继去年支付鹰cnhawk郑歆炜在杭州操办“天下无贼”电商技术峰会,今年在杜总P11的领导下移师北京,加至三倍预算至百万。去年的主题是安全支付生态圈,今年则打出阿里巴巴神盾局旗号,三大男神会务cnhawk郑歆炜、安焦教父张迅迪和西厂汪利辉,召集了国内安全圈到北京JW万豪酒店的又一场联欢。当笔者坐了20站地铁抵达时,GUCCI、阿玛尼等国际大牌星罗密布,以为来到了欧美奥特莱斯购物区。
阿里吴翰清演讲《安全的未来是态势感知》中的一些说法,引起启明星辰大潘辩论的激情,作为下一个演讲者上台后,拿着记录的纸张,逐条发表自己不同的看法,将会场气氛推向了一个高潮,各微信群也骚动不断。大潘自己的PPT都没来得及讲完!
吴翰清开场感叹“作为一个安全行业从业者,最大的痛苦莫过于,客户花了钱,还被黑”,中间吐槽了“合规”和“传统”,最终抛出云计算大数据的安全态势感知即阿里云盾系统。大潘对“全面、快速、准确感知过去、现在、未来的安全威胁”用词上进行了批判,说要加上“尽量”的定语才合适,并结合最新研究“网络安全北向”提出:每个公司需要反思目前最迫切的需要的是多一个张飞,还是一个鲁肃?主持人张迅迪最后总结的很机智,尽显安全教父风采。
以上媒体报道部分写完,不保证准确。下面开始写我的感受和观点。
要防黑,就是要保障安全,合规只是诸多手段之一。“合规”,英文是Compliance,“安全”的英文是Security。想起前几天看到技术讨论群里大伙对两个概念(情报和信息)争论的热火朝天,着急插不上话时,我就列出英文单词,瞧,单词都不同,意思肯定也不同的!
觉得“合规”和“传统设备”有多重要,要看当事人的视角。
你问做PCI DSS咨询的atsec公司或PCI认证扫描服务提供商Qualys/Trustwave,你觉得他们会如何回答?人家就是做这个买卖的嘛!
你问卖防火墙的天融信和入侵检测的启明星辰,除了要部署这些设备满足合规需求之外,还要来点整体安全解决方案外带专业安全服务。
你问IBM/埃森哲/PwC,回答是:且慢,我亮出安全框架和业界最佳实践帮你评估下,你的安全gap(差距)究竟在什么地方?
你问大菊花厂,他们把合规叫做“红线”,什么意思?就是不能越过,必须搞,搞不好就下岗,这是经过血的教训和风险评估得出的最低最低的底线。先把红线里面的规定做好了,再做其他。
你问客户自己,安全究竟怎么搞?这又得分人,策略部门说,要把ISO27001执行下去。内审说,找茬是我的天责,我请个外审就不告诉你检查那些条目,再合规也有漏的!安全运维说,我不回答,我只去雍和宫烧香祈祷黑客别来我家,并随时做好扛黑锅跑路的准备,活在当下!
谁是正确答案呢?如何做才能少被黑呢?这得问安全责任人,类似路边商铺学校有个门前三包的牌子,写清楚了是谁负责。企业的安全,那就要问“首席安全官”,他心中有一张big picture全景图,前面提到的诸位都是布局的棋子,感觉被利用了?不对,大家出来卖,都是服务客户的,需要摆正自己的心态。部署哪个棋子,他去找老板要来钱,大家就有生意做了。
安全是一个旅程,要靠长期的协同作战。也和炒股一样没有终点,只要你一天不离开市场,帐户上的只是数字,跳来跳去并不是钱。安全布局中棋子也会变来变去,前天防火墙入侵检测,昨天安全运维中心,今天云计算大数据威胁情报,明天还有更多。前天的当红棋子今天可能变成了小卒子,但作用不可抹杀,拱到对方最后一条线还能逆袭。
Big picture谁都想有一张,好忽悠管钱的老板,请看,安全预算不是无底洞,都在这张图上,您挑先补哪吧!这活可是“北向”人才的长处,但需要“南向”人才提供数据作支撑。北和南谁更厉害呢?我只听说在北京,北边的可能看不起南城的,但每天吃的是南城新发地的蔬菜。北欧的福利和安全全球一流,越往南越乱,意大利很中国,法国一直也不太平。北美那地儿就是精英人才的聚集地,南美还经常往北偷渡。网络安全南向人才,如果顶尖到实现财务自由,毕竟少数,终究因为年龄因素需要往北迁移,客户也需要他们的经验来一起设计big picture。
你的打赏,我的动力。
微信扫一扫
关注该公众号