4月15日,由36Kr和IDG资本联合主办的2016中国企业服务峰会在北京举行,峰会主题是“大风口、新企点”,IDG资本创始合伙人熊晓鸽、36Kr联席CEO魏珂、Mobileye GM苏淑萍、360人工智能研究院院长颜水成、IDG资本合伙人牛奎光、金山软件兼金山云CEO张宏江、分享逍客CEO罗旭、高瓴资本董事总经理李聪亮、华创资本合伙人熊伟铭、西域网CEO叶永清、会小二CEO杨亮、36氪研究院院长朱一璞等嘉宾参与了大会。托比网作为受邀媒体,全程报道了此次盛会。
会议上安排了有关互联网安全的机会与挑战论坛环节, XCon创始人王英健、安全狗CEO陈奋青、藤云安全CEO 张福、四叶草安全CEO马坤参与了论坛,IDF实验室联合创始人万涛主持了论坛。以下为论坛实录(托比网整理,未经确认):
万涛:大家好!很感谢把我们安排压轴。刚才我们几个人在底下聊,第一关心的是弹幕如果被黑了怎么办。
首先先请在座的几位先自我介绍一下,先从王英健来,王英健王总和我认识有16年了,我们是2000年的时候认识的,2000年的时候他还是一头披肩的长发。有请!
王英健:大家好!我是中国仅存的历史悠久的安全团队叫安全焦点的创始人,我在2002年创建了中国现在技术力量比较被认可的XCon信息安全峰会,以及我们后面处理的一系列的安全的东西。这些年来我一直致力于安全布防技术的安全技术的研究与探索。现在主要致力于未来新的技术的研究与研发。今年的这些方向包括以前传统的安全技术还有一些新兴的安全技术以及物联网、车联网方面的信息研究。谢谢!
陈奋:大家好!我是来自安全狗的陈奋,我们安全狗在国内有非常多的企业用户。简单介绍一下我们是做什么的,我把它概括为软件定义防御,我们过去很多做防御的要对接一堆的硬件设备。进入云时代以后,有没有更好的帮助帮企业做安全防御?我们把它做成网间化、虚拟化、云化和SaaS,让我们的企业可以更快地构建自己的安全防御体系,也就是我们做的防御部分的工作,我们会看到现在的攻击越来越复杂,有没有更好的办法或者说更强大的办法帮企业防范更高的风险。所以我们的另外一部分是数据驱动安全,我们做了云安全管理平台,就是帮用户把攻防的数据汇集到我们的平台上,做大数据分析,帮用户去发现更深层次的攻击,这是我们为用户提供的基于软件化和SaaS化的服务,我们目前在国内企业用户的渗透率是非常高的,非常多的企业用户在运用我们的产品,这个是我们安全狗现在做的事情。谢谢大家!
马坤:大家好!我是四叶草安全的马坤,我们是一家以安全服务为主的公司,从早期的人工服务到现在流程化、自动化的服务,也过渡了有好几年的时间了,在早年我自己也是做渗透测试出身的,喜欢黑客的这么一个人,我们公司就有这样的基因。当然,现在整个公司除了服务之外,我们也有产品,现在做了一款叫感动风险感知的平台,为什么做这款平台?就是因为在早年的时候,我们一直发现黑客其实比用户要更早知道漏洞,他更早知道漏洞的话,他就可以去比用户更早地利用,我们这个产品就缩短了黑客和用户对漏洞理解的时间差,能够更大可能地避免一些安全事件的爆发。在后端,我们后期发现有一些解决不了的问题,我们就成立了一个实验室,这个实验室主要是以挖漏洞和做漏洞的后端分析为主。比如说我们给微软或者是DOBIFlash等提供高危,希望能把差异化做出来,能够跟我们的优秀同行对接,把企业级服务做好,谢谢大家!
张福:大家好,我是青藤云安全的张福,现在有很多网络安全问题,这些安全问题用传统的方式是解决不了的。我们青藤云做的是2014年6月份提出来的,现在整个美国包括以色列的这些安全行业一个比较大的发展方向。我们现在服务的企业都是属于那种对安全要求非常高,但是尽管有钱也不知道如何把安全做好的这些企业。所以我们自己的口号叫做独角兽背后的安全专家。
公司是2014年8月份成立的,到现在一年半多的时间里面,已经发展得还不错了,我们希望能跟行业里面的其它公司一起合作,把安全从现在百亿级别的市场,将来做到千亿甚至更大的市场,谢谢大家!
