你是否常常遇到這樣的情況：僅僅是在某網(wǎng)站填寫了注冊信息，便會接到無數(shù)的推銷電話？又或者，無意間點(diǎn)開一個不明鏈接，原本不多的余額瞬間變得渣也不剩？ 在互聯(lián)網(wǎng)快速發(fā)展的今天，我們幾乎成了“透明人”，個人數(shù)據(jù)不再是隱私，信任基線一次次被拉低，原本提供便捷的技術(shù)也被烙上了“原罪”的底色，或許，是時候該慢下來、反思和重構(gòu)互聯(lián)網(wǎng)安全一番了？ 4月26日-4月28日，第五屆“4.29首都網(wǎng)絡(luò)安全日”系列活動在京舉辦，來自百度、阿里、京東、360等知名公司上千位網(wǎng)安專家同臺，也為這場反思與重構(gòu)提供了更多維度的思考。 技術(shù)之思：“一念天堂，一念地獄” 《安全簡史》的開篇，有個形象的比喻：“到了大數(shù)據(jù)時代，你就成了 ‘穿新衣’的皇帝”。沒錯，大數(shù)據(jù)大環(huán)境下，你走過的路、聽過的歌、點(diǎn)過的餐……都會以數(shù)據(jù)的形式被一一記錄在案，并加以深度分析，轉(zhuǎn)而用于商業(yè)。雖然聽起來非常完美，企業(yè)為用戶提供便捷的服務(wù)，用戶在享受服務(wù)的同時，“順便”貢獻(xiàn)出自己的數(shù)據(jù)，兩得其所。但是，不要忘記，黑產(chǎn)一直在虎視眈眈，我們的隱私數(shù)據(jù)也由此成為黑產(chǎn)的斂財工具。 據(jù)了解，目前國內(nèi)涉足網(wǎng)絡(luò)黑產(chǎn)的從業(yè)者多達(dá)40萬人，產(chǎn)業(yè)鏈上下游相關(guān)的從業(yè)者更是多達(dá)160余萬，年產(chǎn)值約1100億元。在龐大的利益誘惑下，我們還能相信誰？ 事實(shí)上，已經(jīng)有越來越多地頂尖黑客踏上了黑產(chǎn)之路；反觀另一方，與黑產(chǎn)對抗的安全企業(yè)，更多時候連“招人”都困難，技術(shù)的差距竟從源頭已經(jīng)拉開。雷鋒網(wǎng)曾在起底黑產(chǎn)時介紹道，一個普通黑客月入8萬美金并不算多。良好的工作待遇讓黑客有更大的動力探索新型技術(shù)，以AI應(yīng)用為例，幾乎成為攻擊者的標(biāo)配，相較而言，絕大多數(shù)的安全防護(hù)技術(shù)還處在被動防御階段，很多公司甚至都沒有自己的安全部門，嚴(yán)重處在“安全貧困線”之下。這也無怪在接受采訪時，京東安全負(fù)責(zé)人李德浩會感慨道：“對過去20年的安全策略很失望”。 現(xiàn)狀堪憂：問罪商業(yè)還是問罪人性 安全問題說到底是人的問題，人的安全意識出了問題。然而，提升安全意識，這句話說起來容易，做起來卻很難。首先，企業(yè)要在商業(yè)和道德之間進(jìn)行艱難抉擇，因?yàn)樽⒅匕踩鸵馕吨黾痈叩某杀竞蜏p少商業(yè)機(jī)會，而很多小公司根本無能為力；其次，除了企業(yè)的自律，也需要每一個人的自覺。捫心自問：你是否嫌麻煩就把所有的密碼都設(shè)為一樣？又或者為了圖便宜就去下載非正規(guī)渠道的盜版軟件？ 最近沸沸揚(yáng)揚(yáng)的Facebook丑聞把本已岌岌可危的安全現(xiàn)狀再度推上了風(fēng)口浪尖。同時，也引發(fā)了修改隱私條款的風(fēng)潮。其實(shí)，保護(hù)用戶隱私完全可以通過技術(shù)手段實(shí)現(xiàn)，只需采用敏感信息脫敏，就能******限度的保障數(shù)據(jù)在傳輸、存儲和使用上的安全。但很多企業(yè)并不愿這樣做，由此可見，網(wǎng)絡(luò)安全******的挑戰(zhàn)，不只是意識的缺失，更是利益驅(qū)動下的人性與價值觀的堅守。 然而，人性是最經(jīng)不起考驗(yàn)的。或許正是看到這一點(diǎn)，去年6月，我國頒布了《網(wǎng)路安全法》，開始整肅網(wǎng)絡(luò)，通過不斷地立法、監(jiān)管和打擊，有效震懾了黑產(chǎn)。但我們也要清醒地認(rèn)識到，通過強(qiáng)制力量僅僅能讓他們不敢做，想要真正根除，還得做到讓黑產(chǎn)不想做和不能做。 AI賦能，在技術(shù)端向黑產(chǎn)亮劍 不可否認(rèn)，面對花樣百出的黑產(chǎn)，傳統(tǒng)的思維模式和技術(shù)手段已經(jīng)力不從心，人工智能的興起，或許將成為解決網(wǎng)絡(luò)安全問題的一劑良方，也能更好的補(bǔ)足傳統(tǒng)技術(shù)和人的決策層面的不足。