行業(yè)動(dòng)態(tài)

“聚力賦能”的全面擴(kuò)張:2016阿里安全峰會(huì)首日深度解析

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-07-15    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

上個(gè)月FreeBuf在成都參加云棲大會(huì)的時(shí)候,阿里云從頭到尾一直在提的一個(gè)詞匯就是“賦能”。這個(gè)詞當(dāng)時(shí)的意思非常簡(jiǎn)單:企業(yè)都把數(shù)據(jù)搬遷到云端了,以后安全問(wèn)題其實(shí)也就是云計(jì)算的安全問(wèn)題了,由于安全問(wèn)題比較復(fù)雜,非阿里云一家之力可完成,所以找來(lái)了眾多安全企業(yè)一起來(lái)做安全。而在阿里云看來(lái),這種模式對(duì)安全企業(yè)而言是種進(jìn)步,而且還為安全企業(yè)提供了便利,也就是阿里云邏輯中的“賦能”。

DSC_5067.jpg

來(lái)這次2016阿里安全峰會(huì)之前,大致上看到峰會(huì)的SLOGAN“聚力、賦能”的時(shí)候,我們就想,應(yīng)該就是談?wù)劙⒗镌诰喸炱脚_(tái)的過(guò)程中,是如何為安全企業(yè)提供便利這回事吧。倒是未想見(jiàn),這次阿里不僅將“聚力賦能”貫穿全場(chǎng),而且還將其范圍做了極大的擴(kuò)張。

聚力——不只是聚安全企業(yè)之力

其實(shí)這次在北京國(guó)家會(huì)議中心共同發(fā)起這場(chǎng)阿里安全峰會(huì)的,除了阿里巴巴集團(tuán)之外,還有螞蟻金服集團(tuán)。這家公司來(lái)頭不小,支付寶即是其旗下產(chǎn)品,自可見(jiàn)它在安全領(lǐng)域的重要性。

我們知道,支付寶主要是安裝在手機(jī)端的應(yīng)用,是現(xiàn)代人購(gòu)物甚至投資理財(cái)?shù)闹匾ぞ摺_@東西如果不安全,那的確得出大亂子了。螞蟻金服安全產(chǎn)品技術(shù)資深總監(jiān),馮春培在談到自家應(yīng)對(duì)安全問(wèn)題的策略時(shí),提到了“應(yīng)急中心AFSRC威脅情報(bào)平臺(tái)”的建立,這個(gè)平臺(tái)結(jié)合了白帽子、安全公司、高校,還有第三方平臺(tái)等多方力量。這其實(shí)就體現(xiàn)出一種“聚力”,即不止是憑借一己之力來(lái)抵擋安全風(fēng)險(xiǎn)。

DSC_4986.jpg

螞蟻金服技術(shù)資深總監(jiān)馮春培

不過(guò)其實(shí)這還不能凸顯這次阿里要說(shuō)的“聚力”。螞蟻金服還提到了IFAA聯(lián)盟。這個(gè)聯(lián)盟的成員不僅有一般的安全企業(yè),還有中興這樣的手機(jī)廠商,高通、Intel這樣的芯片廠商。為什么需要這些成員的加入?如支付寶這類應(yīng)用的安全問(wèn)題,從芯片底層(如TrustZone)到操作系統(tǒng),再到應(yīng)用層本身,每個(gè)層級(jí)都有參與者,而且也都需要他們的協(xié)力,才能針對(duì)支付寶起到比較完整的保護(hù)作用,缺了任何一環(huán)都是不行的。

百度首席安全科學(xué)家在談《移動(dòng)生態(tài)中的安全缺位》時(shí)也談到了這個(gè)問(wèn)題,如Android系統(tǒng)的問(wèn)題,實(shí)際上并不僅限于系統(tǒng)本身,比如ARM芯片中的TrustZone黑匣子,“一樣沒(méi)有辦法拯救世界”。光這一個(gè)問(wèn)題,涉及到的企業(yè)就包括谷歌、ARM、高通等不同層面的科技企業(yè)。這便體現(xiàn)出“聚力”的擴(kuò)展性。

