结果没有出乎王琦意料,得分最高的队伍一共突破了9道赛题,没有任何一支队伍能突破最后一个难度级别。
最近,白帽黑客界再一次迎来GeekPwn国际安全极客大赛。曾经在央视3.15晚会作为安全专家出镜的“大牛蛙”王琦是GeekPwn的发起创办人。虽然这次比赛有很多集中在用户生活场景下的攻防很吸引眼球,但是王琦特意联合腾讯云鼎实验室设计了一场在产业互联网通用云计算环境下的攻防比赛。有6支参加决赛的队伍在基于真实场景下的全栈云环境中,解决四个难度级别、共16道真实攻击场景赛题。比赛成绩如文章开头所描述。
“对产业了解少,懂黑客的人不熟悉云计算环境下的攻防路径,这方面的交叉人才比较稀缺。想通过比赛让更多人研究这一领域,提升云计算的整体安全性。这也会让云厂商从中受益。”王琦表达初衷。
机遇与挑战
学术圈关注焦点的转向源自产业层面的变化。最近两年全球企业在购买云服务时愈发将安全放在“置顶”考虑的位置。
在上个月底结束的世界IoT大会(IoT Solutions World Congress)上,微软宣布Azure Sphere将在明年2月上线,以解决从设备到云端的安全连接与防护问题。这个是在一年半前微软针对物联网设计的一套从芯片到OS操作系统,再到云安全的三层解决方案。该方案与它的云计算Azure(天蓝色)同名,不难看出它是基于云端的设计。
在产业互联网时代,安全在云端正扮演着越来越重要的角色。
这里面有两个动因:其一,安全是生存问题。可以看到,产业互联网对于传统行业起到了巨大的助推作用,有很多企业领袖意识到了云的价值,把数据和业务快速向云端迁移,因此数字资产的安全成为企业的核心考验。安全能力缺失将带来巨大的威胁,甚至能够让一座企业大厦瞬间崩塌。
这样的例子在过去并不鲜见。根据国际安全与漏洞分析机构Risk Based Security公布的数据,2019年上半年,世界范围内已经发生了3813起数据泄露事件,即平均每天21起,被公开的数据为41亿条,数据泄露事件的数量与去年同期相比增加了54%。在被泄露的41亿条数据中,有32亿的数据泄露归咎于8起泄露事件。
其二,安全也是发展问题。在产业互联网时代,企业不但要稳固自己的核心业务优势,也要依靠技术和创新寻找新机遇。新技术的引入能够拓宽企业原来的业务边界,实现降本增效,也将带来全新的安全挑战。例如越来越多的零售企业将销售渠道拓展到互联网上时,不可避免地会遭遇“羊毛党”、“DDoS攻击”等原来从来没有面对过的安全威胁,这些安全挑战直接影响了新业务的发展。
在产业互联网时代生存与发展的双重需求下,安全已经成为企业数字化转型的原生需求。
云安全交给谁?
事实上,国内目前的云上安全更多依赖于云服务商提供的安全服务。
与传统IT安全场景下的“卖产品”思路相比,国内云服务厂商更喜欢将安全能力“内嵌”到云计算的各层服务中,以云为载体输出给客户。这也反映了国内云计算市场的变化:早期是中小型创业公司、互联网公司作为第一批吃螃蟹的人使用云计算;慢慢地云计算进入产业层,开始爆发式增长,像腾讯云营收连续四年保持了三位数百分比增速。这些更多是由国企、政府、金融机构、工程制造业等大型客户贡献。对这些客户而言,相比于成本,他们更关心网络稳定性与数据安全。
云计算领域也符合“二八定律”,即八成收入是由少数大客户贡献的。那么,这些大客户对安全、合规的要求推动了国内云厂商的安全升级;反过来,更安全的云也带动了云的销售增长。
以腾讯云为例,目前保持着行业最高的营收增速,其增长源于两个基础:一是上面提到的它本身已拓展了很多大客户,腾讯云在此基础上与客户一起发掘安全需求,形成二次销售;其次是找到重点行业,像自动驾驶、智慧政务、金融机构等都是安全先行的行业,腾讯安全的品牌反向助推了云的拓展。在这些重点行业,客户希望安全能走到云前面去,兵马未动、粮草先行。要先讨论清楚安全架构,然后才决定以多大的步伐往云上迁移。
安全性,成为腾讯云在抢市场时着力突出的一个优势。腾讯安全最早给我们的印象似乎是网页上的QQ安全中心,如何防止盗号。进入移动互联网时期后,形成了以腾讯手机管家、电脑管家,以及云鼎、科恩等七大实验室为产品业务层的安全体系,那时候主要服务于腾讯自身的消费互联网业务。2017年5月全球爆发的勒索病毒让很多企业内网、医院、学校、政府网站等遭受攻击。当时瑞星联合国家信息与网络安全部发布的数据显示,广东是勒索病毒中招数最高的省份。腾讯安全由此划分出一部分人力做企业安全,开始对外,直到后来的云安全团队。
目前,涉及云安全,腾讯内部现在有一个200多人的全栈工作组,属于人员抽调性质的虚拟团队,而集团涉及安全相关业务的团队规模至少在2000人以上,并形成了红蓝攻防对抗的白帽极客传统。从硬实力上讲,腾讯安全能力是经历过长期积淀的,建立了一套黑产数据库,并多次为苹果、Google、微软、特斯拉等公司提交过漏洞。
可以说,腾讯探索产业互联网,最大的价值或者说胜算在于开放性,可以利用C端优势弥补起步晚的短板,这和微软的路径比较像。而腾讯自身对抗安全威胁20年来所积累的技术、经验和大数据,在迅速整合后成为对外输出的安全能力,也成为了腾讯切入产业互联网的突破口之一。在几个月前的互联网安全领袖峰会上,腾讯已开放其安全中台能力,在产业端形成了情报-攻防-管理-规划四个维度的防护系统;开篇提到的比赛也是一种开放姿态,促进整个云端乃至产业互联网的安全发展。
