安全从来不止是安全企业的事!第二届中国互联网安全领袖峰会CSS与会有感

2016-11-09 207288人围观 ,发现 1 个不明物体 活动

TK(腾讯玄武实验室负责人于旸)在今天的CSS 2016第二届中国互联网安全领袖峰会上举了几个很有意思的例子,其中一个是这么说的:假如说我们的iPhone被盗,可是因为iOS系统安全机制比较到位,窃贼即便偷走了iPhone,也很难解锁和使用——一般大众知道的方法也就是通过钓鱼的方式来获取受害人的Apple ID,这种方式的成功率也是比较低的。

DSC_1349.jpg

腾讯玄武实验室负责人 于旸

不过这其中有个有趣的逻辑是这样的:iPhone被盗时,其中的SIM卡也被盗了。那么只要把SIM卡拿出来,放到其他手机中——只要这张卡未注销,则用它就可以重置很多网络服务——因为手机号是许多网络服务的认证方式。这其中也包括用这个手机号来重置邮箱密码。如果说受害人的Apple ID就是用这个邮箱注册的,那么要解锁iPhone也就有迹可循了。

观察这整个逻辑链条中的每一个环节,SIM卡、邮箱、Apple ID,还有iPhone本身。这每一个环节本身都没有犯任何错误,可是将这些环节组合到一起却组成了安全问题。

TK举这个例子是想说明早期的安全问题都是微观层面的,只影响到了微观对象——比如某个感染了恶意程序的文档,或者某一行存在漏洞的代码;而现在的安全问题已经进化到了不同的层面,就像上面举的这个例子这样,是不同维度的系统组合到一起产生的安全问题。

DSC_1189.jpg

在这样的安全系统中该做出改进的究竟是谁?这可以说就是本届CSS2016探讨的话题,关键词“连接”。这里的连接则将过往那些“聚力”“互联”之类的概念,做了外沿的进一步扩展。

安全行业的“连接”

Check Point首席技术策略官Tony Jarvis在大会上阐述了当前《国际安全新趋势》。过去一年中,未知恶意软件下载量增加了900%,2015年82%的组织访问过恶意网站,88%的组织遭遇过数据丢失,89%的组织下载过恶意文件。而在具体的趋势方面,2014年DoS攻击、缓冲区溢出和代码执行漏洞尤为猖獗;2015年加入了勒索软件;到了今年,勒索软件成为一大灾害,国家背景的黑客攻击开始变得此起彼伏。

DSC_1278.jpg

Check Point首席技术策略官Tony Jarvis

可能很多人不会对这些数字感到意外,不过互联网的发展不仅是推动这些数字的攀升,连攻击和防御方式都在转变。比如说“以前企业网络内部都有边界,边界就可以将威胁排除在外,这的确是某一阶段可行的方案;但越来越多企业员工的移动设备,随时在各处连接WiFi、VPN,哪还有什么网络边界可言?企业数据库都已经上云了,边界更是无从谈起”。

除此之外,还有腾讯今天发布的《企业网络安全生态报告》,强调了不断升级的网络安全威胁(移动互联网、云安全、APT攻击,安全漏洞问题),以及企业网络安全自身生态的不健全(人才短缺、网络安全意识不强、管理制度体系不完备、标准体系待完善),提出了新的网络安全观。这其中就强调了“开放与协作”“边界模糊,关联性强,影响扩大”。

这些强调的,无非就是安全行业需要携起手来共进退,进行资源共享,不管是威胁情报还是数据资源,甚至IP。但说实话,这个理念一点儿都不新鲜。这一两年,我们听过很多在安全领域有关“连接”“互联”“聚力”方面的说辞,因为阿里云、360还有行业内的绝大部分安全企业都是这么呼吁的。这种连接和聚力,是指汇聚整个安全行业之力,才有希望解决现如今的安全问题。究其根本是在于攻击者的越来越强大,攻击手段的愈发复杂。

309809871.jpg

主题圆桌:互联网安全的国际合作体系构建,从左到右依次是财讯传媒集团首席战略官段永朝,腾讯公司副总裁马斌,IBM Security全球首席资讯安全架构师Chenta Lee,高通副总裁Alex Gantman,Check Point首席技术策略官Tony Jarvis,百度安全事业部总经理马杰