DSC_4916.jpg

另外聚力的范圍,這次在阿里看來(lái)是遠(yuǎn)不止上面談到的這些科技企業(yè)的:這場(chǎng)峰會(huì)的前半程有不少政府部門領(lǐng)導(dǎo)的發(fā)言,包括網(wǎng)信辦、公安部網(wǎng)絡(luò)安全保衛(wèi)局、工信部通信保障局、國(guó)標(biāo)委工業(yè)標(biāo)準(zhǔn)二部的幾名負(fù)責(zé)人。他們發(fā)言的主題大抵上沒(méi)有脫離“聚力”的范疇,即便在政府看來(lái),網(wǎng)絡(luò)安全既然已經(jīng)得到習(xí)近平主席的重視,自然該由政府來(lái)牽頭向前,不過(guò)總的來(lái)說(shuō),仍舊需要不同的部門、企業(yè)、教育機(jī)構(gòu)的配合才能完成。

其實(shí)阿里巴巴集團(tuán)自己在很多業(yè)務(wù)方面,就有“聚力”存在的依據(jù),比如淘寶這樣的電商。從淘寶所在的阿里云,到淘寶自身,再到商家、ISV服務(wù)商、物流。每一環(huán)的安全都很重要,這可以算是阿里巴巴提出“聚力”的立足點(diǎn)。

908098098093.jpg

阿里巴巴集團(tuán)CEO張勇

所以今天峰會(huì)主論壇上,一波小高潮的內(nèi)容即在于阿里巴巴宣布電子商務(wù)生態(tài)安全聯(lián)盟的成立。按照阿里自己的說(shuō)法,電商生態(tài)安全聯(lián)盟,實(shí)際上是為了普及、推行某種安全標(biāo)準(zhǔn),整體提升電商生態(tài)的安全能力。這種“聯(lián)盟”的形態(tài)正是“聚力”的實(shí)際表現(xiàn)形式。

然而另一方面,這在阿里看來(lái),也是為整個(gè)行業(yè)“賦能”的方式。將這套標(biāo)準(zhǔn)和經(jīng)驗(yàn),推廣到30家企業(yè),不僅是為這些企業(yè)的賦能,也是為整個(gè)電商領(lǐng)域的賦能。

賦能——不只是為安全企業(yè)賦能

“賦能”和“聚力”原本就是一對(duì)相輔相成的概念,就好像集合一群人之力去做事,這一群人之力實(shí)際上也是在為每個(gè)個(gè)人賦能。所以我們才說(shuō),電子商務(wù)生態(tài)安全聯(lián)盟的成立,既是“聚力”,也是“賦能”。

DSC_4861.jpg

阿里巴巴集團(tuán)商家事業(yè)部經(jīng)理張闊在談《商業(yè)生態(tài) 安全賦能》的主題時(shí),在為電商賦能的問(wèn)題上就談得更加具體了。他談到了當(dāng)前互聯(lián)網(wǎng)發(fā)展的趨勢(shì),比如說(shuō)無(wú)線上網(wǎng)做到了隨時(shí)隨地,所以阿里為商家提供直播服務(wù),加上阿里在大數(shù)據(jù)方面的積累以及全渠道的優(yōu)勢(shì),某次AngelaBaby在線上直播,僅一次就讓美寶蓮的化妝品銷量大增。這即是阿里為電商賦能的一種具體表現(xiàn)。

4098098982663.jpg

阿里云資深總監(jiān)肖力

至于阿里云為商家,或者企業(yè)提供的安全賦能,以及針對(duì)當(dāng)前主流的安全企業(yè)SaaS化的賦能,原本就是阿里云始終在宣傳的。阿里云資深總監(jiān)肖力所做的演講實(shí)際上仍是在重復(fù)這些“賦能”的事實(shí),只不過(guò)似乎是為了回應(yīng)上一次很多企業(yè)客戶擔(dān)心阿里云會(huì)不會(huì)動(dòng)他們的數(shù)據(jù)的問(wèn)題,肖力倒是特意在這次的PPT中多加了一屏:阿里云的數(shù)據(jù)審計(jì),是經(jīng)過(guò)了不少國(guó)際安全認(rèn)證的。不知道這樣能不能真的令企業(yè)客戶放心。

