返回 登录
0

【CTO讲堂】企业该如何打造自身的“安全免疫系统”?

为了帮助IT从业者职业之路拥有更多收获,在诸多C粉的殷切期待下,由 CTO俱乐部打造的CTO线上讲堂自登场以来获得大家好评。本期邀请乌云网创始人方小顿带来企业该如何打造自身的“安全免疫系统”?的主题分享。

欢迎加入CTO讲堂微信群与业界大咖零距离沟通,1月29日本期讲堂报名方式拖至文末查看。

图片描述

分享嘉宾:乌云网创始人 方小顿

嘉宾简介:方小顿,乌云网创始人,国内著名安全组织80sec的成员,网名为剑心,黑客圈的知名人士,在中国信息安全界中广为人知。曾任职百度安全专家,负责对黑客袭击百度网站的抵御工作,2010年创建乌云漏洞报告平台,成为行业第一人。

公司简介: WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。

乌云是在全球安全领域享有盛誉的社区,该网站致力于成为网络安全厂商和网络安全研究和爱好者之间的安全问题反馈平台,聚集了数万名高水平白帽黑客,技术覆盖Web、客户端和智能硬件等各个领域。

以下是1月21日CTO讲堂现场完整速记:

主持人:今天讲堂开始啦~~欢迎剑心~麻烦给大家介绍下自己吧~
剑心:哈罗 ,我是乌云创始人,也是前百度团队技术负责人,负责百度的安全技术团队建设工作,从早期组建安全团队研究安全技术到现在已经在安全领域经历过十多年了。

主持人:我们知道您之前是百度安全架构师,同时也是80sec创始人,能否先分享下您这段时间的工作经历?
剑心:我最早在学校的时候就把安全当做爱好来玩,也组建了一个自己的安全团队80sec,和一些小伙伴一起分享和交流安全技术,到现在这些人都已经是阿里,腾讯,360的安全主力了;

后来一些大的互联网公司开始有一些安全意识之后我们进到百度开始组建安全团队来帮助百度抵抗外部的威胁和攻击,这段时间是比较有意思的时间,因为第一次进到一个足够大的平台来和攻击者对抗,这段时间我们从底层网络到系统到应用甚至在业务层面都和黑客有过一些较量,最早的攻击都是ddos,后面转而开始进行应用层的一些防护,最后开始考虑针对企业内部的APT和业务黑产类的防护,这期间也较为全面的从一个纯粹的安全技术思维转而思考如果真正的将安全在企业里推动和落实,如何考虑安全和业务的平衡等,也进一步思考技术如何真正对企业产生的价值;

主持人:乌云平台可以说在安全圈是非常知名的,是什么原因使您决心开始做这个平台?当时的想法是怎样的?期间遇到过什么难题么?
剑心:我还在百度的时候就发现安全本身还是比较封闭的,作为业务建设者实际上大部分不能理解安全带来的价值, 而当时有一个契机是中国的互联网以比以往更快的速度在发展,这一个大的体现也就是是云的发展,而云的本质是数据由端到云的一个转移过程,我们意识到如果大家不能真正对安全有好的理解会导致将来数据的灾难,因为数据的丢失是一个不可逆的过程,所以我们想能不能给更多的企业和无法保护自己的用户做点什么,而这中间最大的问题就是信息不对称的问题,企业不太清楚外面的攻击是什么样子,用户不太了解企业是否能够很好的保护我们的数据以及数据丢失后会造成什么风险。

我们选择的方式就是第一步让这个行业变得更透明,让更多的企业能了解安全,让更多的用户能够了解云的风险,所以我们就开始尝试将身边能真正懂安全的白帽子聚起来给企业发现安全问题,并且最终保证发现的安全问题能够得到公开,这个改变相对于以前企业不重视安全和惯有的封闭处理问题的方式,我们的挑战还是蛮大的,主要来自于大家对这种新兴模式的不理解;

