上个月FreeBuf在成都参加云栖大会的时候,阿里云从头到尾一直在提的一个词汇就是“赋能”。这个词当时的意思非常简单:企业都把数据搬迁到云端了,以后安全问题其实也就是云计算的安全问题了,由于安全问题比较复杂,非阿里云一家之力可完成,所以找来了众多安全企业一起来做安全。而在阿里云看来,这种模式对安全企业而言是种进步,而且还为安全企业提供了便利,也就是阿里云逻辑中的“赋能”。
来这次2016阿里安全峰会之前,大致上看到峰会的SLOGAN“聚力、赋能”的时候,我们就想,应该就是谈谈阿里在缔造平台的过程中,是如何为安全企业提供便利这回事吧。倒是未想见,这次阿里不仅将“聚力赋能”贯穿全场,而且还将其范围做了极大的扩张。
聚力——不只是聚安全企业之力
其实这次在北京国家会议中心共同发起这场阿里安全峰会的,除了阿里巴巴集团之外,还有蚂蚁金服集团。这家公司来头不小,支付宝即是其旗下产品,自可见它在安全领域的重要性。
我们知道,支付宝主要是安装在手机端的应用,是现代人购物甚至投资理财的重要工具。这东西如果不安全,那的确得出大乱子了。蚂蚁金服安全产品技术资深总监,冯春培在谈到自家应对安全问题的策略时,提到了“应急中心AFSRC威胁情报平台”的建立,这个平台结合了白帽子、安全公司、高校,还有第三方平台等多方力量。这其实就体现出一种“聚力”,即不止是凭借一己之力来抵挡安全风险。
蚂蚁金服技术资深总监冯春培
不过其实这还不能凸显这次阿里要说的“聚力”。蚂蚁金服还提到了IFAA联盟。这个联盟的成员不仅有一般的安全企业,还有中兴这样的手机厂商,高通、Intel这样的芯片厂商。为什么需要这些成员的加入?如支付宝这类应用的安全问题,从芯片底层(如TrustZone)到操作系统,再到应用层本身,每个层级都有参与者,而且也都需要他们的协力,才能针对支付宝起到比较完整的保护作用,缺了任何一环都是不行的。
百度首席安全科学家在谈《移动生态中的安全缺位》时也谈到了这个问题,如Android系统的问题,实际上并不仅限于系统本身,比如ARM芯片中的TrustZone黑匣子,“一样没有办法拯救世界”。光这一个问题,涉及到的企业就包括谷歌、ARM、高通等不同层面的科技企业。这便体现出“聚力”的扩展性。
另外聚力的范围,这次在阿里看来是远不止上面谈到的这些科技企业的:这场峰会的前半程有不少政府部门领导的发言,包括网信办、公安部网络安全保卫局、工信部通信保障局、国标委工业标准二部的几名负责人。他们发言的主题大抵上没有脱离“聚力”的范畴,即便在政府看来,网络安全既然已经得到习近平主席的重视,自然该由政府来牵头向前,不过总的来说,仍旧需要不同的部门、企业、教育机构的配合才能完成。
其实阿里巴巴集团自己在很多业务方面,就有“聚力”存在的依据,比如淘宝这样的电商。从淘宝所在的阿里云,到淘宝自身,再到商家、ISV服务商、物流。每一环的安全都很重要,这可以算是阿里巴巴提出“聚力”的立足点。
阿里巴巴集团CEO张勇
所以今天峰会主论坛上,一波小高潮的内容即在于阿里巴巴宣布电子商务生态安全联盟的成立。按照阿里自己的说法,电商生态安全联盟,实际上是为了普及、推行某种安全标准,整体提升电商生态的安全能力。这种“联盟”的形态正是“聚力”的实际表现形式。
