“我怀疑我们的孩子和孙子是否将会拥有与我们现在一样棒的互联网。”
氧分子科技 乐学 11月24日 编译
美国白宫前网络安全顾问杰伊-希利(Jay Healey)断言,互联网正在变成一个越来越危险的地方,而这可能只是开始。
“我怀疑我们的孩子和孙子是否将会拥有与我们现在一样棒的互联网。”他说,“他们的互联网可能比我们现在的更不开放、更不安全以及更不灵活。”
通过隐秘的间谍活动和尖端的网络武器,美国五角大楼已以惊人的速度成功将互联网军事化了。这种军备竞赛不仅会让互联网匿名制消失,而且还会打开潘多拉的盒子,让相对廉价的网络武器对现实世界造成可怕的破坏力。
“在网络空间,犯罪组织、隐秘团体如Anonymous以及孤僻的黑客,已显示出了强大的破坏力。恐怖组织当然也不会太落后。”《纽约客》(The New Yorker)杂志的作家史迪威尔-科尔(Stevel Coll)说。
没有任何迹象表明,释放网络野兽的规划师谨慎地考虑过这样做可能带来的后果。“我们并没有仔细思考过这个问题。”希利在上周的Defense One Summit大会上说,“我们的眼光实际上非常短浅。”
希利在这里指的是奥巴马政府急于给水、电、气等公共设施网络提供安全保护。从Stuxnet蠕虫病毒最开始泛滥以来,人们在这方面的安全防护工作已进行了十多年。
美国在发起网络攻击的时候,似乎并未做好防御准备。例如,Stuxnet病毒的其中一个变种,需要合同商将未经授权的U盘插入可信的内部网络,才能开始传播。德国网络安全研究员拉尔夫-朗纳(Ralph Langner)在谈到Stuxnet病毒时指出,美国五角大楼和NSA(国家安全局)都知道,合同商“网络安全意识极差”。
数年后,博思艾伦咨询公司(Booz Allen Hamilton)的一名合同商将一个未经授权的U盘插入了一个可信网络,结果下载了NSA的将近20万份文件。
五角大楼一面加强了合同商的安全,一面加紧招募黑客人才为己所用。
“整个互联网变成了一个战区。参战各方均出资聘请高手开发这类利用漏洞的程序。”互联网文化专家、西北大学哲学教授皮特-卢德劳(Peter Ludlow)说。
由于网络战愈演愈烈,各个国家开始采取措施重塑互联网;大型企业推出了新的安全措施;甚至连小企业也开始招聘网络安全人才,制定安全措施。对普通用户来说,浏览网络现在变得越来越危险了。
“互联网本身以及互联网管理方式上均存在很大的问题。”美国布鲁金斯学院的国家安全专家皮特-辛格(Peter Singer)说,“在来年,真正危险的事情是互联网已不是原来的样子。”
如今的网络世界,一半是海水,一半是火焰。
文/ 王冠雄
一方面,互联网、云计算等智能网络技术正在如火如荼地进行,实体企业集体上云,正在给中国经济带来巨大的升级红利;
另一方面,却是网络安全威胁的不断升级,众多病毒和袭击攻击都在不断提升利用系统程序的技术水平和自身的工程化水平,甚至引入了AI技术等重型武器,为大众网络安全的防卫带来了极大的困扰。
“连接”无处不在,安全也应当无处不在。在去年的ISC中国互联网安全大会上,360就曾提出“协同联动,共建安全+命运共同体”,号召通过政企协同联动来解决越来越严峻的网络安全问题。这一方式确实在今年五月的全球性“永恒之蓝”勒索病毒事件中起到了重要的应急控制效果。
当然,网络安全的解决之法也需要不断进化。前不久在2017年第五届ISC中国互联网安全大会上,就提出了关于网络安全新的维度。在大家都在关注网络威胁的关键时刻,这场具有关键影响力的安全大会,又对未来的世界安全局势以及整个安全产业意味着什么,今天和大家分享一下我的思考。
【最强的安全防御机制就是大脑:进击的技术人才】
这次大会上,周鸿祎提出了一个新的维度:人是大安全时代的核心。
之所以能说出这样的话,体现着360对于新型网络安全威胁的理解与应对。一直以来,在网络安全防御上,始终在技术、设备上狠下功夫,而在专业人才培养上,处于相对空白状态。网络安全人才一直呈现出金字塔形结构,大部分从业人员都集中在低技能基础岗位,比如基础运维及研发,而高技能人才的空缺则非常大,2017年上半年通过智联招聘发布的网络安全岗位,就比2016年同比增长了232%。
这一方面是国内“学而优则仕”的传统文化,专业技术人才教育体系薄弱,同时这类人才在职业规划上最终都倾向于转型管理岗位,而非在技术上长期扎根;一方面则是产业界鲜有平台和能力来帮助网络安全技术人员成长,而经验对于网络安全工作者来讲是非常重要的。
举个例子,今年“永恒之蓝”勒索病毒全球肆虐,全球至少有10万台机器已受到感染,众多医院、银行等重要机构受到威胁,而其肆无忌惮的攻击之所以被拦住,就源于一位海外的安全人员通过分析病毒的攻击行为,发现其对某域名解析成功就会停止攻击,该安全人员迅速做出判断注册了该域名,并对网络进行主动设置。正是因为这一决定性的瞬间,阻止了病毒在局域网内进行传播。
与其说永恒之蓝病毒代表了人类网络威胁的巅峰,但同时也展现了人类的自主思考、判断能力所无可替代的价值。而在智能时代到来之时,随着网络攻击的日益严峻,高级网络安全技术人才势必要成为这场防御战的武装核心。
【搞网络安全不能“机械主义”,人是安全的尺度】
当下有一种“技术至上”“机器中心论”,尤其是在人工智能快速产业化落地之后,很多人觉得恐惧,人类真的要被淘汰了?奇点真的临近了?我的答案是,绝不会!
