烏云網方小頓:消失的數據邊界外面有一群狼在等著 | 2015IT價值峰會
作者:吳寧川 ITValue / 日期:2015-08-18
烏云網創始人方小頓(劍心)在2015 IT價值峰會上說���,互聯網模式下企業內部IT系統一打開�����,外面就是一群狼���!如果連這些狼是什么都不知道�,那么企業都不知道是怎么死的!
烏云網是一個白帽子黑客(相對于惡意的黑帽子黑客而言)社區���,通過發現和通報企業的安全漏洞,督促企業在信息安全方面改進���,讓企業安全防御形成良性循環。近年來企業界的多項信息安全事件都由烏云網爆光而引起業界關注�,包括前幾個月的攜程網癱瘓事件���,以及去年酒店行業影響巨大的客戶信息泄漏事件等�����。
“互聯網+”時代,信息安全問題陡生!有黑客說�����,互聯網金融就是黑客的提款機�!傳統企業和社會性功能接口對互聯網開放,曾經的機密信息、用戶權限等對外暴露無余���,現在已經進入了網絡信息安全無邊界的時代!
以下是方小頓在2015 IT價值峰會上的分享內容,經ITValue整理:
方小頓:首先介紹一下我自己,我是安全團隊80sec創始人,這個團隊曾經發現了谷歌以及很多開源系統的安全問題�����。后來我到百度成為了百度安全負責人�����,帶領百度的安全團隊從5個人做到30多個人,之后離開百度創建了一個社區叫做烏云漏洞平臺���。當然,僅做社區還是不夠�,于是我們有了自己的一個安全產品�,這是一個基于SaaS的云安全產品叫唐朝云安全�。
1用戶、業務與行業的互聯網化
現在很多的業務本質上已經因為互聯網的介入而發生了很大的改變�。金融行業出現了P2P公司�����,雖然此類公司本身在經營金融業務,但是實際上所有的業務都被強制公開了�����。如果不注重信息安全�,那么包括用戶數據以及每天的結算數據在內的重要信息都能很輕易地被獲取。
整個互聯網化是不可逆轉的趨勢�,當每個用戶互聯網化后���,會對產業上下游產生不可預測的影響�。例如,中國人壽與產業鏈上下游打通之后�����,中國人壽的信息安全可能影響到華住酒店���,華住酒店的信息安全反過來也會影響到中國人壽�。
京東是一個電子商務的平臺,但它的安全性也會跟技術社區的安全性聯結在一起的�����。我們通過一個泄露的數據庫做了一個測試�,發現CSDN技術社區出現的問題也可以影響到電商的數據。電商的數據很敏感的�,因為這里面包括了交易的數據�。我們今天核心談的是安全�����,安全核心的影響是什么?就是數據�����。
2數據邊界的消失
用戶�����、業務與行業的互聯網化���,首先帶來的第一個變革就是已經不知道數據存放在哪里了�。每天早晨起來打開手機�,發現移動的終端上沒有數據了。特別是很多做saas業務的人員�����,他們的手機上面其實不存留數據���。傳統的情況下�����,把數據存儲在家里的電腦上�����,這個讓人感覺放心。但即使把手機和電腦鎖在家里,就能說是安全的嗎?
微信上有朋友的數據���,企業的SaaS云有工作的數據���,數據邊界正在消失�����。在這種前提下�,安全怎么樣做���?傳統的安全很簡單�����,有針對筆記本電腦的數據安全軟件�����。但現在對于傳統做IT安全的來說,數據已經不再存儲在自己的服務器上面了,而是存儲在云端�����。甚至為了業務的發展,需要把數據通過VPN開放給產業鏈上下游,與不同產業鏈上的企業和用戶打通數據���。那么,當企業主動把數據放在云端,防火墻就不再起作用了,安全的邊界就消失了�。但是�����,云計算數據中心卻不會把安全措施共享給企業。
安全邊界消失了之后,責任邊界也在隨之消失���。烏云社區里可以看到一個典型的例子�����,阿里云用戶手機中了木馬�����,木馬把銀行的錢盜走了,真正受損失的是銀行。銀行���、用戶、運營商,到底錢是在哪消失的���,問題出在哪方身上?因為現在安全的全部鏈條都是連接的�����,所以安全責任并不在用戶這里�����,而是在銀行業務這里���,這就是責任邊界的模糊和消失���。
3對于互聯網安全的挑戰
數據邊界的消失給互聯網帶來了極大的安全挑戰�����。以前的安全措施很簡單���,傳統的IT安全只考慮內部的業務和數據�����,內部IT系統天然形成了一堵“墻”�����,這個“墻”就是傳統IT的邊界。但是現在為了業務���,這個“墻”要主動拆掉,要與合作伙伴打通�����。但拆掉這個“墻”帶來的一個根本性的變化�,就是要直接面對外部黑色產業鏈沖擊的威脅,而這個黑色產業鏈已經發展了七八年左右的時間�。
以前有內部系統構成的“墻”保護�,黑客攻擊的成本高一些�,現在這個“墻”拆掉了,攻擊成本也降低了�。加上數據的云化�����,以及互聯網很大的想象空間,企業面臨著不可預知的威脅�����。比如���,聽說過一個電商�����,是一個傳統商場的電商公司���,當電商業務開放第一天�����,搞了一個成交一單送一袋洗衣粉的活動,結果那天送了70多萬袋洗衣粉出去�����。之前企業沒有考慮做這個事情能帶來什么威脅�����,因為是內部的系統�。當內部系統對外開放后�,必須知道將面對外面的一群狼,如果連這些狼都沒有聽說過,那就非常危險了。
現在的現實是最大的出租車公司Uber沒有一輛汽車,最大的租房子公司沒有一間自己的房子�。烏云網實際上已經嘗試類似的模式了���,這就是唐朝安全�。我們從在座的企業中選了一家做了一個測試���,大概發現了568個安全問題�����,這個就是當前的安全現狀�。所有人都說安全太重要了�,但是都不把安全當成是最緊急的���。這就像大家說健康重要但是今天跑步是不最重要的一樣�����,這個心態必須要有所轉變?��。ū疚挠蒊TValue記者吳寧川根據烏云網方小頓在2015IT價值峰會上的演講整理)
