撰稿 | 藍河
先說個題外話:王思聰資產被凍結了。
曾幾何時,那個把5億變成50億的男人,如今卻不得不乖乖回家繼承百億的資產。有媒體因此順勢高呼:互聯網行業的寒冬又來了。
說實話,這兩年互聯網行業很忙,時不時就要進入一次寒冬。但的確,一定程度來說,這也確是不爭的事實。
而在這個過程中,有一個看似微不足道到的行業卻逆勢上揚,規模不斷擴大,體量也在不斷增加——那便是網絡信息安全。
為什麼網絡安全可以始終保持增長?筆者認為,離不開“創新”。
無論是各種新技術在網絡安全領域的應用,還是傳統安全技術在新時代下的新思路、新玩法,甚至是攻防博弈中因為黑灰產技術的升級倒逼網絡安全的自我進化,都始終讓網絡安全行業充滿著“生命力”。
“生命力”,就意味著無數的“創新”。
昨日,由全球最大展會機構InformaMarkets主辦,英富曼會展(成都)有限公司、億百媒會展(上海)有限公司、四川天府國際會展有限公司共同承辦,首個立足成都、面向世界的國際級信息安全會議INSEC WORLD成都·世界信息安全大會,於中國西部國際博覽城圓滿落幕。
為期4天的大會,包含兩日高階培訓、兩日主論壇、六大分論壇及科技展示,共吸引超過45家媒體、50位海內外講者、2000多位專業人士參會。
既然提到了“創新”,我們就不得不將目光關注於本屆INSEC WOLRD的“安全創新論壇”上。遵循了過去Black Hat設立專家顧問團取得巨大成功的模式,本屆INSEC WORLD選擇邀請楊卿作為“安全創新論壇”的出品人,不得不說,這使得“安全創新論壇”從一開始就散發著“年輕Hack”的味道。
Hack是什麼?不止是一個身份、一個稱號、一個簡單的頭銜、一份收入不菲的工作。Hack應該是一種文化、精神,代表著活力,代表著思考,代表著生命,更意味著“創新”。
工業設計界凱瑞姆·瑞席說過:“世上的人可分為三種:創造文化的人、消費文化的人以及不在乎文化的人。要努力做前兩種人。”幸運的是,網絡安全從來都不是一帆風順的行業,在無數次與人和機器的博弈中,考驗的就是每一名安全人不斷思考、創新的Hack精神。
在本屆INSEC WOLRD“安全創新論壇”上,“圖神經網絡”、“零和博弈”,這些原本我們有些陌生的名詞成為了演講議題中的主角;而無論是圍繞“漏洞發現”、“安全測試”,對抗“網絡犯罪”,還是“5G”時代來臨下的安全問題有哪些,即時通訊何去何從,都足以說明,這是一次傳統技術全新的玩法,甚至是新技術在網絡安全領域的一次突破式地落地。
這不是舊酒裝新瓶,而是一次真正的“創新”。
議題一:圖神經網絡(GNN)在
漏洞發現中的應用
馮繼強,總經理,蘇州極光無限信息技術有限公司
行業內當前對於漏洞檢測,主要依賴於這樣幾種方式:在開發階段的源代碼審查,比如SDL、模糊測試;基於規則的靜態分析,還有動態分析等。雖然這些方式都具有各自的優點,但也同時存在各種各樣的缺點和侷限性。
就以某國際巨頭企業為例,他們已經做到了將安全開發融入到產品迭代,並且不斷地進行源代碼審查、安全測試,但仍然無法阻止漏洞的不斷爆發,同時也沒有更加有效的手段予以彌補。
所以這是不是意味著漏洞發現這件事情,需要一次真正意義上的“創新”呢?
