2019 CSS互联网安全领袖峰会首日纪实 – 作者:Akane

去年的大会上,国际智能控制早期开拓者、中科院大佬王飞跃老师分享了他的三个平行世界安全观。一般人只熟悉两个世界,即“物理世界”和“心理世界”。但奥地利哲学家波普尔告诉我们,还有个第三世界——“人工世界”。他举了Alpha Go的例子,正常人类可能每天自己跟自己对弈几百万盘吗?人力有限,有些事情是时候让AI来解决了。安全亦如此。

随着大数据、云计算等基础能力的完善,AI技术正在走出实验室,承担台前幕后的各项工作,赋能安全乃至反哺业务。往年热议的话题一步步落地夯实,今年的CSS又将带给我们怎样的惊喜呢?2019年7月30日,第五届CSS互联网安全领袖峰会在京举行。今年的主题围绕“产业升级”、“安全升维”,聚集诸多行业领袖,探讨产业互联网时代的安全之道。

腾讯公司云与智慧产业总裁汤道生,腾讯副总裁丁珂,中国互联网协会理事长、中国工程院院士邬贺铨,亚马逊首席技术官、副总裁Werner Vogels,IDC安全研究副总裁Pete Lindstrom,以及国内17家上市安全公司第一负责人等行业领袖悉数出席本次峰会,以下为大会首日精彩议题内容回顾。

汤道生

产业互联网日益成为众多行业实现转型,获得发展新动能的趋势性选择,政务、金融、医疗、出行、教育、零售、工业等垂直领域,正在全面拥抱产业互联网。

Image

汤道生表示,产业互联网时代,安全出现了两大新特性。第一是产业互联网时代安全威胁的突发性更强、破坏性更大。尤其涉及国计民生的产业领域,一旦遭遇网络攻击,可能造成极大的社会影响和经济损失。第二是安全价值升维,安全不仅能帮助企业“降本”,还能显著“增效”。安全能力已成为数字时代企业核心竞争力之一,在金融、零售等领域最为明显。

面对产业安全的新特性,汤道生认为,要解决数字化时代的安全问题,需要企业从经营战略视角进行统一规划,建立系统性的安全防御机制。

换句话讲,安全不再只是CTO、CIO们的工作范畴,也需要CEO的战略关注,产业互联网时代,安全正成为CEO的一把手工程。

邬贺铨

今年以来,5G技术的发展与应用成为了行业热议的话题,邬院士为我们带来的议题是“5G安全的双刃剑”。

Image

5G和4G相比,峰值速率提高了30倍,用户体验数据率提升了10倍,一部1G的电影号称只需8秒就能下载完成。

70836829-55DF-4EE1-BF03-833374DE8DF1.png

当然,除了体验提升以外,5G网络的安全特性也得到了全方位的提升,不久前发布的《5G网络安全研究报告》做出了如下总结:

(1)增强了对用户唯一标志符的隐私保护

(2)增强了归属地网络控制力,极大降低了漫游区欺骗风险

(3)按需提供数据加密,扩大了对用户数据的保护面

(4)增强了运营商之间连接的安全性

(5)选择性拒绝终端接入,提升物联网抵御DDoS攻击的能力

(6)冗余传输安全的新方案能够有效兼顾低时延业务的可靠性和安全性

理解5G安全,必须搞清楚两个定义,就是虚拟化网络切片。关于这些专业知识的内容详细展开的话未免太过繁杂,大家可以点击蓝字详细了解。

邬院士总结道,5G带来的业务开放性、多样性、智能性、可靠性、敏捷性,为其从面向消费者应用扩展到面向产业的应用奠定了基础。毫无疑问,5G将推动工业互联网的发展 ,但其虚拟化和软件定义的能力也引入了新的安全风险,需要正视5G带来的安全挑战。

丁珂

随着各行各业的数字化程度不断加深,产业互联网时代的安全威胁,更加隐蔽、复杂,也更具破坏性,安全能力的缺失将为企业带来难以承受的损失。寻求产业转型升级的企业要如何应对产业互联网下的安全挑战,实现高质量发展,是亟待解决的问题。

