Author

Topic: 携程事件”冲击波折射下的企业安全格局剧变 (Read 366 times)

sr. member
Activity: 364
Merit: 250
支付宝、携程、Uber等企业和产品接连出现的宕机事件,把新网络时代的企业和产品安全问题,再次推到了风口浪尖上。

  5月27日,杭州市政建设挖断光缆,支付宝出现大面积使用故障,PC端和移动端服务出现无法连接的情况长达数小时,因为涉及到大量用户的资金安全,因此引起了全国范围内的关注,一度造成了支付宝的严重公关危机;28日中午,携程网出现网站页面和APP全面瘫痪的恶性安全事故,持续时间长达8小时以上,每小时损失达百万美元以上,代替“A股回弹”成为全国最热门的话题;28日下午,艺龙网因遭受网络攻击,导致部分用户无法正常访问。接着,28日夜间,移动叫车服务Uber发生故障,导致用户无法正常打开APP使用服务。5月29日上午,企业安全事件扩大波及到传统产业,招商证券、齐鲁证券等券商交易系统纷纷出现异常……

  由于支付宝、携程、招商和齐鲁的证券系统直接掌握着大量的互联网用户的现金、资金账户等数据,这次的宕机事件引起了史无前例的恐慌。比起以往的任何一次网络平台遭受攻击或是密码泄漏,这一连串的事件显然已经不再局限于用户隐私问题。当越来越多的交易和结算发生在网上、发生在与用户紧紧相连的智能设备上,这已经不再只是一个企业安全问题,而是变得与用户的个人安全紧密相关,超出了以往“安全”行业定义的范畴。

  网络安全已经很久没有像这次一样引起如此这么大范围的重视、讨论和担忧了。安全问题与互联网相伴而生,人类的互联网历史也是一部与病毒、网络攻击、恶意软件、网络犯罪共同成长的编年史。起先,这是一场黑客、病毒制造者与个人用户的斗争:在web1.0和2.0时代,如果网络攻击者想要直接获取用户的财物,无法从网络服务提供者处获得——显然,连用户都无法对这些网络服务提供者完全放心——只能通过发起对网络用户的攻击和对个人电脑漏洞的剖析来达到目的。因此,web1.0和2.0时代,虽然也存在企业的网络安全问题,但战场上的主角还是个人用户和网络犯罪者们——这是传统杀毒软件和网络防护软件得以生存、生长和壮大的土壤。

  随着操作系统和安全技术越来越完善,如今互联网的安全问题已经远远不如过去那么严重。与此同时,针对个人用户和企业用户的互联网安全防护已经变成了一门数十亿美金的生意——赛门铁克、卡巴斯基、Avast、McAfee等厂商异军突起,成为了安全门类中的佼佼者。后来,2005年,360公司成立,在用户端掀起了安全软件免费化的浪潮,利用freemium的思路,由直接向用户收取licence费用模式变成流量变现模式。传统杀软遭受用户端业务的重创,但企业安全服务仍然屹立不倒——以赛门铁克为例,这家老牌安全公司至今还保持着170亿美元左右的市值,并且保持着每季度几亿美元的盈利。这部分安全服务提供商的根基,是360无法用免费这种小把戏撼动的。

  它们的确重要,但未来的安全市场却未必是由这些传统安全厂商定义的。实际上,如同前面所说,如今的网络企业安全已经迈入了一个全新的竞争范畴:公有云开始代替私有IT部署成为互联网公司的优先选择,许多互联网公司born to be on the cloud,这几乎与传统企业安全服务断绝了关系;已经成型的企业,出于成本和可用性等多种因素考虑开始使用公有云服务或是搭建混合云服务,这股风潮已经蔓延到了政府、金融机构等以往对数据私密性和安全性最敏感的行业,给云安全带来了新的挑战和新的课题;移动互联网和IoT的趋势,让用户端可以联网的设备呈指数级增长,传统只针对PC和部分移动设备的安全部署已经无法应对和承载新的挑战,这几乎是一场从头打地基的颠覆;大数据时代的到来,企业势必保留、分析和挖掘用户的各类数据,而这些数据和分析结果的安全,又成了一个最重要但传统安全服务无法控制的环节——光是飙增的数据量,就够他们喝一壶的了;SaaS模式的兴起,导致越来越多的安全工作转移到了服务器和企业端,用户端的安全问题变得没那么重要;消费者的大量数据和交易保存和发生在线上,安全的定义被无限制放大……