万涛:我想其实安全圈最近互相之间传得比较多的有两件事,一件事是勒索邮件,最近非常火。我不知道在座现场的嘉宾有没有中过招的。还是中的招也不好意思说。还有一件事是手机iPhone被锁的,现在这种敲诈的案例比较多。我也想问一下在座的嘉宾,咱们都是同行。公安部去年有一个数据,公安部网络安全保卫局数据,截至2015年,中国网民遭受的网络犯罪的损失是805亿人民币,这是在今年“两会”期间小马哥关注的提案,去年抓获的网络犯罪分子将近30万人,29.9万人。
针对这样一个局面,还有我们今天的背景是SaaS服务,越来越多的企业会采用SaaS服务,会有更多的数据,那么做我们这个行业的守护者,经过这么多年,无论是我们的老炮儿、老兵还是新锐,你们是怎么看的呢?因为很多朋友,包括投行投资人都来问我,说我感受最多的需求就是我刚刚讲的这些,但是我似乎没有从市场上怎么能够解决。
王英健:首先,我认为所有的勒索邮件以及现在锁你的iPhoneID都是社会发展的必然阶段,这十几二十年来我在做这方面的安全研究的方面,我们看到攻击方法的不断的变化,由简单到复杂,由复杂到简单,一直到现在最简单最简单的攻击方式。随着时代的发展和整个互联网的发展,我认为它是一个必然的阶段,而且在任何一个阶段都会有更多的发展。我不完全认为它是一个坏事,我只是认为它是互联网成长中的一部分,算是成长的烦恼吧。这个事情也算是不破不立,所有这些都是符合自然规律的,我认为没有什么,只需要我们所有的安全从业者以及所有的用户不断地在这件事情上发展,就好象以前我们没有汽车,我们不会考虑到这么多的交通问题,也不会考虑到堵车的问题,但是现在有了,它是随着时代发展发生的,我认为是正常的,就要研究如何解决和消除它,推动整个产业和互联网行业的前进,我认为这是我们每个人应该做的事情。
陈奋:其实勒索邮件最近时间确实爆发得很厉害,我身边的很多朋友都遭受到这样的攻击。这个事件我们对它的病毒也专门做了分析,黑客确实用了一些比较特别的手段,加密的强度非常高,目前这个阶段的技术基本上是没有办法破解这个密码的,我们市面上看到的能解的办法就是乖乖地交钱给黑客。但是从我们安全厂商的角度怎么去看待这个问题,是不是我们就举手投降了?我觉得这个问题应该分开来看。
首先特别针对我们企业来讲,特别是中国现阶段企业信息化还不是很强,安全意识还不是很高,所以我觉得得从两方面做这个事情,首先我们需要在安全意识上给我们的所有的员工加强这方面的教育,因为安全很大一部分的问题是在于人的问题,所以我觉得这个是从我们企业的用户来讲,需要去做好基础的安全意识的培训,比如说我们针对来源不明的邮件千万不要点附件,这是我们最基础的常识,特别是很多公司里面从事非技术岗位的员工很容易遭受到这样的攻击。
另外一方面也是我们安全厂商能够做的事情,我们也是推动我们中国的用户要事先做好安全防范的工作,事实上目前在中国,大部分企业目前的安全投入还是非常低的,因为一个是意识上的问题,一个是在这方面跟国外相比,缺少很多从上层的法规和基础建设方面的意识。所以我觉得从另外一个方面讲,对于我们企业用户需要在早期,甚至在企业发展过程中,需要加强对安全的投入。从企业发展的信息化程度来看,未来安全方面投入多少钱我觉得都不算多。看看前年还是去年索尼的安全事件,索尼在安全方面投入了几千万美金,其实对于安全这个事情还做不到非常完美,对于我们现在中国的企业来说,我觉得在我们的企业发展过程中,在安全上就应该投入一部分的资金去做这件事情,做到事前的防御,未来出现再多的攻击,比如说勒索邮件其实只是其中一部分,还有更多的攻击其实我们是看不见的,可能有黑客潜在里面,我们需要做更多的防范,未来应对互联网进程,提前减轻风险的出现,这是我对这个事情的看法。
