BAT三巨头为何会坐在一起聊网络安全?

BAT三巨头在“互联网+”的时代都在疯狂的打造各自的生态和平台,之间不时传出火药味道。然而在11月3日即将举办的互联网安全领袖峰会上却会坐在一起共谈安全,这让很多人感觉不可思议。

从目前透露的资料看,互联网安全领袖峰会是中央网信办网络安全协调局指导,腾讯公司、中国电子技术标准化研究院、中国金融认证中心、中国信息安全认证中心联合主办的一次关于安全的大会,BAT共谈安全是这个会议的亮点。

那么,为何在金融、O2O、电商等领域争得不可开交的BAT会坐在一起聊安全呢?

从熊猫烧香到XX神器

在回答这个问题之前,让我们来看两个非常热门的病毒案件,一个是发生在2007年1月的PC蠕虫病毒案——熊猫烧香;另一个是发生在2014年8月的XX神器手机木马病毒案。熊猫烧香病毒用1个月才感染了百万台电脑,其主要危害是破坏文件系统,导致黑屏、死机,当然一些网站或者金融、税务系统可能也会因此遭殃,但是并没有带来非常严重危害的报道。

而XX神器手机木马病毒仅仅1天就感染数百万台手机,并且呈指数级增长。该手机木马之所以如此快速传播,因为可以利用手机通讯录群发消息自传播,还具备窃取手机短信的功能。而手机短信中的支付验证码信息一旦被窃取后,便可以实现银行资金的盗刷,类似依靠手机木马病毒进行盗刷资金的案例已经屡见不鲜。

两个病毒对比后我们看到,PC蠕虫病毒的传播速度、感染机器数量远远小于手机木马病毒,PC病毒带来的危害也相对局限,而手机木马病毒可能会导致许多民众直接损失钱财。(可说说移动时代病毒的非单一性,让银行、手机厂商、用户、服务提供方等多方受损)

城门失火殃及池鱼

上面的案例已经说明移动互联网时代的安全风险远远大于PC时代,说明安全变得更加重要。接下来的案例,你会发现这个时代的安全问题完全可以用“城门失火殃及池鱼”来形容。

前几日,有报道称网易邮箱被黑客攻破,导致数亿邮箱账号密码泄露。这本不该引起多么大的恐慌,无非是修改密码,防止邮件泄露这么简单。然而我们发现,有大量的用户通过网易邮箱注册了支付宝、iCloud账户、百度钱包等各种涉及金融、支付的其他账户,以及一些社交软件、媒体账号等等。

一旦邮箱账户密码泄露,就意味着这些通过邮箱注册的其他账户遭遇危险。看似只是网易自己的风险,结果阿里巴巴、苹果、百度等企业全都面临危险。这不就是“城门失火殃及池鱼”么?

移动互联网时代,不仅仅病毒传播速度快、危害大,而且涉及的面更广。产业链上的企业都已经交叉融合,都会成了安全问题的受害者,难以置身事外。而且互联网+让人、设备、钱、组织等全都联网,一旦出现安全问题将涉及到不仅是电脑黑屏、手机死机这么简单,还可能导致人身安全、社会安全,比如,在刚刚举行的Geekpwn上,黑客们轻松破解了智能手机、大疆无人机、智能摄像头、移动支付等各种智能联网设备,试想我们开着特斯拉汽车使用无人驾驶功能,突然汽车被改变了行驶轨道,并不再受驾驶员控制,这将是多么恐怖的事情。

所以互联网与生产、生活完全融合之后,一旦出现安全问题,不仅BAT等互联网公司无法置身事外,几乎所有的企业、用户都将遭遇风险,这是一个一荣俱荣一损俱损的时代,木马病毒、恶意攻击成为所有企业共同的敌人。因此,BAT坐在一起聊安全也就不是什么让人奇怪的事了,这是当下必须要做的事情。

互联网+时代的安全大猜想

通过以上的分析,我们已经可以感受到当今的安全与PC时代安全的不同之处,也对BAT们坐在一起聊安全有了初步的认知,因为在安全风险面前大家都是拴在一个绳子上的蚂蚱,所以有必要坐下来聊聊如何应对新的安全风险。对于未来的安全,我也有几点思考和猜想:

首先,安全基于互联网生态而存在,属于公益事业。PC时代,有许多安全技术公司,依靠卖技术、卖软件获利。在互联网+的时代,安全的主要提供方将变为互联网生态、平台搭建者,而不再是单一的安全企业。

目前,BAT是中国互联网开放平台、生态的主要提供者,他们也都在安全上投入了资金、资源,向用户、产业链合作伙伴提供安全技术,安全成为互联网生态的必备,成为互联网生态的基础设施,也是一种公益事业。我记得马化腾曾说过:“安全是国防”,腾讯的移动安全战略也一直定位在“产业链安全”,免费服务产业链上的所有合作伙伴。

其次,搞安全不能再闭门造车,必须开放、共享。PC时代的安全公司大多都是独立安全公司,主要是关门搞安全技术和研发,绝不会免费公开自己的技术接口、数据接口,然后一款安全软件卖N年。在互联网+时代,安全风险存在于任何可联网的设备上,因此只搞一款安全软件是难以实现有效防范的,只从产业链的一个环节去做安全也是难以防范的。

比如,当前的诈骗短信,一般都会内置钓鱼网址或者木马病毒下载链接,这显然不是一个拦截诈骗短信软件所能解决的。这个诈骗短信涉及到运营商、银行、安全企业、网络支付平台、网购平台、手机终端、开发者、应用商店等多个产业链上的企业,所以产业链上的各方必须通过安全技术开放、安全厂商与企业合作、安全数据开放的方式,才能真正实现保护。

本次大会知道创宇、启明星辰、Keen Team、乌云平台、赛可达实验室等专业安全机构也都有参与,相信他们也早就意识到安全机构与互联网生态合作是必然趋势。而此前,腾讯安全还与银行、运营商、WIFI提供商等建立了多个安全相关的联盟,宗旨也是为了开放、共享做安全。

再次,BAT、安全企业是否会建立紧密合作的安全同盟?当前虽然BAT、安全公司之间也有一些互动,比如,此前的安全联盟成立,就看到了腾讯和百度的身影;腾讯发起的天下无贼-反信息诈骗联盟中的数据共享部分,除了警方、银行、运营商外,也有百度钱包、阿里天猫白名单数据的参与,但是这些合作都不够紧密,而且当前的安全标准也并未统一。

本次会议有“中国电子技术标准化研究院”参与,是否会与企业一起制定互联网+时代新的安全标准,这有利于这些企业之间进行技术、数据的开放、共享。甚至建立一个更为紧密的安全联盟,一起应对未来可能出现的安全风险,这些也有待互联网安全领袖峰会召开才能获悉。

 

上一篇:网络安全要能看、能见

下一篇:互联网安全1.0到2.0:单兵作战VS共享共建