专栏首页FreeBuf安全驱动下的数字新生活,第四届CSS互联网安全领袖峰会随笔

安全驱动下的数字新生活,第四届CSS互联网安全领袖峰会随笔

随着《延禧攻略》的一波热潮,清宫戏又双叒叕火了。据说本片原定是拍成穿越剧,天才少女魏璎珞从社会底层做到总统夫人是什么体验?结果因为某些原因未能成行,就改成了我们现在看到的版本。不过这丝毫没有影响万千少女对之的喜爱,甚至偶尔也会做做“回到清朝当王妃”的美梦……

做王妃可能挺爽(排除勾心斗角争宠夺嫡等一干桥段),但咱们可得好好算笔账。睡到中午起床的你叫了一份周末肥宅套餐,打开电脑先刷一遍社交网络,跟黑粉吵完架之后饭也到了,边吃边逛X宝,然后打开蒸汽平台,又是美好的一天……没了这些早就习以为常的生活便利,你真的能下定决心做回古人吗?

我觉得不行,虽然这些便利也就是过去10年不到发生的事儿。

去年的CSS大会上,来自卡巴斯基安全实验室的Vladimir Dashchenko和我们聊了聊2050年的世界,短短10年时间就能改变一代人乃至整个社会的生活习惯,2050年咱球该有多发达啊!很多科幻片儿的概念,可能正在慢慢变成现实。由腾讯安全主办的CSS 2018互联网安全领袖峰会上,来自海内外的安全专家在此集结,带来了很多有趣有料的内容,比如下面这位。

三体

国际智能控制早期开拓者、中科院大佬王飞跃老师分享了他的三个平行世界安全观。一般人只熟悉两个世界,即“物理世界”和“心理世界”。但奥地利哲学家波普尔告诉我们,还有个第三世界——“人工世界”。他举了Alpha Go的例子,正常人类可能每天自己跟自己对弈几百万盘吗?人力有限,有些事情是时候让AI来解决了。安全亦如此。

在他的构想中,未来的世界一定是真人与人工智能一体化的世界。就技术发展而言,在机械化、电气化、信息化、网络化之后,人类已经进入了第5个技术发展阶段:平行化,即以虚实互动为特征的智能技术时代。人类以前总是在“物理世界”吃一堑,到“心理世界”长一智,几千年来轮回往复从未改变;这次则相反,要在“人工世界”吃一堑,回到“物理世界”长一智,通过虚拟对抗实现平行安全。(大佬标配:以哲学为出发点聊技术,再从技术回归讲哲学)

以大数据、机器学习和AI算法为驱动,传统安全产品也正在经历着“AI转型”,王飞跃的平行安全理论正经历着实践的检验。

王飞跃向大家描绘了他的期望,愿将来所有的系统都能在平行安全下得以保护,实现物理、心理、知识300%的安全。他引用了鲁迅先生的一句格言——“于无声处听惊雷”,也许这就是平行安全的真谛吧。

在云端

在过去一年中,勒索病毒持续活跃,安全行业更是曝出史诗级CPU漏洞,直接导致硬件级城墙的洞穿。可是,在过去十年以来,全球各大企业对安全的投入不止翻了十倍,各类安全公司皆不遗余力的开展研究和创新,但为什么我们的网络世界在今天,依然疲于攻防应对?

当下,随着网络空间的快速演进,新业态、新生态生机勃发,从二维空间到叠加了物联网和云的四维复合生态空间后,安全早已超越了技术的范畴,与整个产业的变化更加息息相关。

腾讯云副总裁黎巍在演讲中表示,通过长期的探索和实践,腾讯云已实现以大数据、 AI算法为驱动,构建应用于安全领域的知识图谱、图像识别、自然语言处理、知识表达等AI能力,以逐步取代传统的规则对抗。得益于多年来腾讯公司的开放和连接战略以及不间断的研究投入,腾讯云已经成为一个连接各行各业的生态系统。

偷偷捎带点私货,这里有一篇我们前几周出品的关于腾讯云管家WAF的体验心得,聊了聊AI如何成为WAF市场转折的趋势,非常专业(就是这么自信),值得一读~

窃听风暴

近期有个很火的新闻,受害者一觉醒来发现自己所有账户都被盗了,一夜回到解放前。骗子通过短信嗅探技术获取了用户的验证码,从而实施犯罪。来自Security Research Labs的首席科学家Karsten NohI六年前就玩透了短信嗅探技术(这位也是老朋友了,大家可以下载SRL开发的 SnoopSnitch玩玩,测一测你的手机漏打了多少安全补丁),是一名移动安全专家。今天他要跟我们分享的标题是《We will Never be Fully Secure,and That is Good.》,主要讨论了安全开发与落地中的一些心得与见解。

Karsten展示了两张照片,一名白领女性和一位印度农民,并留下一个问题,这两个人谁将更快实现数字化?答案稍后揭晓。

业务与安全的矛盾是永恒的话题,在他的观点看来,过分强调安全或对安全视而不见都会损害创新,因此要找到合适的平衡点。2012年Gartner提出DevSecOps,很多人都认可甚至迫切想看到DevSecOps发挥优势,但事实情况确是有关DevSecOps的实践并不多见,从概念到落地仍然需要时间的积累。

国外的一份调查针对北美大公司和中小企业的200多名安全、开发和运营专业人员发起了问卷,结果显示,DevSecOps的理念易于理解和接受,也经常受到公司赞誉,但却没有多少实践案例。造成这种情况的主要原因是缺少高层的支持,业务领导者甚对此并不鼓励。52%的公司承认会削减安全措施,以便在截止日期前完成目标。

很多初创小公司,往往可以直接使用最新的技术,避开很多历史遗留问题(无论是技术上还是管理上的),这是很多大公司不具备的优势。以4G网络为例,几年前4G还是最新的技术,一家新公司可以直接忽略2G、3G,这样很多陈旧且并不那么安全的协议就可以被绕开了。如果你有拥有很多仍在使用2G网络的用户,那么遭到伪基站攻击的风险就大大增加了。

回到开头提出的问题,这两个人谁会更早实现数字化呢?Karsten认为是那个印度人,因为他还没有接触任何技术,通过政府给他的补助,仅花8美元就可以买一张4G Sim卡(印度人民水深火热)。直接使用指纹进行支付,短信验证码什么的,对他来说已经过时了。

达芬奇密码

因为突发状况,Bruce Schneier竟!然!鸽!了!可以说很多观众就是为了一睹这位大佬的真容才来的,真的是非常可惜了……不过他还是为这次演讲专门做了一段视频,抚慰了一下观众们受伤的心灵。

提到Bruce Schneier,在安全圈绝对算是如雷贯耳了。他曾被外媒列入世界十大科技作者(这十大里包括牛顿和爱因斯坦),也是Dan Brown的悬疑小说《达芬奇密码》里的安全专家原型,最出名的著作为《应用密码学》。

Bruce Schneier提到,当前的安全环境比他年轻时更加多变,因为要测试的东西实在太多了,这不仅是现状,也是未来的发展趋势。成千上万的IoT设备在不同领域各司其职,他们拥有不同的系统、规格与标准,因此IoT安全问题会非常复杂。

假设你的手机两年一换、DVR五年一换,冰箱十年一换、调温器一辈子不换,这些变化也会影响安全。假设我买辆车开了两年,然后卖给别人,别人又开了十年,然后再卖给别人,甚至可能卖到别的国家再开二十年(美国国情),这都会带来各种安全方面的不确定性。

面临愈发严峻的安全形势,Bruce Schneier再次强调了体系化防御及安全设计的重要性,说白了就是从一开始就明确安全的重要性、预测可能出现的问题,被动等待绝对是最差的选择。另外,他还强调了在政策制定中我们需要技术人员的参与。当前的互联网安全牵一发而动全身,正确的政策知道是非常重要的,而技术人员的参则是重中之重。

步履不停

今天的大会上,腾讯高级副总裁丁珂围绕四个关键词:“行业共建”、“生态共治”、“政府监管”和“企业自律”,对数字经济时代的安全趋势做了研判和解读。丁珂表示,数字经济时代信息安全已不只是一种基础能力,还是产业发展升级的驱动力之一。安全是所有0前面的1,没有了1,所有0都失去了意义。

此外,他还指出数字安全新生态建设需要在两大路径上继续努力:

首先,是安全升维,安全问题未必出现在原有的体系内,因此,企业要以全新视角去理解安全问题; 其次,是转换安全观,以协作为基础,推动政府、企业、用户联动,共同提升防护意识。

丁珂认为,可以从“一横一纵”两大维度为数字安全新生态建设提供助力,全面开放腾讯在安全领域的技术能力和平台资源,并期待携手更多伙伴,完善安全驱动力,推进数字安全新生态建设,继续为“数字中国”提供助力。

今天没来得及拍花絮照片儿,就到这儿,咱们明天的议程再见。

*FreeBuf官方报道,本文作者:Akane,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:Akane

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-08-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全从业者,该凭什么赢得你的尊严?

    前天,我写了一篇《赚了20亿美元GandCrab勒索病毒家族的故事》,其实里面还有很多内容我没有提及,在文章的最后,我留下了两段话:

    FB客服
  • 从SDLC到DevOps下的广义应用安全管控体系

    17年起,我们引入建立了适合内部研发的SDLC流程,在传统的研发模式下,一个需求从意向拆分到用户故事,再到开发子任务,一次迭代大多都要经过2周以上的时间。经过重...

    FB客服
  • 安全教育:企业安全包括的那些事儿

    从我在绿盟所受的安全教育来看大致分为以下几方面: 1.网络安全:基础、狭义但核心的部分,以计算机(PC、服务器、小型机、BYOD……)和网络为主体的网络安全,主...

    FB客服
  • 安全从业者,该凭什么赢得你的尊严?

    前天,我写了一篇《赚了20亿美元GandCrab勒索病毒家族的故事》,其实里面还有很多内容我没有提及,在文章的最后,我留下了两段话:

    FB客服
  • IDC MarketScape:腾讯云安全能力处于中国可信赖的云服务提供商领导者地位

    近日,国际权威研究机构IDC时隔三年发布了的《IDC MarketScape:中国云服务提供商安全能力厂商评估,2020》报告。报告针对云服务商的安全能力,在产...

    腾讯安全
  • 如何构建高效协同的企业级重保体系?答案在这里!

    近年来,企业级安全建设面临混合云、DevSecOps、零信任体系、敏捷开发要求等综合复杂场景引入,安全问题出现了不同于以往的新形态。如何在新形态下做好IPO等关...

    腾讯安全
  • 谈谈开展信息安全工作的四个权力

    很多刚独立开展安全工作的小伙子本身技术都很好,但是初始做一个人的安全部容易莽撞。笔者尤其记得第一次接触甲方安全岗位时,领导面试问到:“为了公司安全建设,...

    糖果
  • 云安全专家7*24小时值守,保障国庆长假Web系统安全

    再有几天, 期待已久的国庆长假就要到来了。 精神已经漂洋过海, 肉身早就蓄势待发, 但对于安全重保, 也要一如既往的关注哦! 一旦出现网页被篡改、网站遭遇DD...

    腾讯云安全
  • 全新升级!腾讯云安全运营中心开放内测

    还记得在今年的CSS互联网安全领袖峰会上,我们提出要让安全“举重若轻”,降低企业安全建设的门槛。大量的企业IT小哥都想知道安全管理怎么“轻”,不仅每天要提防黑客...

    腾讯安全
  • 丁珂:开放安全中台能力,让产业安全举重若轻

    ? 今天上午,第五届互联网安全领袖峰会(CSS 2019)在北京正式拉开帷幕,本届大会以“产业升级,安全升维”为主题,首次聚焦产业互联网发展背景下安全行业的变...

    腾讯安全

扫码关注云+社区

领取腾讯云代金券