他的思考包括:
1、“在11月9日的美国大选投票中,特朗普击败希拉里,将成为美国下任总统。维基解密网站近期曝光了希拉里竞选团队的一批机密邮件,对其选情造成了负面影响”——这是网络空间的威胁活动真正影响了一个国家的大选,是信息安全行业标志性的事件。
2、网络空间和现实世界正趋于融合,网络空间的安全事故常常会反作用于现实世界。在信息安全攻击中,除了少数直接受害者之外,还将有成千上万其他人受到间接影响。面对这样的环境,企业的信息安全实践存在许多问题。例如,传统的信息安全行为着眼于漏洞发现和被动防御,无法很好的抵御黑客。
3、黑客攻击的核心目标是获得数据,或是破坏企业的业务流程。为了达成这一目标,黑客的行为包括多个步骤,例如准备工具,将工具植入网络,以及运行工具等。传统安全机制将这些步骤作为防御目标。然而,黑客攻击并非以线性方式推进,其中每个步骤都可能出现变数,甚至不是所有步骤都会遍历。这就导致了防御者的防不胜防。此外,黑客可能会打持久战,在储备大量资源后伺机而动。而防御者无法预料持久战的情形,因此疏漏很难避免。
为此,弓峰敏提出了信息安全的新范式。这就是以业务为核心,通过不间断的监控,在第一时间发现安全威胁,及时启动应急处理。换句话说,防御者应当从攻击行为链的最终环节,即业务可能受到的影响去看待安全攻击,从而掌握安全形势的全貌,更好、更及时的拿出对策。
他的干货有:
1、除了优化自身信息安全行为之外,企业还需要构建安全生态,集全行业之力去应对信息安全威胁。
目前,用户的在线活动通常会涉及多家公司。例如,在此前LinkedIn平台的用户帐号信息泄露后,黑客利用这些数据去“撞库”,在其他平台上尝试用同样的账号密码去登录,进而盗取更多信息。有报道称,通过这种方式,甚至Facebook CEO马克·扎克伯格(Mark Zuckerberg)的Twitter帐号密码也被黑客获得。这类事件表明,整个生态系统中的各方都会自觉或不自觉地被联系到一起。
另一方面,以往用户安全常常被忽略。随着移动互联网的发展,越来越多技术正贴近普通人。在这样的情况下,个人、企业和业务被联系在一起。无论是以直接还是间接方式,在信息安全攻击中,它们都将成为受害者。因此,企业也应当将用户安全考虑在安全生态内。
弓峰敏说:“从安全工具开发和防御模式来看,如果不考虑整体生态,那么就输掉了一半。”
2、安全工具的开发具体可以从三方面入手。
首先,新安全工具必须支持威胁情报分享。这种分享并非拿出原始业务数据,而是对数据中的安全威胁信号进行分析和提炼,得出有意义的信息。尤其重要的是,这其中不应牵涉用户的私密信息。弓峰敏表示,滴滴非常愿意就威胁情报分享与领先的信息安全机构展开合作。
其次,安全工具必须支持API(应用程序接口)。这将确保安全工具被集成至业务部门,实现分布式的安全信息监控,收集必要的数据。这意味着,系统对信息安全风险的监测将不再是孤立的,而是可以全面了解各方面因素。无论是底层硬件还是业务逻辑,各种异常都可以被检出。
第三,企业内部必须制定统一而明确的流程,在业务运营过程中贯彻流程,最终完成信息安全的闭环。对滴滴而言,这就是以业务为起点,从业务保护开始辐射到各个环节,在为用户提供服务的过程中保障各类用户信息,确保用户的安全。
弓峰敏是硅谷知名信息安全科学家,曾被誉为硅谷安全创业教父,在网络及安全研发领域有着三十多年的经验,加盟滴滴之前是AssureSec联合创始人兼CEO,此外,弓峰敏博士是世界著名网络安全公司Palo Alto Networks的联合创始人,还是多家新兴安全公司的创始人或重要高管,其中三家企业已成功上市或被收购,他也是连续创业者和硅谷天使投资者。