2098098098093.jpg

360公司副總裁譚曉生

還有360公司副總裁譚曉生針對(duì)物聯(lián)網(wǎng)威脅的解讀。物聯(lián)網(wǎng)市場(chǎng)在安全方面原本就處在發(fā)展的初級(jí)階段,比如大量的云安全攝像頭都存在嚴(yán)重的安全問(wèn)題,還有許多接入互聯(lián)網(wǎng)的汽車也有被遠(yuǎn)程控制的風(fēng)險(xiǎn)。然而物聯(lián)網(wǎng)這個(gè)行業(yè),不僅需要IT安全方面的技能,還需要OT安全(Operational Technology)技能,這兩個(gè)領(lǐng)域的專家?guī)缀醣舜藢?duì)對(duì)方毫無(wú)了解。所以物聯(lián)網(wǎng)安全的未來(lái),尤其需要雙方的聚力融合。

今天主會(huì)場(chǎng)的絕大部分演講討論,都是圍繞在“聚力、賦能”這個(gè)主題周圍的。如上面談到的,從數(shù)據(jù)安全、電商安全、云安全、支付安全多個(gè)安全領(lǐng)域分享這種聚力賦能的理念。其中談得最意象化的,和具有總結(jié)意義的,實(shí)際上是下午倒數(shù)第二個(gè)發(fā)言的潘柱廷——啟明星辰首席戰(zhàn)略官。

其實(shí)在差不多到近黃昏的時(shí)間時(shí),與會(huì)的觀眾都已經(jīng)差不多意興闌珊了。而潘柱廷還是以有那么點(diǎn)兒道骨仙風(fēng)的著裝意味,讓場(chǎng)下的觀眾稍稍清醒了些:他說(shuō),安全行業(yè)都要學(xué)會(huì)畫(huà)圖,安全的全局圖是分成南北半球的,南半球代表“底層類”,包括“芯片技術(shù)”“開(kāi)發(fā)過(guò)程”“底層技術(shù)”等等,北半球則有IT架構(gòu)、戰(zhàn)略、供應(yīng)鏈、資本、資金等等。

DSC_5027.jpg

啟明星辰首席戰(zhàn)略官潘柱廷,和他PPT中將安全企業(yè)格局比作棋局對(duì)弈的過(guò)程

“沒(méi)有一家企業(yè)能夠?qū)⑵渲械乃蓄I(lǐng)域通吃。”所以整個(gè)安全行業(yè)的構(gòu)成,理應(yīng)是“聚力”的。除了這張圖之外,還包括各種針對(duì)當(dāng)前安全市場(chǎng)格局的剖析圖,可以是從各種不同角度畫(huà)的圖。在這些圖呈現(xiàn)出來(lái)以后,安全企業(yè)自然知道,自己所處的位置,并在不同層面做出相應(yīng)決策。

這些所謂的格局圖究竟應(yīng)該由誰(shuí)來(lái)畫(huà),這就是個(gè)唯有聚集了整個(gè)行業(yè)之力,才能做成的事了。這種比較抽象的,針對(duì)聚力賦能的解讀方式,聽(tīng)起來(lái)還真有那么點(diǎn)兒意思。

還有哪些有趣的議題?