马坤:我说一下自己的看法和个人的经历,之前作为安全从业者,我收到过勒索的邮件,他直接发给我当时苹果的那个ID所用的邮箱,他应该是群发的,有人发过来说让我给他汇多少钱才能怎么怎么样,从两个形态上来说,一个是我们自己的安全意识的熏陶和培养,另外一方面是可能相关的厂商的安全做得不够好。个人意识上我们是需要慢慢培养的,但是企业级的这种安全是需要加强的,因为现在做得非常糟糕。我们中国大概80%甚至90%以上的企业是没有做过安全的,以后有可能安全会在很短的时间内立法,我们做一个安全企业出来了以后,如果数据泄露或者说被黑客给搞了,这些问题就会有一些连带的事件出现。作为一个企业来说,最好是在服务上,在安全上,能够提前做一些加强。
张福:大家都讲得很清晰了,我最后补充一点点,第一个是国家在法律层面,其实能够有进一步的完善,来保障这些企业的权利,还有就是能够追责,第二个也是希望各个企业在安全方面其实要有一些投入,因为在这一块没有投入的话,其实出了问题也很难解决,而且对安全的投入其实本质上是你应该履行的一个责任,因为用户的数据,他们的信息都在你的企业里保存,你有义务要保管好它。第三个对于勒索来讲,中国现在ID管理系数比较低,企业内部要做好安全培训,比较好地避免这个问题。
万涛:其实我们安全行业从业这么久一直有一个问题,安全其实是一个跨界的行业,比如说我知道王总刚刚拍了一个XCon发布会,在发布会上演示了我们是怎么黑掉奥迪和特锐的,在他们的车载系统里面植入并且进行跟踪的。我不知道在座有没有奥迪和特锐的车主。去年我们在央视上也暴光过,品牌就更广了,车门中控安全的问题。我在网易上也看了一下新闻后面的评论,大家都知道网易喷的比较多,说我是国产车,那又怎么样呢?我的车是五菱荣光,我不怕黑,我给车装一个GPS不是一样吗?
王英健:对于他的这种格局,就决定了他开五菱荣光还要开很久很久,对于这种问题的回复就好象我们对安全问题的回复一样,事不关己。当这个问题发生在自己身上的时候,没有任何退路了,当你已经意识到威胁的时候,这件事情给你会造成不良后果。像我们做的所有的研究都要做在之前,预先做。我们只是演示了这一个事情,但是我们要告诉你的事情是这些会有问题,那些会有问题,然后要去提高我们的意识,去修补这些东西,让我们更安全,而不是仅仅弄一个GPS在这里,不用费那个劲,还有更简单的方法。其实这个还是对于未来,像物联网、车联网等很多东西,跑得很快,但是像游泳游得太快了,像郭德纲说的你的裤衩跟不上了,这也是一个安全问题。
安全是一个很重要的问题,它很像买保险,你买保险是希望它不出事,谁都不希望出事。但是你要是不出事的话,你买了保险就认为没有意义,没有发挥出花钱的价值来。但是和买保险有一些区别,在于你做这些事情是需要有投入的,你之前需要做很多工作,还是需要有防范的,它是更主动、更积极的。所以我们认为安全就像刚才几位同仁说的那种,要有投入,要有很多很多东西,但是仅仅我们的力量是不够的,所以有些时候可能还是需要一些产业和国家的推动,以及像那些黑产对于所有的媒体对于用户的教育以及对行业的推进,我认为这是更重要的。
万涛:从物联网以及安全硬件看到了未来拓展的领域。
回到企业市场,我们看到一个是SaaS兴起以及云化的服务对安全提出的要求。除了BAT,我们看到青藤云、安全狗在中小型企业或者大的云的服务上都有所作为。我想问的问题是今天越来越多的企业走向SaaS服务化的时候,我们觉得这个领域我们的优势,或者说它的技术特性又有什么样的个性或者区别呢?
