從全局視角到百億美元 看安全廠商的核心價值觀
近期360有兩件大事,一是在第二屆智能大會上發布了「安全大腦」,二是披露區塊鏈3.0平台EOS存在嚴重漏洞。前者集成了人工智慧、大數據、雲計算、IoT智能感知、區塊鏈等前沿技術,後者則在加密貨幣和安全領域均掀起了軒然大波。為此,安全牛走訪了360首席安全官譚曉生先生,近距離了解360如何看待安全。
一、安全大腦的全局視角
「安全大腦」的概念是由360集團董事長周鴻褘提出,資料網上已經有很多,因此本文並不詳述細節,只是從與譚曉生的對話中,結合自己的理解做出一些總結。
首先從技術層面上講,之所以叫做「安全大腦」,是因為與實際的大腦活動比較像。整個過程包括了感知、學習、推理、預測、決策五個部分。首先是網路、終端上的流量探測,收集各種維度的數據,如同人的各種感官感覺,然後在數據中心(大腦)做關聯分析,最後做出決策。如同大腦有若干個神經中樞,運動、視覺、語言中樞等等,針對不同的主題,如態勢感知、APT、網路釣魚、數據保護等,安全大腦也有相應的部分去對應處理。
與人的中樞神經系統傳輸模式類似,安全大腦的威脅響應流程包括四層結構。其中,多元一體的安全應用層是安全大腦的指令輸出,它面向網路的全方位安全防護;智能服務層開放的智能服務體系及平台,是安全大腦的神經元;數據服務層擁有端到端的數據治理服務能力,為安全大腦提供高效的信號處理通道;數據採集層背靠全球領先的網路空間安全大數據,是安全大腦的感知元。
簡而言之,安全大腦就是通過多維度的數據,做關聯分析,從而掌握全局信息,以「上帝視角」來觀察安全狀況,從而達到整體態勢感知和全局掌控的安全能力。可以看出,想要做到這一步的關鍵前提,必需擁有安全相關的海量數據資源。這一點,恰恰是360的強項。
然後從價值層面上講,安全防護技術從基於特徵規則的時代發展到了基於行為檢測的時代,但整個網路環境卻面臨著網路攻擊爆炸性增長的態勢,防護卻始終跟著攻擊走,處於被動挨打地位。做過安全運維工作的人都知道,面對海量報警會有多鬱悶,最後只能脆置之不理。進一步設想一下,雖然說安全人才缺口非常大,但即使這些人員都補齊了的話,這個世界真的需要那麼多的「保安」嗎?安全防禦如何能夠主動一些?如何又能方便一些?
基於人類追求舒適、便利的天性而言,機器學習、深度學習、人工智慧的出現既是需要也是必然,其最終的目的就是用機器來代替人工,減少人的工作量。此為「安全大腦」的終極目標。所以,「安全大腦」的核心價值在於,通過前沿技術保護數字環境,造福社會。
談完安全大腦,我們再來看看在幣圈和安全圈引起轟動的EOS漏洞事件。
二、影響百億美元的漏洞
有人認為EOS是目前最好的公鏈,被譽為下一代區塊鏈操作系統,在性能上和成本上(免費)均超越了加密貨幣中的明星平台「以太坊」,其發行的代幣估值接近700億人民幣。不難想像,其存在的高危漏洞可以造成多大的影響。
我們先來了解一下問題主要出在哪裡:
EOS節點使用了WebAssembly編碼語言,當節點中的解析器在解析WebAssembly的時候,存在一些問題,其中一個問題可導致內存越界寫入。懂安全技術的人知道,這意味著什麼。於是這個問題或說漏洞就這樣被利用,即在某個節點上提交一個包含惡意程序的智能合約,由於區塊鏈的特性,這個智能合約就會被同步到EOS的所有節點。當節點去解析執行這個合約的時候,惡意程序可取得root許可權,於是運行這個節點的主機被完全控制。
由於這一系列漏洞可能產生的後果過於重大,360內部經過連夜協商,緊急聯繫到EOS的創始人 Dan Larimer,簡要說明情況後,便把漏洞具體描述,攻擊代碼,利用程序和修復方法發了過去。對方表示「非常感謝」,之後又在儘可能短的時間內根據360提供的具體情況,將漏洞一一修復。EOS1.0也於原定時間6月2日正式發布,與此同時官方公開致謝360安全團隊,並給出3萬美元的3個漏洞發現獎勵。
事情到這裡,暫時告一段落。但回過頭來看,還是有不少值得思考的地方。
首先,近幾年來使用區塊鏈技術的加密貨幣不斷出現,其中蘊含的價值也被不斷被蜂擁而入的玩家放大到恐怖的量級,而聞風而來的黑產則是「當仁不讓」的從中攫取豐厚的利益。從演算法漏洞到設計漏洞,再到信息盜取和挖礦蠕蟲,尤其是後者已經呈現出超越勒索軟體的趨勢。近年來,數字貨幣平台被黑的事件層出不窮,就是一個客觀的證明。
作為一個聚集了國內頂尖黑客攻防技術人才的互聯網公司,360已經各種加密貨幣平台已經有了不少的安全發現。除了EOS的解析漏洞,還有智能合約設計、挖礦演算法、密鑰存取、拒絕服務等漏洞,可影響到全球幾十種加密貨幣,其中不乏一些排名前一百位的「明星」級別的貨幣。據綜合加密貨幣平台Coinmarketcap統計,2017年加密貨幣的流通總值超過5000億美元,差不多相當於一個阿里巴巴或是騰訊的市值。可以試想一下,不管加密貨幣的未來如何,如果手中掌握某些漏洞秘而不宣,用做商業價值,毫不誇張的說,可以想像的空間很大。
EOS漏洞曝光後,引發業內不少人的猜測和懷疑,懷疑360在做空EOS,但實際上明眼的人都能看出來,如果在EOS上線之後再曝光漏洞的話,可能是致命性的打擊。周鴻褘在一個談話節目中表示:360依據安全行業標準的漏洞通報機制,先和EOS團隊聯繫,提交漏洞詳情,然後等修復完成才對外公布,這是非常負責任的做法。360希望的是,EOS乃至整個區塊鏈行業發展的更好。
隨著物聯網、數字化時代的到來,網路安全已經不僅僅是現實世界中的安全在網路世界上的映射,而是變得前所未有的無比重要,並成為全人類、全社會技術與經濟發展的基石。如何利用手中的類似於安全大腦這樣的「高級武器」,同時經受住各種誘惑,堅定地做好數字世界的護航者,這也許才是一個優秀安全廠商的核心價值觀。
TAG:安全牛 |