百度安全总经理马杰：三步走，共建安全生态

11月9日，由腾讯主办的第二届中国互联网安全领袖峰会在京举行。此次峰会，近两万安全相关的从业者参加，近百位举足轻重的安全领袖登台，可谓规模空前，群星闪耀。峰会以“连接”为主题，对在安全上如何相互连接、共立生态进行探讨。百度安全总经理、原国内首个云安全品牌安全宝创始人兼CEO马杰，在会上发表了精彩的演讲，对如何共建安全生态，提出了三条切实可行的建议，被称为“三步走”，观点鲜明，直击要害。哪三步呢?

百度安全总经理马杰

　　在建立信任上先走出一步

　　随着网络架构的日益复杂，攻击成本的日益降低，安全领域细的日益细分，“一家独大”、“面面俱到”的安全时代已经过去。安全厂商之间必须携手共建安全生态，才能应对现实的安全挑战，这已不言自明。如果说之前提出共建生态还可能是口号，那么今天已经成为了现实的迫切需要。

　　厂商间既然要联手建立生态，相互合作，这就涉及到了最基本的前提：信任。如何在厂商间建立起牢靠的信任呢?

　　马杰认为，这里说的建立信任，包含了三层意思：

　　一、建立起人之间的信任。也即是说，让厂商里的人都融入安全圈子里，经常一道见面，一道交流，一道分享，从互相认识，到互相熟悉，最后到互相信任。

　　二、建立起厂商间的、制度层面的信任。这种信任因为是建立在利益和法律的基础上的，因此是稳固的。

　　三、要建立行业生态，最终追求的当然是厂商间的信任。但只有人与人之间建立了信任，才能快速地推动所在厂商间建立信任。试问，如果人之间都不认识、不见面、不交流，又怎么可能建立彼此的信任呢?没有人之间在信任基础上的推动，又怎么可能建立起厂商间的信任呢?

　　为此，马杰呼吁，要共建安全生态，最重要的，是先在“人”上走出一步。如果说厂商间的信任需要一个比较长期、比较缓慢的过程，那通过人来建立信任机制，则能以更快、更务实的方式推动厂商间建立信任，加快安全生态的共建。

　　在情报共享上先走出一步

　　一面，大数据的普及，意味着安全行业进入了威胁情报时代，必须用大数据技术、用威胁情报来对攻击进行预警、处置、溯源，这一点，哪怕是最保守的从业者都不会反对了。另一面，数据的膨胀，又导致了每个厂商都只掌握了一部分情报，如果不进行情报共享，则无法发现许多攻击，更谈不上处置。

　　但因为威胁情报被冠以“情报”之名，大家都觉得自己手里的情报是个宝，必须留一手，藏着掖着，须臾不能把自己收集的有价值的“情报”共享出去。由此导致行业里情报共享雷电大雨点小：要么共享旧的数据，要么共享价值小的数据，要么干脆拒绝共享。

　　如何理解和处理这些矛盾呢?

　　马杰从自己的行业经验出发，把曾经的反病毒时代和如今的威胁情报时代作了对比，给出了答案：

　　九十年代，安全行业尚处于反病毒时代，病毒样本自然是非常珍贵的。当时的从业者见过几百个样本，能杀几百个病毒，就很了不起。到了06-07年，自动化工具的出现，使得几十万样本的收集几乎可以瞬时完成，此时，就没人还会觉得样本是个宝贵的资源了。样本收集的能力变得无足轻重，病毒处理的能力成为核心，把样本分享出来反而能体现出它的价值。同样地，威胁情报时代，每天面对数亿量级的攻击，不计其数的变种，此时考验的是数据更新、情报处理的能力，而不是情报收集的能力，把情报共享出来反而才能实现它的价值。

　　所以，我们应该更开放更主动，自己先迈出一步，这样才能让情报共享进入良性的轨道。马杰进而提到，百度在这方面已经走得很远了，早在几年前就已主动开放了自己的恶意URL库，并主动与包括微软、华为、火狐、小米等的各厂商合作，把百度的情报共享出去。

　　在开放心态上先走出一步

　　开放这个词，已经成了互联网时代被提及最多的词，它的含义显而易见，但真正要实施起来却包含了对行业的判断，对长短期利益的考量。马杰认为，共建安全生态，归根到底是心态上的开放。

　　如何做到心态上的开放呢?

　　马杰提出，起码可以从两个层面来做：

　　一、抛开对短期利益的过分追求。拿威胁情报举例，相互间的共享，能否做到完全公平、完全理性呢?今天我给你100万条，明天你还我100万条，能否这样度量呢?其实是很难的。不仅每个厂商收集的情报各有侧重，每个情报包含的价值也大小不等，很难做到完全量化。那这个事情还要不要做呢?当然要做。长远来看，这样的共享肯定是有利于行业，有利于所有参与方的。只有抛开对短期利益的追求，不斤斤计较，以开放的心胸来处理类似的事情，才可能形成长远的互利。

　　二、抛开门户之见，面对共同的敌人。是不是同处安全行业，形成了实质上的竞争，就必须隔绝开来呢?完全没有必要。我们的敌人是谁?是黑产。我的朋友是谁?是用户。我们在建立的安全生态，实质上是为了打击黑产、保护用户。而巨大利益催生出的黑产，其战线之漫长，手段之多样，不是谁独门独院能够应对的。马杰举了百度的案例：用户在百度上搜索出来的部分网站，被黑产嵌入了窃取手机号的恶意代码。黑产窃取用户手机号后，还冒充百度打电话推销商品。为了保护用户，百度对搜索上的所有网站进行了安全检测，发现异常的，就在搜索上标注出有风险，以提醒用户。黑产呢?也变着法子对网站进行加密、变形，想方设法来逃过安全检测。就这样相互攻防，你来我往，没有停歇的迹象。不只是百度，其他公司也都面临着黑产带来的或这或那、或大或小的困扰。这说明我们面对的黑产战线是漫长的，谁都难以独善其身，无论是对技术的交流，还是对情报的共享，还是对黑产理解的互通，对安全行业来说都显得极其迫切。

　　马杰最后呼吁，安全厂商们都应有敢为天下先的胸怀，自己先往前走一步，建立信任、情报共享、开放心态，以自己的主动来带动行业的交流共享，更快、更切实地作好共建安全生态这篇大文章。

（举报）