然而另一方面,这在阿里看来,也是为整个行业“赋能”的方式。将这套标准和经验,推广到30家企业,不仅是为这些企业的赋能,也是为整个电商领域的赋能。
赋能——不只是为安全企业赋能
“赋能”和“聚力”原本就是一对相辅相成的概念,就好像集合一群人之力去做事,这一群人之力实际上也是在为每个个人赋能。所以我们才说,电子商务生态安全联盟的成立,既是“聚力”,也是“赋能”。
阿里巴巴集团商家事业部经理张阔在谈《商业生态 安全赋能》的主题时,在为电商赋能的问题上就谈得更加具体了。他谈到了当前互联网发展的趋势,比如说无线上网做到了随时随地,所以阿里为商家提供直播服务,加上阿里在大数据方面的积累以及全渠道的优势,某次AngelaBaby在线上直播,仅一次就让美宝莲的化妆品销量大增。这即是阿里为电商赋能的一种具体表现。
阿里云资深总监肖力
至于阿里云为商家,或者企业提供的安全赋能,以及针对当前主流的安全企业SaaS化的赋能,原本就是阿里云始终在宣传的。阿里云资深总监肖力所做的演讲实际上仍是在重复这些“赋能”的事实,只不过似乎是为了回应上一次很多企业客户担心阿里云会不会动他们的数据的问题,肖力倒是特意在这次的PPT中多加了一屏:阿里云的数据审计,是经过了不少国际安全认证的。不知道这样能不能真的令企业客户放心。
360公司副总裁谭晓生
还有360公司副总裁谭晓生针对物联网威胁的解读。物联网市场在安全方面原本就处在发展的初级阶段,比如大量的云安全摄像头都存在严重的安全问题,还有许多接入互联网的汽车也有被远程控制的风险。然而物联网这个行业,不仅需要IT安全方面的技能,还需要OT安全(Operational Technology)技能,这两个领域的专家几乎彼此对对方毫无了解。所以物联网安全的未来,尤其需要双方的聚力融合。
今天主会场的绝大部分演讲讨论,都是围绕在“聚力、赋能”这个主题周围的。如上面谈到的,从数据安全、电商安全、云安全、支付安全多个安全领域分享这种聚力赋能的理念。其中谈得最意象化的,和具有总结意义的,实际上是下午倒数第二个发言的潘柱廷——启明星辰首席战略官。
其实在差不多到近黄昏的时间时,与会的观众都已经差不多意兴阑珊了。而潘柱廷还是以有那么点儿道骨仙风的着装意味,让场下的观众稍稍清醒了些:他说,安全行业都要学会画图,安全的全局图是分成南北半球的,南半球代表“底层类”,包括“芯片技术”“开发过程”“底层技术”等等,北半球则有IT架构、战略、供应链、资本、资金等等。
启明星辰首席战略官潘柱廷,和他PPT中将安全企业格局比作棋局对弈的过程
“没有一家企业能够将其中的所有领域通吃。”所以整个安全行业的构成,理应是“聚力”的。除了这张图之外,还包括各种针对当前安全市场格局的剖析图,可以是从各种不同角度画的图。在这些图呈现出来以后,安全企业自然知道,自己所处的位置,并在不同层面做出相应决策。
这些所谓的格局图究竟应该由谁来画,这就是个唯有聚集了整个行业之力,才能做成的事了。这种比较抽象的,针对聚力赋能的解读方式,听起来还真有那么点儿意思。
还有哪些有趣的议题?
