2021 SDC | 圓桌會談-業內大咖齊聚，共話新安全

2021年10月23日，看雪第五屆安全開發者峰會於上海靜安洲際酒店圓滿落幕。本屆峰會聚焦數字化升級時代下網路安全的新技術、新發展，以“共築安全”為主題，攜手業界同行一同探尋網路安全新態勢。

議題只分享乾貨技術是看雪一直以來的初心，峰會現場除了十大精彩的技術議題之外，一場由安全419創始人張毅（MT）主持，中國駭客教父，綠色兵團創始人，現連尚網路首席安全官龔蔚；安恆資訊上海總部副總經理周亞超；上海交通大學資訊保安博士、(ISC)2中國上海分會主席施勇以及武漢科銳創始人、泉州市人工智慧學會副理事長錢林松共同參與的圓桌會談也頗為引人注目。

5位業內大咖就當前面臨的網路安全新挑戰進行了深入探討，內容重點涉及資料安全領域，其中涵蓋法律法規層面以及企業面臨的現實挑戰，同時探討了未來網路安全攻防與漏洞生態相關的熱門話題。

以下為速記內容：

Q1

法規政策

張毅（安全419創始人兼主持人）：開場想先請教大家一個當前業界普遍比較關注的問題，《資料安全法》、《關鍵資訊基礎設施安全保護條例》、《網路產品安全漏洞管理規定》三部對網路安全行業意義深遠的政策法規正式施行，強政策驅動下，在具體的安全建設過程中，給大家的業務帶來了多少變化？技術層面來講，是否會面臨一些全新的挑戰？

龔蔚：在我國的相關政策法規陸續出臺的大環境下，將會令整個行業在安全理念上有所轉變，我們的中心已經從資訊保安、網路安全逐漸轉向以資料安全風險管控和治理這樣一個理念，而未來所有的安全風險的管控和治理，都將以資料安全為核心。

那麼在這個當中其實我也是剛剛起步，我相信很多企業跟我們一樣，經歷到這一步以後也碰到了各種各樣的問題。甚至第一步——做好資料資產的風險識別方面就會遇到難題。很多企業尤其是網際網路企業的資料量的規模都極為龐大，包括資料庫的建立、資料血緣關係的建立等等方面都會成為企業要面對的安全難點。

那麼在這個當中我們也嘗試著去運用一些新的技術，比如說AI的技術，以自動化的方式去學習、分析資料的同步關係和選擇關係。在這個嘗試過程中，我相信未來在這個領域會有很多新的產品和技術出現，無論是對於行業發展還是客戶應用層面都會起到非常良好的促進作用。

【連尚網路首席安全官-龔蔚】

周亞超：資料安全法律法規的實施帶來安全合規新需求，金融、證券、政府、網際網路等行業的資料運營者，承載著大量的個人資訊和重要資料，但實際上資料安全、個人權益和個人資訊保護這塊做得還不夠。網路安全防護能力和技術水平還是比較傳統的，那麼針對這種大資料環境下能做的還是比較有限。作為網路安全企業，我們需要在這個過程當中跟業內的很多其他機構，如研究單位、律所、諮詢公司等加強合作，為企業提供完整的從規劃諮詢、產品部署到運營服務全套的解決方案。

【安恆資訊上海總部副總經理-周亞超】

施勇：其實我們今年也發現一個非常有意思的現象，就是大量的律師開始研究網路安全的一些工作，包括我們交大。像我們有法學院有好多個教授，現在已經是我們上海網信辦和相關的職能部門的高參，在整個法體上面，包括法律的一些依據上面，大家現在還在對法律進行快速的研究，那麼衍生出來的問題其實是相當複雜的。

我覺得可能在今後，不管是在資料分級分類，包括跨境資料保護，我們作為一個保護者來說，給到客戶保護以後怎麼來規範我們的一些行為和要求，這裡面有巨大的一個市場存在，最近有很多資料相關的一些廠商，其實應該說引來一波很大的機會。

 

在未來的網路安全產業當中也是一樣，隨著不斷的有新的法律出來，新的要求上來。例如關基保護的要求、密評的要求等等，都會為網路安全從業人員提供非常多的機會，對於個人而言去選擇創業也好，或是對企業而言去追求創新也好，都會有很好的推動力。

【上海交通大學資訊保安博士、武漢科銳創始人-施勇】

錢林松：在某些情況下安全可能會和合法合規之間產生一些矛盾，一個比較典型的例子，在透過大資料做威脅的大資料溯源反查時，就有可能會同隱私保護產生一定的衝突，比如惡意樣本的傳播鏈路，在追查作案者資訊的過程中，必然會涉及到傳播線路中的裝置、人等等，在以往是可以從大資料中直接溯源，但在各項資料、個人隱私等相關的法律出臺後，這種方式就會遇到一些障礙，因此還需要去制定與之相應配套的規範去約束，這是後面值得大家共同再深入探討的一個點。

