼,如果连这些狼都没有听说过,那就非常危险了。
现在的现实是最大的出租车公司Uber没有一辆汽车,最大的租房子公司没有一间自己的房子。乌云网实际上已经尝试类似的模式了,这就是唐朝安全。我们从在座的企业中选了一家做了一个测试,大概发现了568个安全问题,这个就是当前的安全现状。所有人都说安全太重要了,但是都不把安全当成是最紧急的。这就像大家说健康重要但是今天跑步是不最重要的一样,这个心态必须要有所转变!(本文由ITValue记者吴宁川根据乌云网方小顿在2015IT价值峰会上的演讲整理)
关于ITValue一年一度的IT价值峰会
今年峰会主题为“IT新思维——新一轮技术商业创新的方向与方法”,300余名来自知名企业CEO、CIO、CTO、IT总监、技术总监、互联网及信息化资深专家和学者齐聚三亚海棠湾香格里拉度假酒店,在三天的时间里探讨IT思维、互联网+转型路径、云视角下的IT、互联网颠覆者等主题进行深入的交流和讨论。Face to Face技术专家与CIO一对一交流、千亿级企业CIO俱乐部沙龙、国内外产业科技创新项目DEMO SHOW、转型私董会、创业私董会、SAP大数据游艇论坛、华硕之夜IT嘉年华晚会等特色活动将把三天的活动推向一个又一个高潮。
更多峰会精彩内容,请持续关注ITValue公众微信号:itvalue
根据《网络安全法》实名制要求,请绑定手机号后发表评论
走着瞧
不错
这是雷锋么