你是否常常遇到這樣的情況：僅僅是在某網(wǎng)站填寫了注冊(cè)信息，便會(huì)接到無(wú)數(shù)的推銷電話？又或者，無(wú)意間點(diǎn)開一個(gè)不明鏈接，原本不多的余額瞬間變得渣也不剩？ 在互聯(lián)網(wǎng)快速發(fā)展的今天，我們幾乎成了“透明人”，個(gè)人數(shù)據(jù)不再是隱私，信任基線一次次被拉低，原本提供便捷的技術(shù)也被烙上了“原罪”的底色，或許，是時(shí)候該慢下來(lái)、反思和重構(gòu)互聯(lián)網(wǎng)安全一番了？ 4月26日-4月28日，第五屆“4.29首都網(wǎng)絡(luò)安全日”系列活動(dòng)在京舉辦，來(lái)自百度、阿里、京東、360等知名公司上千位網(wǎng)安專家同臺(tái)，也為這場(chǎng)反思與重構(gòu)提供了更多維度的思考。 技術(shù)之思：“一念天堂，一念地獄” 《安全簡(jiǎn)史》的開篇，有個(gè)形象的比喻：“到了大數(shù)據(jù)時(shí)代，你就成了 ‘穿新衣’的皇帝”。沒(méi)錯(cuò)，大數(shù)據(jù)大環(huán)境下，你走過(guò)的路、聽過(guò)的歌、點(diǎn)過(guò)的餐……都會(huì)以數(shù)據(jù)的形式被一一記錄在案，并加以深度分析，轉(zhuǎn)而用于商業(yè)。雖然聽起來(lái)非常完美，企業(yè)為用戶提供便捷的服務(wù)，用戶在享受服務(wù)的同時(shí)，“順便”貢獻(xiàn)出自己的數(shù)據(jù)，兩得其所。但是，不要忘記，黑產(chǎn)一直在虎視眈眈，我們的隱私數(shù)據(jù)也由此成為黑產(chǎn)的斂財(cái)工具。 據(jù)了解，目前國(guó)內(nèi)涉足網(wǎng)絡(luò)黑產(chǎn)的從業(yè)者多達(dá)40萬(wàn)人，產(chǎn)業(yè)鏈上下游相關(guān)的從業(yè)者更是多達(dá)160余萬(wàn)，年產(chǎn)值約1100億元。在龐大的利益誘惑下，我們還能相信誰(shuí)？ 事實(shí)上，已經(jīng)有越來(lái)越多地頂尖黑客踏上了黑產(chǎn)之路；反觀另一方，與黑產(chǎn)對(duì)抗的安全企業(yè)，更多時(shí)候連“招人”都困難，技術(shù)的差距竟從源頭已經(jīng)拉開。雷鋒網(wǎng)曾在起底黑產(chǎn)時(shí)介紹道，一個(gè)普通黑客月入8萬(wàn)美金并不算多。良好的工作待遇讓黑客有更大的動(dòng)力探索新型技術(shù)，以AI應(yīng)用為例，幾乎成為攻擊者的標(biāo)配，相較而言，絕大多數(shù)的安全防護(hù)技術(shù)還處在被動(dòng)防御階段，很多公司甚至都沒(méi)有自己的安全部門，嚴(yán)重處在“安全貧困線”之下。這也無(wú)怪在接受采訪時(shí)，京東安全負(fù)責(zé)人李德浩會(huì)感慨道：“對(duì)過(guò)去20年的安全策略很失望”。 現(xiàn)狀堪憂：?jiǎn)栕锷虡I(yè)還是問(wèn)罪人性 安全問(wèn)題說(shuō)到底是人的問(wèn)題，人的安全意識(shí)出了問(wèn)題。然而，提升安全意識(shí)，這句話說(shuō)起來(lái)容易，做起來(lái)卻很難。