网络犯罪、人工智能、爬虫……360 首席隐私官谭晓生把你们关心的事儿都说了
谭晓生,奇虎 360 技术总裁、首席安全官。中国计算机学会( CCF )副秘书长,CCF YOCSEF 2015 - 2016 总部主席。曾先后在北大方正、深圳现代、深圳豪信、3721 、雅虎中国、360 等公司工作,从事 DOS 操作系统下反病毒系统研发、磁盘加密系统研发、汉字操作系统开发、大型管理信息系统、互联网搜索引擎、互联网社交网络服务、互联网安全软件开发等工作。
近日,谭晓生出席了看雪 2017 安全开发者峰会,并在现场接受了 EGONetworks 的独家专访,就网络安全领域的诸多热点问题阐述了自己的看法。
我们知道 360 很早就开始探索人工智能和网络安全的结合,现在进展怎么样?
360 开始把人工智能和网络安全相结合是在 2009 年的年底,当时做了一款杀毒引擎,叫 QVM 人工智能引擎,2010 年年底上线,这在全世界是最早把杀毒引擎和人工智能结合的,非常成功。后来的几年在几个网络安全领域也尝试过使用人工智能技术,比如用人工智能判定 Web 攻击,这方面尝试的不是太成功,再比如在通讯协议的识别上采用人工智能,这个非常成功。
但我觉得,现在这个时间点上,所谓安全和人工智能的结合,里面有很多是虚火。人工智能火了之后,很多人把什么都打人工智能标签,号称自己是人工智能。这方面我相对来说还是比较保守的,我会区分这个东西它是自动化还是人工智能。
这个活儿过去是人干的,现在机器能干,这机器就是人工智能了吗?我觉得这个东西是有问题的,但是看这两年大家标签都这么打。比如说在安全领域,如果我说我机器能自动发现程序中的漏洞,你觉得这是不是人工智能?
要分情况吧?如果只是一个一个模式去匹配,应该不能算人工智能。
就是对于过去已经发现过的一个软件中的漏洞,由于某种使用的模型,就有漏洞被利用的可能。如果机器能够发现这种模型,算不算人工智能呢?在我的标准里,这不算人工智能,但有人就会把它当人工智能吹。
比如说前两年美国搞了一个 CGC 网络攻防竞赛,在国内宣传的时候,有人就说是机器人对战。这种其实都是因为 AI 火,故意给它贴的标签。CGC 决赛的时候我也在现场,这个比赛谈不上什么人工智能。未来可能会加一点,但现在还不是。
但是有一个领域,我觉得人工智能是管用的,就是 Incident Response(应急响应)。应急响应是发现了问题,然后一步一步排查、处置的过程,这是一个决策过程,而今天的人工智能技术在解决决策问题上是很有效的,你只要有足够量的一个训练集或者历史的知识库,由机器来辅助决策还是很管用的。
在安全领域,我觉得未来会很有前途的就是故障处理,或者说事故处理的过程中,机器辅助人来做,这个部分算是 AI 。
人工智能在安全领域的应用,除了已经取得突破的领域外,暂时难以有太大的突破,用的最成功的就是恶意文件的鉴别,不仅仅 360 很早就在用,现在各大公司也在用。同义协议的识别这个领域,也被验证是成功的。下一步呢,我觉得在故障响应这方面会是成功的。
网络安全总是会不断出现新的挑战,你觉得目前最大的挑战是什么?
我觉得物联网安全会是一个巨大的挑战。
物联网安全越来越被重视,但是改进起来很难。它不像某一方软件,比如不管是微软,还是 Adobe ,还是谁家的软件,真的发现了漏洞,大家报给他,他就很集中地去把它给改掉了,一个软件改起来相对容易。
物联网可不是这样的,物联网那么多企业造的东西,生产链条那么长,从芯片、电路板到上面的一些软件模块,到最后各种通讯协议等等,涉及的面太大了。
是的,所以它改起来很难。第二个,它关系到钱,软件修复个 Bug ,通过互联网分发,基本上不花多少钱。但硬件的话,已经卖到你家的摄像头,你让它改改试试?是召回还是怎么着,就涉及到无数的钱。
对于工厂来说,这个生产设备可能已经用了 10 年了,按照原来的生命周期可能还能用 20 年,今天说它里面有漏洞,咱们把它都换了,到哪去拿这个钱?