这种不理解就是之前大家认为安全问题应该是封闭处理的,但是我们认为用户必须了解这个风险,所以导致很多的冲突,直到现在大家才慢慢接受这种模式;

主持人:请您介绍一下乌云网的技术团队及构成。
剑心:乌云是一个开放的安全社区,我们希望能够以社区的力量为互联网建设一个安全免疫系统,但社区比较松散所以目前我们也开始尝试以产品和服务的方式将社区对接到企业来产生更多的价值,所以乌云自身主要是运营和研究以及研发团队,但是从安全技术上更多的是结合社区和平台的力量,因为我们相信无论一个技术团队力量多强大都会存在技术的边界不如整个社区和互联网的力量强大,我们思考的是如何把这些分散的力量能够聚合起来产生更大的价值,我们下一步也会加强研发和产品技术团队,有兴趣的朋友可以和我聊聊 :)

主持人:请您介绍一下乌云目前提供的技术产品服务吧。
剑心:乌云本身是偏社区的,这个也是免费的,大家可以通过加入乌云来获得关于自身企业的安全问题预警和通知;社区比较松散,所以同时对于一些对安全有高要求的企业,我们也会将社区里的最优秀的白帽子对接到企业来更高效的帮助企业发现安全问题,这部分我们还已经产品化尝试以saas的模式完成白帽子和企业的对接工作来周期性的监控企业的安全问题,同时我们也有以白帽子众包为核心的安全培训和应急服务;

主持人:我们目前的互联网安全环境是什么状态?中国互联网遇到的最大的挑战是什么?
剑心:目前中国的互联网安全环境相比以前已经好很多,因为越来越多的人开始关注到安全这部分,同时因为中国的崛起也导致互联网安全已经上升到国家安全的高度,这是因为中国的整个互联网用户数奠定了这些基础,但是同时也要看到中国社会的基础信任体系以及规则规范是缺失的,实际社会里那些不好的东西一样会被互联网放大,所以中国的互联网环境实际上也是非常糟糕的,不断的会有攻击出现,基于此我也同时认为中国互联网最大的挑战就是安全的挑战;

主持人:开发互联网产品有哪些常见的安全问题?有什么好的建议?
剑心:我们说到安全实际上一定是谈论的数据安全,而数据实际上是贯穿整个技术环节的,从基础网络到顶层业务,现在随着基础设施的不断发展,底层相对越来越规范和标准化,所以安全问题一定是上移的,包括运维研发和业务环境的安全问题,我们开发互联网产品的时候如果这个产品不是很重要或者不包含重要的数据,可能有一些安全问题还会被掩盖,但是只要你涉及到用户的数据或者涉及支付金融积分兑换等可能被用来获利的功能,就会遭遇到很多的人过来攻击尝试从你这里获利变现,譬如羊毛党就是一个很好的例子,但还是有很多的安全问题是在你不知道的时候被利用的,我的建议就是说我们要对安全关心,提升基础的安全意识,同时在必要的时候要对安全有所投入,乌云也不断的公开很多关于安全问题的例子希望大家能够有所重视,并且在早期就把问题解决掉;

主持人:该如何理解“安全问题有它的原罪”?
剑心:安全问题的原罪就在于企业永远将安全放到生存之后,安全永远是重要但是不紧急的,但是一旦到紧急的时候可能又一切都晚了,这是个悖论;

主持人:您曾在公开场合说过希望通过乌云自己的修复方式、自我免疫的方式去做安全,这似乎跟其他很多人的考虑不大一样,可否展开谈谈?
剑心:和人的健康一样,一个企业甚至整个互联网的安全也是一样的道理,整个环境是动态的,并且安全风险一定存在,那我们要做的是能够有一整套风险预警监测,应急响应甚至快速免疫的机制,乌云就是想帮助大家打造这么一套机制;一方面我们让社区帮助企业发现和修复风险,一方面我们还会把一些最新的安全威胁或者其他企业遇到的风险通过乌云告诉其他企业提前做好预防起到免疫的作用;

