近日，第二屆XCTF國際網(wǎng)絡安全技術對抗聯(lián)賽落幕，這一屆的主題除了探討網(wǎng)絡安全問題，更嘗試加速企業(yè)與高校之間的融合。尤其值得一提的是，本是相愛相殺的BAT、360公司的安全負責人這一次破天荒聚在了一起，各自分享了他們對安全的看法。

360公司CTO兼副總裁譚曉生：未來的安全是如何處理工具和人之間的關系

作為國內(nèi)第一大安全公司，360公司CTO兼副總裁譚曉生認為，今天的網(wǎng)絡安全面臨四大痛點：

第一、面臨萬物時代必然面臨的安全挑戰(zhàn)；

第二系統(tǒng)安全網(wǎng)絡安全根本問題沒有解決，現(xiàn)有的計算系統(tǒng)本身天然有缺陷；

第三、攻防技術理念不平衡，防御更難，但是今天面臨問題是源于進行防御人太少；

第四、人才缺口其實擴大，雖然人才培養(yǎng)越來越多，需求量增加更快。

譚曉生表示，過去我們關注IT安全，現(xiàn)在叫OT安全，過去是所謂工廠自動控制系統(tǒng)，如今是看數(shù)字安全前景，互聯(lián)網(wǎng)智能硬件安全不能完全歸屬于傳統(tǒng)IT安全，而且面臨更大范疇所謂數(shù)字安全，未來擴展到更大領域，不僅僅智能家具還能擴為重要基礎設施電力控制系統(tǒng)。

如果，今天IT和OT已經(jīng)連接起來，電力系統(tǒng)高度自動化，就會像一個PCN網(wǎng)絡。OT安全需要關注的一個問題是，別人問你我有病，你有沒有藥？那么如果你沒有藥，對不起還是不要把安全隱患告訴有病的人為好。

譚曉生還提到，國內(nèi)的黑客文化過去就是培養(yǎng)一部分人攻擊，但缺乏系統(tǒng)性思考，這方面相對美國弱太多。如果國家安全做起來，不僅僅需要培養(yǎng)直接的攻擊黑客，更要了解系統(tǒng)脆弱性，讓防御自動化。

尤其是現(xiàn)在，即便是有防御方法但執(zhí)行的時候會遇到非常多的問題，比如說我們說上下文相關的安全，做監(jiān)測和響應工具是什么？信息威脅有效性遇到很大挑戰(zhàn)，他們能起到一定防御作用，面對真正監(jiān)測能夠響應，但這里面其實會產(chǎn)生很多矛盾，工具就是固化你的處理過程，能夠減少人工作量一種東西，工具如果凈化到足夠好程度，我們對人需求也能夠降低。

但目前的狀態(tài)是工具沒有做好，人也不夠。言外之意，想要實現(xiàn)真正的安全，就要首先協(xié)調(diào)工具與人之間的關系。

譚曉生認為，未來網(wǎng)絡安全防御的鏈條會越來越長，一定是一個聯(lián)防聯(lián)控的局面，整個網(wǎng)絡信息安全要做好，需要政府、民間多個企業(yè)之間共同協(xié)作。

百度安全事業(yè)部總經(jīng)理馬杰：安全世界里，能力越大責任越大

什么是黑客？就是壞人嗎？馬杰認為，黑客很大程度是也是一個網(wǎng)絡守護者，他們發(fā)現(xiàn)漏洞、抓取漏洞，正是有了他們的存在，企業(yè)才會具有防患意識。

馬杰舉例說，阿桑其是他心中很厲害的黑客，年輕的時候干過很多狹義黑客事情，也黑過美國國防部和五角大樓網(wǎng)站，后來他覺得這些小東西沒有意思，人還是做一點能真正改變世界事情。于是，他開設了危機解密網(wǎng)站，這個網(wǎng)站里面公布了美軍，美國政府在伊拉克、阿富汗戰(zhàn)爭中的一些秘密。

阿桑奇做的這件事情更像黑客精神，因為在這個網(wǎng)絡世界中信息應該是平等交流，應該是自由的，美國軍隊為了掩蓋戰(zhàn)爭的實情，把很多文件藏起來，而阿桑其把他公布了。

