c s s 2018大會討論現(xiàn)場。

騰訊

副總裁丁珂

騰訊云

副總裁黎巍

8月27日，第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會在京舉行。本屆峰會以“安全強驅(qū)動 數(shù)字新生態(tài)”為主題，吸引了來自互聯(lián)網(wǎng)金融、智能汽車、物聯(lián)網(wǎng)、智能硬件等多個熱門產(chǎn)業(yè)領(lǐng)域的企業(yè)和專家參與。騰訊高級副總裁丁珂在致辭中表示，在數(shù)字經(jīng)濟時代，信息安全已經(jīng)不只是一種基礎(chǔ)能力，還是產(chǎn)業(yè)發(fā)展、社會正常運轉(zhuǎn)的驅(qū)動力，傳統(tǒng)企業(yè)急需在安全認知升維和轉(zhuǎn)換安全觀兩個方向上努力。

加大安全投入未能有效降低信息安全風(fēng)險

隨著大數(shù)據(jù)、人工智能、云、物聯(lián)網(wǎng)等技術(shù)的發(fā)展，以及傳統(tǒng)領(lǐng)域數(shù)字化變革進程的不斷深入，網(wǎng)絡(luò)安全問題越來越復(fù)雜，其重要性也越來越凸顯。

公安部網(wǎng)絡(luò)安全保衛(wèi)局副局長鐘忠在致辭中提到，今年公安部在全國范圍內(nèi)開展了“凈網(wǎng)2018”專項行動，已查獲涉網(wǎng)違法犯罪案件兩萬兩千多起，涉及違法犯罪嫌疑人三萬余名。他強調(diào)，公安部在行動中加大了對互聯(lián)網(wǎng)安全的治理力度。

以上半年多個wifi密碼分享軟件被曝涉嫌入侵他人wifi網(wǎng)絡(luò)、竊取用戶個人信息為例，公安部網(wǎng)絡(luò)安全保衛(wèi)局集中約談了相關(guān)企業(yè)，并向境內(nèi)提供服務(wù)的119家企業(yè)提出五項指導(dǎo)性措施要求。鐘忠透露，截至目前，有30多家企業(yè)按照管理要求進行了改善，90多家企業(yè)停止了相關(guān)服務(wù)，20多家問題嚴重的企業(yè)采取了下線措施。

不過，在對傳統(tǒng)安全問題加大整治力度的同時，新型安全問題也在不斷涌現(xiàn)。

1月，日本最大的加密貨幣交易所之一coincheck遭遇黑客攻擊，平臺價值5.3億美元的數(shù)字貨幣被非法轉(zhuǎn)移。6月起，p2p網(wǎng)貸行業(yè)頻繁發(fā)生法人跑路、平臺失聯(lián)等事件，用戶資金無法贖回，個人信息也不知去向。

gartner group 4月的報告顯示，全球安全產(chǎn)業(yè)規(guī)模穩(wěn)步增長，2017年規(guī)模達990億美元，2018 年預(yù)計增長至1060億美元。然而，投入持續(xù)加大并未有效降低信息安全風(fēng)險。ponemon institute的報告顯示，2017年全球企業(yè)遭受網(wǎng)絡(luò)攻擊總量較前年增長15%，嚴重性增加了23%——破壞的嚴重性已經(jīng)不再局限于傳統(tǒng)意義上的物質(zhì)、財產(chǎn)損失，而是會影響到運營、制造乃至人的生命安全。

丁珂認為，這些現(xiàn)象都在傳遞一個訊息：在數(shù)字經(jīng)濟時代，信息安全已經(jīng)不只是一種基礎(chǔ)能力，還是產(chǎn)業(yè)發(fā)展、社會正常運轉(zhuǎn)的驅(qū)動力。“安全已成為所有0前面的1，沒有了1，所有0都失去了意義。”

傳統(tǒng)企業(yè)的安全認知升級應(yīng)超越現(xiàn)有業(yè)務(wù)邊界

“我一直在想，我們的網(wǎng)絡(luò)環(huán)境到底是變好了，還是面臨著更多新的問題？”丁珂指出，傳統(tǒng)安全問題可以由規(guī)范驅(qū)動解決，但是新型安全問題往往伴隨著最新技術(shù)的發(fā)展，新技術(shù)發(fā)展越快、商業(yè)模式越清晰，安全配套措施反而越缺失。

因此，他認為，數(shù)字安全新生態(tài)建設(shè)需要在兩大路徑上努力：首先是安全認知升維。2017年，騰訊安全科恩實驗室的研究團隊受邀為寶馬提供技術(shù)支持，在13個月的時間里，發(fā)現(xiàn)了14個不同的安全問題。“對于傳統(tǒng)企業(yè)而言，安全認知升級應(yīng)該超越現(xiàn)有的業(yè)務(wù)邊界，因為安全問題未必出現(xiàn)在原有的體系內(nèi)”，他說。

其次是轉(zhuǎn)換安全觀。傳統(tǒng)安全觀以攻防為主體，面對新的數(shù)字生態(tài)，應(yīng)該跳出攻防概念，以協(xié)作為基礎(chǔ)，推動政府、企業(yè)、用戶聯(lián)動，共同提升防護意識，避免鏈條中某一環(huán)節(jié)被攻破導(dǎo)致整個生態(tài)體系的安全防護毀于一旦。

南都記者了解到，騰訊未來將在現(xiàn)有的七大實驗室之外成立新的實驗室，投入重點將是人工智能方面，尤其是與網(wǎng)絡(luò)安全的結(jié)合。

騰訊云副總裁黎巍：

企業(yè)當(dāng)下仍普遍存在安全短板

“過去十年來，全球各大企業(yè)對安全的投入翻了不止十倍，各類安全公司皆不遺余力地開展研究和創(chuàng)新，為什么我們的網(wǎng)絡(luò)世界依然疲于攻防應(yīng)對？”第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(css2018)主論壇上，騰訊云副總裁黎巍在主題發(fā)言中表示，超過80%的企業(yè)打造的是“城門大開，無人值守的安全長城”。

