文/郑凯
前所未有的安全问题,正扑面而来。
就像今天生活的世界,已经被终端设备和移动互联网包围。我们依赖互联网越多,就面对了更多的安全隐患。在今年初,一名普通的白帽子实习生就找到了世纪佳缘的安全漏洞,并造成900多条数据泄露;在不久前,大麦网遭黑客“撞库”,39名用户被骗走147万巨款。可见国内的互联网安全环境令人堪忧。
但是,移动互联网已经改变了我们的生活,移动办公颠覆了传统工作流程,互联网化正成为企业向互联网转型的方向,其实我要做得并不是离互联网越来越远,而是在越来越深入的互联网应用当中,用更智能的方式抵御各种威胁。
该如何,直面互联网安全的挑战?
美国明尼苏达州立大学的计算机学副教授Andrew Chen有一个很著名的论点: 互联网好比是一头喀迈拉妖怪怪兽,一开始时它似乎很强大,随后变得很诱人,最后变得很危险。这其实就是意指互联网带来的不可估量的安全挑战。
去年,国家互联网应急中心公布的《2014互联网网络安全态势报告》显示,政府机构和重要信息系统部门通报漏洞事件较2013年增长3倍。当大数据、云计算、智能化和工业互联网等与互联网息息相关的技术,深入到日常社会生活中时,“互联网安全”就成了最基础也最有挑战性的问题。
在我看来,今天互联网的核心安全挑战,集中在三个层面。
首先,云计算让安全的边界变得更宽,而互联网模式的本质就是建立在云端的商业模式,所以云端安全,成为了当下互联网的一大挑战。比如,2011年,亚马逊的云计算数据中心发生宕机事件,大量企业业务受损;2015年,“毒液”漏洞使全球数以百万计的虚拟机处于网络攻击风险之中,严重威胁各大云服务提供商的数据安全。随着云端业务和数据的逐步累积,针对云端的基于漏洞、病毒、未知威胁的APT攻击的增长速度丝毫不亚于云计算本身的增速。
其次,智能技术的安全隐患。我们知道,手机开辟了移动互联网时代,而智能技术让各种不同的产品实现互联,产生新的应用,这会催生未来的物联网。那么,网络的边界将进一步拓宽,安全的边界也更难以守护。
在7月16日,2016 XCTF国际联赛总决赛上,百度的技术人员,以多种场景化方式,现场展示了如何破解汽车、控制贩售机,攻陷电商网站。我想要强调的是,这并非只是“演习”,在2013年,两位美国黑客,就直接演示了如何通过攻击软件使高速行驶的汽车突然刹车。而在中国,众多的智能家居因为技术原因经常被轻易攻破。调查发现,我国只有44%的人知道智能设备可能泄露个人隐私。这绝对是未来最大的安全隐患。
最后,移动支付端的安全攻击。与我们的生活最切身相关的就是跟钱有关的一切,如今移动支付大行其道,渐成主流。同时,也成为了互联网安全的重灾区。中国银联发布的《2015移动互联网支付安全调查报告》称,2015年,1/8的受访者遭遇过网络诈骗。
尤其是令人又爱又恨的安卓系统,我们选择了开放性,却不得不为安全性买单。百度调查发现,在移动端的安全防护上,整个安卓系统生态存在大量的内核漏洞和系统漏洞长时间得不到修补的顽疾,严重影响整个生态的安全,而整个产业链却对此无能为力。
眼前是这三座大山,该弃网求全,还是该迎难而上?百度给出的答案是肯定而又积极的。作为天生的互联网公司,百度对互联网安全的看法很值得思考。
百度安全事业部总经理马杰在2016 XCTF国际联赛总决赛上说,百度安全充分利用云计算、大数据、人工智能等诸多前沿技术布局全息安全生态,迎合安全行业由产品向能力升级,功能向服务升级,为不同行业、不同企业,甚至不同应用场景,提供基于人工智能、云计算、大数据等安全技术的个性化全息、立体安全解决方案,满足“智能+”时代互联网需求升级的新变化。
