譚曉生
作為網絡安全領域高層次、大規模的年度盛會,第四屆中國互聯網安全大會開幕在即,網絡安全話題也自然成為目前業界關注的焦點。今年的網絡安全面臨哪些新形勢?萬物互聯(IoT)時代,如何保證智能產品的安全性?企業保護自身網絡安全最需要注意什么?針對這些問題,360公司副總裁兼首席隱私官譚曉生在接受《人民郵電》報專訪時,為記者分享了其精彩觀點。
安全大環境:用戶感知變淡,后果卻很嚴重
移動互聯大潮滾滾而來,作為互聯網安全專家,譚曉生為記者分析了IoT時代給安全大環境帶來的新變化。
譚曉生首先回顧了網絡安全的發展史,20年前病毒是主要的威脅,會導致系統工作不正常,機器不能啟動,這種情況下把病毒殺掉就解決了用戶的問題。10年前,流氓軟件在用戶使用電腦的時候會彈出廣告騷擾。然后是木馬開始流行,木馬進來后會偷用戶的游戲幣,涉及一點點的錢財。而現在這個時代用戶面對的安全問題越來越多的是個人信息被偷或者遇到侵財類的詐騙,手機里裝個木馬,目的是為了把用戶手機銀行的驗證碼拿走,轉賬的時候轉到另外一個地方,還有一部分是為了獲得用戶的通訊錄等信息,進一步進行詐騙。譚曉生表示,原來在PC時代,用戶中病毒、木馬的經歷應該會很多,三天兩頭一不小心就中招了,所以那時用戶的安全感知是非常強的,但如今用手機的時候,用戶中木馬的經歷卻少很多,因此安全感知越來越淡,但用戶卻有可能遭遇財產類的損失。“雖然概率很小,但一旦中招卻有可能一輩子掙的錢都沒了,這個后果很嚴重!”
譚曉生進一步解釋說,如今的安全問題類型和安全威脅和原來不一樣,用戶往往很久以后才可能知道出問題了。比如黑客把通訊錄和短信偷走,這些數據被偷走以后一直在黑客的數據庫里,等到這個黑客真正拿出這些收集到的數據進行詐騙等攻擊時,攻擊的成功率會非常高。所以現在的安全威脅不是立馬兌現的,用戶不會覺得今天手機中丟了信息,會馬上損失什么。“問題就在這兒,人的特點是如果不是立馬有危害的東西就不重視,但真正出現問題的時候再去防御就很難防了。”譚曉生感嘆道。
概念轉換:從安全產品到產品安全
對很多企業來說,IoT是個機遇,包括車聯網、智能家居、可穿戴設備、VR等都有著巨大的市場潛力,但對于網絡攻擊者而言,越來越多的智能設備連接入網,其實客觀上為黑客或網絡不法分子提供了更多的攻擊途徑,對于這個矛盾,譚曉生表示,IoT肯定讓整個世界的攻擊面擴大了,可被攻擊的點擴大了,安全廠商需要積極跟進這方面的安全研究,通過及時發布研究報告等方式,讓整個行業意識到其中有很大的威脅,通過曝光這種形式反過來倒逼IoT廠商改進其產品的安全。
譚曉生介紹了攻擊智能設備最常見的三種方式:一是通過無線聯網,不管是通過藍牙、WiFi還是ZigBee,因為智能設備要和其他設備產生通信,這就產生了第一個攻擊點,它的通信協議如果不安全,就容易被破解。二是智能設備的管理系統,比如通過手機可以管理一個智能硬件,這個手機和智能設備直接連接,它會連接到一個平臺上,對這個平臺進行攻擊,下達控制指令,篡改控制指令,這個智能設備也就被攻擊了。三是手機上有控制智能設備的App,App如果有漏洞或者App和控制平臺之間的協議有漏洞,只要仿冒一個身份發一個指令,通過控制平臺就可以間接實現攻擊。
