12月5日,《时代周刊》发布了最 新一期的杂志封面,白底黑字的2020被打上了一个大大的红叉,并附言“THE WORST YEAR EVER(这是最 糟糕的一年)” 。
诚然,对于整个人类社会而言,如此大范围、持久性的灾难并不多见,新冠肺炎从根本上改变了人类社会的格局,但是这种变化也在各行各业激起了涟漪,进一步推动了线下向线上转型的步伐,数字化成为不可逆的趋势,新基建的发布再次为这种趋势填上了一把干柴,“新”成为2020整个行业乃至社会最 为火热的主题词。
为了探究这种变化对于安全领域的影响以及应对之策,以“破壁·新生”为主题的2020京麒网络安全大会召开,来自京东、腾讯、百度、中国电信、赛博英杰、高成资本、奇安信、蔚来汽车、商汤科技、科大讯飞等头部企业的安全高管,以及北京大学、加州大学、北向智库的专家学者同台探讨前沿安全技术,共商数智化解决方案,携手连接安全新生态。
整个大会的演讲和panel部分精彩纷呈,嘉宾们站在不同行业的角度各抒己见,总体围绕“新基建”、“新技术”两个大的方向展开,其中,新基建部分既有政府领导、研究机构的政策趋势解读,也有重磅的新型基础设施的发布;而在新技术方面,AIoT、区块链、云虚拟化等前沿热门的安全技术领域成为大会主要的探讨对象,一场场满含干货的演讲也为参会者带去了酣畅淋漓的技术盛宴。
以下是本次大会演讲的精华部分提炼,enjoy~
一、新基建
顺势而为,则事半功倍。政策往往对行业的走向有着重要指导意义。今年,新基建政策发布,安全作为新基建的底座,承担着外戍边界、涤净内网的护城河作用,我们该如何去理解新基建?新基建对安全行业有着哪些影响?先行一步的各领域头部的企业,又有哪些经验和能力可供借鉴使用呢?本篇中来自政府、研究机构的领导专家以及知名企业的安全高管,将为你解答这些问题。
看点1:政策与趋势
会议开始,公安部网络安全保卫局十八处的祝国邦处长对大会进行了致辞,祝处长首先对京东集团在疫情期间的网络安全维护和物流保障工作给予了赞赏,并肯定了互联网的发展对于整个疫情防控起到的重要积极作用。同时,祝处长也站在新基建的国家政策层面和疫情影响的宏观社会环境角度,对网络安全环境建设提出了共同防控、落实法规和践行社会责任等要求。
在随后的演讲环节,中国网络空间研究院网络安全研究所负责人姜伟站在中国社会目前整体网信事业建设的视角,提出了行业发展带来的网络与现实世界加速融合的安全性问题、新技术和新应用伴生的风险性问题、数据化转型带来的安全风险、大国博弈加剧的紧迫性问题以及后疫情时代的网络威胁风险等诸多隐患,并从技术创新、基础设施建设、网络预警、产品&供应链管理、数据保护、安全人才培养等方面倡导了未来网络安全行业发展的主要方向。
看点2:京东发布企业安全操作系统
会上,京东安全重磅发布了全新的企业安全操作系统,该操作系统为一整套安全能力构建及安全运营的底层标准框架,具有“原生、统一运营、数据驱动、开放”四大特性,可提供安全能力构建所需的基础服务,包括统一接入管理组件、资产管理组件、运营可视化组件、基础大数据平台组件及AI组件等,能够帮助京东和京东的生态伙伴快速完成安全能力共建和智能联动,将原生安全能力与传统安全能力相结合,并且与 IT 基础设施、业务流程无缝全周期、全链路对接,形成适合自身业务场景的安全解决方案。
本次企业安全操作系统发布,距离第七届京麒大会的J-SAFE基础设施发布仅一年之隔,之所以在短时间内有如此重磅的产品叠代,与今年整体的环境背景和京东的生态安全布局紧密相关——今年在疫情和新基建政策的双重影响下,企业乃至整个社会的数字化转型步伐加速,对安全提出了智能联动和高效协同的诉求,需要企业基于标准化的底层架构拉通企业现有的安全能力,以智能分析为核心,形成有效的安全运营。面对这种突如其来的变化,亟需一套成熟的、能够快速匹配企业新基础设施的安全操作系统。
京东集团在此方面有着丰富的实战经验和强有力的技术支持——京东业务涵盖零售、数字科技、物流、技术服务、健康、保险、产发、金融、智联云和海外等领域,业务场景多样,且在这些业务安全平稳运行的背后,有着庞大的安全基础设施以及上百万的IoT设备和服务器作为支撑。因此,在对安全领域多年的摸索和运行之下,京东已经具备了包括数据安全、业务风控和统一身份管理等多项原生安全能力,并已总结和剥离出统一的、可视化的运营能力,进而对不同业务场景的生态伙伴完成安全赋能。本次发布的企业安全操作系统,亦是对于京东多年积累的全套安全技术能力的萃取和升华。
