2018安全行業發展遐想
最近思考人生比較多,對行業的發展也有些自己的思考。關于業務安全、物聯網安全、AI安全、隱私保護、區塊鏈等安全領域的幾點思考。
業務安全
在大多數互聯網公司,安全崗位都是屬于成本部門。不考慮安全部門ROI的鳳毛麟角。即使是超大型的幾個頭部公司,安全部門的匯報級別普遍較高,但是安全部門的工作重點都是不斷證明自身的價值。對于絕大多數業務部門,基本是無法理解什么是XSS和SQL注入。
和業務部門解釋這些,好比和一群素食愛好者介紹你們新推出的雞腿堡套餐,不是說不說的清楚的問題,是傻不傻的問題。
唯一的例外,就是業務持續性和業務安全這兩個是可以和業務部門溝通的。前者最常見的就是被D了,業務中斷了,一小時損失多少PV,多少流水,業務部門比安全部門算的清。但是前者安全部門可以做的很有限,大多數情況下還是要以來安全廠商來解決。后者除了依賴安全廠商,安全部門也可以有發揮余地。常見的業務安全問題多與黑灰產對抗有關系,比如虛假點擊、虛假注冊,惡意爬蟲之類。這些業務安全問題,業務部門是比較容易理解的,安全部門的價值也是容易體現的。2018年,甲方安全的同學如果覺得自己做的事情價值業務方不理解,不認同,不妨嘗試下業務安全。
物聯網安全
物聯網安全一直是一個大家覺得會火,事實上也比較火,但是貌似大多數廠商沒賺到錢的領域。
早期針對物聯網設備的攻擊,主要驅動力是用于垃圾郵件僵尸網絡,說的更直白一點就是通過垃圾郵件進行廣告營銷變現,在那個物聯網設備計算和帶寬資源都相當有限的年代,干這個事是不錯的選擇。
這幾年情況發生了很大變化。
- 一方面物聯網設備井噴式發展,數量極其驚人;
- 一方面物聯網設備的計算和帶寬資源更加豐富;
- 另外一方面,智能家居等有能力接觸到大量個人隱私的物聯網設備大量出現。
所以目前這對物聯網設備的驅動力主要為:
- 組成DDoS僵尸網絡,發起超大規模網絡攻擊;
- 挖礦,挖各種幣。
- 竊取個人隱私數據,從圖像、語音到健康數據、消費數據以及賬戶數據等。
物聯網安全技術的發展不是最令人擔心的,因為目前大多數設備在設計的最初沒有考慮安全問題。基礎的操作系統漏洞、以及協議層的重放攻擊,應用層的弱密碼都可以干掉一大批設備。一個根上的問題,是誰該為安全問題買單。最終受害的是消費者,但是指望消費者去解決安全問題嗎?買個家用的物聯網IPS?指望廠商也不太靠譜,目前物聯網或者說智能家居,智能設備行業還屬于野蠻發展階段,除了極其有限的幾個頭部廠商有能力去解決自己的安全問題,數量極其驚人的發展中廠商主要精力還在解決活下來的問題,指望他們去主動解決安全問題也不靠譜。
整個行業范圍的去解決這些安全問題,我個人理解比較靠譜的方式,是類似大型公有云平臺解決客戶安全問題的方式,就是在物聯網的操作平臺層去統一解決大部分問題。設備廠商只要使用統一的幾種OS或者開發套件就可以解決大部分安全問題。2018年這方面大家拭目以待。
AI安全
這個領域是我覺得比較奇葩的領域。或許我對AI安全的理解太狹義了。我個人理解的AI安全主要是使用AI技術去賦能安全產品,比如讓WAF和IPS更牛逼,我寫了兩本介紹AI安全的書《web安全之機器學習入門》和《web安全之深度學習實戰》也主要是從這個角度介紹的。
但是目前市場上相當一部分甲方和乙方是把智能設備的安全也稱為AI安全,當然這也沒啥問題。
AI一直是個不溫不火的領域,讓整個世界重視AI,阿爾法狗功不可沒。阿爾法狗展現了,AI可以在部分領域超越人類。推而廣之,計算機的強大算力和并發處理能力,可以讓AI最終可以以更低的成本更好的完成人類的一些工作。這確實非常有吸引力。
AI技術目前在語音和圖像識別領域非常成熟,幾個頭部的AI公司也是圍繞著兩個技術。基于這兩項技術的AI安全公司勢必也可以給人以驚喜,比如智能安防,智能認證等。
另外在AI賦能安全產品領域,我個人理解在更加細分的領域,漏洞發現類的產品發展會快于防護類和監控類產品。因為AI尤其是深度學習,最大的一個特點就是不可解釋性,雖然最新的發展已經可以部分解決卷積處理的結果,但是對于MLP、RNN這些還是難以以人類可以理解的邏輯去解釋。這對于防護類和監控類產品非常尷尬,你攔截一個包,判斷一個交易申請是欺詐,你還沒法和人解釋,這就尷尬了。但是對于掃描類,或者說智能滲透,這個問題就沒有那么尷尬了。另外掃描類產品對于誤報的容忍性比其他產品要強,偶爾誤報也可以忍了。但是阻斷類產品就沒那么輕松了。我個人理解掃描類AI產品值得期待。
隱私保護
從幾個頭部公司到眾多獨角獸公司,從互聯網公司到傳統企業和政府,都接觸到大量的個人隱私數據。基于大量客戶數據二次挖掘,提升用戶體驗甚至直接產生經濟價值,已經成為很多公司的選擇。但是一旦這些隱私數據沒有妥善的保存、處理以及操作審計,出現信息泄露事件后果都是很嚴重的。這兩年基于個人隱私數據的PR戰只是冰山一角。基于個人隱私數據的犯罪以及司法刑事案件已經層出不窮。典型的就是基于隱私數據的互聯網欺詐。立法層面對企業搜集、保存和處理個人隱私數據進行約束已經逐步進行。尤其是國外,公司層面的個人隱私泄露將遭受巨額罰款。國內這方面還在起步,不過趨勢肯定也是向國外看起。與個人隱私相關的大數據軟件安全、SGX、TEE、差分隱私、同態搜索等技術將普遍使用,有興趣的可以關注這塊。隱私保護已經從制度和審計層面,走向了攻防對抗階段。
區塊鏈
區塊鏈是比特幣的底層技術。大量的虛擬貨幣都依賴于區塊鏈技術。攻擊虛擬貨幣交易機構,洗劫電子貨幣的事件將越來越多,損失也會越來越大。
從賦能安全產品的角度,區塊鏈的去中心化、不可篡改和可審計特性,特別適合于強審計需求的領域,我認為基于區塊鏈的征信、溯源系統、操作審計系統將會是個不錯的方向。