分析这段话,可以得到两个关键定义。
第一,对安全问题迎难而上,将云计算、大数据和人工智能的技术融合,搭建全息安全生态。这是百度在业界首次提出的理念。一方面,百度可以拿出自己多年在互联网安全上的技术积累,另一方面,百度还与不同层次的企业合作,在互联网应用的全生命周期上进行安全防范。
比如,在终端设备上,百度安全已和小米、华为终端企业达成合作,可以提供诸如垃圾短信、骚扰电话拦截方面的服务。在金融行业,百度也已经与海南、翼龙贷、积木盒子等多家互联网金融企业达成全面合作。还有诸如新东方在线,乐视、芒果TV,京东等诸多互联网风口行业,都已经通过全息安全生态,享有百度安全提供的无缝安全防护。
第二,“智能+”时代对互联网安全的影响。智能+,是百度总裁张亚勤基于人工智能实际落地提出的战略方向。智能+就意味着,云计算、大数据、深度学习等技术的极大成熟。,还意味着,移动设备的极大丰富,不仅超越PC更超越手机。传统的互联网安全模式就不再能满足“智能+”时代对安全的诉求。
这表示,安全行业由设备端安全逐渐进入生态安全,随着“智能+”时代开启,消费者信息安全逐渐变成了产品的基础,安全已经由单纯的用户侧设备安全变成了消费全流程生态安全,安全在用户体验中成为不可或缺的基础。
我们客观的来评价一下百度安全对互联网安全的倡议,有哪些可取之处。
首先,业界一直有:阿里的运营、腾讯的产品、百度的技术,这样的说法,这是对百度技术能力的认可。作为一家从创业之初就建立在互联网上的商业模式,百度几乎是从公司起步时就开始进行着互联网安全的技术实践。所以,今天的百度安全,输出的正是百度领先的安全技术能力,能够解决众多行业的安全所需。
其次,互联网的本质就是开放和共享。比如云计算,这就是互联网公司对新IT架构的探索之后,开放了自身的资源。同理,安全技术也是这样的。百度拥有业界领先安全技术,同时,百度更愿意输出自己的技术,作为一个生态的发起者,百度倡导的是将安全的界限带到互联网的每一个角落。这对百度来是,也是互联网进程推动者的责任所在。
第三,百度会针对最难的安全问题,进行针对性破解。比如前文所述的三大安全难题中的移动安全。百度安全为安卓系统,设计出开创性的自适应内核热补丁技术,以及OASES开放安卓安全扩展方案等五项专利申请。这一技术无需实际内核编译所用的源码和配置,能够自动匹配目标安卓系统的漏洞进行在线热修复。大大提升了厂商面对安卓高度碎片化的安全应对能力,而且也缩短了厂商推送内核安全补丁到最终用户的过程。根据统计,目前采用此技术可以修复市场中99.4%的安卓产品的内核漏洞。
最后,百度对互联网安全的认知,是动态的,是随时代进步的。因为智能+,所包含的范围既有硬件的拓展,也有技术的迭代,更有软件和应用的进化。百度,以智能+为引线,注定了百度安全的边界会更为宽广。另一方面,百度也在行业中一再呼吁对互联网安全引起重视,正因为如此,百度才成为了XCTF的重要赞助商,让安全的人才更多的浮出水面,被行业所认知。
所以,互联网安全当然会随着互联网的多元化的演变,随着物联网、移动、云化这些技术和方向变得越来越难防护。但矛与盾的碰撞,会是每个时代进化之后永恒的主题,百度安全就是未来智能+时代,最坚固的那块盾。
(关于作者:郑凯,自媒体科技正能量(pp_tech)创始人;科技作家,著有《中国云力量》;专注科技互联网报道和评论13年;百度百家,新浪创事记,钛媒体,网易专栏认证作者;渠道营销培训导师)