主持人:企业该如何打造自身的“安全免疫系统”?有哪些技术关键点?
剑心:建设自我免疫系统的重点其实包括感知,应急以及问题免疫一整个的机制,安全是贯穿从基础底层到业务的整个流程,对于企业来说根据不同的阶段对安全也有不同的要求,对于技术的要求也是不一样的,运维研发和基础架构的安全是基础,这部分主要的关键点在于自己对系统的日常管理规范和安全意识,如果涉及到电商,支付和金融等,那么对于业务安全又会有较高的要求,需要自身对业务潜在的风险点有掌握,业务自身的风控机制是要完善的,如果已经是平台型企业了那么就要考虑长久的黑色产业链对抗了;这些能力的获取一方面企业可以依靠像乌云这样的第三方,一方面也可以根据自己的需要来建设安全团队;

主持人:未来乌云的发展方向和定位是什么呢?除了漏洞,乌云还能帮企业做什么?
剑心:乌云以后的发展方向是不只帮助企业发现安全漏洞,长久来说乌云还希望帮助企业建设自身的安全免疫系统和安全体系,无论是以社区服务还是产品的形式,乌云都希望把整个社区和互联网的安全能力输送给所有企业;

主持人:请结合这些年您自己在技术之路上的积累,谈谈技术人该如何做到高效学习和提升技能?
剑心:我觉得技术人才首先要有对问题本质的探求,对技术本身有一种渴望,而不应该单单把技术当做一种职业,如果对技术有更高的要求和对更本质的东西有渴望了解,那么成长起来就会很快,我觉得最高效的学习就是对未知事物的兴趣,安全领域里有一句话Hack to learn,挺对的,人人都应该当Hacker :)

主持人:请结合您的切身体会谈谈创业路上您都有哪些收获和思考,对于如今越来越多想要投身创业大海的年轻人,有什么建议?
剑心:我目前觉得整个互联网是偏浮躁的,能够踏实做事的人太少了,创业遇到的问题和磨难要比想象中要多很多,现在我都不建议年轻人创业,如果真要创业那能力上是不只在技术上有所要求,更多的要去了解行业和提升技术之外的视野和能力,这个不在一些大的公司或者跟随一些团队一起经历是成长不起来的;

主持人:对想在技术路线上走得更远的人,您都有什么建议和忠告?推荐一些您觉得非常不错的资料或者书籍吧。
剑心:我很支持大家在技术路线走得更远,特别是那些符合自身性格的人,我听到的很多人都是做技术到一定时候就转管理或者其他岗位,我觉得这是一种比较偏浮躁的想法,建议就是跟随自己的内心了,多坚持一定有收获的;


互动环节:乌云和360有合作吗?你们会对同行进行漏洞检测吗?
剑心:我们在技术分享上会有合作,都是开放的对整个互联网分享安全知识,可以在http://drops.wooyun.org 看到,我们会关注互联网的安全,所以只要是和互联网相关的我们都会关心,并不存在会关注什么不会关注什么的问题;

互动环节:你好,能分享一个信息数据是如何泄漏的案例么?
剑心:数据本身是有价值的,数据一旦有价值就会有人去尝试攻击,攻击者可能会利用多种方式,传统的可能就是商业间谍行为,但是目前更常见的有人利用流程或者管理漏洞的漏洞对数据进行窃取,常见的譬如APT渗透,SQL注射或者一些人员离职都可能会导致问题;

互动环节:系统检测机制 是不是类似于FM保险公司的各种风险机制一样 建立一个标准?
剑心:系统的检测机制并不是一个标准化的内容,因为技术本身也是多样化的,所以更多的也要以服务和根据技术特点来采取方案。