还有尺寸问题,计算能力问题等等,有的东西确实你是改不动的。前两年我和电力系统的一个老大谈,他说他们用的一些板子里面还是奔腾的处理器,哪怕现在新买块板子也是奔腾的处理器。奔腾的电脑可能在家庭里找都找不到的。
这是把两个词往一块拼的一个典型。怎么加 AI 呢?用人工智能去做物联网安全的防范加固是有可能的,但前提条件是你得有信息采集上来,你得有给 AI 最后去着力的地方。这是个 Idea ,我们可以往这个方向去试一试,但是具体在哪个方向能走的通,目前是看不清的。
第二个大的挑战是网络犯罪和网络恐怖主义。比如之前有人利用美国国家安全局( NSA )网络武器库中泄露的黑客工具“永恒之蓝”制作了恶意勒索软件。
今年还有个漏洞是 Windows 快捷方式的,我没记错的话编号是 8464 ,U 盘里放上特殊的 LNK 文件,插进电脑后 Windows 的多个版本操作系统都被通杀。这个漏洞的攻击方式和之前攻破伊朗核设施的震网( Stuxnet )非常相似。军用武器流落民间之后,可能会被网络犯罪分子所利用,还可能会被恐怖分子所利用。
现在的恐怖分子还比较土,网络上的攻击还少,但是一旦这个潘多拉的盒子被打开了,大家看到这个东西的 Power ,恐怖分子将来也可能往这条路上走的。所以,从反恐,到对犯罪的对抗,以及国家与国家网络战背景这些东西,都会是一个大的挑战。
最近很多人谈论爬虫,你怎么看爬虫的存在?
大数据在很多领域确实被证明是管用的,就是一把榔头,能把很多东西当钉子敲。爬虫爬数据这个事情,是一个矛和盾的关系,总有人想爬,用各种防御手段防了之后,大家再改进自己爬的算法,用更多的 IP ,更多的服务器去爬,总还是能爬得到的。
但是这种方式,我觉得是难以形成核心竞争力的。大数据的竞争门槛在哪里?在你有多少自己所独有的大数据,而不是公共大数据,这会决定将来谁胜谁负,而你所独有的大数据是你的业务模型带来的。所以对于爬虫,我倒不觉得是多大事。
近期电商平台促销活动频繁,“撸客”这个群体又火了一把。据说今年利用程序去抢券抢商品,整个产业链好像又进化了,有什么可行的解决办法吗?
薅羊毛的。我觉得要靠技术和法制两个手段联合来解决。单纯靠技术攻防,在短时间内是没办法有个结论的,就是来回打的过程。因为这个事有利可图,所以撸客也在不断提高自己的技术。
我觉得防御撸客的技术要有,比如针对各种刷量。但一定要结合法制,因为它是会不正当的侵犯一些商业利益,我觉得在法条的界定上,应该可以把它界定为非法,把干这些事的人关进监狱。把官方的和民间的结合,法制和技术结合,可能才能实现最高效的治理。
这个思路挺好。近年来网络犯罪有什么发展趋势?
最近两年我们看 FBI 的数据和国内的数据,都是网络犯罪的报案总的数字没有大的增加,但是造成的损害是直线增加,就是折合成钱财损失,这个钱财损失的量在非常快速地增加,很陡的曲线。
我觉得是人们越来越多地依赖于网络空间了吧。你说为什么它的报案数没有明显增加?因为犯罪分子数量没有大量增加,他们能作案的数量是有限的,但是他可以找肥的去“宰”。
老百姓会遇到的第一大问题,就是隐私被窃取。关键是隐私被窃取之后,你没办法把它再收回来,会造成长久的麻烦,不管是电信诈骗的实施,还是未来通过个人信息拆解密码等等,造成未来在数字世界里面的一些损失。
第二,是你的资产越来越多都数字化了,那将来的盗窃等行为也会越来越多地在虚拟世界里发生,这确实会造成真实的钱财损失。再远一点,会有人身安全方面的问题,这是物联网带来的,它把网络空间和物理世界打通了,控制你的电子世界就可以控制你的现实。
安全企业之间应该如何加强合作,共同应对网络安全的挑战?
