作者:吳寧川 ITValue / 日期:2015-08-18
烏云網(wǎng)創(chuàng)始人方小頓(劍心)在2015 IT價值峰會上說,互聯(lián)網(wǎng)模式下企業(yè)內(nèi)部IT系統(tǒng)一打開,外面就是一群狼!如果連這些狼是什么都不知道,那么企業(yè)都不知道是怎么死的!
烏云網(wǎng)是一個白帽子黑客(相對于惡意的黑帽子黑客而言)社區(qū),通過發(fā)現(xiàn)和通報企業(yè)的安全漏洞,督促企業(yè)在信息安全方面改進,讓企業(yè)安全防御形成良性循環(huán)。近年來企業(yè)界的多項信息安全事件都由烏云網(wǎng)爆光而引起業(yè)界關(guān)注,包括前幾個月的攜程網(wǎng)癱瘓事件,以及去年酒店行業(yè)影響巨大的客戶信息泄漏事件等。
“互聯(lián)網(wǎng)+”時代,信息安全問題陡生!有黑客說,互聯(lián)網(wǎng)金融就是黑客的提款機!傳統(tǒng)企業(yè)和社會性功能接口對互聯(lián)網(wǎng)開放,曾經(jīng)的機密信息、用戶權(quán)限等對外暴露無余,現(xiàn)在已經(jīng)進入了網(wǎng)絡(luò)信息安全無邊界的時代!
以下是方小頓在2015 IT價值峰會上的分享內(nèi)容,經(jīng)ITValue整理:
方小頓:首先介紹一下我自己,我是安全團隊80sec創(chuàng)始人,這個團隊曾經(jīng)發(fā)現(xiàn)了谷歌以及很多開源系統(tǒng)的安全問題。后來我到百度成為了百度安全負(fù)責(zé)人,帶領(lǐng)百度的安全團隊從5個人做到30多個人,之后離開百度創(chuàng)建了一個社區(qū)叫做烏云漏洞平臺。當(dāng)然,僅做社區(qū)還是不夠,于是我們有了自己的一個安全產(chǎn)品,這是一個基于SaaS的云安全產(chǎn)品叫唐朝云安全。
1用戶、業(yè)務(wù)與行業(yè)的互聯(lián)網(wǎng)化
現(xiàn)在很多的業(yè)務(wù)本質(zhì)上已經(jīng)因為互聯(lián)網(wǎng)的介入而發(fā)生了很大的改變。金融行業(yè)出現(xiàn)了P2P公司,雖然此類公司本身在經(jīng)營金融業(yè)務(wù),但是實際上所有的業(yè)務(wù)都被強制公開了。如果不注重信息安全,那么包括用戶數(shù)據(jù)以及每天的結(jié)算數(shù)據(jù)在內(nèi)的重要信息都能很輕易地被獲取。
整個互聯(lián)網(wǎng)化是不可逆轉(zhuǎn)的趨勢,當(dāng)每個用戶互聯(lián)網(wǎng)化后,會對產(chǎn)業(yè)上下游產(chǎn)生不可預(yù)測的影響。例如,中國人壽與產(chǎn)業(yè)鏈上下游打通之后,中國人壽的信息安全可能影響到華住酒店,華住酒店的信息安全反過來也會影響到中國人壽。
京東是一個電子商務(wù)的平臺,但它的安全性也會跟技術(shù)社區(qū)的安全性聯(lián)結(jié)在一起的。我們通過一個泄露的數(shù)據(jù)庫做了一個測試,發(fā)現(xiàn)CSDN技術(shù)社區(qū)出現(xiàn)的問題也可以影響到電商的數(shù)據(jù)。電商的數(shù)據(jù)很敏感的,因為這里面包括了交易的數(shù)據(jù)。我們今天核心談的是安全,安全核心的影響是什么?就是數(shù)據(jù)。
2數(shù)據(jù)邊界的消失
用戶、業(yè)務(wù)與行業(yè)的互聯(lián)網(wǎng)化,首先帶來的第一個變革就是已經(jīng)不知道數(shù)據(jù)存放在哪里了。每天早晨起來打開手機,發(fā)現(xiàn)移動的終端上沒有數(shù)據(jù)了。特別是很多做saas業(yè)務(wù)的人員,他們的手機上面其實不存留數(shù)據(jù)。傳統(tǒng)的情況下,把數(shù)據(jù)存儲在家里的電腦上,這個讓人感覺放心。但即使把手機和電腦鎖在家里,就能說是安全的嗎?