首先，企業(yè)要在商業(yè)和道德之間進(jìn)行艱難抉擇，因?yàn)樽⒅匕踩鸵馕吨黾痈叩某杀竞蜏p少商業(yè)機(jī)會(huì)，而很多小公司根本無(wú)能為力；其次，除了企業(yè)的自律，也需要每一個(gè)人的自覺(jué)。捫心自問(wèn)：你是否嫌麻煩就把所有的密碼都設(shè)為一樣？又或者為了圖便宜就去下載非正規(guī)渠道的盜版軟件？ 最近沸沸揚(yáng)揚(yáng)的Facebook丑聞把本已岌岌可危的安全現(xiàn)狀再度推上了風(fēng)口浪尖。同時(shí)，也引發(fā)了修改隱私條款的風(fēng)潮。其實(shí)，保護(hù)用戶隱私完全可以通過(guò)技術(shù)手段實(shí)現(xiàn)，只需采用敏感信息脫敏，就能******限度的保障數(shù)據(jù)在傳輸、存儲(chǔ)和使用上的安全。但很多企業(yè)并不愿這樣做，由此可見(jiàn)，網(wǎng)絡(luò)安全******的挑戰(zhàn)，不只是意識(shí)的缺失，更是利益驅(qū)動(dòng)下的人性與價(jià)值觀的堅(jiān)守。 然而，人性是最經(jīng)不起考驗(yàn)的?；蛟S正是看到這一點(diǎn)，去年6月，我國(guó)頒布了《網(wǎng)路安全法》，開始整肅網(wǎng)絡(luò)，通過(guò)不斷地立法、監(jiān)管和打擊，有效震懾了黑產(chǎn)。但我們也要清醒地認(rèn)識(shí)到，通過(guò)強(qiáng)制力量?jī)H僅能讓他們不敢做，想要真正根除，還得做到讓黑產(chǎn)不想做和不能做。 AI賦能，在技術(shù)端向黑產(chǎn)亮劍 不可否認(rèn)，面對(duì)花樣百出的黑產(chǎn)，傳統(tǒng)的思維模式和技術(shù)手段已經(jīng)力不從心，人工智能的興起，或許將成為解決網(wǎng)絡(luò)安全問(wèn)題的一劑良方，也能更好的補(bǔ)足傳統(tǒng)技術(shù)和人的決策層面的不足。一方面，可以通過(guò)自動(dòng)化識(shí)別來(lái)提升效率，以此解放大量人力；另一方面，強(qiáng)大深度學(xué)習(xí)能力，可以在不間斷攻防演練中精進(jìn)自己，從而更有效地應(yīng)對(duì)潛在威脅，或許正是看到它們的強(qiáng)大，BATJ才會(huì)紛紛把AI上升為公司戰(zhàn)略。 以京東為例，京東去年提出“無(wú)界零售”戰(zhàn)略以來(lái)，全面落地AI建設(shè)，在安全方面也積極推進(jìn)AI技術(shù)。不僅和國(guó)內(nèi)外知名高校、科研院所聯(lián)合發(fā)力AI安全研究，還將AI安全技術(shù)應(yīng)用到智能家居的安全防護(hù)上，實(shí)現(xiàn)了AI對(duì)抗AI。此外，AI還能通過(guò)自動(dòng)化地?cái)?shù)據(jù)分析比對(duì)，提前預(yù)測(cè)攻擊情報(bào)。 “我們運(yùn)用AI，但不能完全相信AI”伯克利計(jì)算機(jī)教授Down Song曾在京東安全主辦的TOPMINDS美國(guó)活動(dòng)上說(shuō)道，“因?yàn)楣粽咭材苁褂肁I?！? 這并不是危言聳聽，在此前京東安全聯(lián)合公安系統(tǒng)破獲的多起網(wǎng)絡(luò)黑產(chǎn)案件中，黑產(chǎn)組織正是利用AI技術(shù)打碼，試圖攻破傳統(tǒng)的安防系統(tǒng)。在這種生態(tài)下，以AI對(duì)抗AI成為了京東安全等安全防護(hù)機(jī)構(gòu)的必然選擇。