Fireeye CTO：在網路攻擊面前，中國公司也一樣是靶標

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：和全球其他地方的公司一樣，中國公司都面臨相同的網路挑戰。

FireEye執行副總裁兼CTO Grady Summers 2018年到訪了中國。他表示，他並未將這場旅程看成是理所當然的事情，而有機會與中國最具創新精神的公司會面，他感到很激動。他希望了解中國公司正面臨的問題，以及如何應對這些挑戰。訪問期間，他日程表上的公司涉及高科技，酒店管理，醫療，金融和安全等行業。

在到達之前，他先了解過這些公司希望探討哪些問題，而他們的回復多多少少都跟「針對中國公司的國家支持型攻擊」有關。對於中國在世界的地位，他並非不知。而他在美國之外也待過很長時間。而他也表示，作為供職跨國安全廠商的專業人士，他確實沒有花很多時間思考中國企業遭遇的網路攻擊。

到訪中國後的幾天都是充滿教育意義的。中國企業中有120家公司位列全球五百強，而作為世界第二大經濟體，中國確實是黑客攻擊的大靶子。與西方相比，中國人更依賴網路和移動服務，而這也是致使威脅上升的原因。中國公司必須配以相應的防禦。機器學習和人工智慧都被用於檢測欺詐交易，而虛假社交配置文件也部署到位，目的是檢測內部威脅，釣魚郵件以及後續行為。中國企業印發的威脅情報和精細分析令他印象深刻。

所以，中國企業與全球各地的企業面臨著同樣的挑戰，對於這一點，他毫不意外。然而，則和諧挑戰似乎被一些因素放大了。雖然，很難三言兩語對中國這麼大且多樣化的國家進行總結，但是各行各業的公司似乎都呈現三個共同的問題：

規模——他對話過的大多數企業都要應對巨量的數據規模，在美國也只是最大型的銀行或科技公司才會出現這種情況。數百萬的用戶，日交易量十億以上，這些都導致了大規模數據的產生。

驗證方面的挑戰——中國有嚴格的隱私法，許多公民沒有銀行或信用卡業務。因此，為美國公司量身定製的身份驗證過程（曾用地址或貸款）就行不通。於是，手機號碼就成為了更為便捷的驗證方式——但是電話卡很便宜就能買到，所以基於應用的詐騙非常常見。當一家公司不清楚賬號由誰使用或者無法驗證銀行賬戶的時候，就為攻擊者提供了便利。在對話中，某中國公司就表示，其平台上存在的詐騙行為，導致該公司出現驚人損失。

增長——想像以下，假如你要保護的環境龐大且複雜，而且還要花幾年時間來建立團隊，流程和技術。這些公司的快速增長意味著他們在學習中前進。

較之西方，中國的商業環境還為防禦者提供了一些優勢：

移動網路覆蓋廣——很多美國人到中國旅行時，會對移動支付的便捷性感到驚詫。事實上，許多商店和飯店都不願意收現金或信用卡。他對話的許多公司都只有移動介面。當企業的基礎用戶介面是移動應用時，你的威脅模式雖不一樣，但比起那些要提供各類用戶介面的公司而言，卻得到了簡化。在西方，許多公司要兼顧傳統網頁，移動端，DMZ，第三方介面，直銷商介面，傳統系統介面等。而在中國，許多公司的防禦面因為移動網路的普及而變窄了。

現代化的平台——他對話的企業中，沒有一家公司存在美國公司面臨的陳舊技術的問題。大多數中國公司使用的都是較新的系統。

成本——他認為在中國公司見到的安全團隊的規模令人大開眼界。他表示，美國一些企業的信息安全團隊規模很大，但是中國公司將之精簡到了一定程度——更為經濟的資源配置。路透社曾報道，人工智慧和機器學習專業的碩士生薪資正在增長，而給與其他安全領域專家（突發事件分析，合規性，漏洞管理等）的報酬還相對較低。

文化——美國公司通常都在糾結如何在用戶便捷性和安全之間找到平衡點。曾經有一家藥物公司被入侵，這家公司很抗拒在其重要的研究系統中部署雙因素驗證，而且由於擔心員工破壞，企業內部很大地方也沒有及時安裝補丁。讀到這裡，大家肯定會有些感同身受。在問及如何平衡員工便捷性與安全的關係時，很多中國公司都沒覺得這是個難題。他們認為，如果需要安裝補丁，那裝就是了。更不用說，在這次對話里，每個企業都有著很好的安全文化，也並未顯現出員工便捷性與安全有衝突。

對於此次中國之行，他表示，自己感受到中國企業面臨著與美國企業相同的威脅，但是中國企業面對的威脅體量更大，而且有著值得學習的創新型應對方式。他認為，要想從容應對未來的安全挑戰，應該包容優秀的人才和理念。

Grady Summer介紹：

Grady Summer是FireEye執行副總裁兼CTO，他掌管該公司的全球CTO團隊，為研發和產品提供支持，而且還與客戶一起應對不斷出現的威脅。Grady有著15年以上的信息安全經驗，做過許多財富五百強公司的CISO和顧問。2014年，Fireeye收購Mandiant公司，他因此加入Fireeye。在進入Mandiant之前，他曾是安永會計師事務所的合伙人，負責公司的信息安全計劃管理。在安永之前，Grady是通用電氣的首席信息官，負責監管一個全球信息安全公司。他以前在通用電氣擔任過部門首席技術官，並從事過應用程序安全，Web開發和基礎設施管理等方面的職務。他擁有哥倫比亞大學的MBA碩士學位和格羅夫城市學院的計算機學士學位。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com

推薦閱讀：

• 記不住無數的密碼？好消息！未來的Android手機中，應用程序不需要密碼

• 黑客試圖利用尚未修補的Drupal站點發起攻擊

• 因對華為的擔憂揮之不去，日本和印度將在5G問題上「攜手共進」

• 新興數字廣告欺詐技術出現，廣告主們又要頭疼了

• 石油開採與雲技術結合，埃克森美孚與微軟在美國達成數字合作

• 注意！DNS基礎設施存在持續且重大的風險

▼點擊「閱讀原文」 查看更多精彩內容

喜歡記得打賞小E哦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！