freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安全驱动下的数字新生活,第四届CSS互联网安全领袖峰会随笔
2018-08-28 01:32:33

随着《延禧攻略》的一波热潮,清宫戏又双叒叕火了。据说本片原定是拍成穿越剧,天才少女魏璎珞从社会底层做到总统夫人是什么体验?结果因为某些原因未能成行,就改成了我们现在看到的版本。不过这丝毫没有影响万千少女对之的喜爱,甚至偶尔也会做做“回到清朝当王妃”的美梦……

做王妃可能挺爽(排除勾心斗角争宠夺嫡等一干桥段),但咱们可得好好算笔账。睡到中午起床的你叫了一份周末肥宅套餐,打开电脑先刷一遍社交网络,跟黑粉吵完架之后饭也到了,边吃边逛X宝,然后打开蒸汽平台,又是美好的一天……没了这些早就习以为常的生活便利,你真的能下定决心做回古人吗? 

2.jpg

我觉得不行,虽然这些便利也就是过去10年不到发生的事儿。

去年的CSS大会上,来自卡巴斯基安全实验室的Vladimir Dashchenko和我们聊了聊2050年的世界,短短10年时间就能改变一代人乃至整个社会的生活习惯,2050年咱球该有多发达啊!很多科幻片儿的概念,可能正在慢慢变成现实。由腾讯安全主办的CSS 2018互联网安全领袖峰会上,来自海内外的安全专家在此集结,带来了很多有趣有料的内容,比如下面这位。

三体

国际智能控制早期开拓者、中科院大佬王飞跃老师分享了他的三个平行世界安全观。一般人只熟悉两个世界,即“物理世界”和“心理世界”。但奥地利哲学家波普尔告诉我们,还有个第三世界——“人工世界”。他举了Alpha Go的例子,正常人类可能每天自己跟自己对弈几百万盘吗?人力有限,有些事情是时候让AI来解决了。安全亦如此。

1.JPG

在他的构想中,未来的世界一定是真人与人工智能一体化的世界。就技术发展而言,在机械化、电气化、信息化、网络化之后,人类已经进入了第5个技术发展阶段:平行化,即以虚实互动为特征的智能技术时代。人类以前总是在“物理世界”吃一堑,到“心理世界”长一智,几千年来轮回往复从未改变;这次则相反,要在“人工世界”吃一堑,回到“物理世界”长一智,通过虚拟对抗实现平行安全。(大佬标配:以哲学为出发点聊技术,再从技术回归讲哲学)

以大数据、机器学习和AI算法为驱动,传统安全产品也正在经历着“AI转型”,王飞跃的平行安全理论正经历着实践的检验。

王飞跃向大家描绘了他的期望,愿将来所有的系统都能在平行安全下得以保护,实现物理、心理、知识300%的安全。他引用了鲁迅先生的一句格言——“于无声处听惊雷”,也许这就是平行安全的真谛吧。

在云端

在过去一年中,勒索病毒持续活跃,安全行业更是曝出史诗级CPU漏洞,直接导致硬件级城墙的洞穿。可是,在过去十年以来,全球各大企业对安全的投入不止翻了十倍,各类安全公司皆不遗余力的开展研究和创新,但为什么我们的网络世界在今天,依然疲于攻防应对?

vbox7083_513A8391_141546_small.JPG

当下,随着网络空间的快速演进,新业态、新生态生机勃发,从二维空间到叠加了物联网和云的四维复合生态空间后,安全早已超越了技术的范畴,与整个产业的变化更加息息相关。

腾讯云副总裁黎巍在演讲中表示,通过长期的探索和实践,腾讯云已实现以大数据、 AI算法为驱动,构建应用于安全领域的知识图谱、图像识别、自然语言处理、知识表达等AI能力,以逐步取代传统的规则对抗。得益于多年来腾讯公司的开放和连接战略以及不间断的研究投入,腾讯云已经成为一个连接各行各业的生态系统。

偷偷捎带点私货,这里有一篇我们前几周出品的关于腾讯云管家WAF的体验心得,聊了聊AI如何成为WAF市场转折的趋势,非常专业(就是这么自信),值得一读~

窃听风暴

近期有个很火的新闻,受害者一觉醒来发现自己所有账户都被盗了,一夜回到解放前。骗子通过短信嗅探技术获取了用户的验证码,从而实施犯罪。来自Security Research Labs的首席科学家Karsten NohI六年前就玩透了短信嗅探技术(这位也是老朋友了,大家可以下载SRL开发的 SnoopSnitch玩玩,测一测你的手机漏打了多少安全补丁),是一名移动安全专家。今天他要跟我们分享的标题是《We will Never be Fully Secure,and That is Good.》,主要讨论了安全开发与落地中的一些心得与见解。

