我的位置 首页  >  新闻动态  >  国内新闻

从全局视角到百亿美元 看安全厂商的核心价值观

来源:科技成果转化中心时间:2018-06-05
      

近期360有两件大事,一是在第二届智能大会上发布了“安全大脑”,二是披露区块链3.0平台EOS存在严重漏洞。前者集成了人工智能、大数据、云计算、IoT智能感知、区块链等前沿技术,后者则在加密货币和安全领域均掀起了轩然大波。为此,安全牛走访了360首席安全官谭晓生先生,近距离了解360如何看待安全。


一、安全大脑的全局视角


“安全大脑”的概念是由360集团董事长周鸿袆提出,资料网上已经有很多,因此本文并不详述细节,只是从与谭晓生的对话中,结合自己的理解做出一些总结。



首先从技术层面上讲,之所以叫做“安全大脑”,是因为与实际的大脑活动比较像。整个过程包括了感知、学习、推理、预测、决策五个部分。首先是网络、终端上的流量探测,收集各种维度的数据,如同人的各种感官感觉,然后在数据中心(大脑)做关联分析,最后做出决策。如同大脑有若干个神经中枢,运动、视觉、语言中枢等等,针对不同的主题,如态势感知、APT、网络钓鱼、数据保护等,安全大脑也有相应的部分去对应处理。


与人的中枢神经系统传输模式类似,安全大脑的威胁响应流程包括四层结构。其中,多元一体的安全应用层是安全大脑的指令输出,它面向网络的全方位安全防护;智能服务层开放的智能服务体系及平台,是安全大脑的神经元;数据服务层拥有端到端的数据治理服务能力,为安全大脑提供高效的信号处理通道;数据采集层背靠全球领先的网络空间安全大数据,是安全大脑的感知元。


简而言之,安全大脑就是通过多维度的数据,做关联分析,从而掌握全局信息,以“上帝视角”来观察安全状况,从而达到整体态势感知和全局掌控的安全能力。可以看出,想要做到这一步的关键前提,必需拥有安全相关的海量数据资源。这一点,恰恰是360的强项。


然后从价值层面上讲,安全防护技术从基于特征规则的时代发展到了基于行为检测的时代,但整个网络环境却面临着网络攻击爆炸性增长的态势,防护却始终跟着攻击走,处于被动挨打地位。做过安全运维工作的人都知道,面对海量报警会有多郁闷,最后只能脆置之不理。进一步设想一下,虽然说安全人才缺口非常大,但即使这些人员都补齐了的话,这个世界真的需要那么多的“保安”吗?安全防御如何能够主动一些?如何又能方便一些?


基于人类追求舒适、便利的天性而言,机器学习、深度学习、人工智能的出现既是需要也是必然,其最终的目的就是用机器来代替人工,减少人的工作量。此为“安全大脑”的终极目标。 所以,“安全大脑”的核心价值在于,通过前沿技术保护数字环境,造福社会。 


谈完安全大脑,我们再来看看在币圈和安全圈引起轰动的EOS漏洞事件。


二、影响百亿美元的漏洞


有人认为EOS是目前最好的公链,被誉为下一代区块链操作系统,在性能上和成本上(免费)均超越了加密货币中的明星平台“以太坊”,其发行的代币估值接近700亿人民币。不难想象,其存在的高危漏洞可以造成多大的影响。



我们先来了解一下问题主要出在哪里:


EOS节点使用了WebAssembly编码语言,当节点中的解析器在解析WebAssembly的时候,存在一些问题,其中一个问题可导致内存越界写入。懂安全技术的人知道,这意味着什么。于是这个问题或说漏洞就这样被利用,即在某个节点上提交一个包含恶意程序的智能合约,由于区块链的特性,这个智能合约就会被同步到EOS的所有节点。当节点去解析执行这个合约的时候,恶意程序可取得root权限,于是运行这个节点的主机被完全控制。


由于这一系列漏洞可能产生的后果过于重大,360内部经过连夜协商,紧急联系到EOS的创始人 Dan Larimer,简要说明情况后,便把漏洞具体描述,攻击代码,利用程序和修复方法发了过去。对方表示“非常感谢”,之后又在尽可能短的时间内根据360提供的具体情况,将漏洞一一修复。EOS1.0也于原定时间6月2日正式发布,与此同时官方公开致谢360安全团队,并给出3万美元的3个漏洞发现奖励。


事情到这里,暂时告一段落。但回过头来看,还是有不少值得思考的地方。


首先,近几年来使用区块链技术的加密货币不断出现,其中蕴含的价值也被不断被蜂拥而入的玩家放大到恐怖的量级,而闻风而来的黑产则是“当仁不让”的从中攫取丰厚的利益。从算法漏洞到设计漏洞,再到信息盗取和挖矿蠕虫,尤其是后者已经呈现出超越勒索软件的趋势。近年来,数字货币平台被黑的事件层出不穷,就是一个客观的证明。


作为一个聚集了国内顶尖黑客攻防技术人才的互联网公司,360已经各种加密货币平台已经有了不少的安全发现。除了EOS的解析漏洞,还有智能合约设计、挖矿算法、密钥存取、拒绝服务等漏洞,可影响到全球几十种加密货币,其中不乏一些排名前一百位的“明星”级别的货币。据综合加密货币平台Coinmarketcap统计,2017年加密货币的流通总值超过5000亿美元,差不多相当于一个阿里巴巴或是腾讯的市值。可以试想一下,不管加密货币的未来如何,如果手中掌握某些漏洞秘而不宣,用做商业价值,毫不夸张的说,可以想象的空间很大。


EOS漏洞曝光后,引发业内不少人的猜测和怀疑,怀疑360在做空EOS,但实际上明眼的人都能看出来,如果在EOS上线之后再曝光漏洞的话,可能是致命性的打击。周鸿袆在一个谈话节目中表示:360依据安全行业标准的漏洞通报机制,先和EOS团队联系,提交漏洞详情,然后等修复完成才对外公布,这是非常负责任的做法。360希望的是,EOS乃至整个区块链行业发展的更好。


随着物联网、数字化时代的到来,网络安全已经不仅仅是现实世界中的安全在网络世界上的映射,而是变得前所未有的无比重要,并成为全人类、全社会技术与经济发展的基石。如何利用手中的类似于安全大脑这样的“高级武器”,同时经受住各种诱惑,坚定地做好数字世界的护航者,这也许才是一个优秀安全厂商的核心价值观。


       (科技成果转化中心供稿)