i春秋互联网安全责任大会精彩回顾:https://www.anquanke.com/post/id/93774
浅黑科技按:1月13日,i春秋在北京办了个“互联网安全责任大会”,本以为这类大谈战略、责任的会都很虚没啥干货。不料几个大佬们一针见血地指出安全行业存在的一些问题,值得思考。我整理了奇虎360首席安全官谭晓生的演讲,在不更改原意的情况下进行了少数删改,经授权发布,希望带给大家一些对网络安全行业的认识和思考。
演讲 | 谭晓生
编辑 | 谢幺
人生总兜兜转转,有些事像上天注定。上世纪九十年代,我上大学时开始接触反病毒,中途有十几年都没搞安全,哪知 2010 年又被老周“扔”回安全团队,继续做这个事。一晃眼,我接管360这块业务又快 8年了,这期间,我也算是目睹了安全行业从野蛮生长到逐渐规范的过程。今天会议的主体是“互联网安全责任”,我们来聊聊“责任”这件事。
安全从业人员担负的职责发生了巨大变化
过去,个人信息安全不过是盗个QQ号,偷些资产,企业安全不过蒙受些经济损失;如今一个手机木马就搞个几十万,有的黑产甚至涉案上千万。企业的生产经营也越来越依赖互联网,一旦出现信息泄露,整个公司都可能要关门。甚至,网络安全如今已经能影响国家政权稳定,这些在以前根本不敢想。
正因如此,我们安全从业人员担负的职责才有了非常大的变化。以漏洞披露为例:以往,你可以出于个人兴趣报漏洞,如今还得追究你的漏洞报告是否负责任,因为(这个漏洞)可能影响非常非常之大。一年多之前,咱们圈子里有个著名的安全创业公司出了问题,吃了官司。那件事回过头来倒一倒,我所知道的情况是:一些境外不法分子拿他们披露的漏洞做坏事,产生了危害和不良影响。比如“反共黑客联盟”利用他们披露的漏洞,黑掉了一些政府、企业的网站。
大家知道,其实360 旗下也有一个与之竞争的产品叫“补天漏洞响应平台”,在那件事出之前的一年多时间里,我们和老齐一直在纠结一个问题:补天的漏洞细节到底要不要最终披露出来?这个决定真的非常非常艰难。披露漏洞细节可以吸引更多“白帽子”来平台提交漏洞,但我们最终决定不公开披露漏洞细节!
为什么会这么纠结
因为在那之前,不论是三大运营商还是一些国家机关都非常强势,你披露他们的漏洞?直接就跟你急!可不披露吧,他们又打死不改。有个安全人员跑来跟我说:“这也太操蛋了吧?!明明网站数据都能被拖走,我报给他们漏洞,他们却半年甚至一年都不响应!”这就像肉里扎了根刺,眼睁睁看着还拔不出来。难受。
更夸张的一次,某个部委在公安部和我们PK,他们直接扬言:“360敢报我们漏洞?把它给关了!” 当时我们面临的就是这么个情况。怎么办呢?那难道看见漏洞就不报了?当时大家用的办法是,漏洞还是要报,但同时告诉一些记者,媒体一披露,老百姓全都知道了,最后有漏洞的企业和政府机构经不住舆论压力,只能去把漏洞给修了。这就是所谓的“野蛮生长阶段”。那时法制还没跟上,人们的信息安全意识也相对薄弱,我们只能通过一些非常规手段去逼迫他们整改,大家都经历了这么个阶段。
但是,后来这事开始变化。网络安全事件一多,政府部门、企业也认识到了修复漏洞的必要性。2016年以来,几大运营商的漏洞修复率达到百分之百,报一个修一个。那么问题来了,这种情况下,发现漏洞后是不是还一定要把他们拉出来示众?当时我们评估之后认为,从漏洞修复的角度来说,已经不需要了。虽然披露漏洞细节仍有一个好处,就是刚才说的:能吸引白帽子到平台来学习挖漏洞技术。
当时我和老齐决定,宁可牺牲一部分对白帽子的吸引力,也做到更负责任。我们觉得如果漏洞只告诉其拥有方,而不透露给其他人,潜在危害就会小很多,就这么一个因素,让补天平台不再公开披露漏洞细节。当年那件事出时,我一度为自己感到庆幸,如果不是一年多之前做了那个决定,最后被抓人的可能不仅仅是对方了。为那件事我们还去公安部和有关部门解释了很多次,仔细讲明白这中间的流程是怎样的,以及我们永远都不会公开披露其中的的漏洞细节。