以黑產(chǎn)AI打碼為例，安全防守方通過(guò)AI技術(shù)為攻方提供錯(cuò)誤的模型，引導(dǎo)其進(jìn)行錯(cuò)誤的機(jī)器學(xué)習(xí)，從而破解黑產(chǎn)打碼行為。 由此可見(jiàn)，攻防雙方是動(dòng)態(tài)平衡的過(guò)程，AI的攻防對(duì)抗也是如此，如何用好AI這柄利劍仍然是行業(yè)內(nèi)各方必須思考的問(wèn)題。 意識(shí)覺(jué)醒，共建網(wǎng)絡(luò)安全生態(tài) 網(wǎng)絡(luò)安全從來(lái)不是一個(gè)人、一家企業(yè)的事情，而是整個(gè)網(wǎng)絡(luò)生態(tài)要解決的問(wèn)題。以人才培養(yǎng)為例，不僅要在企業(yè)內(nèi)部做好培訓(xùn)，更要把安全培訓(xùn)前置，從教育早前抓起。目前，阿里、京東、百度、360等知名互聯(lián)網(wǎng)公司都在積極推進(jìn)高校合作，為的就是從人才源頭起建立正確的安全觀，從而為整個(gè)行業(yè)培育源源不斷的生力軍。此外，單就企業(yè)內(nèi)訓(xùn)而言，安全也不再單單是安全部門的事，而是公司全員的事?！白霭踩皇峭鲅蜓a(bǔ)牢，而是謀篇布局，是每個(gè)人做任何產(chǎn)品首先要想到的先決條件?！崩畹潞普f(shuō)道。 除了人才培養(yǎng)，更重要的是企業(yè)價(jià)值觀的“不忘初心”。這也正是谷歌強(qiáng)調(diào)“不作惡”、京東強(qiáng)調(diào)“正道成功”的深層原因。更多時(shí)候，保障用戶隱私安全不是一句口號(hào)，而是行動(dòng)上的自律自覺(jué)。據(jù)了解，為確保用戶隱私安全，無(wú)論在產(chǎn)品上線前還是使用過(guò)程中，京東都要進(jìn)行嚴(yán)格的安全檢查，保證敏感信息脫敏。在京東人眼里，“用戶的信任始終是京東的核心競(jìng)爭(zhēng)力，用戶隱私紅線絕對(duì)不能逾越”。 “黑夜給了我黑色的眼睛，我卻用它尋找光明”，用這句話形容眼下的安全形勢(shì)再恰當(dāng)不過(guò)了。事實(shí)上，每一次新技術(shù)的突破，都會(huì)產(chǎn)生對(duì)現(xiàn)行道德秩序的沖擊，尤其在早期的時(shí)候，會(huì)******化地發(fā)掘人性之惡。好在我們每一次都守住了正義的光輝，在不斷的反思和重構(gòu)中最終駕馭技術(shù)。這次也不例外，雖然短時(shí)間內(nèi)無(wú)法清除黑產(chǎn)，但是我們欣喜的發(fā)現(xiàn)，無(wú)論個(gè)人還是企業(yè)，安全意識(shí)都在不斷覺(jué)醒、安全策略更加行之有效。特別是像京東一樣的擁有海量數(shù)據(jù)的大企業(yè)，在利益與道德的博弈中并沒(méi)有向前者妥協(xié)，而是在堅(jiān)持確保用戶安全的同時(shí)，積極加大信息共享和技術(shù)溝通，推動(dòng)安全開源社區(qū)建設(shè)，為更多中小企業(yè)打贏網(wǎng)絡(luò)安全“脫貧攻堅(jiān)戰(zhàn)”而不懈努力。由此可以預(yù)見(jiàn)：一場(chǎng)全民安全意識(shí)的覺(jué)醒正在上演，構(gòu)建健康、文明的網(wǎng)絡(luò)生態(tài)或許只在朝夕。 來(lái)源：東方網(wǎng)