陈奋:现在我们看到一个新的形势,就是基本上我们的企业在做互联网化业务的时候,我们很多时候会用到云化的服务,不管是云主机还是SaaS服务。事实上这里会遇到一些新的安全架构和安全风险。比如说我们在运用云主机的时候,传统的防火墙或者架构就进不去了,这个时候我们怎么做新的防御?这就是我们这些新兴的创业安全公司在这种环境下去做的解决方案。比如说我们安全狗在这方面做了非常多的工作,我们跟国内的一线的云计算厂商,像阿里、腾讯、Ucloud,我们都是非常好的合作伙伴,我们的安全能力跟他们的基础防御结合,为我们的用户提供更全面的云安全服务解决方案。
对于我们的这部分用户来说,包括新兴的互联网企业或者说传统的安全公司,你上到云上面的时候,怎么能够快速地去构建原来在传统环境下构建这样的安全体系?通过我们这样的安全厂商就可以做到。我们在去年年底跟AWS在平台上面一键创建安全环境的功能,过去我们可能要花几个月的时间去搭建硬件防火墙的功能,我们在云平台下可能花几分钟就能完成,这是在新的安全环境能实现的,也是新兴的安全公司才能做的事情。
所以我认为在新的形势下,我们会有一些新的解决方案,帮我们的用户在新的环境下创建这种新的防御的方案。一些SaaS服务的过程中,关键是考虑SaaS服务本身平台的安全性,这方面我们也跟一些SaaS的服务厂商合作,为他们的底层的基础设施提供这样的安全防御,这样的话让我们的用户在使用SaaS服务的时候,可以有更放心的平台,这个是我们在做的事情。
张福:我想说几点,第一点,因为事实上现在的环境,IT的这种基础设施变得越来越动态和复杂了,因为新的软件其实层出不穷,基础环境因为有云平台,它又变得很动态,包括SDN这样的平台。事实上对于一家企业来讲,要把安全做好变得比过去更困难了。
第二点,不知道大家有没有看过AWS提的安全责任共担模型,就是对于云平台来讲,它能够解决的也就是云平台自身的安全问题。但是用户自己的安全问题,包括这种企业的数据,它的这种安全的漏洞、配置,像这样的一些东西都是要由企业自己来完成的。云平台不能替客户去把这一块做好。所以在安全越来越难做的前提下,各个企业还得自己把安全做好。
第三点,我们青藤云跟安全狗将来都会给这个行业做出比较大的贡献,原因在于我们把安全的能力云化了。
第四点,这种方式会使得很多企业被连接在了一起,因为过去像黑客去攻击这种企业,他是一招鲜,吃遍天,他有一种独特的方式能够攻击成功很多企业。但是对于企业来讲,如果自己出了安全问题,其实不太愿意,也没有办法或者途径去告知别的企业,说你们要小心这样的问题。安全变成了云安全之后,这样的问题就变成了我们把这些企业连接在一起,一家企业遇到的安全问题,我们得到的经验和教训可以共享给其它企业,从而总体降低安全的成本,使得安全在中国这样的市场,投入不足但是很重要,能够真正落地和做好。
万涛:我们从你讲的安全云的服务模式可以看到一种传递的信息,我们想改变企业的用户者和黑客之间构建一种信息不对称的结果,从而降低我们的风险。什么是安全?安全是一个不断降低风险的过程,最后使残余的风险可以被接受,称之为安全,这是我们引导客户讲的。今天我们看到安全的事件的确层出不穷,安全的运维成本也在提升,而安全强调的很重要的是不是买一件产品就能解决问题的,安全的成本是服务,这个服务的后面是人。
马坤和张福这两年成长非常快,看起来在斯洛登事件之后出现了似乎饱和,但是为什么之后出现了突变?
