一场极具Hack精神的安全创新
szqiangmei 2019-10-25
先说个题外话:王思聪资产被冻结了。
曾几何时,那个把5亿变成50亿的男人,如今却不得不乖乖回家继承百亿的资产。有媒体因此顺势高呼:互联网行业的寒冬又来了。
说实话,这两年互联网行业很忙,时不时就要进入一次寒冬。但的确,一定程度来说,这也确是不争的事实。
而在这个过程中,有一个看似微不足道到的行业却逆势上扬,规模不断扩大,体量也在不断增加——那便是网络信息安全。
为什么网络安全可以始终保持增长?笔者认为,离不开“创新”。
无论是各种新技术在网络安全领域的应用,还是传统安全技术在新时代下的新思路、新玩法,甚至是攻防博弈中因为黑灰产技术的升级倒逼网络安全的自我进化,都始终让网络安全行业充满着“生命力”。
“生命力”,就意味着无数的“创新”。
昨日,由全球最大展会机构InformaMarkets主办,英富曼会展(成都)有限公司、亿百媒会展(上海)有限公司、四川天府国际会展有限公司共同承办,首个立足成都、面向世界的国际级信息安全会议INSEC WORLD成都·世界信息安全大会,于中国西部国际博览城圆满落幕。
为期4天的大会,包含两日高阶培训、两日主论坛、六大分论坛及科技展示,共吸引超过45家媒体、50位海内外讲者、2000多位专业人士参会。
既然提到了“创新”,我们就不得不将目光关注于本届INSEC WOLRD的“安全创新论坛”上。遵循了过去Black Hat设立专家顾问团取得巨大成功的模式,本届INSEC WORLD选择邀请杨卿作为“安全创新论坛”的出品人,不得不说,这使得“安全创新论坛”从一开始就散发着“年轻Hack”的味道。
Hack是什么?不止是一个身份、一个称号、一个简单的头衔、一份收入不菲的工作。Hack应该是一种文化、精神,代表着活力,代表着思考,代表着生命,更意味着“创新”。
工业设计界凯瑞姆·瑞席说过:“世上的人可分为三种:创造文化的人、消费文化的人以及不在乎文化的人。要努力做前两种人。”幸运的是,网络安全从来都不是一帆风顺的行业,在无数次与人和机器的博弈中,考验的就是每一名安全人不断思考、创新的Hack精神。
在本届INSEC WOLRD“安全创新论坛”上,“图神经网络”、“零和博弈”,这些原本我们有些陌生的名词成为了演讲议题中的主角;而无论是围绕“漏洞发现”、“安全测试”,对抗“网络犯罪”,还是“5G”时代来临下的安全问题有哪些,即时通讯何去何从,都足以说明,这是一次传统技术全新的玩法,甚至是新技术在网络安全领域的一次突破式地落地。
这不是旧酒装新瓶,而是一次真正的“创新”。
议题一:图神经网络(GNN)在
漏洞发现中的应用
冯继强,总经理,苏州极光无限信息技术有限公司
行业内当前对于漏洞检测,主要依赖于这样几种方式:在开发阶段的源代码审查,比如SDL、模糊测试;基于规则的静态分析,还有动态分析等。虽然这些方式都具有各自的优点,但也同时存在各种各样的缺点和局限性。
就以某国际巨头企业为例,他们已经做到了将安全开发融入到产品迭代,并且不断地进行源代码审查、安全测试,但仍然无法阻止漏洞的不断爆发,同时也没有更加有效的手段予以弥补。
所以这是不是意味着漏洞发现这件事情,需要一次真正意义上的“创新”呢?