【武漢科銳創始人、泉州市人工智慧學會副理事長錢林松】

Q2

勒索病毒

張毅（安全419創始人兼主持人）：第二，想聊一下勒索病毒攻擊，這可能是近年來全世界網路安全面臨的一個最大的問題。特別是它對於一個國家關鍵資訊基礎設施造成的破壞，已經到了非常嚴峻的形勢。有個比較顯著的特徵就是，攻擊者擅長用批次自動化的攻擊方式來對目標進行大規模的打擊，這對於以往傳統的防禦手段而言是一個新的挑戰。

想請問各位，在近年來的技術發展過程中，大家是否有一些更好的解題思路，能夠更好地防範勒索病毒？特別是比如現在威脅是批次產生的，我們是否也能夠有辦法更有效地提供風險的感知能力及防禦能力？

龔蔚：做安全不是看誰做的好，而是看誰做的最爛。因為如果你做的最爛，那麼即便是比你好一點點的攻擊者對你發起的攻擊，都有可能會讓你遭受到巨大的損失，所以這一點是非常重要的，你不要做最爛。

第二，沒有安全事件，不等於你很安全。可能會有不少企業會覺得自己很安全，因為他們覺得很長時間沒有發生過安全事件，這個理念是完全錯誤的。因為安全需要透過感知、資料、識別等多個維度去證明的，而不是僅僅依靠“沒有安全事件”這樣的一個結果去證明，表面上沒有安全事件，其背後也許就是沒有感知到、沒有識別到所造成的假象，但真當你發現安全問題的時候，也許就已經晚了。針對勒索病毒也是需要大家在各個維度去提升自己，增強自己對於安全的感知能力。

周亞超：我不是這方面的專家，所以我從工作當中談一些感受。安全是一個殘留風險可接受的一個系統，所以沒有絕對的安全。可能即便再多的人，再多的產品和裝置、安全運營，可能也到不了那種完全防止這種勒索病毒、apt攻擊或者更大規模的攻擊。因此，一方面需要企業自身提升安全防護能力，加強安全態勢感知、安全能力、人員意識培訓，組織攻防演練；另一方面，完善行業級、地方級、國家級公共支撐保障和監測預警平臺建設。

 

施勇：到今年為止，其實我們國內的勒索的情況已經是非常嚴重了，我今年接觸到的兩起最大的勒索事件的屬性是2億人民幣，小一點的有3000萬-4000萬。對於我們國內來說現在比較麻煩的一個問題就是，實際上我們中國的企業在資訊化發展的速度是很快的，但是防護的能力是極弱的。特別是一些大企業，包括基礎設施，我們認真去看的話，它對這種比較深度的攻擊防護能力基本上為0。

第一，核心資料保護好。很多企業實際上它是有災備的，但當前幾乎80%的企業所具備的災備能力在應對此類攻擊時是沒有防護能力的。它純粹就是一個資料的自動複製跟取走，沒有考慮到駭客進來之後，實際上它把你的災備是同時進行破壞，所以這種災備根本就沒有效果，沒有任何意義。企業要快速的進行改造，保證核心資料不能癱瘓。一旦核心資料癱瘓或者被加密後，贖金完全是攻擊者說了算，企業根本沒有討價還價的餘地。一旦核心資料蒙受巨大損失，讓企業一夜之間倒閉並非不可想象。

第二，大規模的增強企業的防護和檢測能力。我們現在重點強調的是檢測的能力，因為現在很多企業建設的東西基本上是以服務為主，但檢測的能力非常的弱，檢測能力弱就導致這種攻擊在企業當中已經存在了3、4個月它可能完全不自知，那麼這種惡性的勒索事件，可以讓一家上市的公司直接關閉。所以我覺得檢測能力的增強是現在企業非常需要去快速增大投入的部分。

第三，應用相關的標準來對企業這方面的安全能力進行評估。看看企業在應對此類攻擊時的防護能力到底是如何的。我們現在很建議一些企業你應該綜合去打這部分，實際上如果你真的拿這個標準的話，很多企業的分數是極低的，那麼也就是說在非常多的維度上面需要快速去增強，我覺得這個問題可能未來會是我們中國面臨的持續問題，因為它的收益太高了。增強應對勒索軟體攻擊的防護能力是需要從多個維度去全面考量，而非是單獨去關注某一個點就可以實現的。

Q3

安全行業未來發展趨勢

張毅（安全419創始人兼主持人）：作為行業裡各領域的技術大拿，各位對於未來網路安全行業的技術發展趨勢怎麼看，有哪些熱門的技術及應用值得我們重點去關注的？

周亞超：從人才的發展角度來闡述一下觀點。未來需要更綜合性的技術人才，懂安全的人才不僅要繼續加強在安全技術方面的鑽研，還需要去了解一些行業背景相關技術。例如車聯網安全、工控安全，同時也要懂得汽車的控制系統等，這樣在應對安全威脅的防護方面會有更強的針對性，解決問題的能力才會更強。

