分析：大佬怎么看2016年互聯(lián)網(wǎng)安全

分析：大佬怎么看2016年互聯(lián)網(wǎng)安全

據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的《中國網(wǎng)站安全報(bào)告(2015)》統(tǒng)計(jì)顯示，在2015年(截至2015年11月18日)中國最大的漏洞信息響應(yīng)平臺(tái)補(bǔ)天平臺(tái)收錄的網(wǎng)站漏洞中，共有1410個(gè)漏洞可能造成網(wǎng)站上的個(gè)人信息泄露，這些漏洞共涉及網(wǎng)站1282個(gè)，可能泄露的個(gè)人信息量高達(dá)55.3億條。2016年1月8日、9日，在FreeBuf舉辦的互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上，安全行業(yè)內(nèi)的各路大佬聚集在一起，共同探討安全產(chǎn)業(yè)的未來。除了隱私泄露的威脅，對(duì)于電商、O2O企業(yè)來說，安全問題攸關(guān)生死。當(dāng)下，電商、出行、O2O等行業(yè)大把燒錢圈用戶時(shí)，除了讓平臺(tái)呈現(xiàn)一種虛假繁榮，也滋養(yǎng)了一個(gè)活在暗處的群體——羊毛黨。哪里有補(bǔ)貼、秒殺，哪里就有他們的身影。這種粗暴的獲客方式，讓羊毛黨鉆了空子，兇狠起來甚至可以讓一個(gè)企業(yè)基金鏈斷裂。百度云安全資深架構(gòu)師程巖介紹說，某家O2O投入1億元補(bǔ)貼，其中有4000萬被羊毛黨“薅”走。線性資本合伙人王淮認(rèn)為，互聯(lián)網(wǎng)安全領(lǐng)域還并非主流，但機(jī)會(huì)巨大。對(duì)于安全企業(yè)來說，既是面向B端，同時(shí)也是面向C端?！氨Ｗo(hù)的是C端的數(shù)據(jù)，但付費(fèi)的是B端?！薄昂诋a(chǎn)的春天，也是安全創(chuàng)業(yè)的春天?！币胱尰ヂ?lián)網(wǎng)安全意識(shí)深入人心，除了黑產(chǎn)業(yè)興旺的激勵(lì)因素，更重要的是安全產(chǎn)業(yè)內(nèi)部的變革和創(chuàng)新。以下是幾位大佬的精彩發(fā)言。360副總裁譚曉生：數(shù)據(jù)沒有價(jià)值，有價(jià)值的是情報(bào)2015年IT熱點(diǎn)的幾個(gè)關(guān)鍵詞是：互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)、智慧城市、工業(yè)4.0、云計(jì)算以及大數(shù)據(jù)。每一個(gè)熱點(diǎn)背后都蘊(yùn)含著巨大的安全挑戰(zhàn)。比如工業(yè)4.0，工業(yè)制造系統(tǒng)變得柔性化，生產(chǎn)線也可以被攻擊，但是目前來說，傳統(tǒng)生產(chǎn)企業(yè)的安全意識(shí)很差。再比如云計(jì)算，公有云大行其道，私有云在萎縮，云端數(shù)據(jù)安全問題怎么辦？攻擊面在快速擴(kuò)大，而安全人員卻沒能夠同步補(bǔ)給上去。所以，安全生產(chǎn)中的安全需要得到重新的詮釋，從流程安全轉(zhuǎn)變到產(chǎn)品安全。在大數(shù)據(jù)之下，在安全問題的攻防戰(zhàn)中，防御取得了一點(diǎn)點(diǎn)優(yōu)勢，因?yàn)檎莆樟怂菰吹哪芰Α＜磿r(shí)攔截是很弱的，但是目前大數(shù)據(jù)是可以使用的有效武器。用大數(shù)據(jù)，可以幫助我們更簡單的完成攻擊拼圖。web攻擊數(shù)據(jù)200多PB，這么海量的數(shù)據(jù)，算法能否把攻擊特征描繪出來？數(shù)據(jù)對(duì)用戶是沒有太大價(jià)值的，有價(jià)值的是情報(bào)，是威脅態(tài)勢感知最終要產(chǎn)出的層面。威脅情報(bào)的作用將越來越明顯。