安全正成為行業(yè)洗牌的主要推動力
在業(yè)務發(fā)展走向云端的今天,企業(yè)在快速擴張業(yè)務的同時,已經越來越認識到安全的重要性,并且在這一領域加強投入。而安全不僅牽涉到業(yè)務安全、資金安全和用戶隱私,而且已經影響到企業(yè)的全面運營。
4月10日,安全寶攜手世紀互聯(lián)和中國移動互聯(lián)網(wǎng)大會(CMIC)主辦的“互聯(lián)網(wǎng)經濟下的金融創(chuàng)新和商業(yè)變革——2015互聯(lián)網(wǎng)商業(yè)影響力論壇”在中關村創(chuàng)業(yè)大街3W 咖啡舉辦。在關于“構建安全的云端業(yè)務”的圓桌論壇上,嘉賓們對于安全問題進行了深入探討。
嘉賓熱烈討論互聯(lián)網(wǎng)經濟下安全的力量
因安全摔倒將一蹶不振
安全正在成為互聯(lián)網(wǎng)領域各個行業(yè)洗牌、格局變化的重要推動力。2014年,因安全事故造成比特幣丟失進而倒閉的比特幣企業(yè)約有10家,這其中就包括昔日最大的比特幣企業(yè)Mt.Gox。2015年第一季度,比特幣行業(yè)就已經至少有5家因為安全事故導致企業(yè)倒閉。
“比特幣行業(yè)正在經歷大的洗牌期,但是這洗牌并不是因為市場原因,而是因為安全原因。”火幣網(wǎng)聯(lián)合創(chuàng)始人杜均表示:“火幣網(wǎng)是比特幣交易所,80%用戶的比特幣用于交易,存儲在交易平臺上。一旦交易平臺丟失比特幣,基本上沒有辦法償還給用戶,因此只能倒閉。”
沙龍現(xiàn)場爆滿,話題吸引嘉賓認真聆聽
不僅僅是在比特幣行業(yè),其他領域亦是如此。作為互聯(lián)網(wǎng)基礎設施服務提供商,世紀互聯(lián)對安全也感觸頗深,技術總監(jiān)趙東生表示:“為應對安全事件,我們也絞盡腦汁,不僅要解決自身的安全問題,還需要幫助客戶解決安全問題。”
安全并不一定能夠給企業(yè)帶來金錢價值,但卻是業(yè)務發(fā)展的基礎和保障。正如《中國信息安全》雜志社副社長兼主編崔光耀所言:“在互聯(lián)網(wǎng)經濟里,如果安全問題解決不好,企業(yè)一旦摔倒就可能從此一蹶不振。”
安全寶聯(lián)合創(chuàng)始人兼研發(fā)副總裁馮景輝給出的數(shù)據(jù)讓人警醒:“2014年開始,中國每個月都會有1-2次200G左右的DDoS攻擊,幾乎沒有哪個單一機房能夠抵擋這么大的流量。而這些攻擊傷害的不僅僅是目標企業(yè),也包括整個互聯(lián)網(wǎng)行業(yè)和所有互聯(lián)網(wǎng)用戶的利益。”
理想很豐滿,現(xiàn)實卻很骨感。互聯(lián)網(wǎng)企業(yè),你該如何保全自己和你的客戶安全?
暗礁險灘遍布
盡管安全的重要性得到企業(yè)一致認同,但是互聯(lián)網(wǎng)永遠是暗礁涌動,各種漏洞、攻擊頻發(fā),企業(yè)應接不暇,仍然會感覺到手足無措,力不從心。
作為黑客攻擊的主要目標,互聯(lián)網(wǎng)金融是時下這波攻擊風暴的漩渦中心。清洗設備、防火墻、滲透測試服務、多層掃描監(jiān)控……面臨諸多產品和服務,企業(yè)也會感到無所適從。正如愛投資CTO谷云所言:“比較復雜的是投入、產出問題,最大的問題在于你在鑄造安全盾時投入多少錢合適?安全這件事是沒有‘產出’的,但是等你有‘產出’時候再做策略就已經晚了,已經被脫庫或者發(fā)生安全泄露。所以企業(yè)需要一個平衡點,但是如何平衡企業(yè)都難以抉擇。”
即便企業(yè)愿意投入大量資金用于安全建設策略,也并不意味著安全就唾手可得。互聯(lián)網(wǎng)是快速發(fā)展、產品快速迭代的行業(yè)。隨著業(yè)務不斷發(fā)展,安全架構更新往往滯后。TalkingData COO徐懿表示:“隨著數(shù)據(jù)量不斷增長,我們?yōu)闈M足業(yè)務需要不斷加設備,但是因為原有的架構已經不適應當下情況,導致帶寬資源不足。為此,我們希望安全廠商能夠提供架構咨詢方面的服務,伴隨著企業(yè)的成長,定期幫助我們梳理和改進安全架構,以免到了后期架構不好改動。”
此外,互聯(lián)網(wǎng)具有開放合作的屬性,這意味著了安全與否不僅取決于企業(yè)自身的安全措施是否完善,還取決于合作伙伴的安全狀況。趙東生就表示:“世紀互聯(lián)在網(wǎng)絡層安全策略部署成熟,但是在應用層、網(wǎng)站防護上,由于與運營商合作,因此并不完善。”
讓專業(yè)的人做專業(yè)的事
安全問題,牽一發(fā)而動全身。因此,對于安全,企業(yè)應該一直心懷敬畏之心,安全策略做多少都不過分。但問題的關鍵是怎樣做,才能讓防護效果最大化。與會嘉賓觀點一致地認為,答案是“采購專業(yè)第三方的安全服務”。舉例來說,開發(fā)一款WAF產品,3-5個工程師需要3個月左右的時間,但是對企業(yè)來說,不僅沒有時間讓你開發(fā)和打磨產品,更重要的是可能根本就沒有專業(yè)的安全工程師。
為了更能適應快速變化的產品和業(yè)務需求,作為資深的安全專家,馮景輝強調滲透測試的重要性,并且建議企業(yè)至少每個季度采購一次滲透測試服務。“互聯(lián)網(wǎng)更新迭代很快,每次產品迭代之后都應該進行代碼安全檢測,防止SQL注入、XSS跨站等信息滲透型攻擊。因為很多脫庫現(xiàn)象都是源于產品迭代之后新老功能之間的銜接存在問題,存在安全隱患所致。”
此外,為了應對大型的DDoS攻擊,安全寶已經在廣東地區(qū)建立了單點防御能力超過100G的清洗中心。馮景輝表示:“客戶遭到攻擊時只要將DNS切換到安全寶的抗D中心,基本上三到七層的流量攻擊和CC攻擊都可以防御。而為應對大流量DDoS攻擊,除了囤積帶寬做攻防對抗以外,包括大型互聯(lián)網(wǎng)公司在內的企業(yè)都在研發(fā)一些新技術來對抗這些攻擊。我們認為應對這些攻擊,需要整個行業(yè)的協(xié)作。”