第一天的峰会主论坛,绝大部分演讲人所述内容基本都与“聚力赋能”挂钩。不过也有那么些演讲者,准备了技术或故事层面的干货,所以即便与大会主题不大相关,却也还挺有意思。
**由于首日议程非常密集,小编无法详细记录所有精彩议题,敬请理解
比如说:
阿里巴巴集团技术副总裁杜跃进《数据安全的紧迫问题》
杜跃进不仅是这次峰会主论坛的演讲嘉宾,而且也是主持人。他针对阿里数据安全的解读,似乎更像是一种承诺。我们在上次的云栖大会上曾经谈过,Q&A环节上,两名企业客户对阿里云是否动过他们的数据表示担忧,双方你来我往互不相让。
“我们以前做很多事情,比如办签证都得填上一堆表格,要填姓名、身份证号等。我在想,这些数据本身不就在你们手上吗?为什么要让我来填。”这其实也是绝大部分人的担忧。
阿里巴巴集团技术副总裁杜跃进
杜跃进的这次主题演讲,有意于解答用户这方面的担忧,表明阿里这次所推的电商生态安全圈,将标准推广到30家企业,就是阿里证明自己的一种方式,在赋能的过程中,以一套“数据安全成熟度模型”来证明阿里数据安全的可靠性,并且保证数据不会被滥用。这套数据安全成熟度模型也会在明天的分论坛上更为详细地进行解读。
清华大学段海新教授《端到端安全通信中的那些中间人》
比如说,我们平常用手机上网,可能会在屏幕右下角看到一个提示流量使用了多少的小球,再比如说我们在酒店上网发微博,微博页面居然有酒店的广告。这些就是所谓的“中间人”。
最早的“端到端(end-to-end)”这个概念,其基本理念就是数据传输需要具有一致性,完整性,可靠性的特点,不可被篡改。不过后来清华大学的张丽霞教授提出了名为“中间盒子”的概念。她认为,“中间盒子”的存在很正常。今天我们在安全领域常用的NAT、防火墙、Proxy都是中间盒子。
清华大学段海新教授
其实即便是HTTPS这种为端到端设计的协议都没能真正做到端到端。14种防病毒、家长控制软件针对TLS监听代理时,会利用自签名CA证书动态伪造所有网站的证书,以解密TLS内容;另外还有CDN的行为在我们常人看来也并不合理合规。所以端到端在当今互联网早就是个伪命题了,不过段海新并非要为端到端翻案,“适应不断的变化,是互联网不变的原则”,所以这种中间盒子还是有必要的。
百度首席安全科学家韦韬《移动生态中的安全缺位》
韦韬主要针对Android和iOS,谈到了移动操作系统的安全性问题。其中Android部分的主要问题在其生态的碎片化问题——大量用户还在使用Android 4.1甚至更老的操作系统,这必然安全问题。而且实际上谷歌向下推Android更新的过程非常繁琐,需要经过OEM手机制造商、运营商等多个层级,从漏洞发现到最终补丁推到用户的终端手机,可能已经经过了很长时间。
百度首席安全科学家韦韬
iOS的安全问题现如今也越来越严峻:按照韦韬所说,iOS的越狱并不像很多人想得那么难——实际难点是如何保证越狱以后,重启依旧保持越狱状态。先前用红雪一类越狱工具的人,应该都听过这种不完美越狱的局限性。那么iOS一旦被越狱,取得系统最高权限,自然可以攻破。越狱iPhone甚至是盗号刷单黑产的最佳工具。
另外就是iOS Kernel/移动版Safari还是可以被抓到0day漏洞,利用可进行APT攻击。实际上iOS设备遭遇恶意程序感染,其破坏性会比Android更严重。因为Android的碎片化也一定程度造成恶意程序无法扩散,但iOS设备存在高度统一性,扩散之后的危险性将尤为明确。
FireEye前副总裁卜峥《安全之道》
他提了几个颇有意思的论点,他所当前安全行业的市场规模实际上已经是游戏市场的3倍左右了,但却没有像游戏市场那样像是个巨头或者寡头一样存在的企业。
FireEye前副总裁卜峥
首先,安全行业也不想很多传统行业那样,存在“大鱼吃小鱼”的市场现状,而是“快鱼吃慢鱼”。哪家企业能够率先抓住安全热点或技术,自然有机会以超快的速度发展起来,比如FireEye找准将虚拟技术和威胁检测融合起来做产品的热点,所以FireEye在短期内很快上市,而那些老牌企业也只能在这一热点中错失良机。
另外还有其他原因,如没有一家安全企业是能够完全做到大而全的,毕竟安全是个太过庞大,甚至许多安全专业知识都不互通的行业;其次更在于安全市场存在着国家的边界限制,自然也就不大能够存在巨型安全跨国企业。
其实从卜峥的发言也的确再度证明了安全行业“聚力”以及随后“赋能”的重要性。犹如很多人经常谈到的,安全是个交叉学科,没有一个人或者一家企业能够通吃整个行业的方方面面。也正因为如此,阿里巴巴集团CEO张勇在峰会开场致辞的时候才说到,“聚力赋能”并不是这一场峰会的主题,而是未来安全行业很长一段时间内的主题,原因正在于此。
发表评论