看点3:行业大咖圆桌共话新基建
本次以“新基建背景下的安全建设”为主题的圆桌论坛,主持人北京赛博英杰科技有限公司创始人&董事长、正奇学院创始人谭晓生,是安全行业里的老兵,人称“谭校长”,对安全行业的变化和创新、新基建安全建精研覃思。他与电商、学术机构、资方、搜索&AI、通讯、研究机构的高管和专家一道,分享了不同行业视角的智慧洞察,可谓看点十足。
北向智库首席经略师潘柱廷认为,目前安全领域最 明显的特征就是基础设施化,形成了大基础设施对前端体系的服务方式,比如潘柱廷现在就任的360,就是典型的以基建的方式做新基建安全,把安全能力基建化,最 终辐射到需要安全的前端。
而站在基础设施方的视角—— 中国电信集团网络和信息安全首席专家刘紫千提到,目前通讯运营商在安全方面主要是网络空间治理和威胁治理的角色,但他们更希望进行数智化的升级,把安全能力植入到规划和运营当中,中国电信已经成立了移动安全科技公司,以服务型、科技型、安全型的对外全新姿态去面对新基建所带来的一系列变化。
百度副总裁马杰也从新基建的另两个重要领域——AI和自动驾驶方面的安全问题进行了解答,马杰认为,既然是基建,就需要去解决基础和本质的问题,安全不能仅仅停留在简单的攻防层面,而要回归到模型安全的研究上,因此无论是AI还是自动驾驶,安全都要做到前面、想到前面。
陈钟教授从更为宏观的视角谈及了在新基建当中所需要注重的衍生安全问题。陈教授以区块链为例,当人们在注重区块链安全本身时,往往会忽略一些衍生的安全问题,比如区块链衍生的数字资产和数字货币,可能会因为涉及洗$、跨境外汇而被整体抹除,此时再关注区块链的安全就没有了任何意义,又比如人工智能方面,一旦人脸识别被禁止使用,那也将遭到重创,因此关注新基建对于安全的影响,不能仅仅关注某个单点,同样也需要关注单点所带来的衍生安全问题和合法问题。
插上资本的翅膀,行业从业者就会如虎添翼,走得更快更远。因此投资者的认知,对行业发展也起到重要影响。高成资本创始合伙人洪婧站在投资人的角度,从资源配置和创造价值两方面带来了不一样的观点:通过新基建,国家将数据提高到了生产资料的高度上,新基建不仅仅是经济上的投入,更是为未来中国向技术转型发展奠定基础,因此新基建的安全问题,我们既在补课也在创新,一方面要补以前IT投入不够、安全投入不够的课,另一方面在移动、AI等领域,也应该结合和创新,不但把技术复制到中国,也使得技术创新来自中国,甚至是向海外输出。
京东集团作为大会的出品方,作为以供应链为基础的技术与服务企业,在新基建当中也扮演着重要角色,京东目前正在进行大量的智能城市赋能和供应链基础设施建设,安全部分也参与到了这当中的诸多环节,包括上述提及的企业安全操作系统,京东安全希望以“甲方式赋能”的新概念和京东积淀的安全技术,为新基建中的安全领域提供更多的安全能力和经验借鉴。
看点4:甲方安全建设的新思路
奇安信是国内安全行业的头部厂商之一,除了自身投入到前沿安全产品的研究当中,奇安信在服务各大甲方企业时也积累了大量不同场景的建设经验,对于新基建中甲方的安全项目有着很多帮助。京麒大会上,奇安信首席信息安全官兼网络安全部总经理聂君就为我们提供了一些新的思路。
聂君以三个内部的真实案例作为引子,分别为excel隐含宏骗取信息、升级包隐含恶意指令的注册表、以及通过物理方式进行攻击等,并给出了奇安信研究的解决方案。同时,聂君也总结了甲方安全建设的复盘关键点——一是尽量要求同样的问题不再重复,你提出的安全措施能够解决同样一个问题;二是同类的问题尽量避免,不要重复犯错误;三是不要在低级错误上失败;四是从复盘到复仇,奇安信内部要求每一次事件出来以后,复盘的效果是下一次能够抵御攻击,实现复仇的效果。
除此之外,聂君还分享了他对于内生安全、安全运营、甲方与乙方的相处之道等内容的看法,为现场的安全从业者给出了非常中肯的意见和建议。
二、新技术
看点1:AIoT引领安全技术主流趋势
在互联网时代的下半场——产业互联网时代,AIoT成为各方企业共同追逐的常青树,如今,在数字化、数智化时代的开局,AIoT同样是最 为主流的研究方向和跨时代的敲门砖,AIoT在安全领域目前有哪些最新的技术已成功运用?又有哪些最 佳实践经验值得借鉴?
