BAT三巨头在“互联网+”的时代都在疯狂的打造各自的生态和平台,之间不时传出火药味道。然而在即将举办的互联网安全领袖峰会上却会坐在一起共谈安全,这让很多人感觉不可思议。
那么,为何在金融、O2O、电商等领域争得不可开交的BAT会坐在一起聊安全呢?
从熊猫烧香到XX神器
在回答这个问题之前,让我们来看两个非常热门的病毒案件,一个是发生在2007年1月的PC蠕虫病毒案——熊猫烧香;另一个是发生在2014年8月的XX神器手机木马病毒案。熊猫烧香病毒用1个月才感染了百万台电脑,其主要危害是破坏文件系统,导致黑屏、死机,当然一些网站或者金融、税务系统可能也会因此遭殃,但是并没有带来非常严重危害的报道。
而XX神器手机木马病毒仅仅1天就感染数百万台手机,并且呈指数级增长。该手机木马之所以如此快速传播,因为可以利用手机通讯录群发消息自传播,还具备窃取手机短信的功能。而手机短信中的支付验证码信息一旦被窃取后,便可以实现银行资金的盗刷,类似依靠手机木马病毒进行盗刷资金的案例已经屡见不鲜。
两个病毒对比后我们看到,PC蠕虫病毒的传播速度、感染机器数量远远小于手机木马病毒,PC病毒带来的危害也相对局限,而手机木马病毒可能会导致许多民众直接损失钱财,而并非PC时代木马病毒那样只让PC黑屏。
城门失火殃及池鱼
上面的案例已经说明移动互联网时代的安全风险远远大于PC时代,说明安全变得更加重要。接下来的案例,你会发现这个时代的安全问题完全可以用“城门失火殃及池鱼”来形容。
前几日,有报道称网易邮箱被黑客攻破,导致数亿邮箱账号密码泄露。这本不该引起多么大的恐慌,无非是修改密码,防止邮件泄露这么简单。然而我们发现,有大量的用户通过网易邮箱注册了支付宝、iCloud账户、百度钱包等各种涉及金融、支付的其他账户,以及一些社交软件、媒体账号等等。
一旦邮箱账户密码泄露,就意味着这些通过邮箱注册的其他账户遭遇危险。看似只是网易自己的风险,结果阿里巴巴、苹果、百度等企业全都面临危险。这不就是“城门失火殃及池鱼”么?
移动互联网时代,不仅仅病毒传播速度快、危害大,而且涉及的面更广。产业链上的企业都已经交叉融合,都会成了安全问题的受害者,难以置身事外。而且互联网+让人、设备、钱、组织等全都联网,一旦出现安全问题将涉及到不仅是电脑黑屏、手机死机这么简单,还可能导致人身安全、社会安全,比如,在刚刚举行的Geekpwn上,黑客们轻松破解了智能手机、大疆无人机、智能摄像头、移动支付等各种智能联网设备,试想我们开着特斯拉汽车使用无人驾驶功能,突然汽车被改变了行驶轨道,并不再受驾驶员控制,这将是多么恐怖的事情。
所以互联网与生产、生活完全融合之后,一旦出现安全问题,不仅BAT等互联网公司无法置身事外,几乎所有的企业、用户都将遭遇风险,这是一个一荣俱荣一损俱损的时代,木马病毒、恶意攻击成为所有企业共同的敌人。因此,BAT坐在一起聊安全也就不是什么让人奇怪的事了,这是当下必须要做的事情。
互联网+时代的安全大猜想
通过以上的分析,我们已经可以感受到当今的安全与PC时代安全的不同之处,也对BAT们坐在一起聊安全有了初步的认知,因为在安全风险面前大家都是拴在一个绳子上的蚂蚱,所以有必要坐下来聊聊如何应对新的安全风险。对于未来的安全,我也有几点思考和猜想:
首先,安全基于互联网生态而存在,属于公益事业。PC时代,有许多安全技术公司,依靠卖技术、卖软件获利。在互联网+的时代,安全的主要提供方将变为互联网生态、平台搭建者,而不再是单一的安全企业。
目前,BAT是中国互联网开放平台、生态的主要提供者,他们也都在安全上投入了资金、资源,向用户、产业链合作伙伴提供安全技术,安全成为互联网生态的必备,成为互联网生态的基础设施,也是一种公益事业。我记得马化腾曾说过:“安全是国防”,腾讯的移动安全战略也一直定位在“产业链安全”,免费服务产业链上的所有合作伙伴。
其次,搞安全不能再闭门造车,必须开放、共享。PC时代的安全公司大多都是独立安全公司,主要是关门搞安全技术和研发,绝不会免费公开自己的技术接口、数据接口,然后一款安全软件卖N年。在互联网+时代,安全风险存在于任何可联网的设备上,因此只搞一款安全软件是难以实现有效防范的,只从产业链的一个环节去做安全也是难以防范的。
比如,当前的诈骗短信,一般都会内置钓鱼网址或者木马病毒下载链接,这显然不是一个拦截诈骗短信软件所能解决的。这个诈骗短信涉及到运营商、银行、安全企业、网络支付平台、网购平台、手机终端、开发者、应用商店等多个产业链上的企业,所以产业链上的各方必须通过安全技术开放、安全厂商与企业合作、安全数据开放的方式,才能真正实现保护。
再次,BAT、安全企业是否会建立紧密合作的安全同盟?当前虽然BAT、安全公司之间也有一些互动,比如,此前的安全联盟成立,就看到了腾讯和百度的身影;腾讯发起的天下无贼-反信息诈骗联盟中的数据共享部分,除了警方、银行、运营商外,也有百度钱包、阿里天猫白名单数据的参与,但是这些合作都不够紧密,而且当前的安全标准也并未统一。