Karsten展示了两张照片,一名白领女性和一位印度农民,并留下一个问题,这两个人谁将更快实现数字化?答案稍后揭晓。

vbox7083_513A8501_145711_small.JPG

业务与安全的矛盾是永恒的话题,在他的观点看来,过分强调安全或对安全视而不见都会损害创新,因此要找到合适的平衡点。2012年Gartner提出DevSecOps,很多人都认可甚至迫切想看到DevSecOps发挥优势,但事实情况确是有关DevSecOps的实践并不多见,从概念到落地仍然需要时间的积累。

国外的一份调查针对北美大公司和中小企业的200多名安全、开发和运营专业人员发起了问卷,结果显示,DevSecOps的理念易于理解和接受,也经常受到公司赞誉,但却没有多少实践案例。造成这种情况的主要原因是缺少高层的支持,业务领导者甚对此并不鼓励。52%的公司承认会削减安全措施,以便在截止日期前完成目标。

4.png

很多初创小公司,往往可以直接使用最新的技术,避开很多历史遗留问题(无论是技术上还是管理上的),这是很多大公司不具备的优势。以4G网络为例,几年前4G还是最新的技术,一家新公司可以直接忽略2G、3G,这样很多陈旧且并不那么安全的协议就可以被绕开了。如果你有拥有很多仍在使用2G网络的用户,那么遭到伪基站攻击的风险就大大增加了。

回到开头提出的问题,这两个人谁会更早实现数字化呢?Karsten认为是那个印度人,因为他还没有接触任何技术,通过政府给他的补助,仅花8美元就可以买一张4G Sim卡(印度人民水深火热)。直接使用指纹进行支付,短信验证码什么的,对他来说已经过时了。

达芬奇密码

因为突发状况,Bruce Schneier竟!然!鸽!了!可以说很多观众就是为了一睹这位大佬的真容才来的,真的是非常可惜了……不过他还是为这次演讲专门做了一段视频,抚慰了一下观众们受伤的心灵。

vbox7083_513A8612_160027_small.JPG

提到Bruce Schneier,在安全圈绝对算是如雷贯耳了。他曾被外媒列入世界十大科技作者(这十大里包括牛顿和爱因斯坦),也是Dan Brown的悬疑小说《达芬奇密码》里的安全专家原型,最出名的著作为《应用密码学》。

Bruce Schneier提到,当前的安全环境比他年轻时更加多变,因为要测试的东西实在太多了,这不仅是现状,也是未来的发展趋势。成千上万的IoT设备在不同领域各司其职,他们拥有不同的系统、规格与标准,因此IoT安全问题会非常复杂。

假设你的手机两年一换、DVR五年一换,冰箱十年一换、调温器一辈子不换,这些变化也会影响安全。假设我买辆车开了两年,然后卖给别人,别人又开了十年,然后再卖给别人,甚至可能卖到别的国家再开二十年(美国国情),这都会带来各种安全方面的不确定性。

面临愈发严峻的安全形势,Bruce Schneier再次强调了体系化防御及安全设计的重要性,说白了就是从一开始就明确安全的重要性、预测可能出现的问题,被动等待绝对是最差的选择。另外,他还强调了在政策制定中我们需要技术人员的参与。当前的互联网安全牵一发而动全身,正确的政策知道是非常重要的,而技术人员的参则是重中之重。

步履不停

今天的大会上,腾讯高级副总裁丁珂围绕四个关键词:“行业共建”、“生态共治”、“政府监管”和“企业自律”,对数字经济时代的安全趋势做了研判和解读。丁珂表示,数字经济时代信息安全已不只是一种基础能力,还是产业发展升级的驱动力之一。安全是所有0前面的1,没有了1,所有0都失去了意义。

5.png

此外,他还指出数字安全新生态建设需要在两大路径上继续努力:

首先,是安全升维,安全问题未必出现在原有的体系内,因此,企业要以全新视角去理解安全问题;

其次,是转换安全观,以协作为基础,推动政府、企业、用户联动,共同提升防护意识。

丁珂认为,可以从“一横一纵”两大维度为数字安全新生态建设提供助力,全面开放腾讯在安全领域的技术能力和平台资源,并期待携手更多伙伴,完善安全驱动力,推进数字安全新生态建设,继续为“数字中国”提供助力。

今天没来得及拍花絮照片儿,就到这儿,咱们明天的议程再见。

*FreeBuf官方报道,本文作者:Akane,未经许可禁止转载

# CSS # 互联网安全领袖峰会
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者