第一天的峰會(huì)主論壇,絕大部分演講人所述內(nèi)容基本都與“聚力賦能”掛鉤。不過(guò)也有那么些演講者,準(zhǔn)備了技術(shù)或故事層面的干貨,所以即便與大會(huì)主題不大相關(guān),卻也還挺有意思。

**由于首日議程非常密集,小編無(wú)法詳細(xì)記錄所有精彩議題,敬請(qǐng)理解

比如說(shuō):

阿里巴巴集團(tuán)技術(shù)副總裁杜躍進(jìn)《數(shù)據(jù)安全的緊迫問(wèn)題》

杜躍進(jìn)不僅是這次峰會(huì)主論壇的演講嘉賓,而且也是主持人。他針對(duì)阿里數(shù)據(jù)安全的解讀,似乎更像是一種承諾。我們?cè)谏洗蔚脑茥髸?huì)上曾經(jīng)談過(guò),Q&A環(huán)節(jié)上,兩名企業(yè)客戶對(duì)阿里云是否動(dòng)過(guò)他們的數(shù)據(jù)表示擔(dān)憂,雙方你來(lái)我往互不相讓。

“我們以前做很多事情,比如辦簽證都得填上一堆表格,要填姓名、身份證號(hào)等。我在想,這些數(shù)據(jù)本身不就在你們手上嗎?為什么要讓我來(lái)填。”這其實(shí)也是絕大部分人的擔(dān)憂。

DSC_4919.jpg

阿里巴巴集團(tuán)技術(shù)副總裁杜躍進(jìn)

杜躍進(jìn)的這次主題演講,有意于解答用戶這方面的擔(dān)憂,表明阿里這次所推的電商生態(tài)安全圈,將標(biāo)準(zhǔn)推廣到30家企業(yè),就是阿里證明自己的一種方式,在賦能的過(guò)程中,以一套“數(shù)據(jù)安全成熟度模型”來(lái)證明阿里數(shù)據(jù)安全的可靠性,并且保證數(shù)據(jù)不會(huì)被濫用。這套數(shù)據(jù)安全成熟度模型也會(huì)在明天的分論壇上更為詳細(xì)地進(jìn)行解讀。

清華大學(xué)段海新教授《端到端安全通信中的那些中間人》

比如說(shuō),我們平常用手機(jī)上網(wǎng),可能會(huì)在屏幕右下角看到一個(gè)提示流量使用了多少的小球,再比如說(shuō)我們?cè)诰频晟暇W(wǎng)發(fā)微博,微博頁(yè)面居然有酒店的廣告。這些就是所謂的“中間人”。

最早的“端到端(end-to-end)”這個(gè)概念,其基本理念就是數(shù)據(jù)傳輸需要具有一致性,完整性,可靠性的特點(diǎn),不可被篡改。不過(guò)后來(lái)清華大學(xué)的張麗霞教授提出了名為“中間盒子”的概念。她認(rèn)為,“中間盒子”的存在很正常。今天我們?cè)诎踩I(lǐng)域常用的NAT、防火墻、Proxy都是中間盒子。

4098098098985.jpg

清華大學(xué)段海新教授

其實(shí)即便是HTTPS這種為端到端設(shè)計(jì)的協(xié)議都沒(méi)能真正做到端到端。14種防病毒、家長(zhǎng)控制軟件針對(duì)TLS監(jiān)聽(tīng)代理時(shí),會(huì)利用自簽名CA證書(shū)動(dòng)態(tài)偽造所有網(wǎng)站的證書(shū),以解密TLS內(nèi)容;另外還有CDN的行為在我們常人看來(lái)也并不合理合規(guī)。所以端到端在當(dāng)今互聯(lián)網(wǎng)早就是個(gè)偽命題了,不過(guò)段海新并非要為端到端翻案,“適應(yīng)不斷的變化,是互聯(lián)網(wǎng)不變的原則”,所以這種中間盒子還是有必要的。

百度首席安全科學(xué)家韋韜《移動(dòng)生態(tài)中的安全缺位》

韋韜主要針對(duì)Android和iOS,談到了移動(dòng)操作系統(tǒng)的安全性問(wèn)題。其中Android部分的主要問(wèn)題在其生態(tài)的碎片化問(wèn)題——大量用戶還在使用Android 4.1甚至更老的操作系統(tǒng),這必然安全問(wèn)題。而且實(shí)際上谷歌向下推Android更新的過(guò)程非常繁瑣,需要經(jīng)過(guò)OEM手機(jī)制造商、運(yùn)營(yíng)商等多個(gè)層級(jí),從漏洞發(fā)現(xiàn)到最終補(bǔ)丁推到用戶的終端手機(jī),可能已經(jīng)經(jīng)過(guò)了很長(zhǎng)時(shí)間。

