近两年的RSA大会(美国信息安全大会)期间,中国公司开始搭建自己的主场,今年京东安全举办了一场TOP MINDS EXCHANGE活动,在众多“秀场”中让人耳目一新。活动在为传播艺术发展做出卓越贡献的笛洋美术馆举办,之所以选这里,是因为某种程度上“安全是一门关于挣扎的艺术”。通过此次的TOP MINDS EXCHANGE活动,京东安全为安全界送上了一场关于安全与艺术、中国与美国、攻击与防御的跨界联合的思想盛宴。
从嘉宾和内容上看,这次活动叫TOP MINDS的确当之无愧,它聚集了Facebook、Google、Uber等国内外顶级互联网公司的安全高管,斯坦福、伯克利、乔治亚等全球顶级学府的知名安全教授、安全公司创始人、安全投资方,甚至还有全球顶级黑客分享蓝军视角,包括全球三大安全会议之一的HITB的CEO,以及曾4次安全奥斯卡DEFCON冠军的战队PPP前队长和成员。
从不同的视角出发,这些全球最顶尖的安全大脑,探讨了数字经济、AI安全、隐私保护、消除安全“贫困线”四大前瞻话题,既涵盖了宏观层面的安全趋势和安全投资,中观层面的前瞻性技术研究,也包含了微观层面的攻守之道。
活动东道主,京东首席安全专家Tony Lee表示,“抗击黑产是全世界互联网公司共同的战斗,TOP MINDS EXCHANGE将打造中美CISO交流和碰撞的平台,建立抗击黑产统一战线”。
要让安全成为数字经济的推动力,而不是桎梏
数字经济正在改变这个世界,云计算连接了现实世界,AI正在控制更多领域,各种类型的智能设备让现实经济和数字经济日趋复杂。
“技术的发展没有消灭网络安全威胁,反而让它变得更加复杂。”京东安全首席安全科学家 Tony Lee认为,尽管当WannaCry这样的勒索病毒集中爆发时,安全应急和处理更加高效了,但是跟十几年前一样,我们面临的安全问题仍然存在。
Tyler Nighswander,这位曾经领导全球排名前三的顶尖黑客战队PPP四次夺冠黑客奥斯卡DEFCON的传奇黑客,从攻守双方的角度展示了有趣的思路:要让计算机系统更加安全,一种思路是增加消费(Consume faster)——雇佣更多安全工程师,另一种是减少生产(Produce Slower)——少写点代码。显然这两个选择都不太现实。“黑客攻击网络系统是创造性的活动,但现在网络防守就像是14世纪的僧侣抄经一样,是机械性的代码检查,缺乏创造性。所以就像抄经不能产生深刻的文献巨著一样,安全也难以实现重大突破。”
数字经济的发展让网络安全得到了更多重视,安全问题的处理也发生了变化,正如“世界杰出青年创新家”、“MacAuthur天才奖” 获得者、AI安全顶级学者Dawn Song在讨论中所言:尽管攻击事件和漏洞不停发生,世界还是并没有完全崩塌。现在的安全问题与过去不同,过去我们分析软件、做符号分析等,现在Deep Learning系统非常复杂,我们有新的领域、新的问题需要探索。
另外,法律的不断完善,也推动网络安全成为数字经济发展的护航者和推动力。经纬中国董事总经理熊飞举了个金融行业的例子,“安全是需求驱动的,风险驱动的。某银行过去对安全的投入已经翻倍了。安全已经成为不可阻挡的潮流,这对整个互联网的发展是好事。”
AI安全要避免过度炒作 需关注如何落地应用
在赛博空间里,有万亿行存量的代码,每年全球还有大约千亿行代码产生,如何才能让网络世界更加安全? AI安全被认为是解题关键。然而最近一年AI被过度炒作,概念多于落地应用。TOP MINDS EXCHANGE聚焦了AI安全该如何应用落地。
提升安全效率是AI目前最直接和主要的应用。Tyler Nighswander把企业需要考虑的安全场景分为三类:已知安全问题,已知但不确定的安全风险,完全未知的领域。其中第二种情况可以通过自动化识别来提升效率,解放大量人力做更有创造性思维的事情,才能跟极具创造性的黑客对抗。“让人发挥创造性,让机器负责安全扫描等机械性工作,用更好的工具来提升前面两项的水平。”
AI是把双刃剑。在Dawn Song看来,我们需要考虑机器学习被攻击者利用的情况。“当我们开发出更高的 AI能力时,如果一个攻击者滥用或者利用 AI 的话,后果会更严重。所以,我们应该有选择的使用自动化,利用人的创新性来提升自动化,而不是机器取代人。另一方面,用AI来防守的话,在训练AI模型时,也要注意保护用户隐私,防止信息泄露。”
如何打赢网络安全“脱贫攻坚战”
即便是安全技术发展,法律不断完善,安全意识逐步在提升,但现实是很多公司仍然处在安全的“贫困线”之下。在活动的圆桌讨论环节,主持人Joshua Motta就表示,自己作为一个美国公司的CEO,看到很多公司仍然在挣扎。“一个60亿市值的公司可能有100多安全员工,但是美国还有3000多万小公司,它们的隐私保护和安全建设,更多还处在贫困线之下。”
岂止是美国?这种情况全球都非常普遍.曾因为破解iPhone手机和PS3而名声大噪的知名黑客——“神奇小子” George Hotz甚至开玩笑“应该把所有的黑客都淹死”。在他看来,蓝军团队的壮大非常必要。需要更多擅长攻击的防御者,他们会告诉你为什么即便会影响5%的性能也要把安全做好,告诉你真正的黑客是如何攻击的,然后才能更好地防守。他创立的自动驾驶安全公司COMMA.AI就发布了一个工具包,让车主成功攻击自己的车辆,然后走向“自动驾驶”之路。
事实上,影响安全的因素有很多,除了经济、技术实力,还有很多资源的因素。要打赢“安全攻坚战”,Tony Lee认为开源社区的发展将会起到很大的推动作用,比如AI安全有autoML,autoAI,tensor flow等工具,“但现在还工具还非常少,难以让企业可以在不同环境下应用,这些方面未来京东安全希望能够为社区建设贡献更多。安全不是任何一个企业能够独立完成的,我们需要共同面对。”
