BAT3四大巨头安全负责人破天荒聚在了一起，他们都说了什么？

近日，第二届XCTF国际网络安全技术对抗联赛落幕，这一届的主题除了探讨网络安全问题，更尝试加速企业与高校之间的融合。尤其值得一提的是，本是相爱相杀的BAT、360公司的安全负责人这一次破天荒聚在了一起，各自分享了他们对安全的看法。

360公司CTO兼副总裁谭晓生：未来的安全是如何处理工具和人之间的关系

作为国内第一大安全公司，360公司CTO兼副总裁谭晓生认为，今天的网络安全面临四大痛点：

第一、面临万物时代必然面临的安全挑战；

第二系统安全网络安全根本问题没有解决，现有的计算系统本身天然有缺陷；

第三、攻防技术理念不平衡，防御更难，但是今天面临问题是源于进行防御人太少；

第四、人才缺口其实扩大，虽然人才培养越来越多，需求量增加更快。

谭晓生表示，过去我们关注IT安全，现在叫OT安全，过去是所谓工厂自动控制系统，如今是看数字安全前景，互联网智能硬件安全不能完全归属于传统IT安全，而且面临更大范畴所谓数字安全，未来扩展到更大领域，不仅仅智能家具还能扩为重要基础设施电力控制系统。

如果，今天IT和OT已经连接起来，电力系统高度自动化，就会像一个PCN网络。OT安全需要关注的一个问题是，别人问你我有病，你有没有药？那么如果你没有药，对不起还是不要把安全隐患告诉有病的人为好。

谭晓生还提到，国内的黑客文化过去就是培养一部分人攻击，但缺乏系统性思考，这方面相对美国弱太多。如果国家安全做起来，不仅仅需要培养直接的攻击黑客，更要了解系统脆弱性，让防御自动化。

尤其是现在，即便是有防御方法但执行的时候会遇到非常多的问题，比如说我们说上下文相关的安全，做监测和响应工具是什么？信息威胁有效性遇到很大挑战，他们能起到一定防御作用，面对真正监测能够响应，但这里面其实会产生很多矛盾，工具就是固化你的处理过程，能够减少人工作量一种东西，工具如果净化到足够好程度，我们对人需求也能够降低。

但目前的状态是工具没有做好，人也不够。言外之意，想要实现真正的安全，就要首先协调工具与人之间的关系。

谭晓生认为，未来网络安全防御的链条会越来越长，一定是一个联防联控的局面，整个网络信息安全要做好，需要政府、民间多个企业之间共同协作。

百度安全事业部总经理马杰：安全世界里，能力越大责任越大

什么是黑客？就是坏人吗？马杰认为，黑客很大程度是也是一个网络守护者，他们发现漏洞、抓取漏洞，正是有了他们的存在，企业才会具有防患意识。

马杰举例说，阿桑其是他心中很厉害的黑客，年轻的时候干过很多狭义黑客事情，也黑过美国国防部和五角大楼网站，后来他觉得这些小东西没有意思，人还是做一点能真正改变世界事情。于是，他开设了危机解密网站，这个网站里面公布了美军，美国政府在伊拉克、阿富汗战争中的一些秘密。

阿桑奇做的这件事情更像黑客精神，因为在这个网络世界中信息应该是平等交流，应该是自由的，美国军队为了掩盖战争的实情，把很多文件藏起来，而阿桑其把他公布了。

当然也有一部分黑客做了黑产的事情，但他们大多是没有管住自己的手，一时技痒觉得好玩而已。那么，如何打击这种挖掘黑产的黑客？

事实上，安全世界里面就是能力越大，责任越大，对于安全从业人员更是如此。

但是，现在局面已经开始改变，大家不再像以前那样敌视黑客，而是希望能够一起合作，在黑客事业中探索未知，不屈不饶他们让这个世界变得更美好一点，从而构建这个世界的免疫系统。

阿里安全副总裁杜跃进：今天的战场，已经不是纯粹的技术对抗

按照杜跃进的观察，在现实中攻方可以仅凭一个单点突破达到目标，也可以通过系统侦查，多个环节配合，通过一个点达到攻破目的，但防守方每个点都要做，点和点联合起来，整合在一起才可以应对攻击。

他表示，曾经把对手分成四种：大、小、黑、白，黑产是对手之一，白开心不用太管他，从淘黑金开始越来越高级的威胁，黑产对手了解他，在黑产整个体系里面看非常清楚，技术只是其中一部分。

同时，今天的战场早已经不是过去的战场，已经不是纯粹的技术对抗，社会工程学的因素加入非常之多，尤其黑产领域里面非常明显，相信另外两个更高级纯小偷、大玩家里面社会工程学完全不可或缺，今天已经不再是计算机网络，我们今天是一个网络空间。

那么，今天攻防双方在PK的是什么？最关键的主线之一就是数据，再到后面的时候计算机网络和通讯网络结合起来。

因为从攻击者角度来讲价值发生很大的转变，所有东西联系在一起，从智慧城市、交通、物联网等，数据里面极大丰富，这些东西对攻击者价值是什么？这张网络已经不仅仅是说我们用来做信息的交换了，他是我们生存所依赖的网络，是业务所依赖的网络。

所以，过去的时候，商业就是传统的商业，但是今天网络融到一起了，过去的时候有非常成熟的一套体系来控制风险，但是今天所有的东西都在融进互联网，那么如果黑客发起攻击，我们防御用什么？

杜跃进表示，未来的安全一定是一种融合的安全，一定不能够仅仅停留在技术层面。当然，我们依然把网络空间和其他的空间分开来看，网络空间和物理空间并不是隔离，因为真实场景下攻防更加复杂，可以做出更加复杂的谋略对抗，但是单点对抗永远输定，不可能说单点突破你。

 腾讯北京分公司总经理刘勇：腾讯如何打造自己的安全团队？

对于社交巨头来说，腾讯大量的用户数据面临的安全隐患会更大，比如腾讯目前QQ活跃数8亿，微信用户数也有7亿，在与同行不断博弈中，腾讯如何体现安全的能力？

刘勇认为，首先就需要一套安全人才的培养机制，因为在国内并没有一个权威的安全人才培训和认证标准，培养机制存在很大缺陷。腾讯是怎么做的？刘勇总结了四点人才体系构建的经验：1、资源支持；2、从技术转化；3、独立空间；4、导师培养。

他吐露，腾讯现在已经用了7个安全实验室，每一个安全实验室都有一个leader来掌控，不仅为腾讯自己的业务服务，也会涉及到2C、2B相关等政企业务。

除此之外，腾讯还赞助了Geek Pwn，以期打造一个安全的人才培养体系，在连接安全、系统安全、设备安全、云安全、信息安全和应用安全方面提前布局。

====================================分割线================================

本文转自d1net（转载）