国外的安全企业之间是既竞争又合作的关系,合作会多一点,国内的安全企业之间合作是比较差的。甚至我接触的一些国内安全企业的人,感觉他们之间跟仇敌似的,合作相对来说比较困难一些。
安全圈里有一句话,这个话说的比较难听,叫“池小王八多”,一大堆的安全企业活的都不好,互相恶性竞争的情况比较多。但现在呢,我们从去年就开始呼吁协同联动,因为我们共同对抗的是网络犯罪,网络恐怖主义等等这些东西,在这点上来讲,大家是一个战线的。
恶性竞争造成这个行业去年整个的收入还不到四百亿人民币,而同期预估的黑产的收入超过一千亿人民币,我们自己活的很悲惨,但是我们的敌人能够挣那么多钱,他们会越来越强大,这个情况是不好的,我们要努力地从这个圈子里面把自己拽出来。
其实用户不是没预算,政府也不是没预算,但是我们得让用户的预算花得出去吧?不能说预算花不出去,我们又因为挣不到钱,不能提供足够好的服务,这就非常得不偿失。
在网络安全这件事上,企业和政府之间又是怎样的关系呢?
网络安全治理这个事,最终一定是政府和企业合作,包括警企合作,军民融合等等。因为各种各样的特性,政府想自己完全把这个事做好也不太现实,但是企业没有执法权,也没有去打仗的权利,在这种情况下要共同去解决问题,就是两方面融合,才能解好这个题。
360 和警方合作的猎网平台目前取得了哪些成果?
猎网平台是在公安部网络安全保卫局和北京市公安局的指导下做的,现在其实已经在全国推广使用了。这个事情是个什么原理?老百姓有时候受一点互联网上的财务损失,比如说几百块钱,几十块钱,这个在现实中根本就不到立案标准。
这种犯罪模式就是,我每个都挣不多的钱,但是架不住人多,同样也能挣很多的钱。但是呢,我们用让老百姓上网报案的这种方法,把这些线索积聚起来,经过串并之后,能够把多个小案串并成一个大案,同时这个信息也给了警方破案的线索。
因为互联网犯罪,警方破案面临很多困难,它往往是跨地域的,人员出差之类成本都很高。用这种方法,我给他在网上汇聚以后,很多线索就看得很清楚了,甚至有的就能很精确地知道犯罪嫌疑人大概是谁。
让过去不可办的案子变得可以办了,保护了老百姓的利益,把犯罪分子扔进监狱。这个效果很好,全国目前是大概有三百多个地市在应用,我所知道的最新消息是应该会整个在全系统推广。
从职业发展的角度看,网络安全是一个值得进入的好行业吗?
是,毫无疑问。你想,两年前说中国的网络安全人才缺口是 50 万,今年公布数字是 70 万了,这两年我们不断在培养人,每年高校的信息安全毕业生三万多人,再加上各个渠道培养的,结果我们这个缺口没有变小,反倒变大了。
第二个,我们可以看这个行业里面从业人员的工资,这几年是见涨了,比开发人员工资还要高,就现阶段看是非常有前途的行业。再从长远分析,我们这个世界越来越多的依赖软件,安全的漏洞会越来越多,要对保护的对象越来越多,完全不用担心失业这种事情。现在毕业的学生,在未来的几十年都不用担心失业的问题。
行业需要什么样的人才?360 有培养计划吗?
网络安全既需要进攻型人才,也需要防守型人才。进攻型人才更加需要逆向思维与突破创新能力,防守型人才则强调责任心和快速学习能力。对于进攻型人才,我们要强调英雄莫问出处,重实际动手能力,轻学历。对于防守型人才,则需要研究如何在高校中进行大规模培养。
面对巨大的人才缺口,企业也需要积极参与共同解决。当然,企业的参与不应是公益性质的,而是要将网络安全教育与人才培养打造成一个可以持续盈利的产业。360 在网络安全人才培养方面也有明确的目标和计划,360 网络空间安全学院即将成立,我们的目标是每年为产业培养一万名网络安全防守型人才。
这个问题其实没有终极答案,是不断在演化的。我只能说最新的思想是,要针对性地设防,根据你企业的特点,会遇到什么样的安全威胁,去进行评估。
在不同的时间,企业安全威胁还在变化。安全是要花钱的,是要花人的,资源有限,你只能在资源有限的情况下最大化地利用这些资源保护自己的安全,这最后是有点艺术的一个问题。然后,过去人们都认为网络安全就是能防得住,现在基本上是相信自己会防不住,会被攻破,那么怎么样能检测得到,怎么样能够快速响应。
2017 年,大体的防御思想是这个样子。