来自百度、蔚来汽车、商汤科技、科大讯飞的安全高管和加州大学的专家为我们带来了AIoT方面的最 新技术和实践。
1)百度副总裁马杰-《新基建、新安全、新生态》
马杰将智能经济社会下,AI所面临的安全风险总结为三个维度——Security、Safety、Privacy,即强对抗下的环境安全,非对抗环境下的威胁,以及数据安全和隐私的保护。
在 AI 安全攻防上,首先是AI模型安全威胁研究,马杰展示了在自动驾驶场景下可能会面临的各种各样的安全威胁,比如以对抗样本的方式来欺 骗物理的探测器等。非对抗环境下的威胁方面,马杰演示了AI能力被黑产滥用的风险,在视频当中,黑产利用深度伪造技术,使得现在我们赖以使用的各种面部识别和视觉识别失效,产生了新的安全风险。在数据安全和隐私保护层面,马杰强调了数据安全和隐私保护的重要性,他认为,在AI时代,当用户觉得不安全时,整个AI时代的进展就会被延缓。他还展示了百度研发的隐私保护安全计算框架——Teaclave,作为开源框架,Teaclave主要可以打破数据孤岛,极大的延展AI时代数据协作的信任边界,目前可广泛应用于金融、医疗、无人驾驶等多个敏感业务场景。
2)蔚来汽车高级总监和资深专家朱颢-《智能网联汽车的安全实践与思考》
今年,在信息安全行业,没有什么比智能汽车安全更加火热的了。今年 Geekpwn 大赛上,新能源汽车、智能汽车的破 解,让人印象深刻。目前,智能汽车安全问题热主要源自以下几个方面:一是用户触点增多,传统汽车仅有车钥匙,而智能汽车有蓝牙钥匙、IFC钥匙,还有手机APP远程启动车辆的方式;二是新的商业模式,智能汽车的软件是厂商新的收益点,有钱的地方就有新的安全隐患;三是代码急剧增加,所带来的bug也会增多;最 后则是数据安全和用户隐私的保护。
为了解决这些问题,蔚来汽车的安全团队做了大量工作,从安全团队组建、安全工作方法、安全保护技术、安全守护系统和安全响应流程五个方面布局。以安全保护技术为例,蔚来汽车安全团队在云、管、端做了多重防护,在人的方面,有防火墙、接口有访问控制、接口强制清零校验、TRS双向认证、网络隔离等等;在通讯管道方面,运用方式,涉及到对车辆有操作的请求,会通过物联网专线直接连到公司的内网服务器,确保这部分数据的安全;在手机端,蔚来加固了安全防护,大部分的请求都要求GIN码和生物特征校验,并建立了登陆防御体系,确保一些异常的用户可以被挑选出来。
正是有了这些安全防御措施,作为国内智能车企界领头羊的蔚来,在每年遭受多次重大的攻击当时,才能够有效防御,避免重大事故的发生。
3)商汤科技安全委员会产品安全负责人、技术执行总监庄汉阳-《商汤AI产品的安全实践》
商汤科技赋能百业的实战之下,对于AI在各个场景的安全风险也有着丰富的应对经验。庄汉阳分别以算法攻击、算法场景防泄漏、数据安全管理三个场景为代表,介绍了商汤AI产品的安全实践。
在算法攻击方面,2015年商汤人脸识别刚上线时遭遇了大量攻击,包括海外反向访问、伪造账号密码等方面,商汤采用了活体检测的技术成功抵御;在算法场景防泄露方面,商汤采用了授权方式做SDK激活、加密技术、平台化支持的方式保证安全;在数据安全管理方面,商汤一方面通过严格的制度进行内部限制,另一方面,通过与流程、平台、审计的结合,确保整个数据安全流程的合规。
4)加州大学戴维斯分校计算机系终身教授陈浩-《AI用于软件安全和漏洞挖掘》
