2021 SDC活动现场分为训练营与峰会两大部分,安排有与时俱进的开发者角度安全新议题,而在众多精彩技术议题之外,一场由安全419创始人张毅(MT)主持,中国黑客教父,绿色兵团创始人,现连尚网络首席安全官龚蔚;安恒信息上海总部副总经理周亚超;上海交通大学信息安全博士、(ISC)2中国上海分会主席施勇以及武汉科锐创始人、泉州市人工智能学会副理事长钱林松共同参与的圆桌会谈颇为引人注目。
该环节就当前面临的网络安全新挑战进行了深入探讨,内容重点涉及数据安全领域,其中涵盖法律法规层面以及企业面临的现实挑战,同时探讨了未来网络安全攻防与漏洞生态相关的热门话题。
在张毅的主持下,圆桌会谈开启了第一个话题——在2021年9月1日开始,《数据安全法》、《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》三部对网络安全行业意义深远的政策法规正式施行,强政策驱动下,给网络安全行业带来了什么样的变化,作为安全从业者,在日常工作或是为客户服务的过程中又有了什么样的变化呢?
针对这个话题,龚蔚表示,在我国的相关政策法规陆续出台的大环境下,将会令整个行业在安全理念上有所转变,从信息安全逐渐转向以数据安全风险管控和治理,而未来所有的风险管控和治理,都将会以数据安全为核心。
龚蔚指出,做好数据安全治理是一个非常复杂的过程,甚至在第一步——做好数据资产的风险识别方面就会遇到难题,因为在当前数字化浪潮之下,很多企业尤其是互联网企业的数据量的规模都极为庞大,包括数据库的建立、数据血缘关系的建立等等方面都会成为企业要面对的安全难点,但同时我们也要看到,在大环境的推动下,整个行业也会积极的运用新的技术去解决一个个难题,例如用AI技术去尝试以自动化的方式去学习、分析数据之间的关系,在这个过程中,我们一定会看到有很多新的产品、技术出现,这样一来,无论是对于行业发展还是客户应用层面都会起到非常良好的促进作用。
安恒信息上海总部副总经理周亚超
周亚超则表示,随着这些法律法规的施行,也催生出许多此前整个行业所未能覆盖到的场景,尤其体现在业务场景方面。以往大家普遍采用的为客户提供某一种产品或某一些安全服务等等方式,是不需要过度融合于客户的业务系统流程中的,但这种方式在现在来看已经难以适用。无论是已经施行的《数据安全法》还是将施行的《个人信息保护法》,都对传统的安全技术或能力提出了一定的挑战,因此作为网络安全企业,也需要在这个过程当中去做适应性的改变,比如以生态的方式融合更多的力量进来,还有像同包括律所、咨询机构在内的组织建立合作,大家共同为企业提供更好的全套解决方案。
施勇认为,各项网络安全相关的法律法规对市场的推动作用非常显著,例如《数据安全法》的施行,让我们看到已经有不少数据安全相关的厂商迎来了一波大的机会,因为新的法律法规的出现必然会伴随着新的要求,例如关基保护的要求、密评的要求等等,都会为网络安全从业人员提供非常多的机会,对于个人而言去选择创业也好,抑或是对企业而言去追求创新也好,都会有很好的推动力。
钱林松则指出了一个比较尖锐的问题,那就是在某些情况下安全可能会和合法合规之间产生一些矛盾,他在现场举了一个比较典型的例子,在通过大数据做威胁的大数据溯源反查时,就有可能会同隐私保护产生一定的冲突,比如恶意样本的传播链路,在追查作案者信息的过程中,必然会涉及到传播线路中的设备、人等等,在以往是可以从大数据中直接溯源,但在各项数据、个人隐私等相关的法律出台后,这种方式就会遇到一些障碍,因此还需要去制定与之相应配套的规范去约束,这是后面值得大家共同再深入探讨的一个点。在这一点上,张毅也表示这一问题不能仅依靠政府或相关主管单位去独立解决,而是需要整个行业一同参与去面对和解决的问题。
安全419创始人张毅(MT)
随后,张毅抛出了一个近两年来经常会被提及的一个问题——勒索软件攻击。他表示,勒索软件攻击是近年来网络安全面临的最大的挑战之一,它的一个显著特征就是能够通过对一个国家的基础设施的攻击而制造出极大的不良影响。那么针对勒索软件攻击,我们应该如何去有效的应对呢?