40980989873.jpg

百度首席安全科學(xué)家韋韜

iOS的安全問(wèn)題現(xiàn)如今也越來(lái)越嚴(yán)峻:按照韋韜所說(shuō),iOS的越獄并不像很多人想得那么難——實(shí)際難點(diǎn)是如何保證越獄以后,重啟依舊保持越獄狀態(tài)。先前用紅雪一類越獄工具的人,應(yīng)該都聽(tīng)過(guò)這種不完美越獄的局限性。那么iOS一旦被越獄,取得系統(tǒng)最高權(quán)限,自然可以攻破。越獄iPhone甚至是盜號(hào)刷單黑產(chǎn)的最佳工具。

另外就是iOS Kernel/移動(dòng)版Safari還是可以被抓到0day漏洞,利用可進(jìn)行APT攻擊。實(shí)際上iOS設(shè)備遭遇惡意程序感染,其破壞性會(huì)比Android更嚴(yán)重。因?yàn)锳ndroid的碎片化也一定程度造成惡意程序無(wú)法擴(kuò)散,但iOS設(shè)備存在高度統(tǒng)一性,擴(kuò)散之后的危險(xiǎn)性將尤為明確。

FireEye前副總裁卜崢《安全之道》

他提了幾個(gè)頗有意思的論點(diǎn),他所當(dāng)前安全行業(yè)的市場(chǎng)規(guī)模實(shí)際上已經(jīng)是游戲市場(chǎng)的3倍左右了,但卻沒(méi)有像游戲市場(chǎng)那樣像是個(gè)巨頭或者寡頭一樣存在的企業(yè)。

DSC_4885.jpg

FireEye前副總裁卜崢

首先,安全行業(yè)也不想很多傳統(tǒng)行業(yè)那樣,存在“大魚(yú)吃小魚(yú)”的市場(chǎng)現(xiàn)狀,而是“快魚(yú)吃慢魚(yú)”。哪家企業(yè)能夠率先抓住安全熱點(diǎn)或技術(shù),自然有機(jī)會(huì)以超快的速度發(fā)展起來(lái),比如FireEye找準(zhǔn)將虛擬技術(shù)和威脅檢測(cè)融合起來(lái)做產(chǎn)品的熱點(diǎn),所以FireEye在短期內(nèi)很快上市,而那些老牌企業(yè)也只能在這一熱點(diǎn)中錯(cuò)失良機(jī)。

另外還有其他原因,如沒(méi)有一家安全企業(yè)是能夠完全做到大而全的,畢竟安全是個(gè)太過(guò)龐大,甚至許多安全專業(yè)知識(shí)都不互通的行業(yè);其次更在于安全市場(chǎng)存在著國(guó)家的邊界限制,自然也就不大能夠存在巨型安全跨國(guó)企業(yè)。

DSC_4914.jpg

其實(shí)從卜崢的發(fā)言也的確再度證明了安全行業(yè)“聚力”以及隨后“賦能”的重要性。猶如很多人經(jīng)常談到的,安全是個(gè)交叉學(xué)科,沒(méi)有一個(gè)人或者一家企業(yè)能夠通吃整個(gè)行業(yè)的方方面面。也正因?yàn)槿绱耍?/span>阿里巴巴集團(tuán)CEO張勇在峰會(huì)開(kāi)場(chǎng)致辭的時(shí)候才說(shuō)到,“聚力賦能”并不是這一場(chǎng)峰會(huì)的主題,而是未來(lái)安全行業(yè)很長(zhǎng)一段時(shí)間內(nèi)的主題,原因正在于此。

* FreeBuf官方報(bào)道,本文作者:歐陽(yáng)洋蔥,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)

 
 

上一篇:2016年07月14日 聚銘安全速遞

下一篇:免費(fèi)WiFi:真有白吃的大餐?自家密碼可能“被分享”