微信上有朋友的數(shù)據(jù),企業(yè)的SaaS云有工作的數(shù)據(jù),數(shù)據(jù)邊界正在消失。在這種前提下,安全怎么樣做?傳統(tǒng)的安全很簡單,有針對筆記本電腦的數(shù)據(jù)安全軟件。但現(xiàn)在對于傳統(tǒng)做IT安全的來說,數(shù)據(jù)已經(jīng)不再存儲在自己的服務(wù)器上面了,而是存儲在云端。甚至為了業(yè)務(wù)的發(fā)展,需要把數(shù)據(jù)通過VPN開放給產(chǎn)業(yè)鏈上下游,與不同產(chǎn)業(yè)鏈上的企業(yè)和用戶打通數(shù)據(jù)。那么,當(dāng)企業(yè)主動把數(shù)據(jù)放在云端,防火墻就不再起作用了,安全的邊界就消失了。但是,云計算數(shù)據(jù)中心卻不會把安全措施共享給企業(yè)。
安全邊界消失了之后,責(zé)任邊界也在隨之消失。烏云社區(qū)里可以看到一個典型的例子,阿里云用戶手機中了木馬,木馬把銀行的錢盜走了,真正受損失的是銀行。銀行、用戶、運營商,到底錢是在哪消失的,問題出在哪方身上?因為現(xiàn)在安全的全部鏈條都是連接的,所以安全責(zé)任并不在用戶這里,而是在銀行業(yè)務(wù)這里,這就是責(zé)任邊界的模糊和消失。
3對于互聯(lián)網(wǎng)安全的挑戰(zhàn)
數(shù)據(jù)邊界的消失給互聯(lián)網(wǎng)帶來了極大的安全挑戰(zhàn)。以前的安全措施很簡單,傳統(tǒng)的IT安全只考慮內(nèi)部的業(yè)務(wù)和數(shù)據(jù),內(nèi)部IT系統(tǒng)天然形成了一堵“墻”,這個“墻”就是傳統(tǒng)IT的邊界。但是現(xiàn)在為了業(yè)務(wù),這個“墻”要主動拆掉,要與合作伙伴打通。但拆掉這個“墻”帶來的一個根本性的變化,就是要直接面對外部黑色產(chǎn)業(yè)鏈沖擊的威脅,而這個黑色產(chǎn)業(yè)鏈已經(jīng)發(fā)展了七八年左右的時間。
以前有內(nèi)部系統(tǒng)構(gòu)成的“墻”保護,黑客攻擊的成本高一些,現(xiàn)在這個“墻”拆掉了,攻擊成本也降低了。加上數(shù)據(jù)的云化,以及互聯(lián)網(wǎng)很大的想象空間,企業(yè)面臨著不可預(yù)知的威脅。比如,聽說過一個電商,是一個傳統(tǒng)商場的電商公司,當(dāng)電商業(yè)務(wù)開放第一天,搞了一個成交一單送一袋洗衣粉的活動,結(jié)果那天送了70多萬袋洗衣粉出去。之前企業(yè)沒有考慮做這個事情能帶來什么威脅,因為是內(nèi)部的系統(tǒng)。當(dāng)內(nèi)部系統(tǒng)對外開放后,必須知道將面對外面的一群狼,如果連這些狼都沒有聽說過,那就非常危險了。
現(xiàn)在的現(xiàn)實是最大的出租車公司Uber沒有一輛汽車,最大的租房子公司沒有一間自己的房子。烏云網(wǎng)實際上已經(jīng)嘗試類似的模式了,這就是唐朝安全。我們從在座的企業(yè)中選了一家做了一個測試,大概發(fā)現(xiàn)了568個安全問題,這個就是當(dāng)前的安全現(xiàn)狀。所有人都說安全太重要了,但是都不把安全當(dāng)成是最緊急的。這就像大家說健康重要但是今天跑步是不最重要的一樣,這個心態(tài)必須要有所轉(zhuǎn)變!(本文由ITValue記者吳寧川根據(jù)烏云網(wǎng)方小頓在2015IT價值峰會上的演講整理)
