滴滴副總裁弓峰敏：用生態(tài)思維變革信息安全

第二屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會于11月9日在北京國家會議中心召開。在此次大會上，來自高通、微軟和谷歌等多家科技公司的安全專家探討了信息安全的未來發(fā)展。滴滴出行信息安全戰(zhàn)略副總裁弓峰敏強調(diào)，業(yè)內(nèi)必須以生態(tài)的思維去看待信息安全技術(shù)；業(yè)內(nèi)參與者應(yīng)當(dāng)致力于威脅情報的分享，共同應(yīng)對生態(tài)系統(tǒng)內(nèi)的安全威脅。

信息安全的新范式

在11月9日的美國大選投票中，特朗普擊敗希拉里，將成為美國下任總統(tǒng)。維基解密網(wǎng)站近期曝光了希拉里競選團隊的一批機密郵件，對其選情造成了負面影響。弓峰敏指出，這是網(wǎng)絡(luò)空間的威脅活動真正影響了一個國家的大選，是信息安全行業(yè)標(biāo)志性的事件。

隨著技術(shù)發(fā)展，網(wǎng)絡(luò)空間和現(xiàn)實世界正趨于融合，網(wǎng)絡(luò)空間的安全事故常常會反作用于現(xiàn)實世界。在信息安全攻擊中，除了少數(shù)直接受害者之外，還將有成千上萬其他人受到間接影響。面對這樣的環(huán)境，企業(yè)的信息安全實踐存在許多問題。例如，傳統(tǒng)的信息安全行為著眼于漏洞發(fā)現(xiàn)和被動防御，無法很好的抵御黑客。

弓峰敏指出，黑客攻擊的核心目標(biāo)是獲得數(shù)據(jù)，或是破壞企業(yè)的業(yè)務(wù)流程。為了達成這一目標(biāo)，黑客的行為包括多個步驟，例如準(zhǔn)備工具，將工具植入網(wǎng)絡(luò)，以及運行工具等。傳統(tǒng)安全機制將這些步驟作為防御目標(biāo)。然而，黑客攻擊并非以線性方式推進，其中每個步驟都可能出現(xiàn)變數(shù)，甚至不是所有步驟都會遍歷。這就導(dǎo)致了防御者的防不勝防。此外，黑客可能會打持久戰(zhàn)，在儲備大量資源后伺機而動。而防御者無法預(yù)料持久戰(zhàn)的情形，因此疏漏很難避免。

為此，弓峰敏提出了信息安全的新范式。這就是以業(yè)務(wù)為核心，通過不間斷的監(jiān)控，在第一時間發(fā)現(xiàn)安全威脅，及時啟動應(yīng)急處理。換句話說，防御者應(yīng)當(dāng)從攻擊行為鏈的最終環(huán)節(jié)，即業(yè)務(wù)可能受到的影響去看待安全攻擊，從而掌握安全形勢的全貌，更好、更及時的拿出對策。

構(gòu)建安全生態(tài)系統(tǒng)

除了優(yōu)化自身信息安全行為之外，企業(yè)還需要構(gòu)建安全生態(tài)，集全行業(yè)之力去應(yīng)對信息安全威脅。

目前，用戶的在線活動通常會涉及多家公司。例如，在此前LinkedIn平臺的用戶帳號信息泄露后，黑客利用這些數(shù)據(jù)去“撞庫”，在其他平臺上嘗試用同樣的賬號密碼去登錄，進而盜取更多信息。有報道稱，通過這種方式，甚至Facebook CEO馬克·扎克伯格（Mark Zuckerberg）的Twitter帳號密碼也被黑客獲得。這類事件表明，整個生態(tài)系統(tǒng)中的各方都會自覺或不自覺地被聯(lián)系到一起。

另一方面，以往用戶安全常常被忽略。隨著移動互聯(lián)網(wǎng)的發(fā)展，越來越多技術(shù)正貼近普通人。在這樣的情況下，個人、企業(yè)和業(yè)務(wù)被聯(lián)系在一起。無論是以直接還是間接方式，在信息安全攻擊中，它們都將成為受害者。因此，企業(yè)也應(yīng)當(dāng)將用戶安全考慮在安全生態(tài)內(nèi)。

弓峰敏指出：“從安全工具開發(fā)和防御模式來看，如果不考慮整體生態(tài)，那么就輸?shù)袅艘话搿！?/P>

工具開發(fā)的新要求

那么，安全工具的開發(fā)具體要如何操作？弓峰敏提出，可以從三方面入手。

首先，新安全工具必須支持威脅情報分享。這種分享并非拿出原始業(yè)務(wù)數(shù)據(jù)，而是對數(shù)據(jù)中的安全威脅信號進行分析和提煉，得出有意義的信息。尤其重要的是，這其中不應(yīng)牽涉用戶的私密信息。弓峰敏表示，作為開放的平臺，滴滴非常愿意就威脅情報分享與領(lǐng)先的信息安全機構(gòu)展開合作。

其次，安全工具必須支持API（應(yīng)用程序接口）。這將確保安全工具被集成至業(yè)務(wù)部門，實現(xiàn)分布式的安全信息監(jiān)控，收集必要的數(shù)據(jù)。這意味著，系統(tǒng)對信息安全風(fēng)險的監(jiān)測將不再是孤立的，而是可以全面了解各方面因素。無論是底層硬件還是業(yè)務(wù)邏輯，各種異常都可以被檢出。

第三，企業(yè)內(nèi)部必須制定統(tǒng)一而明確的流程，在業(yè)務(wù)運營過程中貫徹流程，最終完成信息安全的閉環(huán)。對滴滴而言，這就是以業(yè)務(wù)為起點，從業(yè)務(wù)保護開始輻射到各個環(huán)節(jié)，在為用戶提供服務(wù)的過程中保障各類用戶信息，確保用戶的安全。

在信息安全發(fā)展史上，攻擊單臺計算機的病毒是第一代安全威脅。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)終端越來越多，基于網(wǎng)絡(luò)的安全威脅逐漸變得更強大、更復(fù)雜。今天，信息安全行業(yè)又開始關(guān)注云計算。云計算支持了許多最新技術(shù)，帶來了許多優(yōu)勢。然而，除了應(yīng)用場景和部署方式的變化之外，安全技術(shù)并未實現(xiàn)質(zhì)的飛躍。正如弓峰敏所說，以新的安全范式為基礎(chǔ)，通過生態(tài)系統(tǒng)的不斷完善，這樣的狀況將得到變革。