據(jù)黎巍介紹，騰訊云在與企業(yè)客戶的接觸過程中發(fā)現(xiàn)，隨意的弱密碼、基本的系統(tǒng)漏洞不修補、對預(yù)警的安全風(fēng)險視而不見等問題普遍存在。有企業(yè)花費數(shù)百萬元購買各種安全設(shè)備，買回來后卻將這些設(shè)備擱置一旁，連電源都沒有接通。

“幾乎每一家互聯(lián)網(wǎng)企業(yè)都在安全方面投入巨大成本，但在企業(yè)安全意識不足、網(wǎng)安人才短缺、企業(yè)安全制度和規(guī)范不夠完善的當(dāng)下，幾乎超過80%的企業(yè)打造的是‘城門大開，無人值守的安全長城’。”黎巍說。

他同時指出，盡管新型攻擊方式不斷出現(xiàn)，ddos攻擊、ssh暴力破解等簡單高效的傳統(tǒng)攻擊方式卻仍在被廣泛使用，甚至有愈演愈烈之勢。以ssh暴力破解攻擊手段為例，今年7月份，騰訊云為客戶攔截的暴力破解超過3億次。根據(jù)騰訊安全云鼎實驗室的報告，攻擊最常用弱密碼前三名分別是admin、pass-word、root，占攻擊次數(shù)的98.7%。

在企業(yè)普遍存在安全短板、行業(yè)整體應(yīng)對能力較弱的現(xiàn)狀下，騰訊云正在圍繞智慧安全與云管端協(xié)同防控兩大領(lǐng)域展開探索。黎巍介紹，騰訊人工智能引擎已在金融反欺詐等領(lǐng)域取得明顯成效，2017年1月至今，騰訊云天御反欺詐系統(tǒng)累計識別了4000萬次惡意申請，避免了超過千億的資金風(fēng)險。

云管端協(xié)同防控，則是騰訊這兩年一直在強調(diào)的安全理念。據(jù)了解，“云管端”的概念最早出現(xiàn)于2010年，云指業(yè)務(wù)，管指接入網(wǎng)，端則指終端。隨著越來越多的企業(yè)依托公有云廠商開展業(yè)務(wù)，以公有云為目標的攻擊呈明顯上升趨勢。黎巍認為，在安全邊界模糊后，安全防御將不同于以往的單點防御，企業(yè)需要構(gòu)造云管端的全鏈路防控，通過信息聯(lián)動與異常行為關(guān)聯(lián)發(fā)現(xiàn)更多隱蔽威脅。

世界頂級黑客：

黑掉gps對無人駕駛汽車影響不大

27日的第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會上，被稱為“汽車黑客開山鼻祖”的世界頂級黑客charlie miller的現(xiàn)身讓很多人激動不已。他曾發(fā)現(xiàn)蘋果的多個重大系統(tǒng)漏洞，并曾連續(xù)四年獲得全球頂級黑客大賽pwn2own的冠軍，但最為人津津樂道的還是他曾經(jīng)黑進jeep車的系統(tǒng)，迫使jeep母公司召回了140萬輛有系統(tǒng)漏洞的汽車。

如今，miller是美國通用汽車旗下cruise自動駕駛安全的首席架構(gòu)師。在他看來，自動駕駛的汽車目前是有一些安全優(yōu)勢的。

miller介紹，首先自駕車目前還沒有普及，基本都是汽車開發(fā)公司內(nèi)部使用，給黑客了解汽車構(gòu)造設(shè)置了門檻，使用者也可以時刻關(guān)注汽車是否存在問題，及時更新系統(tǒng)，把車保持在比較好的狀態(tài)；其次普通汽車都有一個主要控制者，比如用手機通過藍牙、wifi控制，而自駕車完全不需要這些功能，黑客攻擊的機會自然隨著外部通訊進入汽車的入口減少而降低。

“大家可能認為定位軟件被篡改會使自駕車受到很大的破壞，但實際上自駕車并不怎么依賴gps，而是用的內(nèi)部地圖”，miller解釋說，自駕車有非常細致的周圍環(huán)境地圖，上面有很多細致的標注，因此除了gps，還可以根據(jù)內(nèi)部地圖定位。“你改變一個標識，或者把這個標識從公路上移掉，都不會讓自駕車陷入迷惑”，他認為，針對gps的黑客技術(shù)不會對自駕車有多大影響。

不過，自駕車也有不少和傳統(tǒng)汽車截然不同的安全風(fēng)險。miller最關(guān)注的是遠程攻擊，基于自駕車的屬性，如果一輛可以被成功入侵，就意味著所有的自駕車都可能被攻破；另一種則是感應(yīng)器攻擊。他指出，自駕車往往有比較復(fù)雜的感應(yīng)器，比如激光雷達。感應(yīng)器一旦被篡改，汽車就會做出異常行為，甚至以一種危險的方式行駛。

對自駕車的安全保護，跟傳統(tǒng)的方式有所不同，但也有一些共同的挑戰(zhàn)。miller認為，雖然現(xiàn)在自駕車仍處于開發(fā)階段，但是新的安全問題往往與快速發(fā)展的技術(shù)相伴。“所以我們現(xiàn)在就要把安全做好，避免自駕車在未來陷入重大的安全問題”，他說。

以上是網(wǎng)絡(luò)信息轉(zhuǎn)載，信息真實性自行斟酌。