Image

通过腾讯产业互联网的实践发现,在安全层面,对处于产业数字化转型期的企业而言,正在面临以下普遍困惑:

不知道如何评估安全构建投入的成效;

转型期企业普遍缺乏相关经验。

借助成熟的平台和行业经验,是这些企业加速数字化转型的最佳选择。在丁珂看来,腾讯基础安全和平台业务能力开放就像流水线生产出的“商品”,并通过能力的开放,为客户打造了摆满商品“货架”,以及更进一步的“配送服务”和全程的质保。他也坦言,企业客户对安全的需求各有不同,安全行业的合作伙伴也各有所长,整个产业互联网安全能力的构建,不可能由任何一家公司独自完成,资源共享能力互补,已成为业内的普遍共识。

Werner Vogels

亚马逊CTO Werner Vogels先生提到,他的祖国荷兰从去年开始,每年都会遭遇超过15000个左右的安全问题,这是一个西欧低地小国面临的现状,而在全世界范围内安全问题则非常普遍。

Image

回到企业层面,应对海量的安全问题,绝对不能只依靠安全团队,而应该所有人都加入到其中,要将安全纳入战略思考的高度。回想过去,假设花了6个月时间开发一款软件,然后安全问题来了,高达几千几万行的代码部署一些安全防护软件或设备就安全了吗?答案显然是否定的。

“事前不用力、使不上力,事后补漏洞”可能是很多安全团队的写照,这种情况背后存在很多的原因,比如没有实现与DevOps交付模式的有机结合,SDL的门槛对于企业现状来说难以满足,SDL的推动跟不上业务模式的发展以及各种各样的历史遗留问题导致SDL落地难等等。亚马逊的拥有运营、工程、应用与合规方向的安全团队,但公司的每一位工程师都需要承担起安全方面的职责和任务。

image.png

总的来说,Werner Vogels此行最大的目的,就是希望让更多的人理解安全问题需要让所有人都负起责任来。

Pete Lindstrom

IDC安全研究副总裁Pete Lindstrom在安全领域已有超过25年的工作经验,他今天受邀来到CSS,尝试阐述一些数字化转型在整个工业互联网当中的应用和遇到的安全问题。

Image

数字化转型在工业互联网当中的应用非常显著。围绕安全问题,IDC预测整个安全市场在2020年将过超过6万亿美元的体量。通过一项调查显示,如果实现安全自动化,可以大幅度地提升企业的生产效率。

那么我们就来看一下能够实现自动化的项目有哪些。首先身份管理、密码重置、单点登录以及高级验证,这些是可以进行自动化的。在信任方面,证书管理可以实现自动化。

当然,在25年的职业生涯中,我们也发现在数字化转型当中有些东西是无法实现自动化的。关于数字化转型的基本构建,包括大数据、云技术、分析技术、移动技术以及社交技术。这些领域应该如何建立安全保障呢?此时我们就更加需要AI的加持,只有这样,才可以确保能够满足企业的安全需求。

十大议题

随着互联网发展进入下半场,消费互联网向产业互联网的升级,AI、大数据、云计算等科技发展驱动传统产业加速数字化转型进程,产业互联网成为关系国计民生、基础设施建设的重要保障,也成为企业在数字经济时代构建核心生产力的重要基础。在此背景下,腾讯安全联合实验室掌门人以及腾讯安全业务负责人共同发布CSS视角下2019年产业互联网安全十大议题

Image

议题一:物联网及汽车产业数字化全新安全技术洞察

议题二:软件和芯片重塑世界催生出新的威胁模型

议题三:常态化网络攻防对抗成安全防御新标尺

议题四:云和万物互联时代的数据安全保护面临新挑战

议题五:新形势下的数字城市建设亟需监管科技打破监管孤岛

议题六:心系自主可控趋势下的产业安全生态新挑战

议题七:移动安全新趋势,构建垂直行业的可新生态体系

议题八:联动与整合,“智”时代的云安全

议题九:5G到来,物联终端的终端安全与认证方案迫在眉睫

议题十:整齐数字化转型中面临的安全管理挑战

腾讯安全从产业政策、技术应用、业务场景等方面对产业互联网时代的安全变化和技术趋势进行盘点和解读,诠释产业互联网的发展趋势,提升安全认知。

其他精彩内容

除此之外,首日的议题内容还包括:

郭为民

郭为民认为,安全是木桶原理,木桶最重要的是不能有短板,短板决定了能装多少水。但是木桶对于客户体验来讲还有一个更重要的点,就是木桶不能有长板,对使用的便利性有巨大的影响。而如何解决体验和风控的矛盾,实际上一直是金融行业面临的难题。

Image

他以中国银行与腾讯合作打造的网御系统为例,该系统不是单一某一项技术,而是结合大数据等技术构建了一个安全防控体系,是实时的,是不断更新的,不管犯罪分子有什么新的手段,我们能在第一时间去运用最先进的科技使我们系统更安全、更有效,用多维的方法、体系化的手段来解决安全防控问题。

作为腾讯安全的合作伙伴,郭为民还分享了一个心得,“与腾讯公司合作,我晚上睡觉都更加安稳了,因为他面临的攻击比我们要多。运用这些新技术,我们现在有信心能够保证我们客户的资金安全、交易安全”。

唐晓丹

说起汽车安全,首先很多人想到的是车载娱乐系统,这是汽车上面非常复杂、非常接近计算机的系统。唐晓丹在演讲中生动地阐述了它的演化过程,并回顾了两起注明的汽车入侵事件。

Image

恶意分子的入侵能力正在不断提升,尽管目前可能并不能对用户造成什么实质性的危害,但未来可就不好说了。因为并不是今天攻击面小,而是因为攻击所带来的收益并不高。安全不能单打独斗,他希望能集合大家的力量,一起来缔造一个安全的世界、安全的社会。

弓峰敏

弓峰敏为与会者分享了滴滴在产业互联网时代的挑战与安全行业生态共建之道。他提到,如果从宏观层面看网络安全,尤其是在做安全建设、做安全产品,有四个非常重要的因素:

一、IT基础设施技术发展;

二、业务模型越来越信息化、智能化,如业务层面AI技术和机器人的使用越来越多;    

三、关于威胁本身的发展历程。这里最重要的是随着AI的应用会引入一系列新的问题;

四、对于一个痛点的认知程度,就是安全对于每个人的责任和对他的影响以及应尽的义务,这种认知非常重要。    

Image

刘新凯

顺丰集团信息安全与内控处负责人刘新凯,总结了顺丰在数字化转型中遇到的安全挑战与机遇,并总结了企业数字化升级的过程中数据安全领域可能会遇到的通用风险。

一、数据的集中。从纸质界开始变成系统、变成OA,包括后来的ERP,数据在集中化,因此被批量泄密或批量攻击的可能变得更大。

二、互联互通。以前都是单机版的或者线下的操作,很多的时候是要物理接触才能够对系统或者数据产生影响。而万物互联时代,企业面临的风险无时不在。

三、大数据的应用。大数据的应用在每个企业都是必选项,但哪些数据可以分析?哪些数据、哪些人可以用?展现或者是分析的力度怎样平衡?大数据和安全之间如何选择一个有效合理的平衡点?

四、数据安全的管理。面对亿万级别的数据量级,企业怎么样才能进行有效的数据安全落地。

Image

此外,他还建议企业面临具体的时机和情况时,看清业务的风险点到底在哪里,根据自己的业务,不管是从业务流程的改造、模式的变化,还是在底层数据安全的分析、建设、保护,来实现更全面的企业的数据安全的保护。

今天就到这儿,明天还有包括TSec和金融、云安全等在内的六大安全分论坛等精彩看点,明天见!

*FreeBuf官方报道,未经许可禁止转载

来源:freebuf.com 2019-07-30 19:10:43 by: Akane

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论