马坤:安全服务是安全法成立之前就提供的,对于很多人来说经历过黑客的阶段,他们知道黑客在想什么,因为对于用户来说,他们跟黑客之间有一个对漏洞理解和利用的时间差,他们怎么比黑客更先知道漏洞,这就是黑客和用户之间的问题。
从我们以前给一些大型企业,包括像滴滴打车、支付宝这样的企业做服务的时候发现,即便这些企业有很强大的安全服务能力,他本身也有,但是他很难顾及到方方面面。黑客是无孔不入的,他会尝试很多种办法。在服务过程中会有很多难点,你怎么样有效地去很全面地覆盖这些有问题的点?后来我们做了很多尝试,做了很多年的服务,发现有很多东西可以流程化,我们就把这种流程化的服务和过程产品化了。就是刚才我们说的感动风险感知平台,其实就是把之前做过的一些服务的过程,让它产品化,这个过程就会实现很多服务以前不断重复的过程。
另外最重要的一点服务就是快,唯快不破,你得能特别早地知道突破点在哪。我们以前尝试过在10万台主机里面,用两天时间查出它的问题出在哪,即便我们企业有100号人也是搞不定这些问题的。后来我们尝试用我们自己的平台,我们搞定了。所以对现在服务的认识,我觉得一个是快,另外一个就是必须得让它流程化,得让它产品化,我们觉得现在比较完善的服务就是人工结合产品,因为现在很多东西都在云端,包括像刚才青藤云还有安全狗说的,他们在做SaaS,也做得非常棒,但是很多用户不一定能够去购买或者能够去理解这种服务,那么就需要我们一个个的案例,像很多安全事件是发生在很严重的情况下的,比如说金融、运营商,牵一发而动全身,只要发生一个安全事件,很多人都受影响。这个时候就不是一个单纯的产品能解决的,必须要上人,要上很多人。一种新型的服务就应运而生。现在我们就在做这样的服务。
万涛:其实安全行业呈现给大家,一直有一个看不见还是看得见的问题,UCCloud去年有一个安全报告,提到目前云端层面有两个,一个是UCCloud,一个是漏洞,我们看到黑客会很酷,把浏览器2秒钟干掉。很多时候大家看到的乌云还有SRC的平台上,我们都会提交很多白帽,他们会提交各种各样的漏洞。
漏洞这样一个能力是不是衡量一个安全公司的技术能力的标准或者尺度呢?我们是不是像未来这么多的SaaS还有企业服务的厂商,是不是未来会通过报出他们的漏洞,让他们提升安全性呢?是不是现在的模式是最好的,我们还有没有其它的方式让用户和厂商都去重视和理解安全的方式呢?这个问题有点挑衅。
陈奋:其实安全从我的理解,我们是做基础服务的角色,安全的重要性,是不是能发现漏洞对于我们是很重要的。对于现在我们市面上大的安全事件都是通过一些漏洞事件展示给用户的,但是我觉得漏洞是整个安全领域里面的冰山一角,也是黑客攻击的很重要的点。但是真正让企业重视起来,漏洞只是其中的很小的一个方面。因为对于企业安全来说,除了漏洞还有各方面的,包括配置上的风险,还有能源组织架构上的风险,包括一些资产上的安全管理。所以整个从大的角度看,整个安全是一个体系化的东西,它需要我们企业投入非常多的精力去做这个事情,因为它属于基础的问题,如果基础没解决好,必然会面临更大的风险,这是我的简单的看法。
王英健:我知道老鹰的意思,首先我觉得不是包漏洞的问题,而是厂商对安全重视的问题,如果他不重视安全,你就是报了漏洞他也无所谓,所以我认为他要重视问题,痛点在哪里,报了漏洞可能对他造成什么损失和危害,这个时候他可能看到漏洞的危害,这才是报漏洞的意义。我们也做了很多的活动,像乌云等漏洞提交平台,其实我们认为它应该是需要正确看待如何处理这些事情的问题,实际上我认为对于厂商来说,这是一个非常非常好的环境,有这么多人在帮助你改进的产品质量,有很多时候很便宜,有的时候几乎是免费的,我认为这是非常有意义的事情,别人不花你什么钱,帮你做这个事情。不要等到有一些问题对自己造成不良后果之后,再去PR,我认为那样就没有意义了,正确的看待是一种推进。为什么现在有很多的漏洞提交的网站还有很多的活动?其实我们也想过更多更好的办法,但是现阶段来说,这可能是最好、最直接、最有效的办法,我们只做最有效和最有意义的事情。所以我认为在一段时间内,这种方式还是有意义的,只要它对安全有一定的意义,他知道有问题,他去努力地推动和修改,我认为这样的事情都是有意义的,能够促进事情往前推动和发展。
