上周连续参加了3个会议,周二网络安全攻防演练总结大会,这个是现场参加的,周五公司的Go+发布会,还有周日GTLC全球技术领导力峰会杭州分站,这两个是线上听的。
好久没参加各种大会,听了下不同行业和领域专家的分享,还是会有很多新东西,新想法和新启发,后面陆续分享一下。
先聊个安全的。
安全大会:
1、印象很深的一个点,这次全市的攻防演练,被攻破和打穿的系统,70%都是通过没有什么技术含量的弱口令干进去的。
然后漫游到内网,各种低版本漏洞、各种注入、各种无密码(都不是弱密码了)、各种无加密无脱敏等等。
这里面不乏知名大厂,门面很漂亮,但是这就相当于业务系统搞了各种高精尖,各种AI炫技、高性能、高并发和大容量,但是却装了个破门+烂锁,一踹就开,连撬锁技术都不用。
其实,安全圈里一直流传一句话,搞安全“三分靠技术,七分靠人脉”,但是这只能说是对外,对内应该再补一句“三分靠技术,七分靠管理”。
弱口令这事,其实真没什么技术含量,基本就是靠平时意识宣传,靠严格的上线管控,以及配套的处罚措施才会有效果。
说到处罚,再说说第二点。
2、另一个感受,传统强监管行业,比如运营商,安全方面做的非常到位,基本很少有被攻破的,被打穿打透的基本都是互联网企业,还是有一些非常极客范的新兴创新企业。
论技术,互联网企业绝对要比传统行业强,但是为啥一遇到攻击,就立马歇菜呢。
说白了,安全这事要严格执行和落地,客观讲肯定是会极大的的制约效率的,但是在之前和当前的互联网内卷态势下,为了生存下去,大家必然都讲究“唯快不破”,这时候谁影响效率,肯定是会把谁旁路掉的。
所以,安全的重要性自然是降低的。
反观上述提到的这些强监管的国企,安全出问题,涉及国计民生,仕途都是小事,稍微严重点是会追究法律责任,甚至刑事责任的,处罚措施和红线在这里摆着,不敢出事。
但是一直以来,互联网和新兴企业这方面的意识就会薄弱很多,对安全不重视就是自然的了。
但是,随着数据安全法、关键基础设施、个人隐私保护等强监管法律法规的出台,安全及合规的重要性必然会越来越高。