新闻中心
联系我们
地址:上海市闵行区莘东路505号绿捷中心10楼1005室
热线:400-8838-021
传真:021-54855973
E-mai:zjedwine@163.com
网络安全大变局:从防御到亮剑
2018/5/6 21:27:23 点击:2653 来自:admin
你是否常常遇到这样的情况:仅仅是在某网站填写了注册信息,便会接到无数的推销电话?又或者,无意间点开一个不明链接,原本不多的余额瞬间变得渣也不剩?
在互联网快速发展的今天,我们几乎成了“透明人”,个人数据不再是隐私,信任基线一次次被拉低,原本提供便捷的技术也被烙上了“原罪”的底色,或许,是时候该慢下来、反思和重构互联网安全一番了?
4月26日-4月28日,第五届“4.29首都网络安全日”系列活动在京举办,来自百度、阿里、京东、360等知名公司上千位网安专家同台,也为这场反思与重构提供了更多维度的思考。
技术之思:“一念天堂,一念地狱”
《安全简史》的开篇,有个形象的比喻:“到了大数据时代,你就成了 ‘穿新衣’的皇帝”。没错,大数据大环境下,你走过的路、听过的歌、点过的餐……都会以数据的形式被一一记录在案,并加以深度分析,转而用于商业。虽然听起来非常完美,企业为用户提供便捷的服务,用户在享受服务的同时,“顺便”贡献出自己的数据,两得其所。但是,不要忘记,黑产一直在虎视眈眈,我们的隐私数据也由此成为黑产的敛财工具。
据了解,目前国内涉足网络黑产的从业者多达40万人,产业链上下游相关的从业者更是多达160余万,年产值约1100亿元。在庞大的利益诱惑下,我们还能相信谁?
事实上,已经有越来越多地顶尖黑客踏上了黑产之路;反观另一方,与黑产对抗的安全企业,更多时候连“招人”都困难,技术的差距竟从源头已经拉开。雷锋网曾在起底黑产时介绍道,一个普通黑客月入8万美金并不算多。良好的工作待遇让黑客有更大的动力探索新型技术,以AI应用为例,几乎成为攻击者的标配,相较而言,绝大多数的安全防护技术还处在被动防御阶段,很多公司甚至都没有自己的安全部门,严重处在“安全贫困线”之下。这也无怪在接受采访时,京东安全负责人李德浩会感慨道:“对过去20年的安全策略很失望”。
现状堪忧:问罪商业还是问罪人性
安全问题说到底是人的问题,人的安全意识出了问题。然而,提升安全意识,这句话说起来容易,做起来却很难。首先,企业要在商业和道德之间进行艰难抉择,因为注重安全就意味着增加更高的成本和减少商业机会,而很多小公司根本无能为力;其次,除了企业的自律,也需要每一个人的自觉。扪心自问:你是否嫌麻烦就把所有的密码都设为一样?又或者为了图便宜就去下载非正规渠道的盗版软件?
最近沸沸扬扬的Facebook丑闻把本已岌岌可危的安全现状再度推上了风口浪尖。同时,也引发了修改隐私条款的风潮。其实,保护用户隐私完全可以通过技术手段实现,只需采用敏感信息脱敏,就能******限度的保障数据在传输、存储和使用上的安全。但很多企业并不愿这样做,由此可见,网络安全******的挑战,不只是意识的缺失,更是利益驱动下的人性与价值观的坚守。
然而,人性是最经不起考验的。或许正是看到这一点,去年6月,我国颁布了《网路安全法》,开始整肃网络,通过不断地立法、监管和打击,有效震慑了黑产。但我们也要清醒地认识到,通过强制力量仅仅能让他们不敢做,想要真正根除,还得做到让黑产不想做和不能做。
AI赋能,在技术端向黑产亮剑
不可否认,面对花样百出的黑产,传统的思维模式和技术手段已经力不从心,人工智能的兴起,或许将成为解决网络安全问题的一剂良方,也能更好的补足传统技术和人的决策层面的不足。一方面,可以通过自动化识别来提升效率,以此解放大量人力;另一方面,强大深度学习能力,可以在不间断攻防演练中精进自己,从而更有效地应对潜在威胁,或许正是看到它们的强大,BATJ才会纷纷把AI上升为公司战略。
以京东为例,京东去年提出“无界零售”战略以来,全面落地AI建设,在安全方面也积极推进AI技术。不仅和国内外知名高校、科研院所联合发力AI安全研究,还将AI安全技术应用到智能家居的安全防护上,实现了AI对抗AI。此外,AI还能通过自动化地数据分析比对,提前预测攻击情报。
“我们运用AI,但不能完全相信AI”伯克利计算机教授Down Song曾在京东安全主办的TOPMINDS美国活动上说道,“因为攻击者也能使用AI。”
这并不是危言耸听,在此前京东安全联合公安系统破获的多起网络黑产案件中,黑产组织正是利用AI技术打码,试图攻破传统的安防系统。在这种生态下,以AI对抗AI成为了京东安全等安全防护机构的必然选择。以黑产AI打码为例,安全防守方通过AI技术为攻方提供错误的模型,引导其进行错误的机器学习,从而破解黑产打码行为。
由此可见,攻防双方是动态平衡的过程,AI的攻防对抗也是如此,如何用好AI这柄利剑仍然是行业内各方必须思考的问题。
意识觉醒,共建网络安全生态
网络安全从来不是一个人、一家企业的事情,而是整个网络生态要解决的问题。以人才培养为例,不仅要在企业内部做好培训,更要把安全培训前置,从教育早前抓起。目前,阿里、京东、百度、360等知名互联网公司都在积极推进高校合作,为的就是从人才源头起建立正确的安全观,从而为整个行业培育源源不断的生力军。此外,单就企业内训而言,安全也不再单单是安全部门的事,而是公司全员的事。“做安全不是亡羊补牢,而是谋篇布局,是每个人做任何产品首先要想到的先决条件。”李德浩说道。
除了人才培养,更重要的是企业价值观的“不忘初心”。这也正是谷歌强调“不作恶”、京东强调“正道成功”的深层原因。更多时候,保障用户隐私安全不是一句口号,而是行动上的自律自觉。据了解,为确保用户隐私安全,无论在产品上线前还是使用过程中,京东都要进行严格的安全检查,保证敏感信息脱敏。在京东人眼里,“用户的信任始终是京东的核心竞争力,用户隐私红线绝对不能逾越”。
“黑夜给了我黑色的眼睛,我却用它寻找光明”,用这句话形容眼下的安全形势再恰当不过了。事实上,每一次新技术的突破,都会产生对现行道德秩序的冲击,尤其在早期的时候,会******化地发掘人性之恶。好在我们每一次都守住了正义的光辉,在不断的反思和重构中最终驾驭技术。这次也不例外,虽然短时间内无法清除黑产,但是我们欣喜的发现,无论个人还是企业,安全意识都在不断觉醒、安全策略更加行之有效。特别是像京东一样的拥有海量数据的大企业,在利益与道德的博弈中并没有向前者妥协,而是在坚持确保用户安全的同时,积极加大信息共享和技术沟通,推动安全开源社区建设,为更多中小企业打赢网络安全“脱贫攻坚战”而不懈努力。由此可以预见:一场全民安全意识的觉醒正在上演,构建健康、文明的网络生态或许只在朝夕。
来源:东方网
上一篇:预警!多家大型企业遭遇GlobeImposter勒索病毒袭击,文件被加密为.WALKER扩展名
下一篇:关于Windows操作系统