安全驅動下的數字新生活，第四屆CSS互聯網安全領袖峰會隨筆

新聞 09-01

隨著《延禧攻略》的一波熱潮，清宮戲又雙叒叕火了。據說本片原定是拍成穿越劇，天才少女魏瓔珞從社會底層做到總統夫人是什麼體驗？結果因為某些原因未能成行，就改成了我們現在看到的版本。不過這絲毫沒有影響萬千少女對之的喜愛，甚至偶爾也會做做「回到清朝當王妃」的美夢……

做王妃可能挺爽（排除勾心鬥角爭寵奪嫡等一干橋段），但咱們可得好好算筆賬。睡到中午起床的你叫了一份周末肥宅套餐，打開電腦先刷一遍社交網路，跟黑粉吵完架之後飯也到了，邊吃邊逛X寶，然後打開蒸汽平台，又是美好的一天……沒了這些早就習以為常的生活便利，你真的能下定決心做回古人嗎？

我覺得不行，雖然這些便利也就是過去10年不到發生的事兒。

去年的CSS大會上，來自卡巴斯基安全實驗室的Vladimir Dashchenko和我們聊了聊2050年的世界，短短10年時間就能改變一代人乃至整個社會的生活習慣，2050年咱球該有多發達啊！

很多科幻片兒的概念，可能正在慢慢變成現實。

由騰訊安全主辦的CSS 2018互聯網安全領袖峰會上，來自海內外的安全專家在此集結，帶來了很多有趣有料的內容，比如下面這位。

三體

國際智能控制早期開拓者、中科院大佬王飛躍老師分享了他的三個平行世界安全觀。一般人只熟悉兩個世界，即「物理世界」和「心理世界」。但奧地利哲學家波普爾告訴我們，還有個第三世界——「人工世界」。他舉了Alpha Go的例子，正常人類可能每天自己跟自己對弈幾百萬盤嗎？人力有限，有些事情是時候讓AI來解決了。安全亦如此。

在他的構想中，未來的世界一定是真人與人工智慧一體化的世界。就技術發展而言，在機械化、電氣化、信息化、網路化之後，人類已經進入了第5個技術發展階段：平行化，即以虛實互動為特徵的智能技術時代。人類以前總是在「物理世界」吃一塹，到「心理世界」長一智，幾千年來輪迴往複從未改變；這次則相反，要在「人工世界」吃一塹，回到「物理世界」長一智，通過虛擬對抗實現平行安全。（大佬標配：以哲學為出發點聊技術，再從技術回歸講哲學）

以大數據、機器學習和AI演算法為驅動，傳統安全產品也正在經歷著「AI轉型」，王飛躍的平行安全理論正經歷著實踐的檢驗。

王飛躍向大家描繪了他的期望，願將來所有的系統都能在平行安全下得以保護，實現物理、心理、知識300%的安全。他引用了魯迅先生的一句格言——「於無聲處聽驚雷」，也許這就是平行安全的真諦吧。

在雲端

在過去一年中，勒索病毒持續活躍，安全行業更是曝出史詩級CPU漏洞，直接導致硬體級城牆的洞穿。可是，在過去十年以來，全球各大企業對安全的投入不止翻了十倍，各類安全公司皆不遺餘力的開展研究和創新，但為什麼我們的網路世界在今天，依然疲於攻防應對？

當下，隨著網路空間的快速演進，新業態、新生態生機勃發，從二維空間到疊加了物聯網和雲的四維複合生態空間後，安全早已超越了技術的範疇，與整個產業的變化更加息息相關。

騰訊雲副總裁黎巍在演講中表示，通過長期的探索和實踐，騰訊雲已實現以大數據、 AI演算法為驅動，構建應用於安全領域的知識圖譜、圖像識別、自然語言處理、知識表達等AI能力，以逐步取代傳統的規則對抗。得益於多年來騰訊公司的開放和連接戰略以及不間斷的研究投入，騰訊雲已經成為一個連接各行各業的生態系統。