模糊测试,是目前非常流行的一种软件安全和漏洞挖掘的方法,模糊测试的做法相对简易,只需要对程序进行不同的输入,观察程序的表现,看程序在什么样的情况下会出错即可。模糊测试有很多优势,一是一旦模糊测试发现程序出现了漏洞,那这个漏洞就一定存在;二是当这个漏洞发生时,模糊测试可以一个个进行输入验证,一旦程序碰到了这个输入就一定会出错;第三,模糊测试的可扩展性非常好,有多少台机器,就可以同时可复制的进行模糊测试。
但是模糊测试也有瓶颈,那就是如何能够去探索程序的不同状态——模糊测试同时也存在效率低下、缺乏系统性的理论指导全凭经验等问题,但是,借助AI的方式,就可以很好地规避掉模糊测试的这些弱点。介于陈教授后续的演讲完全和算法、函数相关,大家可以关注“京麒“公众号,回复“京麒大会”获取PPT进行学习。
5)科大讯飞信息安全管理部总经理常炳涛-《人工智能企业安全建设实践分享》
科大讯飞信息安全管理部总经理常炳涛分享了他对于人工智能三个阶段的理解,即计算智能(能存会算)、感知智能(能听会说、能看会认)和认知智能(能理解会思考),常炳涛认为,目前人工智能行业的状况,基本处于第二阶段当中。
近年来,人工智能企业的各种应用也开始批量落地,为了能够降低安全方面的风险,科大讯飞最 主要的措施主要在几个方面:一是确保研发安全,将安全要素提前嵌入到研发阶段;二是核心技术的安全防护,科大讯飞拥有专用的研发网,并且又专门的审批流,严格控制数据的留出;最 后一点,就是业务的安全管理。
除此之外,科大讯飞在安全工作方面也有几条重点的基本定调工作,可以用于企业的安全建设当中——首先是合规;第二是核心商密的管理;第三是要提升自身的产品系统和产品竞争力;第四是个人信息层面,不仅要跟公司达成共识,还需要跟业务达成共识;第五是安全部门的人不能只发现问题不解决问题,即便落地的不是自身也需要有对应的方案; 第六部分,是安全工作要高度契合公司的流程;最 后一点,是数据驱动安全,最 终实现人工智能的应用落地。
看点2:云虚拟化安全
腾讯Blade Team高级安全研究员钱文祥-《再看云虚拟化安全:QEMU通用漏洞挖掘新思路》
云服务在2015年左右就 开始进入爆发期,到2020年Q2,全球云服务产业市场份额增速进一步增大,而虚拟化是基础云服务大环境中许多服务的重要技术支撑。许多的云服务都需要从物理的硬件系统,通过中间的hypervisor层创建环境,可以把一个服务器分发给多个guest操作系统使用,实现的就是虚拟化,典型的代表有QEMU-KVM、Xen等等。
来自腾讯 Blade Team 的高级安全研究员钱文祥,分享了后续有关QEMU的论述,多以代码形式呈现,大家可以关注“京麒“公众号,回复“京麒大会”获取PPT进行学习。
看点3:区块链技术研究
北京大学信息科学技术学院教授、区块链研究中心主任陈钟-《区块链应用——监管与安全新挑战》
区块链的发展时间较短,从2009年比特币系统诞生至今约10年的发展时间。关于区块链的安全问题,目前比较典型的有拒绝服务攻击、双花攻击、种族攻击、芬妮攻击、Vector76攻击、替代历史攻击、51算力攻击、整数溢出攻击、女巫攻击等。
除此之外,去中心化的应用测试和关于密码的支持也是目前区块链所面临的挑战,面对这些问题和挑战,陈钟教授目前已参与到高校在区块链创新行动计划,包括了8个核心技术攻关的行动,和11项区块链技术攻关能力提升的行动。
要应对区块链安全风险,陈钟教授认为要从四个方面来加强: 一是,加强联盟区块链核心技术的自主创新;二是,要加强联盟区块链漏洞管理和最 佳实践;三是,加强联盟区块链安全标准和评测体系的建设;四是,加强区块链安全人才队伍建设与培养。