一方面，可以通過自動化識別來提升效率，以此解放大量人力；另一方面，強(qiáng)大深度學(xué)習(xí)能力，可以在不間斷攻防演練中精進(jìn)自己，從而更有效地應(yīng)對潛在威脅，或許正是看到它們的強(qiáng)大，BATJ才會紛紛把AI上升為公司戰(zhàn)略。 以京東為例，京東去年提出“無界零售”戰(zhàn)略以來，全面落地AI建設(shè)，在安全方面也積極推進(jìn)AI技術(shù)。不僅和國內(nèi)外知名高校、科研院所聯(lián)合發(fā)力AI安全研究，還將AI安全技術(shù)應(yīng)用到智能家居的安全防護(hù)上，實(shí)現(xiàn)了AI對抗AI。此外，AI還能通過自動化地數(shù)據(jù)分析比對，提前預(yù)測攻擊情報。 “我們運(yùn)用AI，但不能完全相信AI”伯克利計算機(jī)教授Down Song曾在京東安全主辦的TOPMINDS美國活動上說道，“因?yàn)楣粽咭材苁褂肁I。” 這并不是危言聳聽，在此前京東安全聯(lián)合公安系統(tǒng)破獲的多起網(wǎng)絡(luò)黑產(chǎn)案件中，黑產(chǎn)組織正是利用AI技術(shù)打碼，試圖攻破傳統(tǒng)的安防系統(tǒng)。在這種生態(tài)下，以AI對抗AI成為了京東安全等安全防護(hù)機(jī)構(gòu)的必然選擇。以黑產(chǎn)AI打碼為例，安全防守方通過AI技術(shù)為攻方提供錯誤的模型，引導(dǎo)其進(jìn)行錯誤的機(jī)器學(xué)習(xí)，從而破解黑產(chǎn)打碼行為。 由此可見，攻防雙方是動態(tài)平衡的過程，AI的攻防對抗也是如此，如何用好AI這柄利劍仍然是行業(yè)內(nèi)各方必須思考的問題。 意識覺醒，共建網(wǎng)絡(luò)安全生態(tài) 網(wǎng)絡(luò)安全從來不是一個人、一家企業(yè)的事情，而是整個網(wǎng)絡(luò)生態(tài)要解決的問題。以人才培養(yǎng)為例，不僅要在企業(yè)內(nèi)部做好培訓(xùn)，更要把安全培訓(xùn)前置，從教育早前抓起。目前，阿里、京東、百度、360等知名互聯(lián)網(wǎng)公司都在積極推進(jìn)高校合作，為的就是從人才源頭起建立正確的安全觀，從而為整個行業(yè)培育源源不斷的生力軍。此外，單就企業(yè)內(nèi)訓(xùn)而言，安全也不再單單是安全部門的事，而是公司全員的事?！白霭踩皇峭鲅蜓a(bǔ)牢，而是謀篇布局，是每個人做任何產(chǎn)品首先要想到的先決條件?！崩畹潞普f道。 除了人才培養(yǎng)，更重要的是企業(yè)價值觀的“不忘初心”。這也正是谷歌強(qiáng)調(diào)“不作惡”、京東強(qiáng)調(diào)“正道成功”的深層原因。更多時候，保障用戶隱私安全不是一句口號，而是行動上的自律自覺。據(jù)了解，為確保用戶隱私安全，無論在產(chǎn)品上線前還是使用過程中，京東都要進(jìn)行嚴(yán)格的安全檢查，保證敏感信息脫敏。在京東人眼里，“用戶的信任始終是京東的核心競爭力，用戶隱私紅線絕對不能逾越”。 “黑夜給了我黑色的眼睛，我卻用它尋找光明”，用這句話形容眼下的安全形勢再恰當(dāng)不過了。事實(shí)上，每一次新技術(shù)的突破，都會產(chǎn)生對現(xiàn)行道德秩序的沖擊，尤其在早期的時候，會******化地發(fā)掘人性之惡。好在我們每一次都守住了正義的光輝，在不斷的反思和重構(gòu)中最終駕馭技術(shù)。這次也不例外，雖然短時間內(nèi)無法清除黑產(chǎn)，但是我們欣喜的發(fā)現(xiàn)，無論個人還是企業(yè)，安全意識都在不斷覺醒、安全策略更加行之有效。特別是像京東一樣的擁有海量數(shù)據(jù)的大企業(yè)，在利益與道德的博弈中并沒有向前者妥協(xié)，而是在堅持確保用戶安全的同時，積極加大信息共享和技術(shù)溝通，推動安全開源社區(qū)建設(shè)，為更多中小企業(yè)打贏網(wǎng)絡(luò)安全“脫貧攻堅戰(zhàn)”而不懈努力。由此可以預(yù)見：一場全民安全意識的覺醒正在上演，構(gòu)建健康、文明的網(wǎng)絡(luò)生態(tài)或許只在朝夕。 來源：東方網(wǎng)