滴滴弓峰敏:要以生态系统方式解决网络安全

硅谷知名信息安全科学家弓峰敏在加盟滴滴担任信息安全战略副总裁后,近日首次在国内公开场合露面,他受邀于上周五在PingWest品玩举行的超混合现场年度数字嘉年华HAY!16活动上进行主题演讲,他表示:“在高级的博弈中,黑产已经形成了相对完整的利用网络的生态系统,除非我们在网络防御、工具也以生态系统的方式去对付他们,否则很难打平手。”

123

网络安全危及每一个人

网络安全形势严峻,弓峰敏举例称,“孟加拉银行系统出现信息被盗,有人直接在美联储银行转走8000万,如果没有及时发现,可能会有更大损失。而在美国,一个诊所的文件系统被讹诈软件感染,诊所面临花钱继续运营,不然无法继续为病人提供服务。”

近年来,信息安全事故频发。2014年,索尼影业遭遇了大规模信息安全攻击,损失至少达1500万美元;2013年底,美国零售巨头塔吉特在数据泄露事件中丢失了1.8亿用户的信用卡和其他个人信息;今年9月,雅虎也曝出安全事故,5亿帐号的信息被黑客窃取,引发业内哗然。国内一份白皮书显示,2016年上半年,涉嫌泄露或窃取用户信息的事件超过10.6亿次,其中用户信息泄露超过5.4亿条,用户隐私窃取超过6.3亿次。

弓峰敏认为,当前我们面临的网络安全问题已经全局化,它会危及每一个人。“早前是一些有技术实力的人想通过某些行为展现自己的能力,后来演变成了泄密事件,对企业造成了损失,但现在网络安全所危及的对象也包括了每一个人,不只是企业。”

网络安全甚至可能威胁人的生命安全。“历史上有过这样的事情,英国有位年轻人被自称警察的人讹诈,讹诈信息是知道你做了哪些犯罪的事情,这个年轻人想不通,抵受不住压力,最后自杀。这个故事是网络空间和物理空间的结合,虽然不是直接的攻击,但却造成了人身损害。”

变化多端的攻击方式

之所以出现这样冷酷的现实,和攻击者变化多端的攻击方式关系密切。“他们会有很多招数,可以利用社会工程跳开对很多软件漏洞的依赖,他可能用很多规避手段,而今天我们用的防毒技术、网络防火墙技术看不到这些规避手段,此外,当前的黑产在很大程度上已经利用了网络共享的资源来做攻击,而我们做网络防御工具开发时往往没有更好地利用。”

234

弓峰敏说:“对于保卫者而言新的挑战是,攻击一定是不择手段的,防不胜防,你很难建一个别人攻不破的门,但同样,道高一尺魔高一丈,他也有可能不经过门。”

“在高级的博弈中,黑产已经形成了相对完整的利用网络的生态系统,除非我们在网络防御、工具也以生态系统的方式去对付他们,否则很难打平手,所以我们一定要以业务为中心去建保护目标,业务为中心可能包括统一业务、数据的安全,用户信息的安全和业务流程的安全等。”

企业聚焦核心业务保护

从企业的角度,弓峰敏提出了全新方法论,“一定要聚焦到核心业务的保护,当有了明确目标以后,一定要在公司里选一个你认为现在最好的流程,按照统一的流程来实践,并且在实践过程中一定要有一个闭环,一定要看到底做了什么,有没有效果,再做不断更新。”

弓峰敏认为,企业安全防御重点应当转向以业务为中心,以不间断、大规模的监测为基础,并利用大数据和人工智能技术去判断是否有威胁和异常的出现。简而言之,这就是分布式的安全检测配合中心化的威胁数据分析。

此外,弓峰敏也为个人网络安全防护支招,他说:“要经常给软件打安全补丁,并且不要从不信任的市场和网站下载应用;只用知根知底的软件,少给软件管理员权限;很多软件会请求访问手机的其他位置,请谨慎考虑,拒绝访问权限;最后,如果有技术手段你一定要看一看,晚上手机放到身边,你什么都没做,但或许你的手机在跟谁交谈。”

资料显示,弓峰敏和卜峥在9月底共同加盟滴滴,弓峰敏担任滴滴信息安全战略副总裁和滴滴研究院副院长,卜峥担任滴滴信息安全副总裁,全面负责滴滴信息安全的运营。弓峰敏和卜峥团队拥有当前最先进的防御技术,摆脱了中心化的安全网关。这一技术基于软件和虚拟配置,在终端设备中部署分布式“探针”,从而充分利用终端设备去收集潜在威胁信号,在威胁刚刚出现时捕捉其中的蛛丝马迹。与此同时,系统利用机器学习和人工智能技术,通过云计算平台、沙箱及机器学习等一糸列方法对收集到的海量数据进行自动化分析和学习,不断寻找恶意软件和非恶意软件所表现出的不同模式。

这样做带来了两方面优势。一方面,系统对信息安全风险的监测将不再是孤立的,而是有能力全面了解各方面环境因素。因此,无论是底层硬件还是业务逻辑,各种异常都可以被检出。另一方面,这将成为基于云计算的一体化产品,并具备极强的自主运行能力。企业IT团队将无需去维护碎片化工具,减少所投入的人力。