问题是安全企业间真的存在连接和协作的可能吗?让竞争对手之间做到数据甚至技术的共享,这会不会听起来有些悬?腾讯在去年的CSS大会上提倡的是“构建安全新生态”,这其实已经有了连接、合作的意思,今年的这一主题如腾讯公司副总裁丁珂所说,本质上是对去年主题的延续——和微软、谷歌、苹果在安全方面的合作都是在这一方向上的努力;还有像是高通和腾讯合作,为微信支付提供安全支持等等。

IBM、百度、Check Point在圆桌会议上的畅想听起来更美好。IBM Security全球首席资讯安全架构师Chenta Lee谈到了著名的X-Force威胁情报,“为X-Force增加神经元就需要大量的合作。如果IBM现在有一份重要的资料,不想和竞争对手分享,可是说不定5分钟以后,这个数据就失去其原有价值了。所以数据的分享只会得到更好的效果,让整个系统变得越来越聪明。”

百度安全事业部总经理马杰则说:“以前的反病毒时代,那个时候的威胁情报其实就是病毒样本嘛。那个时候样本对企业而言是非常重要的,所以要防着点儿竞争对手。有杀毒软件叫Kill 100、Kill 300,是说能杀100个、300个病毒。现在企业每天都能收集到几十万样本,这个时候样本控制在手里已经没有意义了。整个过程就是从保守到分享的过程。”

“百度将搜集到的、检查过的数据信息,分享给BAT、小米、华为、微软,所以这些合作伙伴的产品能够应用这些数据,这就是互相往前走一步的心态。”

DSC_1197.jpg

安全理应扩展到安全企业之外

如前文所述,“连接”的理念算不得新奇。不过腾讯所谓的“连接”并不止如此单纯。这次的“智慧安全,连接赋能”进一步强化了“连接”的外延:现如今的安全问题,已经不光是安全企业的问题了。就像开头提到TK的例子,安全问题在进化,这种多维度的安全问题,解决的难度正变得越来越大,问题本身就是跨行业的。

圆桌讨论中,腾讯公司副总裁马斌说,“当前行业形势发生变化,信息和数据早就已经过载,这让行业边界开始逐渐变得模糊。安全从技术背景走到一个新的时代——在这种情况下,就应该打开开放的心态,深层次地建立起连接。”

“比如在生态基础上做到数据融合,对信息作开放连接。还有更多技术的引入,比如量子科技;还需要引入更多的人才;最后还有标准——建立起标准、打破边界、行业,甚至国与国的边界。这才能够打造良好的生态,更多企业机构融合才能达成合作体系的构建。”

这是在呼应圆桌的主题“互联网安全的国际合作体系构建”,这话题开得很大。不过马斌的这番话点出了本次大会“连接”的外延。其一就是安全与新技术的互通,“比如量子科技”。

30980981976311.jpg

中科院量子物理与量子科技前沿卓越创新中心 陈宇翱

所以中科院量子物理与量子科技前沿卓越创新中心的陈宇翱花了很大的篇幅来介绍《新量子革命》,即便其中涉及的量子物理学让在场的很多人摸不着头脑,但这其中的核心仍在于利用量子科技特性,比如量子的叠加态,来突破传统计算机的计算极限。“现如今全世界计算能力总和,都无法在一年内完成对2的80-90次方个数据的搜索工作,而传统加密算法遭遇挑战,被破解已经日益成为可能。”量子力学提供更强有力的运算能力后,自然能够解决这一问题。

另一方面,“单光子的不可分割性和量子态的不可复制性,利用量子通信实现量子密钥分发。这样信息不可窃听、不可破解”,用陈宇翱的话来说“从根本上,永久性地解决信息安全问题”。而量子隐形传态(未来说不定能够实现《星际迷航》电影中人类传送效果的技术)更为量子通信提供了更强的自由度。量子通信+量子计算,外加量子模拟等,安全至少未来是可以上一级新台阶的。

DSC_1267.jpg

高通副总裁 Alex Gantman

除此之外,高通副总裁Alex Gantman则分享了高通在移动安全方面的努力。目前绝大部分的Android手机都采用高通SoC,但你或许不知道,高通本身在芯片设计上就有针对安全各方面的考量;还有IBM再度分享其认知计算在安全领域的应用——先前的ISC大会上,IBM也对其人工智能Watson进行过详细的阐述:现如今每年都会有72000个安全博客、18万安全相关文章、1万安全研究论文,这些都是没有组织过的安全资料,而所谓的认知计算,就是通过深度学习将各种图文、甚至视频资料做整合。