AI的应用极大地提高了我们工作生活的效率和速度,它意味着原本冗长的检查周期,可以缩短到几分钟甚至几秒钟内来完成。
就好比我们在100张A4纸当中发现了一张被墨迹污染,如果想确定其他99张纸有没有相同的情况,过去我们所采用的方式就是每张A4纸依次翻找。但是在AI带来算力的升级后,我们就可以站在“图”的视角,通过制定规则,快速地完成整个检测过程。
在AI研究的过程中,我们发现虽然图神经网络只能应用于二维网络,但如果能够对它制定一定的规则,就能够实现漏洞的快速匹配和搜索,这就是“图卷积神经网络”。
通过一定的算法,将函数流程图标准化并固定格式以后,就可以对漏洞范围进行划分,漏洞以“图”的视角予以匹配,就可以快速做到漏洞发现。就当前来说,我们已经训练了4000多个不同的函数,交叉编译了两种架构,可以快速匹配各种函数的缺陷和漏洞,经过反复测试,准确率达到了99.8%。
将图神经网络应用在漏洞发现中,可以帮助任何社区、任何企业做到非常快速的预警,并且可以在任何一个产品和交互工业化遇到安全问题时,有能力处理非本地的漏洞。
议题二:新一代高效,精确且能
灵活自定义的程序静态应用
安全测试技术
刘新铭,首席架构师,鉴释科技发展有限公司
梁宇宁,联合创始人兼首席执行官,鉴释科技发展有限公司
静态分析这个概念诞生的非常早,大概在20年以前,就已经有安全公司开始运用静态分析进行安全测试了。
为什么需要静态分析?最大的原因就是源代码不够“干净”。就好比人之所以会生病,很大程度是因为身体里有病毒。而静态分析,就是从内部清理病毒的过程。
但是虽然静态分析发展了这么多年,却依然存在“误报率高、漏报率更高”的问题。原因很简单——没能匹配源代码分析的需求。
首先,对于千万级别的代码来说,只是做好匹配、正确的编译,就已经是一件十分困难的事情了,更别说让一个传统的工具来进行文本分。基本上当前我们所谓的文本生成、抽象语法和词义分析等,都是不够用的,这也就导致了分析不准确。其次,源代码分析需要的是全局分析,但当前大多数情况我们都只是局部分析。
因此,我们认为,通过传统的编译器技术,反而可以实现全程序分析。
AI技术在安全测试中存在两个缺点。一是对于未知的错误,无法在未来识别类似的错误;二是无法解释检测出来的错误到底错在哪里,判断的依据是什么,应该如何修正。
而通过编译器进行分析,可以反其道而行,从程序内部的数据流关系入手,找到彼此之间的因果关系,在错误发生时,准确地定位错误的地点、来源和原因,就能够精确且灵活自定义地做好安全监测。
议题三:零和博弈-对抗网络犯罪的新战场
张瑞冬,CEO,成都无糖信息技术有限公司
所谓“零和博弈”,表达的是在一场博弈中,如果其中一方获得了收益,那么另外一方就要损失相应的收益,两者之间差值相加总和为零,就是“零和博弈”。网络安全与网络犯罪的对抗,就是这样一个“零和博弈”的战场。
随着互联网+的广泛普及,传统犯罪也实现了互联网+的升级。如果小偷无法解锁偷窃得来的手机,就不得不将手机拆解成零件,原本价值数千元的手机,可能卖作零件就只能赚得几百元钱,此时小偷的犯罪成本是相当高的。
然而,如果在这个过程中附加了黑客技术,解锁了手机防护,那么原本只能卖几百元的零件,又变成了价值数千元的手机。这就是传统犯罪向互联网+升级的概念。
统计显示,从2018年到2019年间,针对苹果手机钓鱼网站就多达22449个。如果每个网站背后都链接了数以千计的手机,那么这会是一个非常庞大的黑色产业链。
伴随着网络安全技术的迭代升级,网络犯罪也逐渐实现了自动化和模板化。甚至于说已经可以给予违法分子提供包含整条产业链的所有配套技术,违法分子只需要支付一笔月租费用,就可以获得一套成熟的诈骗平台。
这就意味着,当网络安全防护成本不断提升的同时,与我们博弈的对立面,却是网络犯罪成本的不断降低。
据我所知,某一支违法团队为了能够增加新的安全登录密码策略,以此来更好地与安全防护做对抗,大年三十依然坚守在研究探索的岗位上。与时俱进的诈骗技术背后,竟然更是一种值得敬佩的工作态度。
零和博弈,确实是一场不公平的战斗。
所以我们同样需要进化我们的技术,提升我们的打击能力,要有先进于违法分子的能力,通过各个类型的平台,有效打击违法犯罪分子的活动。
议题四:新信息时代下的即时通信
柴坤哲,安全总监,BCM Social Corp
林正显,研发总监,BCM Social Corp