對于這方面的安全問題,360公司早就開始有所行動。譚曉生透露,360公司其實是國內最早搞攝像頭安全研究的,這些研究成果會提供給攝像頭廠商,告訴其攝像頭有什么樣的漏洞,該如何改進。“大家知道,360公司也是第一個在全球破解特斯拉的企業,去年某一款國產電動車我們也對它進行了破解,我們還給國內不止一個汽車廠家提供安全服務,從車載通信模塊、車機等方面進行整體安全評估。”譚曉生表示,車被遠控,人身安全就會有問題,對于汽車企業來說,如果發生這樣的事情對其品牌的影響會是致命的。“我們和廠商是站在一條線上的,更多的是及早發現問題、修補問題,我們的策略是做安全研究,發現問題,提出改進建議,幫助用戶建立一個安全運營體系。”
但譚曉生也坦承,目前安全領域尚未有應對此類攻擊的靈丹妙藥,“這不像對付病毒,裝一個針對性的殺毒軟件就行了,應對智能設備的攻擊沒法這樣做”。對此,譚曉生提出了一個概念轉換:從安全產品到產品安全。他解釋說:“過去買一個殺毒軟件裝進去,或者買一個盒子隔離網絡,我就能相對安全,這是做安全產品;如今你的產品從設計階段就要考慮到會遇到什么攻擊、協議是不是安全、固件更新機制是不是有問題、控制平臺是不是有漏洞,這一系列問題從一開始就必須考慮,在設計、制造、檢驗這一系列過程中怎樣把安全的因素都嵌入進去,這個產品必須造出來相對就是安全的產品,而不是事后去打補丁。而且在今后產品運營的生命周期里要建立一個安全運維體系,而不僅僅是賣出去就完了,要提供持續的服務,并且這種服務首先是安全的。”
面對IoT帶來的新的安全挑戰,譚曉生呼吁,這絕對不是安全廠商一家可以搞定的,從產業鏈上下游,從部件生產到整機生產,再到今后的安全運營,需要大家的協同。“在這個協同中需要給安全廠商一個位置,這是很重要的!”
做安全:還是要從最基礎的工作開始
在分享了關于IoT安全問題的諸多觀點后,譚曉生話鋒一轉:“IoT安全,大家都覺得這個詞特別熱,新概念容易吸引人的注意,但對于做安全防御來說,它并不是最重要的事情。”他強調說,做安全,要想能解決大部分的問題,還得把一些最基礎的活兒干好。
譚曉生表示,要把安全防線建好,得從四個方面的基礎工作入手:
第一個基礎工作是把漏洞管理做好,漏洞管理做好了以后,攻擊難度就很高了。“逼著黑客用0day漏洞攻擊的時候,攻擊成本就很高了,能夠實施攻擊的人一下子就少了。”
第二個基礎工作是網段劃分。“這就像在非典期間搞隔離,把非典病人都隔離到醫院,這種隔離是防止威脅傳播的非常有效的東西。對攻擊者來講,拿下一臺終端,一進來卻發現寸步難行,除了這個網段別的都去不了,網段之間還有各種各樣的檢測,就可以把威脅隔離在一個小的區域。”
第三個基礎工作是用戶身份管理和用戶權限管理。“雖然這項工作比較繁瑣,但把這個事做完以后,你會發現攻擊者進來也是寸步難行。”
第四個基礎工作是數據備份。“比如遇到敲詐者病毒,這是非常完美的一種‘商業模式’,它相當于現實中的綁架,綁架了你的數據,你不交錢就銷毀數據,數據就找不回來了。針對這種攻擊,最好的方法是數據備份。這也是特別簡單的活兒,但弄完了以后很多對你的侵害都沒有用了。”
在譚曉生看來,這些基礎工作真的是企業安全最需要關注的。他說:“搞安全有一點,特別苦,這些基礎的活兒有多少人愿意干?這就是最大的問題,人們會覺得這些事情挑戰性不大,但恰恰是這些最基礎的工作才能構筑堅固的防線!”
京公網安備 11010502049343號