知道創(chuàng)宇CEO趙偉：“水淺王八多”，安全行業(yè)急需創(chuàng)新目前，安全行業(yè)急需創(chuàng)新，要從四個(gè)層面出發(fā)。一是政策，二是產(chǎn)業(yè)，三是產(chǎn)品，四是人才。針對(duì)政策，安全行業(yè)如果國家不買單，真的發(fā)展不下去。目前的安全產(chǎn)業(yè)抄襲嚴(yán)重，供應(yīng)鏈不透明，很多廠商拿到了開源，不反饋也不公開。在惡性競爭下，很多企業(yè)采取低價(jià)中標(biāo)的方式，甚至有1分錢中標(biāo)的事情，匪夷所思。這種情形下，利益攤薄，導(dǎo)致安全企業(yè)只能以銷售為導(dǎo)向。就像一個(gè)高級(jí)的機(jī)器在沙漠挖掘，直至渴死。用一句俗話形容，就是“水淺王八多”，利潤薄，口兒又叼，還不肯放。如果這個(gè)產(chǎn)業(yè)本身都是垃圾，創(chuàng)新更加做不起來。而安全行業(yè)以銷售為模式帶來的弊端，就是會(huì)造成人才的流失。任何行業(yè)都要有人才做后盾。安全行業(yè)以前是和尚多廟少，現(xiàn)在是廟多和尚少，人才厚度已經(jīng)明顯不夠。安全的本質(zhì)問題，是對(duì)信息的爭奪戰(zhàn)。這種爭奪很多情況下是不可感知的。別人把你手機(jī)偷了你立馬知道，但是你的銀行卡密碼被盜取，你不一定能感知到。所以很關(guān)鍵的一招，就是要把安全做到可視化，粗暴一點(diǎn)說，是要讓領(lǐng)導(dǎo)看得清，看得明白。在中國，做2C有人口紅利，但是國內(nèi)安全做2B還沒有起來。國外做2B比國內(nèi)有16倍的優(yōu)勢，我們要一定要識(shí)別出我們做安全這個(gè)產(chǎn)業(yè)的特性。安全行業(yè)現(xiàn)在不能以掙錢為目標(biāo)，想掙錢可以去做黑產(chǎn)、灰產(chǎn)。我們要做的是讓這個(gè)產(chǎn)業(yè)起勢，我們是登山不是沖浪。沖浪是隨著一個(gè)一個(gè)浪潮往前進(jìn)，而登山必須一個(gè)腳印一個(gè)腳印往上爬。同盾科技馬俊驅(qū)：經(jīng)濟(jì)下滑或露端倪，最難纏的羊毛黨國內(nèi)反欺詐大體經(jīng)歷了三個(gè)階段：反欺詐1.0：發(fā)現(xiàn)簡單可疑行為(通常是事后通過慘痛教訓(xùn)獲得的)，在業(yè)務(wù)系統(tǒng)內(nèi)嵌反欺詐系統(tǒng)反欺詐2.0：將業(yè)務(wù)系統(tǒng)與風(fēng)險(xiǎn)體統(tǒng)分割，企業(yè)單打獨(dú)斗反欺詐3.0：大數(shù)據(jù)時(shí)代，聚焦詐騙分子總體上說，目前國內(nèi)企業(yè)的反欺詐還處在單兵作戰(zhàn)的階段。有些企業(yè)就說，我在反欺詐的過程中交過學(xué)費(fèi)，我為什么要把這些信息分享給競爭對(duì)手，減少對(duì)方損失？這種企業(yè)保護(hù)主義，導(dǎo)致了風(fēng)險(xiǎn)領(lǐng)域的不公平對(duì)抗。在駭客那邊，褐色產(chǎn)業(yè)鏈、地下論壇、駭客工具十分成熟，而在企業(yè)這邊，只有單一的企業(yè)風(fēng)險(xiǎn)智能。所以，未來兩年一定要做的事情，就是打破企業(yè)保護(hù)主義，跨行業(yè)聯(lián)防聯(lián)控。我在同一些企業(yè)交流的過程中發(fā)現(xiàn)，有些O2O企業(yè)，覺得羊毛黨沒關(guān)系，任由他們刷單。他們的想法是，流量上去了，數(shù)據(jù)更好看，VC估值更高，投更多錢不是很好嗎？其實(shí)，這種估值是有水分的，會(huì)誤導(dǎo)資本市場，到后面很可能無以為繼，結(jié)果就是倒閉。這就是O2O的羊毛惡性循環(huán)。微步在線創(chuàng)始人薛峰：安全行業(yè)的創(chuàng)新與機(jī)遇有國外研究機(jī)構(gòu)表明，4年之