像以前我们报一些漏洞,就算报漏洞也没有人理,至少现在报漏洞有人重视。所以未来不需要做这些工作,厂商会有更多的解决办法,我们也不需要在这里讨论这些情况,所以这是时代发展的一个必然的产物,也许回过头来看它没有那么好,未来有更好的。但是现阶段在我们目前的发展程度下,看到这种方式是最有效、最直接的办法。
马坤:说到厂商提供这些漏洞,或者是黑客发现这些漏洞,有些厂商不太关注,或者觉得这个环节对自身没有什么影响。像2014年年底的时候,当时暴露出一个漏洞叫“心脏出血”,一直到现在为止,它的修复率还没有到80%,可能还有大概20%没有修复,这是之前看到的全球范围内的数据。
为什么会这样呢?就是因为很多客户不知道这个漏洞会带来危害,所以在这些白帽子们去提交漏洞给平台的时候,它可能会有一个过程,会需要用户理解这个漏洞的过程,以及用户知道这种漏洞,它们存在,然后怎么样去解决,这也是需要有一个过程的,在这个过程中,我们企业的服务可能需要有效地把这个环节带给企业。
张福:我想从另外一个角度说一下,安全应该是一家企业的核心竞争力之一,它不仅仅是一个基础保障。比如说IDG也投了很多SaaS、企业服务等公司,其实对这些企业来讲,你的安全做得好,你就是比别人牛,你就是在竞争中能够取胜的。因为大家可以想想,比如说纷享销客做安全做得很好,大家分享OA的系统的时候,一定会选择安全做得好的,他能够信任的,因为其实我们公司把财务或者人力数据放在SaaS上,其实我们选择SaaS的时候,主要看到的一点就是他在安全这一块是不是做得好的,是不是重视的,因为谁都不希望自己比较核心的数据能够轻易被别人得到。
所以我想说的是在现在的商业竞争环境里面,安全对你的企业来说肯定算是一个能够带来竞争力的东西,所以也希望各个企业在做的时候,千万不要忽视了这一点。
万涛:由于时间关系,我们就提出最后一个话题,我们意见讲安全是守望,其实我们今天面临在未来的一个风口上,这个风口并不是因为有了斯诺登事件才有这样的风口,而是整个互联网已经发展到现在的形态,就是安全渗透到其中。
我希望各位用最简短的语言,对未来的市场和你们的发展做一句话的总结。
王英健:一句话总结,我认为安全就是未来,在未来,所有的事情随着成长和发展,我认为安全就是未来,安全才是互联网的未来。
陈奋:简单总结一下,我们看中美的信息化的发展进程,现在中国的信息化包括互联网化越来越快的过程中,未来安全会变成越来越重要的企业投入上的考虑,所以我们看未来中国随着互联网化和信息化的发展,未来企业一定会对安全越来越重视,这也是我们这些安全创业公司希望憧憬或者为这个行业服务的前进。
马坤:我认为安全就是信息化的脊梁骨,在安全发展的过程中,未来的形态一定是越快越好,你要快过那些黑客可能才知道怎么样服务,所以我们后期会往快的方向不断努力。
张福:我觉得安全在中国的整个盘子一定会,从现在的未来十年几百亿人民币,变成几千亿,未来的十年安全市场和中国的企业级市场发展非常快的十年。但是现在安全企业级还没有一家亿级的公司,所以在这里是有很大机会的。所以我非常希望我们这家公司能够成为未来这样的巨头,当然如果我们自己实力不行或者水平不够,有可能是别人。但是我相信未来十年内,一定会有一家这样的公司产生,今天做这样一个预言,也希望大家拭目以待。
万涛:我们一直讲安全在风口,没有信息化就没有现代化,我们还有一句是没有安全就没有信息化。我们都是从互联网中受益的,From the Internet,For the Internet。
