最近思考人生比较多,对行业的发展也有些自己的思考。关于业务安全、物联网安全、AI安全、隐私保护、区块链等安全领域的几点思考。
业务安全
在大多数互联网公司,安全岗位都是属于成本部门。不考虑安全部门ROI的凤毛麟角。即使是超大型的几个头部公司,安全部门的汇报级别普遍较高,但是安全部门的工作重点都是不断证明自身的价值。对于绝大多数业务部门,基本是无法理解什么是XSS和SQL注入。
和业务部门解释这些,好比和一群素食爱好者介绍你们新推出的鸡腿堡套餐,不是说不说的清楚的问题,是傻不傻的问题。
唯一的例外,就是业务持续性和业务安全这两个是可以和业务部门沟通的。前者最常见的就是被D了,业务中断了,一小时损失多少PV,多少流水,业务部门比安全部门算的清。但是前者安全部门可以做的很有限,大多数情况下还是要以来安全厂商来解决。后者除了依赖安全厂商,安全部门也可以有发挥余地。常见的业务安全问题多与黑灰产对抗有关系,比如虚假点击、虚假注册,恶意爬虫之类。这些业务安全问题,业务部门是比较容易理解的,安全部门的价值也是容易体现的。2018年,甲方安全的同学如果觉得自己做的事情价值业务方不理解,不认同,不妨尝试下业务安全。
物联网安全
物联网安全一直是一个大家觉得会火,事实上也比较火,但是貌似大多数厂商没赚到钱的领域。
早期针对物联网设备的攻击,主要驱动力是用于垃圾邮件僵尸网络,说的更直白一点就是通过垃圾邮件进行广告营销变现,在那个物联网设备计算和带宽资源都相当有限的年代,干这个事是不错的选择。
这几年情况发生了很大变化。
- 一方面物联网设备井喷式发展,数量极其惊人;
- 一方面物联网设备的计算和带宽资源更加丰富;
- 另外一方面,智能家居等有能力接触到大量个人隐私的物联网设备大量出现。
所以目前这对物联网设备的驱动力主要为:
- 组成DDoS僵尸网络,发起超大规模网络攻击;
- 挖矿,挖各种币。
- 窃取个人隐私数据,从图像、语音到健康数据、消费数据以及账户数据等。
物联网安全技术的发展不是最令人担心的,因为目前大多数设备在设计的最初没有考虑安全问题。基础的操作系统漏洞、以及协议层的重放攻击,应用层的弱密码都可以干掉一大批设备。一个根上的问题,是谁该为安全问题买单。最终受害的是消费者,但是指望消费者去解决安全问题吗?买个家用的物联网IPS?指望厂商也不太靠谱,目前物联网或者说智能家居,智能设备行业还属于野蛮发展阶段,除了极其有限的几个头部厂商有能力去解决自己的安全问题,数量极其惊人的发展中厂商主要精力还在解决活下来的问题,指望他们去主动解决安全问题也不靠谱。
整个行业范围的去解决这些安全问题,我个人理解比较靠谱的方式,是类似大型公有云平台解决客户安全问题的方式,就是在物联网的操作平台层去统一解决大部分问题。设备厂商只要使用统一的几种OS或者开发套件就可以解决大部分安全问题。2018年这方面大家拭目以待。
AI安全
这个领域是我觉得比较奇葩的领域。或许我对AI安全的理解太狭义了。我个人理解的AI安全主要是使用AI技术去赋能安全产品,比如让WAF和IPS更牛逼,我写了两本介绍AI安全的书《web安全之机器学习入门》和《web安全之深度学习实战》也主要是从这个角度介绍的。
但是目前市场上相当一部分甲方和乙方是把智能设备的安全也称为AI安全,当然这也没啥问题。
AI一直是个不温不火的领域,让整个世界重视AI,阿尔法狗功不可没。阿尔法狗展现了,AI可以在部分领域超越人类。推而广之,计算机的强大算力和并发处理能力,可以让AI最终可以以更低的成本更好的完成人类的一些工作。这确实非常有吸引力。
AI技术目前在语音和图像识别领域非常成熟,几个头部的AI公司也是围绕着两个技术。基于这两项技术的AI安全公司势必也可以给人以惊喜,比如智能安防,智能认证等。
另外在AI赋能安全产品领域,我个人理解在更加细分的领域,漏洞发现类的产品发展会快于防护类和监控类产品。因为AI尤其是深度学习,最大的一个特点就是不可解释性,虽然最新的发展已经可以部分解决卷积处理的结果,但是对于MLP、RNN这些还是难以以人类可以理解的逻辑去解释。这对于防护类和监控类产品非常尴尬,你拦截一个包,判断一个交易申请是欺诈,你还没法和人解释,这就尴尬了。但是对于扫描类,或者说智能渗透,这个问题就没有那么尴尬了。另外扫描类产品对于误报的容忍性比其他产品要强,偶尔误报也可以忍了。但是阻断类产品就没那么轻松了。我个人理解扫描类AI产品值得期待。
隐私保护
从几个头部公司到众多独角兽公司,从互联网公司到传统企业和政府,都接触到大量的个人隐私数据。基于大量客户数据二次挖掘,提升用户体验甚至直接产生经济价值,已经成为很多公司的选择。但是一旦这些隐私数据没有妥善的保存、处理以及操作审计,出现信息泄露事件后果都是很严重的。这两年基于个人隐私数据的PR战只是冰山一角。基于个人隐私数据的犯罪以及司法刑事案件已经层出不穷。典型的就是基于隐私数据的互联网欺诈。立法层面对企业搜集、保存和处理个人隐私数据进行约束已经逐步进行。尤其是国外,公司层面的个人隐私泄露将遭受巨额罚款。国内这方面还在起步,不过趋势肯定也是向国外看起。与个人隐私相关的大数据软件安全、SGX、TEE、差分隐私、同态搜索等技术将普遍使用,有兴趣的可以关注这块。隐私保护已经从制度和审计层面,走向了攻防对抗阶段。
区块链
区块链是比特币的底层技术。大量的虚拟货币都依赖于区块链技术。攻击虚拟货币交易机构,洗劫电子货币的事件将越来越多,损失也会越来越大。
从赋能安全产品的角度,区块链的去中心化、不可篡改和可审计特性,特别适合于强审计需求的领域,我认为基于区块链的征信、溯源系统、操作审计系统将会是个不错的方向。