从全局视角到百亿美元 看安全厂商的核心价值观

近期360有两件大事,一是在第二届智能大会上发布了“安全大脑”,二是披露区块链3.0平台EOS存在严重漏洞。前者集成了人工智能、大数据、云计算、IoT智能感知、区块链等前沿技术,后者则在加密货币和安全领域均掀起了轩然大波。为此,安全牛走访了360首席安全官谭晓生先生,近距离了解360如何看待安全。

  一、安全大脑的全局视角

“安全大脑”的概念是由360集团董事长周鸿袆提出,资料网上已经有很多,因此本文并不详述细节,只是从与谭晓生的对话中,结合自己的理解做出一些总结。



 

首先从技术层面上讲,之所以叫做“安全大脑”,是因为与实际的大脑活动比较像。整个过程包括了感知、学习、推理、预测、决策五个部分。首先是网络、终端上的流量探测,收集各种维度的数据,如同人的各种感官感觉,然后在数据中心(大脑)做关联分析,最后做出决策。如同大脑有若干个神经中枢,运动、视觉、语言中枢等等,针对不同的主题,如态势感知、APT、网络钓鱼、数据保护等,安全大脑也有相应的部分去对应处理。

与人的中枢神经系统传输模式类似,安全大脑的威胁响应流程包括四层结构。其中,多元一体的安全应用层是安全大脑的指令输出,它面向网络的全方位安全防护;智能服务层开放的智能服务体系及平台,是安全大脑的神经元;数据服务层拥有端到端的数据治理服务能力,为安全大脑提供高效的信号处理通道;数据采集层背靠全球领先的网络空间安全大数据,是安全大脑的感知元。

简而言之,安全大脑就是通过多维度的数据,做关联分析,从而掌握全局信息,以“上帝视角”来观察安全状况,从而达到整体态势感知和全局掌控的安全能力。可以看出,想要做到这一步的关键前提,必需拥有安全相关的海量数据资源。这一点,恰恰是360的强项。

然后从价值层面上讲,安全防护技术从基于特征规则的时代发展到了基于行为检测的时代,但整个网络环境却面临着网络攻击爆炸性增长的态势,防护却始终跟着攻击走,处于被动挨打地位。做过安全运维工作的人都知道,面对海量报警会有多郁闷,最后只能脆置之不理。进一步设想一下,虽然说安全人才缺口非常大,但即使这些人员都补齐了的话,这个世界真的需要那么多的“保安”吗?安全防御如何能够主动一些?如何又能方便一些?

基于人类追求舒适、便利的天性而言,机器学习、深度学习、人工智能的出现既是需要也是必然,其最终的目的就是用机器来代替人工,减少人的工作量。此为“安全大脑”的终极目标。 所以,“安全大脑”的核心价值在于,通过前沿技术保护数字环境,造福社会。

谈完安全大脑,我们再来看看在币圈和安全圈引起轰动的EOS漏洞事件。

  二、影响百亿美元的漏洞

有人认为EOS是目前最好的公链,被誉为下一代区块链操作系统,在性能上和成本上(免费)均超越了加密货币中的明星平台“以太坊”,其发行的代币估值接近700亿人民币。不难想象,其存在的高危漏洞可以造成多大的影响。



 

我们先来了解一下问题主要出在哪里:

  EOS节点使用了WebAssembly编码语言,当节点中的解析器在解析WebAssembly的时候,存在一些问题,其中一个问题可导致内存越界写入。懂安全技术的人知道,这意味着什么。于是这个问题或说漏洞就这样被利用,即在某个节点上提交一个包含恶意程序的智能合约,由于区块链的特性,这个智能合约就会被同步到EOS的所有节点。当节点去解析执行这个合约的时候,恶意程序可取得root权限,于是运行这个节点的主机被完全控制。

由于这一系列漏洞可能产生的后果过于重大,360内部经过连夜协商,紧急联系到EOS的创始人 Dan Larimer,简要说明情况后,便把漏洞具体描述,攻击代码,利用程序和修复方法发了过去。对方表示“非常感谢”,之后又在尽可能短的时间内根据360提供的具体情况,将漏洞一一修复。EOS1.0也于原定时间6月2日正式发布,与此同时官方公开致谢360安全团队,并给出3万美元的3个漏洞发现奖励。

事情到这里,暂时告一段落。但回过头来看,还是有不少值得思考的地方。

首先,近几年来使用区块链技术的加密货币不断出现,其中蕴含的价值也被不断被蜂拥而入的玩家放大到恐怖的量级,而闻风而来的黑产则是“当仁不让”的从中攫取丰厚的利益。从算法漏洞到设计漏洞,再到信息盗取和挖矿蠕虫,尤其是后者已经呈现出超越勒索软件的趋势。近年来,数字货币平台被黑的事件层出不穷,就是一个客观的证明。

作为一个聚集了国内顶尖黑客攻防技术人才的互联网公司,360已经各种加密货币平台已经有了不少的安全发现。除了EOS的解析漏洞,还有智能合约设计、挖矿算法、密钥存取、拒绝服务等漏洞,可影响到全球几十种加密货币,其中不乏一些排名前一百位的“明星”级别的货币。据综合加密货币平台Coinmarketcap统计,2017年加密货币的流通总值超过5000亿美元,差不多相当于一个阿里巴巴或是腾讯的市值。可以试想一下,不管加密货币的未来如何,如果手中掌握某些漏洞秘而不宣,用做商业价值,毫不夸张的说,可以想象的空间很大。

EOS漏洞曝光后,引发业内不少人的猜测和怀疑,怀疑360在做空EOS,但实际上明眼的人都能看出来,如果在EOS上线之后再曝光漏洞的话,可能是致命性的打击。周鸿袆在一个谈话节目中表示:360依据安全行业标准的漏洞通报机制,先和EOS团队联系,提交漏洞详情,然后等修复完成才对外公布,这是非常负责任的做法。360希望的是,EOS乃至整个区块链行业发展的更好。

随着物联网、数字化时代的到来,网络安全已经不仅仅是现实世界中的安全在网络世界上的映射,而是变得前所未有的无比重要,并成为全人类、全社会技术与经济发展的基石。如何利用手中的类似于安全大脑这样的“高级武器”,同时经受住各种诱惑,坚定地做好数字世界的护航者,这也许才是一个优秀安全厂商的核心价值观。

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

不耍流氓的网络安全软件,靠什么挣钱?

不耍流氓的网络安全软件,靠什么挣钱?

1995年,雅虎推开了互联网免费模式的大门; 2008年,360推开了免费杀毒软件市场的大门...[详细]

人工智能应用于网络安全上的局限与未来

人工智能应用于网络安全上的局限与未来

近日,NIST研究测试了184名人类和4种最新人脸识别算法的识别准确率,并将研究结果发布...[详细]

从全局视角到百亿美元 看安全厂商的核心价

从全局视角到百亿美元 看安全厂商的核心价值观

近期360有两件大事,一是在第二届智能大会上发布了安全大脑,二是披露区块链3.0平台EO...[详细]

对区块链技术和智能合约安全的六种误读

对区块链技术和智能合约安全的六种误读

智能合约是用于以数字化的方式,摒除第三方参与,促成、验证并执行可信交易的计算机协...[详细]

信息安全迈入人工智能时代 “AI+网络安全

信息安全迈入人工智能时代 “AI+网络安全”大热

近些年来,全球网络威胁持续增长,各类网络攻击和网络犯罪现象日益突出,许多漏洞和攻...[详细]

返回首页 返回顶部