偷偷捎帶點私貨，這裡有一篇我們前幾周出品的關於騰訊雲管家WAF的體驗心得，聊了聊AI如何成為WAF市場轉折的趨勢，非常專業（就是這麼自信），值得一讀~

竊聽風暴

近期有個很火的新聞，受害者一覺醒來發現自己所有賬戶都被盜了，一夜回到解放前。騙子通過簡訊嗅探技術獲取了用戶的驗證碼，從而實施犯罪。

來自Security Research Labs的首席科學家Karsten NohI

六年前就玩透了簡訊嗅探技術（這位也是老朋友了，大家可以下載SRL開發的 SnoopSnitch玩玩，測一測你的手機漏打了多少安全補丁），是一名移動安全專家。今天他要跟我們分享的標題是《We will Never be Fully Secure,and That is Good.》，主要討論了安全開發與落地中的一些心得與見解。

Karsten展示了兩張照片，一名白領女性和一位印度農民，並留下一個問題，這兩個人誰將更快實現數字化？答案稍後揭曉。

業務與安全的矛盾是永恆的話題，在他的觀點看來，過分強調安全或對安全視而不見都會損害創新，因此要找到合適的平衡點。2012年Gartner提出DevSecOps，很多人都認可甚至迫切想看到DevSecOps發揮優勢，但事實情況確是有關DevSecOps的實踐並不多見，從概念到落地仍然需要時間的積累。

國外的一份調查針對北美大公司和中小企業的200多名安全、開發和運營專業人員發起了問卷，結果顯示，DevSecOps的理念易於理解和接受，也經常受到公司讚譽，但卻沒有多少實踐案例。造成這種情況的主要原因是缺少高層的支持，業務領導者甚對此並不鼓勵。52%的公司承認會削減安全措施，以便在截止日期前完成目標。

很多初創小公司，往往可以直接使用最新的技術，避開很多歷史遺留問題（無論是技術上還是管理上的），這是很多大公司不具備的優勢。以4G網路為例，幾年前4G還是最新的技術，一家新公司可以直接忽略2G、3G，這樣很多陳舊且並不那麼安全的協議就可以被繞開了。如果你有擁有很多仍在使用2G網路的用戶，那麼遭到偽基站攻擊的風險就大大增加了。

回到開頭提出的問題，這兩個人誰會更早實現數字化呢？

Karsten

認為是那個印度人，因為他還沒有接觸任何技術，通過政府給他的補助，僅花8美元就可以買一張4G Sim卡（印度人民水深火熱）。直接使用指紋進行支付，簡訊驗證碼什麼的，對他來說已經過時了。

達芬奇密碼

因為突髮狀況，

Bruce Schneier

竟！然！鴿！了！可以說很多觀眾就是為了一睹這位大佬的真容才來的，真的是非常可惜了……不過他還是為這次演講專門做了一段視頻，撫慰了一下觀眾們受傷的心靈。

提到Bruce Schneier，在安全圈絕對算是如雷貫耳了。他曾被外媒列入世界十大科技作者（這十大里包括牛頓和愛因斯坦），也是Dan Brown的懸疑小說《達芬奇密碼》里的安全專家原型，最出名的著作為《應用密碼學》。

Bruce Schneier提到，

當前的安全環境比他年輕時更加多變，因為要測試的東西實在太多了，這不僅是現狀，也是未來的發展趨勢。成千上萬的IoT設備在不同領域各司其職，他們擁有不同的系統、規格與標準，因此IoT安全問題會非常複雜。

假設你的手機兩年一換、DVR五年一換，冰箱十年一換、調溫器一輩子不換，這些變化也會影響安全。假設我買輛車開了兩年，然後賣給別人，別人又開了十年，然後再賣給別人，甚至可能賣到別的國家再開二十年

（美國國情）

，這都會帶來各種安全方面的不確定性。

面臨愈發嚴峻的安全形勢，Bruce Schneier再次強調了體系化防禦及安全設計的重要性，說白了就是從一開始就明確安全的重要性、預測可能出現的問題，被動等待絕對是最差的選擇。另外，他還強調了在政策制定中我們需要技術人員的參與。當前的互聯網安全牽一髮而動全身，正確的政策知道是非常重要的，而技術人員的參則是重中之重。

步履不停

今天的大會上，騰訊高級副總裁丁珂圍繞四個關鍵詞：「行業共建」、「生態共治」、「政府監管」和「企業自律」，對數字經濟時代的安全趨勢做了研判和解讀。丁珂表示，數字經濟時代信息安全已不只是一種基礎能力，還是產業發展升級的驅動力之一。安全是所有0前面的1，沒有了1，所有0都失去了意義。