互动环节:我们对白帽子服务有兴趣,请问怎么联系和购买服务。
剑心:http://ce.wooyun.org 可以看看

互动环节:关于最近网上流传的乌云和360互黑,请问这个您怎么看?
剑心:我没有听说乌云和360互黑的问题,起码乌云没有做这个事情 :)

互动环节:对于互联网创业公司,从搭建项目开始就应该注意安全问题,但是项目快速发展以及安全投入预算又比较少,如何能较低成本发现自身的安全问题,并获得解决方案呢?您有什么建议呢。
剑心:互联网公司的确早期会更多关注快速发展而相对安全滞后,这是正常的思维也是我提到的安全的原罪,我建议是在项目不需要开始就引入很重的安全而是发展到一定的阶段一定要引入安全,这个时候可以借助第三方的服务譬如乌云来低成本解决问题,在更后期的发展里就可以尝试自己创建团队了。

互动环节:“作为游戏研发企业,能不能在外网开发的环境下,避免代码泄漏到外面,导致私服的出现?” 有啥好的建议?
剑心:能详细说下外网开发是什么意思么?
问:我们现在开始是分内网和外网,内网即公司内部局域网,外网即公网可以自由访问网络!
剑心: OK,这种是典型的一个互联网数据防护的case,本质还是要做好运维和数据的授权和访问控制,在引入二次验证和精粒度的访问控制基础上,你可以考虑如何让你的代码变得没有价值或者利用价值变低,这样可以杜绝掉这种私服的问题。
问:“你可以考虑如何让你的代码变得没有价值或者利用价值变低”这句怎么理解?
剑心:譬如 用户的手机号是有价值的 但是如果你在数据里脱敏去掉这些 就不会有人对你的这个数据有兴趣了。如果你的代码无法让别人搭建私服 或者 搭建私服无法获利就不会有人对这个有兴趣了 具体的得去根据具体的业务考虑了。要从业务角度解决,印象中典型的例子是暗黑破坏神 早期很多破解版 但是最新那一款基本没有破解版 做成了saas模式。靠技术对抗是不可以的 还是要把技术深入到业务里 :)

互动环节:请问众测服务有没有标准化的产品流程?什么时候可以购买?
剑心:众测有标准化的 可以在http://ce.wooyun.org 看看。


想与业界大咖零距离沟通,欢迎加入CTO讲堂微信群,参与CTO讲堂!