且不说当下的人工智能还远未能达到人类的思考及判断水平,即便是在强人工智能时期,人类的灵性、情感、判断力都是无法复制的。这一点在当下的网络环境中越来越重要。
当年的PC互联网,有一个很显著的概念是“在线”:你下线了,关掉电脑便脱离了网络。这也大大降低了网络安全维护的难度;而移动时代则是永远在线,更像是人体的延伸,更接近互联网“连接”的本质。移动设备的大爆发,使得网络无处不在,安全问题也无处不在。
面对移动数据时代的各种隐患,网络安全其实已经成为整个互联网产业的最大公约数之一!作为底层的基础服务,网络安全必然不可能再处于被动状态,即发现黑客袭击工具,然后再利用已知漏洞开发防御性补丁。尤其是在AI技术不断被产业界应用的当下,云计算、物联网、人工智能等工具在摧毁者手中也将带来毁灭是的负面影响。
举个例子,如今很多智能语音助手都可以通过自然语义理解实现与人类的无障碍交流,甚至可以模仿音源的声线、语气、习惯等,这样的网络诈骗恐怕很难通过基础的网络安全维护来杜绝。
另外,随着物联网和大数据的快速发展,一旦数据系统遭到入侵,很可能带来影响重大的工业级、社会级攻击事件,比如“永恒之蓝”病毒对英国NHS系统的攻击,就带来了许多医院机构急诊等服务的停滞。去年乌克兰电网遭受黑客攻击导致大面积断电,甚至包括美国大选期间希拉里邮件门等。网络系统越无处不在,安全威胁带来的损失越是不可估量。
在这样严峻的环境下,被动型的后期防御显然是不够的。这也是为什么360要强调——人才是安全的尺度!
我认为这是今年ISC大会中360最大的一个创新。一直以来,高级网络安全技术人才都处于供不应求状态。此次360另辟蹊径,在技术升级和联合防御之外,对外传递了重视技术人才的安全理念,目标怕是要打造一个能够培养并鼓励高级技术人员成长的第一平台。我认为,一群具备强劲实力的高级技术人才,可谓是移动智能时代网络安全的最大保障,对360的这一建议应该强烈点赞。
【打造网络安全战的有力防线:360的战略重审】
在360大力推崇重视网络安全人才的同时,有一些细节可能都值得重新审视。
目前不仅绝大多数网民在使用360安全产品,甚至中国上百万个企事业单位、政府部门、国防科研院所、银行等机构都在使用360的安全防护软件及解决方案。从美国退市以后,360就将专精服务中国互联网安全作为核心目标。
在万物互联的今天,尤其是机构组织,网络被攻击可能产生灾难性的后果。无论是从个人财产安全、企业信息安全,甚至于到国家安全,都需要更为强大的安全服务升级才能应对。脑洞再大一点,或许未来国家之间的纷争,一定也离不开网络战争。试想一下,当双方都派出了智能无人机战队,一旦系统被入侵则结果不堪设想。
在这种情况下,传统技术、产品构成的安全系统,很难应对能够自主机器学习的未知网络攻击。同时,一旦网络攻击在系统范围内发生,传统的概率性报错、检查都不足以支撑全面的安全防护。
最万全的应对方法,或许就是360所提出的人机结合模式。
这是一个最好的时代,技术让生活越来越轻松。这也是一个最坏的时代,现存系统一再被网络攻击所突破。但是人之所以为万物之灵,就在于上天赐予的思考力与决策力。这种学习能力和联想判断能力至少短时期内都无法被机器习得。
在面对新型网络攻击时,对于系统拿不准的,一定不能抱着概率心理而应该引入优秀的安全技术人才去做抉择。
值得注意的是,人之所以为人,就在于可能出现疏忽、情绪化等意外状况,此时人机结合就显得格外有意义。
当然,优秀的高级网络安全技术人才离不开实战经验的训练,这也是为什么我看好360安全人才战略的原因。因为只有在实战中积累经验,才能最大程度地激活并发挥人脑的优势。比如今年“永恒之蓝”勒索病毒爆发后,360迅速在周末启动了应急措施,切断了病毒传播途径,一天就把病毒控制住了,没有在中国政府部门和大型企业中蔓延。很明显这种系统性宏观判断,只有强大的安全团队才能主导完成。
在网络安全领域的人才布局,360不仅为自身安全防御体系建立了强大的技术保障,更能够推动中国网络安全生态的深度变革,改变目前网络安全人才与市场的结构性错位,拓宽安全人才的培养模式,推动互联网产业经济与安全的进一步发展。
信息安全之于中国产业经济发展的重要价值正在日益显现,如何让机器更好地为人类所用,其核心就是360所说的,将人作为安全的尺度,谋求一种人机共荣的“新安全主义”。
唯有人类的灵性和创造力,才是网络安全战的终极核武。