當然也有一部分黑客做了黑產(chǎn)的事情，但他們大多是沒有管住自己的手，一時技癢覺得好玩而已。那么，如何打擊這種挖掘黑產(chǎn)的黑客？

事實上，安全世界里面就是能力越大，責任越大，對于安全從業(yè)人員更是如此。

但是，現(xiàn)在局面已經(jīng)開始改變，大家不再像以前那樣敵視黑客，而是希望能夠一起合作，在黑客事業(yè)中探索未知，不屈不饒他們讓這個世界變得更美好一點，從而構建這個世界的免疫系統(tǒng)。

阿里安全副總裁杜躍進：今天的戰(zhàn)場，已經(jīng)不是純粹的技術對抗

按照杜躍進的觀察，在現(xiàn)實中攻方可以僅憑一個單點突破達到目標，也可以通過系統(tǒng)偵查，多個環(huán)節(jié)配合，通過一個點達到攻破目的，但防守方每個點都要做，點和點聯(lián)合起來，整合在一起才可以應對攻擊。

他表示，曾經(jīng)把對手分成四種：大、小、黑、白，黑產(chǎn)是對手之一，白開心不用太管他，從淘黑金開始越來越高級的威脅，黑產(chǎn)對手了解他，在黑產(chǎn)整個體系里面看非常清楚，技術只是其中一部分。

同時，今天的戰(zhàn)場早已經(jīng)不是過去的戰(zhàn)場，已經(jīng)不是純粹的技術對抗，社會工程學的因素加入非常之多，尤其黑產(chǎn)領域里面非常明顯，相信另外兩個更高級純小偷、大玩家里面社會工程學完全不可或缺，今天已經(jīng)不再是計算機網(wǎng)絡，我們今天是一個網(wǎng)絡空間。

那么，今天攻防雙方在PK的是什么？最關鍵的主線之一就是數(shù)據(jù)，再到后面的時候計算機網(wǎng)絡和通訊網(wǎng)絡結合起來。

因為從攻擊者角度來講價值發(fā)生很大的轉(zhuǎn)變，所有東西聯(lián)系在一起，從智慧城市、交通、物聯(lián)網(wǎng)等，數(shù)據(jù)里面極大豐富，這些東西對攻擊者價值是什么？這張網(wǎng)絡已經(jīng)不僅僅是說我們用來做信息的交換了，他是我們生存所依賴的網(wǎng)絡，是業(yè)務所依賴的網(wǎng)絡。

所以，過去的時候，商業(yè)就是傳統(tǒng)的商業(yè)，但是今天網(wǎng)絡融到一起了，過去的時候有非常成熟的一套體系來控制風險，但是今天所有的東西都在融進互聯(lián)網(wǎng)，那么如果黑客發(fā)起攻擊，我們防御用什么？

杜躍進表示，未來的安全一定是一種融合的安全，一定不能夠僅僅停留在技術層面。當然，我們依然把網(wǎng)絡空間和其他的空間分開來看，網(wǎng)絡空間和物理空間并不是隔離，因為真實場景下攻防更加復雜，可以做出更加復雜的謀略對抗，但是單點對抗永遠輸定，不可能說單點突破你。

?騰訊北京分公司總經(jīng)理劉勇：騰訊如何打造自己的安全團隊？

對于社交巨頭來說，騰訊大量的用戶數(shù)據(jù)面臨的安全隱患會更大，比如騰訊目前QQ活躍數(shù)8億，微信用戶數(shù)也有7億，在與同行不斷博弈中，騰訊如何體現(xiàn)安全的能力？

劉勇認為，首先就需要一套安全人才的培養(yǎng)機制，因為在國內(nèi)并沒有一個權威的安全人才培訓和認證標準，培養(yǎng)機制存在很大缺陷。騰訊是怎么做的？劉勇總結了四點人才體系構建的經(jīng)驗：1、資源支持；2、從技術轉(zhuǎn)化；3、獨立空間；4、導師培養(yǎng)。

他吐露，騰訊現(xiàn)在已經(jīng)用了7個安全實驗室，每一個安全實驗室都有一個leader來掌控，不僅為騰訊自己的業(yè)務服務，也會涉及到2C、2B相關等政企業(yè)務。

除此之外，騰訊還贊助了Geek Pwn，以期打造一個安全的人才培養(yǎng)體系，在連接安全、系統(tǒng)安全、設備安全、云安全、信息安全和應用安全方面提前布局。

====================================分割線================================

本文轉(zhuǎn)自d1net（轉(zhuǎn)載）

總結

以上是生活随笔為你收集整理的BAT3四大巨头安全负责人破天荒聚在了一起，他们都说了什么？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。