  • 第1期:APICloud联合创始人兼CTO邹达: 以API为核心的移动应用云大发展时代
  • 第2期:UPYUN CTO黄慧攀: 云加速和技术成长那些事儿
  • 第3期:亿方云科技创始人兼CEO程远: Box首位华人核心工程师的回国创业之路
  • 第4期:UCloud联合创始人兼CTO莫显峰: 如何成长为技术合伙人?
  • 第5期:听云CTO Wood: APM实现原理及对IT和产品运营的价值
  • 第6期:吆喝科技CEO王晔: 美国互联网公司A/B测试经验分享及企业技术选型探讨
  • 第7期:箭扣科技CEO、联合创始人徐旸: 如何为App加载强大的通讯社交引擎?
  • 第8期:金童软件执行长、CTO曾炼: 人工智能到底能为我们带来什么?
  • 第9期:环信即时通讯云CTO马晓宇: 招人不易留人更难——创业团队要闯哪些关? 
  • 第10期:一熊科技CTO、联合创始人唐晓敏: 简说创业公司的技术选型,从BearyChat开发说
  • 第11期:武汉绿网副总经理雷葆华: 如何构建高性能网络服务平台及生态系统?
  • 第12期:SequoiaDB巨杉数据库联合创始人王涛: NoSQL对未来大数据发展的意义何在?
  • 第13期:fir.im 创始人王猛: 将‘简单快速’渗透到移动开发测试每个环节,从fir.im团队说起
  • 第14期:多备份创始人陈元强: 在线灾备革命背后的事
  • 第15期:宝宝树CTO周涵宁: 深度?广度?浅析技术人员的职业发展之路
  • 第16期:Testin联合创始人、产品VP谭斌: 从开发到上线,一个人的两周产品研发之旅
  • 第17期:七牛首席架构师李道兵: 如何构建高可用和可伸缩的架构?
  • 第18期:EasyStack联合创始人兼CTO刘国辉: OpenStack行业实践和发展趋势探讨
  • 第19期:Foxit software技术副总静楷: 面对世界竞争对手,如何拿到Google PDF开源项目PDFium?
  • 第20期:Beecloud创始人黄君贤: 支付接入开发的陷阱有多深? 
  • 第21期:诸葛io创始人&CEO孔淼:Growth Hacking背后,数据分析平台的架构调整
  • 第22期:叶帆科技创始人兼CEO、微软全球最有价值专家刘洪峰:浅析工业级物联网项目的快速开发
  • 第23期:好雨云创始人兼CEO、原澳客网CTO&CEO刘凡:微服务架构在云端的应用
  • 第24期:星图数据CTO崔仑: 独家直播双十一全网动态?前黑客“劳改”带你玩转大数据
  • 第25期:兑吧联合创始人兼总裁陈高维:工具类、新闻类、视频类等不同类型App的积分体系该如何搭建?
  • 第26期:Worktile联合创始人兼CTO李会军:揭秘高效协作工具背后的技术架构 
  • 第27期:云智慧首席架构师高驰涛(Neeke Gao):如何通过APM持续构建高性能IT架构? 
  • 第28期:洋葱创始人吴洪声(原DNSPod创始人):密码泄露事件频发?探秘其背后的本质 
  • 第29期:云信CreditCloud CTO朱家波:探秘互联网金融产品开发的技术路线图
  • 第30期:极验验证CTO黄胜蓝:如何用Python一门语言通吃高性能并发、GPU计算和深度学习
  • 第31期:容联七陌CTO张杨:SaaS云端语音通信架构详解
  • 第32期:Udesk CTO肖立鹏:打造数据可靠、服务高可用的客服平台

  • 【CTO讲堂第34期预告】

    分享主题: SaaS云客服平台技术架构探讨

    图片描述

    嘉宾简介: 刘铭,逸创云客服CTO,拥有多年的SaaS企业级产品研发经验。热衷于研究各种技术,从前端的界面设计延伸到后端的服务运维,熟悉分布式,缓存,消息,搜索等机制。因看好国内SaaS发展趋势,加入逸创云客服,一直从事架构设计与产品研发等核心工作,致力于打造行业领先的云客服平台。

    公司简介:逸创云客服从成立的2011年开始就本着让企业的用户更加满意,客服更加高效,管理更加轻松的宗旨,打造中国最稳定最安全的一站式客服系统,整合呼叫中心,微信客服,在线客服,工单系统,APP客服,邮件客服,表单客服,及微博客服,成就了逸创云客服:客服信赖的一站式企业级云服务平台。

    在三年的时间里,我们始终从客户,从客服,从管理者三方的角度去完善我们的产品.也是我们这样的坚持,获得了百度,360,猿题库,申通,蜜淘全球购,uber,印象笔记等国内外30000家优秀企业的信任。

    以SaaS模式为企业打造ALL IN ONE的客户服务平台,构建企业的在线帮助中心,聚合邮件、电话语音、IM在线交谈、反馈组件、移动APP、PC/移动端表单、微博、微信、API接口等客户支持渠道,将来自各个渠道的用户以工单的形式进行响应和受理,打通企业售前售中售后客户服务,让企业流程化标准化管理客户服务。

    分享时间地点: 1月29日(本周五)10:30 , CTO讲堂群

    加入方式:扫描二维码加“C粉儿小助手”好友,申请入群。
    图片描述
    还不是CTO俱乐部成员的各公司技术负责人,欢迎立即加入俱乐部:cto.csdn.net
    更多俱乐部动态,欢迎扫码关注微信号:图片描述

    评论