回过头来看,最早我们用“野蛮”的方法,通过媒体舆论来逼迫信息系统的拥有者修复漏洞,这件事是对的。在当时没有更好办法的情况下,我们那样做,是负责任的表现。但后来,不论是法律法规,还是整个环境都逼得这些单位已经有了漏洞修复意识时,不披露漏洞的细节,这是一种负责任的行为。
今天,当很多单位都有自己的SRC和漏洞奖励计划时,你通过SRC或相应平台去帮助它们提高安全水平,同时获得相应回报,这也是负责任。
接下来说说安全企业的责任
CNCERT 云晓春总工披露过一组数据:
在美国,信息安全预算占IT总预算的10%,在中国只有2%。
为什么这么少?前阵子我和某个大国企的CIO闲聊,他说的一句话值得诸位同僚思考,他说:“哎呀,我们现在遇到的问题是预算花不完!”—— 请注意!他们不是在安全上没预算,而是有预算却花不完,结果来年只能降预算。为什么出现这种情况?安全企业自己作的呀!每次一竞标,就开始拼命地杀低价格,这让安全行业一度进入低价竞标的恶性循环。
讲个故事:
某政府机构想做全年Web防护以及安全培训,预算200万。我的销售通过各种渠道打听到,这个标至少要竞到40万以下,我当时一听就觉得很难受:40万以下肯定是赔钱的,全套安全防护还外加培训,40万成本肯定没戏。然后他问我,最低多少能接受?我说:最低……33万吧,不能再低,不然就实在没意思了。
谁能料想,最后某个华东区的合作伙伴23万把项目拿走了。其实竞标价降到30万时,销售来找过我审批,我说打死也不能批了,丢不起这人,即便我们百分之百比对方更赔得起这钱,也不能带这个头,这件事对产业发展实在不利。一来会造成用户预算花不完,二来恶性低价竞争会导致用户得不到一个足够好的产品和服务,最终拉低整个行业水平。这件事一下子要改变起来很艰难,听说最近政府招标采购的相关规定有所改变,不一定要最低价中标了,希望能带来一些好转。
但是,我觉得咱们可以参照国内外其他行业,成立一些行业协会之类的,努力尝试去完成一个自我救赎,而不是仅仅依赖政府来帮我们。客户有预算花不完,我们又过得特别苦逼,最后还不能很好地帮用户解决问题,这是整个网络安全产业界需要共同解决的问题,大家需要共同承担责任。
还有一个责任是人才培养
我们经常遇到这种情况:客户买了一堆安全设备,结果像是买了一堆枪和炮,却没有人会操作。这其实是人的问题,我们过去一直说网络安全人才难培养,确实如此。对于研究型、攻击型的网络安全人才,一所大学每年能找到的恐怕只有个位数。但我们应该看到另一方面,网络安全除了研究型、攻击型人才之外,还需要大量防御型人才。
好比打仗,我们既需要特种兵,也需要普通士兵。前者往往完成手术刀式的特种作战任务,而后者每天操作各种网络安全设备、各种服务平台,结合实际情况来做好日常安全响应。我和永信至诚的蔡晶晶都相信第二种人可以批量培养。由此,360 在2017年年底时也成立了网络安全学院,我们会和永信至诚进行很多合作,和各大院校合作,批量培养网络安全防御型人才。
我们的目标是一年以万为单位培养防御型人才,这些人才最终会被安全公司吸纳一部分,也会输送一部分给咱们的用人单位。其实当你把它当成一种就业培训时,它的用人成本自然也会降下来。做防御并不一定非要找很多水平很高的黑客来。我刚开始管360信息安全时,用的是水平很高的安全人员在做,但这对于普通企业来说,这个成本可能难以承担。
填补网络安全人才缺口,是我们要承担的责任。不仅要把它当责任,还应该把网络安全教育做成一个能挣钱的生意,让它持续运行下去,形成一条产业,源源不断地输送人才,而不是要靠政府的补贴等等才能做下去。过去这些年,我和不少优秀的安全研究人员、黑客打过交道,这个群体里,思维偏执者还是比较多的。但我今天想说,我们正处在一个风云变化的时代。从一开始的野蛮生长,到今天已经有《网络安全法》等一系列法律的规制。
外部环境一直在变,我们安全从业人员也要随之发生一些转变,完成从野蛮生长到商业环境,再到国家安全责任背景之下的转化。我认为这非常重要,也是我们负责任的体现。谢谢!
图为2018互联网安全责任大会现场,时间2018年1月13日,主办方i春秋
浅黑科技,让技术被读懂
文章原文链接:https://www.anquanke.com/post/id/95373