20980198762.jpg

IBM Security全球首席资讯安全架构师Chenta Lee

Chenta Lee举例说,有个企业安全管理人员在看到内部某可疑文件来自奇怪IP后,上网去搜索其MD5,什么也没有找到,便以为是安全的。但实际上早在3个月前,有个美国的安全研究人员就已经公布了样本分析。那么搜索引擎为什么没有找到呢?原因是那名研究人员是直接将MD5截图后放到博客上去的,搜索引擎自然没能处理得了。而人工智能在安全领域的应用是能够解决这样的问题的。

说了这么多,现如今解决安全问题靠的绝不仅仅只是安全企业自身。Gentman发言的时候再度区分了安全产品和产品安全的差异,他说安全产品更像是医院引进的治疗设备,而产品安全则是医院自身的卫生、管理水平。这两者是缺一不可的,如果说仅是将安全问题划归到安全产品的范畴内,这样的安全是必然很脆弱的。

转变安全思路

好几名发言人在发表主题演讲时都特别提到,现如今的许多安全问题更多的甚至和安全技术没有直接关系,人员、企业内部的流程,都和安全存在莫大关联。只从安全技术方面入手,必然是不完善的。滴滴出行信息安全战略副总裁弓峰敏甚至提到要应对现如今如此多变的安全问题,需要转变安全范式。

20980198972.jpg

滴滴出行信息安全战略副总裁 弓峰敏

“做安全工具的人往往在犯一个错误,看到如今最敏感的问题,就冲上去解决——做一个单一的全新的产品来解决这个问题。所以安全产品很大程度上处在相对孤立、各自为战的状况。如果我们从安全工具开发的防御模式上,不能去考虑基于生态的防御,那么我们打仗还很可能已经输了一半…在新范式下,我们得到了教训,要以业务为目标,追求的不仅仅是盲目的防御,我们要做不间断的监控,在第一时间感知,然后能够做出反应。

“按照这样的思路走下去,我们要相信威胁情报共享的概念,在此基础上才能抗衡今天的威胁。”这在行业内说穿了也就是在表达同一个思路:协同、合作、连接。只不过现在是将范围再做扩展。

3098091872.jpg

主题圆桌:信息安全之于现代企业的战略价值,从左到右依次是:启明星辰首席战略官潘柱廷,滴滴出行信息安全战略副总裁弓峰敏,京东首席信息安全专家TonyLee,绿盟科技高级副总裁叶晓虎,腾讯公司玄武实验室负责人于旸,腾讯公司科恩实验室负责人吴石

在最后一轮圆桌论坛上,腾讯科恩实验室(就是前一阵破解特斯拉的团队)负责人吕一平说,科恩实验室已经在和一些汽车制造商合作,做汽车安全了。然而“科恩实验室擅长的是攻防,汽车安全出现问题时还需要其他组织的协力;再者汽车本身就有自己的生态,安全厂商并不熟悉,这就要求更多伙伴的帮助了。”这一言更是点破了物联网时代,安全问题有多么复杂和需要不同行业的协力。

DSC_1207.jpg

中央网信办网络安全协调局副局长 卿昱

DSC_1213.jpg

中央电子科技标准化研究院院长 赵波

《中华人民共和国网络安全法》前两天刚刚通过,今天大会开场时,中央网信办网络安全协调局副局长卿昱以及中央电子科技标准化研究院院长赵波都专门就网络安全法进行了解读。赵波在讲话中一直在谈网络安全的标准体系。

“美国的国家标准技术研究院就围绕着《联邦信息安全管理法案》等法律法规实施制定了大量的标准和规范性文件,虽然我国也初步建立了网络安全的标准体系,但还不够完善。《网络安全法》的出台为我国建立法律法规标准规范的多维体系筑牢了根基,必将有序推动我国网络标准化工作进入新的阶段。”

Jarvis今天在谈安全“排序”的时候,就将法规的框架、认证的体系,从宏观角度采取何种标准,这些放在第一位。而如今《网络安全法》的出现,恰是在安全企业之外,政府在做的事了。

* FreeBuf官方出品,作者:欧阳洋葱,转载请注明来自FreeBuf.COM

发表评论

已有 1 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php