AI的應用極大地提高了我們工作生活的效率和速度,它意味著原本冗長的檢查週期,可以縮短到幾分鐘甚至幾秒鐘內來完成。
就好比我們在100張A4紙當中發現了一張被墨跡汙染,如果想確定其他99張紙有沒有相同的情況,過去我們所採用的方式就是每張A4紙依次翻找。但是在AI帶來算力的升級後,我們就可以站在“圖”的視角,通過制定規則,快速地完成整個檢測過程。
在AI研究的過程中,我們發現雖然圖神經網絡只能應用於二維網絡,但如果能夠對它制定一定的規則,就能夠實現漏洞的快速匹配和搜索,這就是“圖卷積神經網絡”。
通過一定的算法,將函數流程圖標準化並固定格式以後,就可以對漏洞範圍進行劃分,漏洞以“圖”的視角予以匹配,就可以快速做到漏洞發現。就當前來說,我們已經訓練了4000多個不同的函數,交叉編譯了兩種架構,可以快速匹配各種函數的缺陷和漏洞,經過反覆測試,準確率達到了99.8%。
將圖神經網絡應用在漏洞發現中,可以幫助任何社區、任何企業做到非常快速的預警,並且可以在任何一個產品和交互工業化遇到安全問題時,有能力處理非本地的漏洞。
議題二:新一代高效,精確且能
靈活自定義的程序靜態應用
安全測試技術
劉新銘,首席架構師,鑑釋科技發展有限公司
梁宇寧,聯合創始人兼首席執行官,鑑釋科技發展有限公司
靜態分析這個概念誕生的非常早,大概在20年以前,就已經有安全公司開始運用靜態分析進行安全測試了。
為什麼需要靜態分析?最大的原因就是源代碼不夠“乾淨”。就好比人之所以會生病,很大程度是因為身體裡有病毒。而靜態分析,就是從內部清理病毒的過程。
但是雖然靜態分析發展了這麼多年,卻依然存在“誤報率高、漏報率更高”的問題。原因很簡單——沒能匹配源代碼分析的需求。
首先,對於千萬級別的代碼來說,只是做好匹配、正確的編譯,就已經是一件十分困難的事情了,更別說讓一個傳統的工具來進行文本分。基本上當前我們所謂的文本生成、抽象語法和詞義分析等,都是不夠用的,這也就導致了分析不準確。其次,源代碼分析需要的是全局分析,但當前大多數情況我們都只是局部分析。
因此,我們認為,通過傳統的編譯器技術,反而可以實現全程序分析。
AI技術在安全測試中存在兩個缺點。一是對於未知的錯誤,無法在未來識別類似的錯誤;二是無法解釋檢測出來的錯誤到底錯在哪裡,判斷的依據是什麼,應該如何修正。
而通過編譯器進行分析,可以反其道而行,從程序內部的數據流關係入手,找到彼此之間的因果關係,在錯誤發生時,準確地定位錯誤的地點、來源和原因,就能夠精確且靈活自定義地做好安全監測。
議題三:零和博弈-對抗
網絡犯罪的新戰場
張瑞冬,CEO,成都無糖信息技術有限公司
所謂“零和博弈”,表達的是在一場博弈中,如果其中一方獲得了收益,那麼另外一方就要損失相應的收益,兩者之間差值相加總和為零,就是“零和博弈”。網絡安全與網絡犯罪的對抗,就是這樣一個“零和博弈”的戰場。
隨著互聯網+的廣泛普及,傳統犯罪也實現了互聯網+的升級。如果小偷無法解鎖偷竊得來的手機,就不得不將手機拆解成零件,原本價值數千元的手機,可能賣作零件就只能賺得幾百元錢,此時小偷的犯罪成本是相當高的。
然而,如果在這個過程中附加了黑客技術,解鎖了手機防護,那麼原本只能賣幾百元的零件,又變成了價值數千元的手機。這就是傳統犯罪向互聯網+升級的概念。
統計顯示,從2018年到2019年間,針對蘋果手機釣魚網站就多達22449個。如果每個網站背後都鏈接了數以千計的手機,那麼這會是一個非常龐大的黑色產業鏈。
伴隨著網絡安全技術的迭代升級,網絡犯罪也逐漸實現了自動化和模板化。甚至於說已經可以給予違法分子提供包含整條產業鏈的所有配套技術,違法分子只需要支付一筆月租費用,就可以獲得一套成熟的詐騙平臺。
這就意味著,當網絡安全防護成本不斷提升的同時,與我們博弈的對立面,卻是網絡犯罪成本的不斷降低。
據我所知,某一支違法團隊為了能夠增加新的安全登錄密碼策略,以此來更好地與安全防護做對抗,大年三十依然堅守在研究探索的崗位上。與時俱進的詐騙技術背後,竟然更是一種值得敬佩的工作態度。
零和博弈,確實是一場不公平的戰鬥。
所以我們同樣需要進化我們的技術,提升我們的打擊能力,要有先進於違法分子的能力,通過各個類型的平臺,有效打擊違法犯罪分子的活動。
議題四:新信息時代下的即時通信
柴坤哲,安全總監,BCM Social Corp
林正顯,研發總監,BCM Social Corp
