分享

观点 | 腾讯安全于旸:以“众测”生态筑牢企业安全防线

 123山不转水转 2021-06-02
图片

扫码订阅《中国信息安全》杂志

权威刊物 重要平台 关键渠道

邮发代号 2-786

图片

腾讯安全玄武实验室负责人于旸5月19日在“今朝安全众测平台”启动运行发布会上发表演讲。

人们对信息技术、网络空间的认知,经历了几个不同的阶段。计算机、网络刚诞生的时候,大家觉得计算机和网络就是一个工具, 和人类历史上发明的那些工具一样。后来,随着信息技术的不断发展,在各行各业的应用不断加深,人们意识到这个工具和以前的那些机床、锤子、钳子不太一样。虽然信息系统本身只是工具,但是里面的数据却是资产。人们还意识到了网络空间可以和物理空间互动,可以对物理空间造成影响。再后来,人们意识到网络空间会成为人类生活乃至生存的空间,会和物理空间融为一体,不可分离;意识到网络空间里的疆界也是国家疆界的一部分。

对网络、信息技术有了这样一个认知之后,人们终于明白网络安全问题也会变成社会安全问题,甚至是国家安全问题。前段时间就有一个非常典型的案例:美国一家天然气管道运营商由于受到网络攻击,停止运营了两天。也就是说,因为网络安全的问题,导致了一个国家的基础设施停运两天。

信息产业界对网络安全的认知也有渐进的几个阶段。20多年前,信息产业界对网络安全处于一个建立认知的阶段。这个阶段大家还在逐渐去理解网络安全是什么,意味着什么。当时一些企业的认知还是“被入侵了大不了重装系统”。但后来,企业逐渐开始重视并尝试解决网络安全问题,开始从技术、管理上探索,希望通过安全技术、安全流程,从内部去解决安全问题。这个阶段很有成效,出现了很多新的安全技术和安全管理手段。到了第三个阶段,企业在使用了各种安全技术和管理手段之后,终于发现网络安全问题不只是技术和管理的问题,它还是一个生态的问题。这个生态包括技术的生态和人的生态。技术生态是什么?是很多企业发现,即使把自身的安全能力做得很强也还是不够,因为随着信息产业的发展,多数产品都不再是独立的。系统中要用到别人的组件、别人的产品、别人的代码,这里都可能会有安全漏洞。人的生态是什么?就是企业如果仅仅依靠自己内部的力量,再怎么强也是不够的,也很难把安全做好,还需要和安全社区有良好的互动,引入外部视角,建立行业协同,避免“灯下黑”。

众测这种模式是整个行业探索了几十年之后,摸索出来的一种通过生态的方式来解决网络安全问题的有效补充手段。它可以补充企业内部技术和管理手段的一些不足。

在一个企业内部,不同角色、岗位和个体之间的认识是有差异的。网络安全是一个高度专业性的工作,非从业人员很难理解这个工作,就像病人无法理解医生为什么要开那么多化验单。同时,和企业的其它投入相比,网络安全是纯粹的成本投入,不创造利润。网络安全投入的价值在于可能挽回高额的损失。但是,如果网络安全工作做得特别好,长期不出事,反而容易让决策者错误地认为网络安全工作不困难,网络安全风险不大。这就是“上医治未病”和“善战者无赫赫之功”之间的矛盾。所以,众测这种模式,除了能够切实帮助产品和业务去发现一些问题,还有技术之外的意义,就是起到“牛虻”的作用,起到一个警醒的作用,帮助整个企业建立对安全的认知。

我们知道漏洞是动态变化的,是长期存在的,是挖不完的,所以众测也需要是一个长期的、持续性的工作。“今朝安全众测平台”这样一个国家级众测平台的建立,对中国的网络安全建设是非常有意义的事情。作为一个在网络安全领域工作了20年的老兵,我在这里也号召中国的网络安全研究者们积极地加入到这个众测平台里来,为我国网络安全事业做出贡献。希望大家在几十年之后,到退休的时候,回首自己的职业生涯,能有一些值得骄傲的事情,可以和子孙们聊一聊。

(本文整理自腾讯安全玄武实验室负责人于旸5月19日在“今朝安全众测平台”启动运行发布会上的讲话)


图片
图片
图片

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多