  山雨欲来风满楼,比起用户安全软件的免费,真正的行业洗牌正在步步逼近。

  此前在用户产品端实现了对360漂亮的狙击战的百度在这个领域再次出手。2015年4月,百度全资收购创新工场孵化的创业公司安全宝,将其融入百度云的安全体系。这家创业公司成立于2011年,从成立之初的定位就是建立在云端的企业安全服务提供商。2011年,当SaaS在国内刚刚成为热门,安全服务还停留在“开机速度打败了全国XX%用户”的低幼用户端的时候,安全宝已经成为了第一个基于SaaS的企业安全服务提供商。接着,安全宝相继推出了针对公有云、混合云和私有云的安全防护系统,从诞生起就是一个disrupter。

  这也是百度看中安全宝并收入囊中的原因之一。实际上,百度一直都有完善的针对开发者和企业的云服务产品提供,PaaS层服务的完整性和先进性在国内无出其右。无论是PC端(百度杀毒、安全卫士)、智能手机端(百度手机卫士)、智能硬件(百度云、BaiduInside),还是百度大脑、BAE、轻应用系统等开发者端服务,还是技术、运算能力和流量优势,百度都需要这样一个基于云端的、面向企业的安全服务来作为底层服务一起提供出去。而阿里巴巴和腾讯也开始奋起直追——阿里巴巴的安全服务主要是为阿里云服务的简单PaaS层,而腾讯也是类似,为腾讯云服务,加上腾讯安全管家这样的C端产品。

  赛门铁克等国外先进企业安全服务提供商已经开始全面推进向云安全的企业安全服务的转型,反观国内,安全问题仍然停留在一个说得比做得多的阶段。创业公司醉心于在已经是红海的智能手机安全领域厮杀,没有能力顾及企业级别的安全服务;360从本质上还是个用户软件公司,而且正在用户端面临着来自百度和腾讯等巨头的竞争,在企业端的安全服务迟迟没有进展。同时,28效应显现,有能力为公有云、智能硬件、企业的大数据提供安全服务的厂商已经所剩无几,企业安全的行业门槛越来越高,已经不再是小型和非技术型创业公司能够涉入的了。

  换言之,国内企业安全市场正在面临洗牌,这是一个属于互联网巨头的时代,攻城掠地的场景很快就会在这个市场上演。

  在这一领域,国内并没有非常成型的前例可以借鉴。但当行业分工切割越加细化(越来越多的企业内部功能模块实现服务的外包化),安全将会是一个需求巨大的潜力市场——包括各类智能硬件在哪的设备数量越大,这个市场越大,比起智能手机可能还要大。

  百度的发力,正好踩在了行业剧变的节点上。

  同时,百度非常需要这样的云安全服务,来为它疯狂扩张和增长的业务保驾护航。百度自身的触角已经由百度云发散到了用户终端的多维度产品线,包括智能硬件产品、基于Android的智能手机App,旗下也围绕了大量开发者调用百度的云服务来开发(最典型的就是轻应用)。事实上,对于这些诞生在移动互联网上的、数量级是传统企业数十倍的小型企业和独立开发者来说,它们的业务本身就是建立在各类公有服务的基础上的,产品的可用性、快速迭代、获取用户,确实比“看起来不那么重要”的安全更受到这些企业的重视。对于百度现有的盘子来说,这是一个隐性的、庞大的、非常有可能给百度带来巨大回报的投入。

  面对百度这样的巨头的投入,不知道传统360们、赛门铁克们准备好了没有?
Jump to: