譚曉生
作為網(wǎng)絡(luò)安全領(lǐng)域高層次、大規(guī)模的年度盛會(huì),第四屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)開幕在即,網(wǎng)絡(luò)安全話題也自然成為目前業(yè)界關(guān)注的焦點(diǎn)。今年的網(wǎng)絡(luò)安全面臨哪些新形勢(shì)?萬物互聯(lián)(IoT)時(shí)代,如何保證智能產(chǎn)品的安全性?企業(yè)保護(hù)自身網(wǎng)絡(luò)安全最需要注意什么?針對(duì)這些問題,360公司副總裁兼首席隱私官譚曉生在接受《人民郵電》報(bào)專訪時(shí),為記者分享了其精彩觀點(diǎn)。
安全大環(huán)境:用戶感知變淡,后果卻很嚴(yán)重
移動(dòng)互聯(lián)大潮滾滾而來,作為互聯(lián)網(wǎng)安全專家,譚曉生為記者分析了IoT時(shí)代給安全大環(huán)境帶來的新變化。
譚曉生首先回顧了網(wǎng)絡(luò)安全的發(fā)展史,20年前病毒是主要的威脅,會(huì)導(dǎo)致系統(tǒng)工作不正常,機(jī)器不能啟動(dòng),這種情況下把病毒殺掉就解決了用戶的問題。10年前,流氓軟件在用戶使用電腦的時(shí)候會(huì)彈出廣告騷擾。然后是木馬開始流行,木馬進(jìn)來后會(huì)偷用戶的游戲幣,涉及一點(diǎn)點(diǎn)的錢財(cái)。而現(xiàn)在這個(gè)時(shí)代用戶面對(duì)的安全問題越來越多的是個(gè)人信息被偷或者遇到侵財(cái)類的詐騙,手機(jī)里裝個(gè)木馬,目的是為了把用戶手機(jī)銀行的驗(yàn)證碼拿走,轉(zhuǎn)賬的時(shí)候轉(zhuǎn)到另外一個(gè)地方,還有一部分是為了獲得用戶的通訊錄等信息,進(jìn)一步進(jìn)行詐騙。譚曉生表示,原來在PC時(shí)代,用戶中病毒、木馬的經(jīng)歷應(yīng)該會(huì)很多,三天兩頭一不小心就中招了,所以那時(shí)用戶的安全感知是非常強(qiáng)的,但如今用手機(jī)的時(shí)候,用戶中木馬的經(jīng)歷卻少很多,因此安全感知越來越淡,但用戶卻有可能遭遇財(cái)產(chǎn)類的損失。“雖然概率很小,但一旦中招卻有可能一輩子掙的錢都沒了,這個(gè)后果很嚴(yán)重!”
譚曉生進(jìn)一步解釋說,如今的安全問題類型和安全威脅和原來不一樣,用戶往往很久以后才可能知道出問題了。比如黑客把通訊錄和短信偷走,這些數(shù)據(jù)被偷走以后一直在黑客的數(shù)據(jù)庫里,等到這個(gè)黑客真正拿出這些收集到的數(shù)據(jù)進(jìn)行詐騙等攻擊時(shí),攻擊的成功率會(huì)非常高。所以現(xiàn)在的安全威脅不是立馬兌現(xiàn)的,用戶不會(huì)覺得今天手機(jī)中丟了信息,會(huì)馬上損失什么。“問題就在這兒,人的特點(diǎn)是如果不是立馬有危害的東西就不重視,但真正出現(xiàn)問題的時(shí)候再去防御就很難防了。”譚曉生感嘆道。
概念轉(zhuǎn)換:從安全產(chǎn)品到產(chǎn)品安全
對(duì)很多企業(yè)來說,IoT是個(gè)機(jī)遇,包括車聯(lián)網(wǎng)、智能家居、可穿戴設(shè)備、VR等都有著巨大的市場(chǎng)潛力,但對(duì)于網(wǎng)絡(luò)攻擊者而言,越來越多的智能設(shè)備連接入網(wǎng),其實(shí)客觀上為黑客或網(wǎng)絡(luò)不法分子提供了更多的攻擊途徑,對(duì)于這個(gè)矛盾,譚曉生表示,IoT肯定讓整個(gè)世界的攻擊面擴(kuò)大了,可被攻擊的點(diǎn)擴(kuò)大了,安全廠商需要積極跟進(jìn)這方面的安全研究,通過及時(shí)發(fā)布研究報(bào)告等方式,讓整個(gè)行業(yè)意識(shí)到其中有很大的威脅,通過曝光這種形式反過來倒逼IoT廠商改進(jìn)其產(chǎn)品的安全。
譚曉生介紹了攻擊智能設(shè)備最常見的三種方式:一是通過無線聯(lián)網(wǎng),不管是通過藍(lán)牙、WiFi還是ZigBee,因?yàn)橹悄茉O(shè)備要和其他設(shè)備產(chǎn)生通信,這就產(chǎn)生了第一個(gè)攻擊點(diǎn),它的通信協(xié)議如果不安全,就容易被破解。二是智能設(shè)備的管理系統(tǒng),比如通過手機(jī)可以管理一個(gè)智能硬件,這個(gè)手機(jī)和智能設(shè)備直接連接,它會(huì)連接到一個(gè)平臺(tái)上,對(duì)這個(gè)平臺(tái)進(jìn)行攻擊,下達(dá)控制指令,篡改控制指令,這個(gè)智能設(shè)備也就被攻擊了。三是手機(jī)上有控制智能設(shè)備的App,App如果有漏洞或者App和控制平臺(tái)之間的協(xié)議有漏洞,只要仿冒一個(gè)身份發(fā)一個(gè)指令,通過控制平臺(tái)就可以間接實(shí)現(xiàn)攻擊。
對(duì)于這方面的安全問題,360公司早就開始有所行動(dòng)。譚曉生透露,360公司其實(shí)是國(guó)內(nèi)最早搞攝像頭安全研究的,這些研究成果會(huì)提供給攝像頭廠商,告訴其攝像頭有什么樣的漏洞,該如何改進(jìn)。“大家知道,360公司也是第一個(gè)在全球破解特斯拉的企業(yè),去年某一款國(guó)產(chǎn)電動(dòng)車我們也對(duì)它進(jìn)行了破解,我們還給國(guó)內(nèi)不止一個(gè)汽車廠家提供安全服務(wù),從車載通信模塊、車機(jī)等方面進(jìn)行整體安全評(píng)估。”譚曉生表示,車被遠(yuǎn)控,人身安全就會(huì)有問題,對(duì)于汽車企業(yè)來說,如果發(fā)生這樣的事情對(duì)其品牌的影響會(huì)是致命的。“我們和廠商是站在一條線上的,更多的是及早發(fā)現(xiàn)問題、修補(bǔ)問題,我們的策略是做安全研究,發(fā)現(xiàn)問題,提出改進(jìn)建議,幫助用戶建立一個(gè)安全運(yùn)營(yíng)體系。”
但譚曉生也坦承,目前安全領(lǐng)域尚未有應(yīng)對(duì)此類攻擊的靈丹妙藥,“這不像對(duì)付病毒,裝一個(gè)針對(duì)性的殺毒軟件就行了,應(yīng)對(duì)智能設(shè)備的攻擊沒法這樣做”。對(duì)此,譚曉生提出了一個(gè)概念轉(zhuǎn)換:從安全產(chǎn)品到產(chǎn)品安全。他解釋說:“過去買一個(gè)殺毒軟件裝進(jìn)去,或者買一個(gè)盒子隔離網(wǎng)絡(luò),我就能相對(duì)安全,這是做安全產(chǎn)品;如今你的產(chǎn)品從設(shè)計(jì)階段就要考慮到會(huì)遇到什么攻擊、協(xié)議是不是安全、固件更新機(jī)制是不是有問題、控制平臺(tái)是不是有漏洞,這一系列問題從一開始就必須考慮,在設(shè)計(jì)、制造、檢驗(yàn)這一系列過程中怎樣把安全的因素都嵌入進(jìn)去,這個(gè)產(chǎn)品必須造出來相對(duì)就是安全的產(chǎn)品,而不是事后去打補(bǔ)丁。而且在今后產(chǎn)品運(yùn)營(yíng)的生命周期里要建立一個(gè)安全運(yùn)維體系,而不僅僅是賣出去就完了,要提供持續(xù)的服務(wù),并且這種服務(wù)首先是安全的。”
面對(duì)IoT帶來的新的安全挑戰(zhàn),譚曉生呼吁,這絕對(duì)不是安全廠商一家可以搞定的,從產(chǎn)業(yè)鏈上下游,從部件生產(chǎn)到整機(jī)生產(chǎn),再到今后的安全運(yùn)營(yíng),需要大家的協(xié)同。“在這個(gè)協(xié)同中需要給安全廠商一個(gè)位置,這是很重要的!”
做安全:還是要從最基礎(chǔ)的工作開始
在分享了關(guān)于IoT安全問題的諸多觀點(diǎn)后,譚曉生話鋒一轉(zhuǎn):“IoT安全,大家都覺得這個(gè)詞特別熱,新概念容易吸引人的注意,但對(duì)于做安全防御來說,它并不是最重要的事情。”他強(qiáng)調(diào)說,做安全,要想能解決大部分的問題,還得把一些最基礎(chǔ)的活兒干好。
譚曉生表示,要把安全防線建好,得從四個(gè)方面的基礎(chǔ)工作入手:
第一個(gè)基礎(chǔ)工作是把漏洞管理做好,漏洞管理做好了以后,攻擊難度就很高了。“逼著黑客用0day漏洞攻擊的時(shí)候,攻擊成本就很高了,能夠?qū)嵤┕舻娜艘幌伦泳蜕倭恕?rdquo;
第二個(gè)基礎(chǔ)工作是網(wǎng)段劃分。“這就像在非典期間搞隔離,把非典病人都隔離到醫(yī)院,這種隔離是防止威脅傳播的非常有效的東西。對(duì)攻擊者來講,拿下一臺(tái)終端,一進(jìn)來卻發(fā)現(xiàn)寸步難行,除了這個(gè)網(wǎng)段別的都去不了,網(wǎng)段之間還有各種各樣的檢測(cè),就可以把威脅隔離在一個(gè)小的區(qū)域。”
第三個(gè)基礎(chǔ)工作是用戶身份管理和用戶權(quán)限管理。“雖然這項(xiàng)工作比較繁瑣,但把這個(gè)事做完以后,你會(huì)發(fā)現(xiàn)攻擊者進(jìn)來也是寸步難行。”
第四個(gè)基礎(chǔ)工作是數(shù)據(jù)備份。“比如遇到敲詐者病毒,這是非常完美的一種‘商業(yè)模式’,它相當(dāng)于現(xiàn)實(shí)中的綁架,綁架了你的數(shù)據(jù),你不交錢就銷毀數(shù)據(jù),數(shù)據(jù)就找不回來了。針對(duì)這種攻擊,最好的方法是數(shù)據(jù)備份。這也是特別簡(jiǎn)單的活兒,但弄完了以后很多對(duì)你的侵害都沒有用了。”
在譚曉生看來,這些基礎(chǔ)工作真的是企業(yè)安全最需要關(guān)注的。他說:“搞安全有一點(diǎn),特別苦,這些基礎(chǔ)的活兒有多少人愿意干?這就是最大的問題,人們會(huì)覺得這些事情挑戰(zhàn)性不大,但恰恰是這些最基礎(chǔ)的工作才能構(gòu)筑堅(jiān)固的防線!”