主持人:请您介绍一下乌云目前提供的技术产品服务吧。
剑心:乌云本身是偏社区的,这个也是免费的,大家可以通过加入乌云来获得关于自身企业的安全问题预警和通知;社区比较松散,所以同时对于一些对安全有高要求的企业,我们也会将社区里的最优秀的白帽子对接到企业来更高效的帮助企业发现安全问题,这部分我们还已经产品化尝试以saas的模式完成白帽子和企业的对接工作来周期性的监控企业的安全问题,同时我们也有以白帽子众包为核心的安全培训和应急服务;
主持人:我们目前的互联网安全环境是什么状态?中国互联网遇到的最大的挑战是什么?
剑心:目前中国的互联网安全环境相比以前已经好很多,因为越来越多的人开始关注到安全这部分,同时因为中国的崛起也导致互联网安全已经上升到国家安全的高度,这是因为中国的整个互联网用户数奠定了这些基础,但是同时也要看到中国社会的基础信任体系以及规则规范是缺失的,实际社会里那些不好的东西一样会被互联网放大,所以中国的互联网环境实际上也是非常糟糕的,不断的会有攻击出现,基于此我也同时认为中国互联网最大的挑战就是安全的挑战;
主持人:开发互联网产品有哪些常见的安全问题?有什么好的建议?
剑心:我们说到安全实际上一定是谈论的数据安全,而数据实际上是贯穿整个技术环节的,从基础网络到顶层业务,现在随着基础设施的不断发展,底层相对越来越规范和标准化,所以安全问题一定是上移的,包括运维研发和业务环境的安全问题,我们开发互联网产品的时候如果这个产品不是很重要或者不包含重要的数据,可能有一些安全问题还会被掩盖,但是只要你涉及到用户的数据或者涉及支付金融积分兑换等可能被用来获利的功能,就会遭遇到很多的人过来攻击尝试从你这里获利变现,譬如羊毛党就是一个很好的例子,但还是有很多的安全问题是在你不知道的时候被利用的,我的建议就是说我们要对安全关心,提升基础的安全意识,同时在必要的时候要对安全有所投入,乌云也不断的公开很多关于安全问题的例子希望大家能够有所重视,并且在早期就把问题解决掉;
主持人:该如何理解“安全问题有它的原罪”?
剑心:安全问题的原罪就在于企业永远将安全放到生存之后,安全永远是重要但是不紧急的,但是一旦到紧急的时候可能又一切都晚了,这是个悖论;
主持人:您曾在公开场合说过希望通过乌云自己的修复方式、自我免疫的方式去做安全,这似乎跟其他很多人的考虑不大一样,可否展开谈谈?
剑心:和人的健康一样,一个企业甚至整个互联网的安全也是一样的道理,整个环境是动态的,并且安全风险一定存在,那我们要做的是能够有一整套风险预警监测,应急响应甚至快速免疫的机制,乌云就是想帮助大家打造这么一套机制;一方面我们让社区帮助企业发现和修复风险,一方面我们还会把一些最新的安全威胁或者其他企业遇到的风险通过乌云告诉其他企业提前做好预防起到免疫的作用;
主持人:企业该如何打造自身的“安全免疫系统”?有哪些技术关键点?
剑心:建设自我免疫系统的重点其实包括感知,应急以及问题免疫一整个的机制,安全是贯穿从基础底层到业务的整个流程,对于企业来说根据不同的阶段对安全也有不同的要求,对于技术的要求也是不一样的,运维研发和基础架构的安全是基础,这部分主要的关键点在于自己对系统的日常管理规范和安全意识,如果涉及到电商,支付和金融等,那么对于业务安全又会有较高的要求,需要自身对业务潜在的风险点有掌握,业务自身的风控机制是要完善的,如果已经是平台型企业了那么就要考虑长久的黑色产业链对抗了;这些能力的获取一方面企业可以依靠像乌云这样的第三方,一方面也可以根据自己的需要来建设安全团队;
主持人:未来乌云的发展方向和定位是什么呢?除了漏洞,乌云还能帮企业做什么?
剑心:乌云以后的发展方向是不只帮助企业发现安全漏洞,长久来说乌云还希望帮助企业建设自身的安全免疫系统和安全体系,无论是以社区服务还是产品的形式,乌云都希望把整个社区和互联网的安全能力输送给所有企业;
主持人:请结合这些年您自己在技术之路上的积累,谈谈技术人该如何做到高效学习和提升技能?