斯诺登事件后,人们对个人隐私的需求逐渐从隐性变成了显性。而区别于过去企业规模越大、业务越多,用户觉得越安全、越信任,如今人们对于大企业“能否保护好个人隐私”这件事,反而是更加担忧的。
如果两个人A和B需要传递消息,但中间隔着C,那么A就需要先把消息告诉C,再由C转达给B。这个过程中,C实际上是可以对消息进行篡改的。而这也是当前通信工具的现状,通信工具扮演的就是C的角色。
用户需要什么样的通信工具?那就是绝对不能篡改消息,一定要保证信息传输安全,保护用户个人隐私的平台,这就需要做到端到端的加密。
通过区块链技术中得到的启发,我们想到可以做一款极致安全、高隐私且高效的区块链即时通信,能够保障用户的通信安全和隐私。
在区块链即时通信中,只有密钥拥有者,才能够对消息进行解密,而通信工具本身只扮演转发的角色,不会了解用户所传递的消息和密码,更不知道如何分发。
对于文本、文件、视音频通话等,都要做到端到端的加密;无论是一对一的聊天,还是多人的同时群聊等,同样采取端到端的加密。同时确保当服务器发生安全事件甚至彻底沦陷之时,用户已经发生或者正在发生的会话不会遭到解密,这是我们新型即时通信的底线,并且已经实现。
而当用户处于信号相对薄弱的地区时,我们参考了国外军方的一个比较成熟的做法,那就是单兵作战系统两两相连,构成自主的网络。利用手机的蓝牙、WiFi,加上我们自己的算法,组建AD HOC网络,可以实现单对单、多对多的通讯,而这个过程中间只有手机和手机的直接连接。
总的来说,我们强调即时通信的端到端加密,确保每一个消息的密钥都是不同的,并且前后不存在推导的关系,以此来保障用户通信安全、个人隐私安全。
议题五:5G来了 - 不必过于担忧安全
黄琳,360安全研究院技术总监,360
相比较4G、3G来说,5G其实已经是最安全的网络了。当我们讨论5G安全的时候,不必过于担心,虽然它无法称得上百分之百的安全,但也绝对没有那么严重。
5G问题包含几个概念,一个是5G本身的通信安全问题,一个是5G+物联网所衍生出的物联网安全问题,还有一个则是工业设施以及很多物联网传感设施,在通过5G联网以后可能会发生哪些问题。
就5G本身而言,其实已经做了很多安全特性的增强。但是当前我们已经部署的网络,大部分使用的还是4G的核心网,许多安全特性要等到5G的SA落地后才能真正使用,这个过程还需要一定的时间。
而像我们所热议的几个5G应用场景,比如车联网、自动驾驶、远程手术等,还有广连接,可以连接大量的物联网设备等,其实到目前为止也只实现了超宽带的落地。这并不会产生新的攻击面,所以就5G本身通信安全问题而言,其实和过去并没有太多的区别。
而对于5G和产业互联网结合,也就是泛物联网安全问题,确实会存在一些潜在的安全风险。比如当我们使用边缘计算的时候,会不会有攻击者从企业的边缘节点入侵,从而进一步入侵运营商的核心网等,这其实就是5G+互联网存在的安全隐患。
不过目前来说,我们还需要等到5G正式的行业应用。并且据我了解,在工业场景中,已经实现联网的工业设备比例非常低,大概只有10%不到,大量的工业设备其实还没有实现信息化和数字化的升级。
所以,5G虽然已经到来,但是5G安全却还没有来到那么迅速,我们应该先进行信息化和数字化的升级,同时谈论安全。
5G的路还很长,我们期待在这个过程中能够诞生新的商业模式,不论是设备制造商、运营商还是互联网企业、安全企业,都能够得到共赢。
结尾
无论从哪个角度来看,首届INSEC WORLD成都·世界信息安全大会都可以说是非常成功的。因为它不仅仅只是一场单纯的会议,一次任由主导者单方面的理念灌输和宣讲,INSEC WORLD更是一次国内网络安全行业内想要为推动行业发展的一群人,相互之间交流、培训、产生新思路、技术创新的碰撞。就像是Black Hat一样,自由且活力。
“安全创新论坛”只是INSEC WORLD值得肯定的一部分,透过论坛看每一个议题的背后,其实是当前网络安全从业者们跃跃欲试、敢于自我突破,尝试并挑战新技术的态度,这将势必会在未来给国内网络安全带来新的变革。
正如“安全创新论坛”出品人杨卿所说,希望为那些敢于打破常规,敢做不一样事情的朋友们创造一个舞台,让他们可以尽情分享在挑战“世俗”与“传统”荆棘之路上所取得的累累硕果。
首届INSEC WORLD尚且如此精彩,恐怕这Flag由不得下一届有所松懈,到时候我想应该会更加精彩。
我们明年再见。
