江苏龙网

  1. 首页 > 资讯 > 科技 > >

能力|2020强网杯360杜跃进:安全需要新一代能力体系创新

伴随着信息化和数字化的快速发展 , 大众的工作和生活环境正在发生巨变 , 同时也带来了新的安全挑战 , 安全建设如何跟上变化成为整个安全行业、政府企业的热议焦点 。 9月15日 , 2020“强网杯”主论坛和大学系列讲座在郑州如期举行 , 众多行业专家、学者围绕数字化时代安全展开交流 。 360首席安全官杜跃进博士基于安全对抗的演进历程和规律分析 , 分享了适应数字化时代的新一代安全方法 。
当前 , 新一代信息技术作为国家2025计划的重点领域 , 呈现出智能、泛在、融合的特点 。 与此同时 , 在以大数据、人工智能等为代表的新一代信息技术的驱动下 , 信息化正从网络化向智能化方向迈进 。 “整个世界架构在软件之上 , 万物互联互通 , 数据驱动业务 , ”杜博士用三个关键词描述当前时代 。
安全对抗范围快速扩张 世界是“漏”的
纵观时代发展规律 , 杜博士认为今天的安全对抗正从过去的以计算机系统和弱目标性威胁为主要特点的小空间 , 逐渐沿着三个维度快速扩展 , 导致相应的安全准备工作严重跟不上 。 第一个维度是安全对抗的领域 , 从早期计算机本身的安全 , 延伸到手机、IOT等一切智能终端的安全;从计算机网络的安全 , 延伸到通信网络、社交网络、和生产网络的安全;从系统本身的安全 , 延伸到数据本身和业务本身的安全;第二个维度是安全的对手 , 从最早的没有特定动机和目标的“白开心” , 到被经济利益驱使以逐利为目标的“小毛贼”和犯罪团伙 , 再到具有复杂动机的围绕政治经济军事等国家安全目标的“大玩家” , 他们的攻击手法、目标等都在发生很大变化;第三个维度是安全带来的威胁 , 经历了从办公安全、信息和数据安全、财产安全、生产安全、直到社会和国家安全 。
“随着这些维度的极速扩张 , 故事全都变了 , ”杜博士表示 , 传统积累的安全能力、经验、人员和认知 , 还主要集中在早期的空间 , 但是安全对抗已经延伸到了比原来庞大得多的空间中了 , 对此大家远未做好准备:安全最终是要控制风险 , 安全风险=威胁×脆弱性 , 而面对这些新领域新问题 , 我国企业、用户对即将面临哪些新威胁了解甚少 。 与此同时 , 安全漏洞(脆弱性)多到无法想象 , 也延伸到了极大的范围 , 可是相关领域的产品供应商和用户 , 也都还没有充分认识到 。 传统的网络安全行业对新的对抗空间中很多方面理解也不深入 , 而且只靠安全行业是无法解决问题的 , 用户自身的很多工作是不可替代的 。
安全能力比风险合规更重要
杜博士表示 , “安全要真正做好准备 , 不应把风险合规作为衡量的标准 , 而应强调‘保质期’更长的安全能力 。 ”
由于与安全风险相关联的因素变化非常快 , 对风险合规的评估结果 , 实际上无法做到持续动态及时更新 。 而安全能力反映的是更加深层的感知和应对风险的水平 , 而且是相对稳定的 。 杜博士介绍了能力成熟度在软件开发领域成功应用的历史、国际上探讨在其他领域应用能力成熟度的情况、我国曾经提出的国家网络安全能力模型、在数据安全领域已经形成国家标准的数据安全能力成熟度模型(DSMM)、以及美国正在全面推进的网络安全能力成熟度模型(C2M2)等 。 因此 , 提升用户的安全能力 , 是未来最核心的安全目标 。
作为15年安全领域领军企业 , 360最关注的也是安全能力的培养 , 并且积累形成了五大显著优势:
1. 在全世界率先采用云端部署的方式实现安全分析查杀 , 如今成为全球趋势;
2. 在十多亿终端上历经十多年安全对抗 , 积累的独一无二的世界级规模安全大数据 , 成为安全能力建设最重要的基础资源;
3. 在十多亿终端上与全球各种攻击对手持续十余年的攻防对抗 , 积累形成的安全经验和知识库 , 是安全能力最核心的财富;
4. 在实战中吸引和培养了东半球最强安全专家团队 , 成功捕获40多个境外APT组织 , 形成安全能力中不可或缺的顶级专业人才能力;


推荐阅读


上一篇:游戏|第三波出海大潮,华为HMS生态助力游戏开发者造船远航

下一篇:风险|央视《焦点访谈》聚焦物联网安全 奇安信安全专家揭示安全风险