斯諾登事件後,人們對個人隱私的需求逐漸從隱性變成了顯性。而區別於過去企業規模越大、業務越多,用戶覺得越安全、越信任,如今人們對於大企業“能否保護好個人隱私”這件事,反而是更加擔憂的。
如果兩個人A和B需要傳遞消息,但中間隔著C,那麼A就需要先把消息告訴C,再由C轉達給B。這個過程中,C實際上是可以對消息進行篡改的。而這也是當前通信工具的現狀,通信工具扮演的就是C的角色。
用戶需要什麼樣的通信工具?那就是絕對不能篡改消息,一定要保證信息傳輸安全,保護用戶個人隱私的平臺,這就需要做到端到端的加密。
通過區塊鏈技術中得到的啟發,我們想到可以做一款極致安全、高隱私且高效的區塊鏈即時通信,能夠保障用戶的通信安全和隱私。
在區塊鏈即時通信中,只有密鑰擁有者,才能夠對消息進行解密,而通信工具本身只扮演轉發的角色,不會了解用戶所傳遞的消息和密碼,更不知道如何分發。
對於文本、文件、視音頻通話等,都要做到端到端的加密;無論是一對一的聊天,還是多人的同時群聊等,同樣採取端到端的加密。同時確保當服務器發生安全事件甚至徹底淪陷之時,用戶已經發生或者正在發生的會話不會遭到解密,這是我們新型即時通信的底線,並且已經實現。
而當用戶處於信號相對薄弱的地區時,我們參考了國外軍方的一個比較成熟的做法,那就是單兵作戰系統兩兩相連,構成自主的網絡。利用手機的藍牙、WiFi,加上我們自己的算法,組建AD HOC網絡,可以實現單對單、多對多的通訊,而這個過程中間只有手機和手機的直接連接。
總的來說,
我們強調即時通信的端到端加密,確保每一個消息的密鑰都是不同的,並且前後不存在推導的關係,以此來保障用戶通信安全、個人隱私安全。議題五:5G來了 -
不必過於擔憂安全
黃琳,360安全研究院技術總監,360
相比較4G、3G來說,5G其實已經是最安全的網絡了。當我們討論5G安全的時候,不必過於擔心,雖然它無法稱得上百分之百的安全,但也絕對沒有那麼嚴重。
5G問題包含幾個概念,一個是5G本身的通信安全問題,一個是5G+物聯網所衍生出的物聯網安全問題,還有一個則是工業設施以及很多物聯網傳感設施,在通過5G聯網以後可能會發生哪些問題。
就5G本身而言,其實已經做了很多安全特性的增強。但是當前我們已經部署的網絡,大部分使用的還是4G的核心網,許多安全特性要等到5G的SA落地後才能真正使用,這個過程還需要一定的時間。
而像我們所熱議的幾個5G應用場景,比如車聯網、自動駕駛、遠程手術等,還有廣連接,可以連接大量的物聯網設備等,其實到目前為止也只實現了超寬帶的落地。這並不會產生新的攻擊面,所以就5G本身通信安全問題而言,其實和過去並沒有太多的區別。
而對於5G和產業互聯網結合,也就是泛物聯網安全問題,確實會存在一些潛在的安全風險。比如當我們使用邊緣計算的時候,會不會有攻擊者從企業的邊緣節點入侵,從而進一步入侵運營商的核心網等,這其實就是5G+互聯網存在的安全隱患。
不過目前來說,我們還需要等到5G正式的行業應用。並且據我瞭解,在工業場景中,已經實現聯網的工業設備比例非常低,大概只有10%不到,大量的工業設備其實還沒有實現信息化和數字化的升級。
所以,5G雖然已經到來,但是5G安全卻還沒有來到那麼迅速,我們應該先進行信息化和數字化的升級,同時談論安全。
5G的路還很長,我們期待在這個過程中能夠誕生新的商業模式,不論是設備製造商、運營商還是互聯網企業、安全企業,都能夠得到共贏。
結尾
無論從哪個角度來看,首屆INSEC WORLD成都·世界信息安全大會都可以說是非常成功的。因為它不僅僅只是一場單純的會議,一次任由主導者單方面的理念灌輸和宣講,INSEC WORLD更是一次國內網絡安全行業內想要為推動行業發展的一群人,相互之間交流、培訓、產生新思路、技術創新的碰撞。就像是Black Hat一樣,自由且活力。
“安全創新論壇”只是INSEC WORLD值得肯定的一部分,透過論壇看每一個議題的背後,其實是當前網絡安全從業者們躍躍欲試、敢於自我突破,嘗試並挑戰新技術的態度,這將勢必會在未來給國內網絡安全帶來新的變革。
正如“安全創新論壇”出品人楊卿所說,希望為那些敢於打破常規,敢做不一樣事情的朋友們創造一個舞臺,讓他們可以盡情分享在挑戰“世俗”與“傳統”荊棘之路上所取得的累累碩果。
首屆INSEC WORLD尚且如此精彩,恐怕這Flag由不得下一屆有所鬆懈,到時候我想應該會更加精彩。
我們明年再見。
閱讀更多 安在信息安全新媒體 的文章