張毅：當前網路安全人才的缺口本就很大，而專業領域的安全人才缺口會更大，所謂“物以稀為貴”，又更何況這種專業人才呢？對於安全研究人員而言，未來新的專業領域也許就是自己真正大展才華、名利雙收的重要機會。

錢林松：從技術角度來說，人工智慧相關技術的應用會在攻防層面進一步大放異彩。人工智慧的理論在上世紀70年代就已經比較完善，但受限於當時的算力問題以及訓練、學習資料的問題未能得到進一步的突破，當前隨著這些問題的解決，人工智慧技術已經非常適於參與到攻防之中。

施勇：在未來的網路當中，如果說用人去作為攻擊者發起攻擊還有機會的話，那麼在防禦一方，單純的依靠人去做是不現實的。當前海量的流量、資料情況下，安全一定是需要工具的，而人工智慧一定會是整個網路安全行業所熱衷於研究的深度技術，也是未來一個非常大的趨勢。

Q4

漏洞管理條例

張毅（安全419創始人兼主持人）：其中漏洞條例的出臺，對於業界的影響如何？大家如何解讀，有哪些重點去解讀？後面工作的推進，如何才能更合法合規又能解決實際的行業問題？

錢林松：法律法規一定要支援的，在上世紀90年代末的駭客道德守則中，大部分內容還是同現在的法律法規基本不衝突，但衝突點也有，此前能夠公佈一個全世界都未發現的漏洞（0day）對白帽子而言是一項榮譽，但現在就不同了，規定明確了是不允許的。以前白帽子還可以選擇將漏洞出售給張三或李四，這兩個買方還可競價，但現在不同了，只能將其給張三，如果給了李四就違法了。

施勇：首先，這個話題是有點敏感的，漏洞是網路安全中最厲害的“殺手鐧”之一，但目前在市場上還並沒有找到商業模式的最優路徑。期望國家能夠在未來會出臺一些與該規定相關的配套措施去更好的發揮民間力量，將其投入到安全工作中去，這可以令管理變得更加靈活而不僵硬。但同時，民間力量所發掘的大量漏洞，如果不加以管控的話，其所產生的社會危害甚至是對國家的危害，都會非常沉重。

周亞超：漏洞是國家重要的資料資產。舉例來說，在重要資料識別指南標準起草過程中，也將漏洞納入了重要資料的範疇。但是，與不同於其他型別的資產和資料，漏洞更多是透過群眾的智慧和力量去發現的，而不是企業或機構自身就可以生產採集的資料。因此，為了保證漏洞發現的廣泛性、有效性，需要有激勵機制鼓勵個人或組織發掘漏洞資產的。

龔蔚：首先肯定是支援法律層面去針對漏洞進行一些管控，但是“為什麼中國很多踢球的天才少年一進入國家隊之後就差的一塌糊塗？就挖漏洞而言，在未來10年以後，也許我們真的就沒有能力再去挖了。”

當前還是應該在有序的前提下，讓白帽子有權利去更多的挖掘漏洞，因為沒有漏洞，不代表它是安全的，只有發現了問題才會改進問題，才會變得更加安全，因此從某種角度看，白帽子尋找漏洞的工作，其實是為了讓我們更安全。

看雪SDC簡介

看雪安全開發者峰會（Security Development Conference，簡稱SDC）由擁有近22年悠久歷史的老牌安全技術綜合網站——看雪主辦，面向開發者、安全人員及高階技術從業人員，是國內開發者與安全人才的年度盛事。自2017年七月份開始舉辦第一屆峰會以來，SDC始終秉持技術與乾貨的原則，始終致力於建立一個多領域、多維度的高階安全交流平臺，推動網際網路安全行業的快速成長。

2021年，第五屆看雪安全開發者峰會（2021 SDC）在上海正式開啟。本屆峰會將聚焦數字化升級時代下網路安全的新技術、新發展，以“共築安全”為主題。

本屆SDC分為訓練營與峰會兩大部分。10月22日為訓練營日，我們邀請到業內大師，聚焦近期最熱門的領域、最實用的技術，開設技術訓練營，引爆您的學習潛能！

10月23日峰會現場，更有精彩議題、圓桌會議、極客市集等您來，震撼您的感官、激發您的技術熱情、燃燒您的最強大腦!

主辦方簡介

看雪（www.kanxue.com）建立於2000年，是一個專注於PC、移動、智慧裝置安全研究及逆向工程的開發者社群！同時也是最資深的安全綜合服務網站之一！22年來看雪滋養了大量安全技術愛好者，為網路安全行業輸送了大批高質量的優秀人才。

最後感謝各位朋友們蒞臨峰會現場，我們明年再會！

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com