龚蔚的观点非常犀利,他明确指出:“做安全不是看谁做的好,而是看谁做的最烂,因为如果你做的最烂,那么即便是比你好一点点的攻击者对你发起的攻击,都有可能会让你遭受到巨大的损失,所以这一点非常重要,那就是你不要做最烂。”
中国黑客教父,绿色兵团创始人,现连尚网络首席安全官龚蔚
龚蔚同时指出,没有安全事件不等于没有安全。可能会有不少企业会觉得自己很安全,这个感觉来自于很长时间没有发生过安全事件,这个理念是完全错误的,因为安全需要通过感知、数据、识别等多个维度去证明的,而不是仅仅依靠“没有安全事件”这样的一个结果去证明,表面上没有安全事件,其背后也许就是没有感知到、没有识别到所造成的假象,但真当你发现安全问题的时候,也许就已经晚了。因此,应对勒索软件攻击,比较好的方式之一就是提高自己的风险感知能力。
施勇谈道,当前几乎80%的企业所具备的灾备能力在应对此类攻击时是没有防护能力的,灾备在很多企业中都被视作是简单的一个数据备份,而根本没有考虑到在攻击者入侵后,是对所有的数据同时进行破坏,这种备份实际上不仅没有效果,而且没有任何意义。一旦企业的数据被加密后,赎金完全是攻击者说了算,因为企业根本没有讨价还价的余地,而一旦核心数据蒙受巨大损失,让企业一夜之间倒闭并非不可想象。因此企业的灾备观念以及相关建设必须要有一个大的改变,这样才能保护好自己的核心数据。
上海交通大学信息安全博士、(ISC)2中国上海分会主席施勇
除此之外,施勇还认为我国必须要大规模增强企业的防护和检测能力,尤其是检测能力的建设,如果入侵者将勒索病毒植入企业的系统当中很长时间都完全检测不到的话,那么产生勒索软件攻击事件的可能性就极大增强。与此同时,也应用相关的标准来对企业这方面的安全能力进行评估,看看企业在应对此类攻击时的防护能力到底是如何的。简而言之,在施勇看来,增强应对勒索软件攻击的防护能力是需要从多个维度去全面考量,而非是单独去关注某一个点就可以实现的。
在接下来的关于未来几年技术发展趋势这个话题时,现场的各位嘉宾也是从不同的角度去分享了各自的观点。
周亚超从人才的发展角度来阐述了自己对这个话题的观点,在她看来,就未来而言,懂安全的人才不仅要继续加强在安全技术方面的钻研,还需要去更多的了解一些行业背景相关的技术,例如车联网安全,它一方面要求相关的安全人员懂安全,同时也要懂得汽车的控制系统和数据系统等等,这样在应对安全威胁的防护方面会有更强的针对性,解决问题的能力才会更强。
周亚超的观点也得到了不少人的认可,张毅表示,当前网络安全人才的缺口本就很大,而这些专业领域的安全人才缺口会更大,所谓“物以稀为贵”,又更何况这种专业人才呢?对于安全研究人员而言,未来新的专业领域也许就是自己真正大展才华、名利双收的重要机会。
武汉科锐创始人、泉州市人工智能学会副理事长钱林松
与周亚超不同,钱林松还是从技术的角度来分享了自己的观点——人工智能相关技术的应用会在攻防层面进一步大放异彩。钱林松表示,人工智能的理论在上世纪70年代就已经比较完善,但受限于当时的算力问题以及训练、学习数据的问题未能得到进一步的突破,当前随着这些问题的解决,人工智能技术已经非常适于参与到攻防之中。
谈到这方面,施勇也补充道,在未来的网络当中,如果说用人去作为攻击者发起攻击还有机会的话,那么在防御一方,单纯的依靠人去做是不现实的。当前海量的流量、数据情况下,安全一定是需要工具的,而人工智能一定会是整个网络安全行业所热衷于研究的深度技术,也是未来一个非常大的趋势。
接下来就进入了圆桌会谈的最后一个话题,也是最为重磅的话题——《网络产品安全漏洞管理规定》对行业及相关从业人员的影响。
钱林松表示,既然是法律法规,那么就一定要支持的,而且在上世纪90年代末的黑客道德守则中,大部分内容还是同现在的法律法规基本不冲突,但冲突点也并非没有,在此前,能够公布一个全世界都未发现的漏洞(0day)对白帽子而言是一项荣誉,但现在就不同了,因为该规定明确了这是不允许的。以前白帽子还可以选择将漏洞出售给张三或李四,这两个买方还可竞价,但现在不同了,只能将其给张三,如果给了李四就违法了。
施勇首先强调了这个话题的敏感性,在他看来,漏洞是网络安全中最厉害的“杀手锏”之一,但目前在市场上还并没有找到商业模式的最优路径,随着这一“杀手锏”被纳入强监管体系范围内,对其影响必然是很大的。他表示,期望国家能够在未来会出台一些与该规定相关的配套措施去更好的发挥民间力量,将其投入到安全工作中去,这可以令管理变得更加灵活而不僵硬。但同时,民间力量所发掘的大量漏洞,如果不加以管控的话,其所产生的社会危害甚至是对国家的危害,都会非常沉重。
周亚超指出,在安恒信息参与起草《重要数据识别指南》的过程中,参考了一些国际条例和国内的相关制度,将漏洞纳入了重要数据的范畴。不过也应看到,漏洞不同于其他类型的资产和数据,因为它更多的是通过群众的智慧和力量去发现的,而不是企业自身可以去生产的数据。从这个角度来看,为了保证数据的鲜活性以及应用,其实还是需要一些激励机制的。
对这个话题最有发言权的龚蔚表示,首先还是会支持法律层面去针对漏洞进行一些管控,但他也直言,“为什么中国很多踢球的天才少年一进入国家队之后就差的一塌糊涂?就挖漏洞而言,在未来10年以后,也许我们真的就没有能力再去挖了。”
最后他建议道,当前还是应该在有序的前提下,让白帽子有权利去更多的挖掘漏洞,因为没有漏洞,不代表它是安全的,只有发现了问题才会改进问题,才会变得更加安全,因此从某种角度看,白帽子寻找漏洞的工作,其实是为了让我们更安全。