近些年,5G、物联网、人工智能一直是科技圈的热词,随着这些领域的技术逐渐成熟、越来越多的应用实现落地,社会经济生活正变得更加便捷和高效。不过,当人们享受技术革新带来的红利时,网络安全的风险也正迅速提高。
年世界人工智能大会召开之际,观察者网对漏洞银行联合创始人兼CTO张雪松进行专访,就物联网和人工智能时代的网络安全、数据治理、国家层面的网络攻防、网络安全人才的培养等话题展开讨论。
张雪松认为,在物联网和人工智能时代,技术的发展会让网络安全防护的范围变得更大,黑客触达的便利性也会越高、攻击端溯源变得更难,而且越是新的技术新的领域,安全成熟度越低,黑客越有可乘之机。
他同时指出,中国在自主可控方面已经下了非常大的功夫,这在战略层面对网络安全有非常深远的影响。当中国研发出自己的操作系统、应用系统,甚至办公软件的自主化,发展出自己的技术路线,就会让我们在整个攻防战略层面形成一种安全优势。总体综合来看,中国和外国的网络安全实力是旗鼓相当的。
漏洞银行(BUGBANK)是国内首家互联网安全服务SAAS平台,已有数百家企业和上万名白帽子(指以保护网络安全为目的的黑客)入驻平台。年11月,漏洞银行入选“年度中国网络安全企业百强名录“;该公司联合创始人兼CTO张雪松入选“上海市首席技师、技能大师工作室资助名单”。
图片来源:视觉中国
观察者网:随着5G和人工智能的发展,我们现在加速进入物联网时代,从网络安全角度,怎么看这种发展趋势?
张雪松:像5G、物联网和人工智能这些技术会为我们的生活提供更多方便和快捷,但是安全风险会大大增加。
首先,设备的数量和需要安全防控的体量规模变大了,过去这些设备是不联网的,现在这些设备联网了,从安全管控的范围上来说,规模成几何级的增加。
其次,这些物联网设备,比如电力、交通、民生等设施,都不再建专网,出于成本考虑,统一用互联网进行联通,但随之而来的隐患会更大,黑客可以随时接入互联网触达到这些系统,同时随着5G技术的发展,黑客攻击端也更难溯源,黑客可在任何地方连接5G网络进行攻击,IP地址随机可变,很难追查和抓捕这些黑客。
再讲下人工智能,这种技术为安全防护造成了比较大的困难。过去我们使用系统、软件,在没有人工智能的情况下,基本都是一个稳定的输入输出过程,输入一个逻辑往往对应一个明确的结果,这种情况下,安全防控可以制定审计策略,排查异常的攻击行为。
但是人工智能系统,它的特性就是会不断学习,一个指令会有多种不同的表现,因为它是智能的、成长的。这在安全的防护和分析上,就变得复杂了,不再是一个输入对应一种输出,它会基于大数据,基于主人习惯,基于对当前的一些形势判断,得出它自己的结果,站在安全角度很难判断系统是异常还是正常。特别是未来智能化场景越来越多,比如智能汽车、智能电器等等,在人工智能系统越来越发达的未来,黑客攻击会越来越难以发现,所以智能的安全会成为一个行业难题。
包括现在的人脸识别技术,其实在近几年的黑客大会上,比如GeekPwn等黑客赛事上,都有非常多针对人脸识别的攻破。现在黑客技术可以欺骗人脸识别,使系统误认为我是某人或者某物,甚至替身某国总统,这对于现在使用人脸身份验证的场景都有影响。目前的安全技术对此暂时还没有解决方案,无法去识别这个风险,黑客在攻击中更多的是利用脏数据,一些误导人工智能的数据,没有恶意代码,所以这种攻击很难判定,但是却让人工智能产出一个错误的认知,甚至一个错误的判断,这就会造成很严重的后果。
所以从这些层面,一是防控的范围,二是黑客触达的便利性,三是黑客溯源的难度,四是人工智能的安全难题,从这些角度上来看,新技术带来的安全风险是巨大的,而且越是新的技术新的领域,安全成熟度越低,黑客越有可乘之机。
观察者网:这让我对新技术产生了一些焦虑。
张雪松:是的,确实新技术带来了新的危机,而且万物互联,新技术与隐私安全也息息相关,比如智能汽车外全是摄像头,实时捕获视讯信息,还有智能助手,实时捕获语音和谈话信息等。
观察者网:是的,我跟相关行业和法律人士交流的时候也了解到,这甚至会影响到国家安全,同时,从国家层面来说,对于数据的治理其实涉及非常复杂的跨部门协调。您怎么看待数据治理这个问题?
张雪松:刚才谈及的5G、人工智能、物联网等技术,其实都是未来发展趋势,也是由于科技进步和市场需求应运而生的。这种新技术的应用和推广速度非常快,对国家发展的好处不言而喻。我认为信息安全和技术革新是相辅相成的,我们可以发现一个现象,如果某种技术的安全可靠性还没有达到应用所需的标准的话,这样的技术可能也不会有更好的普及应用。例如现在的自动驾驶,如果自动驾驶的安全级别还没达到一定要求,它其实不会被允许上路的。
另一方面,只有在新技术不断应用探索过程中,我们才能发现问题。这个试错成本本身会被研发机构和先行企业承担,国家也会承担一部分,一个新事物的发展会有试错成本,这是必然规律。
试错的同时,应该马上推进的是安全的手段,这方面考验的是我们安全行业的反应速度和能力,我们有责任和义务去解决这些难题。
数据治理层面,国家也在有条不紊地做布局,比如说最近国家颁布了《数据安全法》,对数据管理进行了法律定义,对第三方存取管理公民隐私数据的行为也做了明确的法律规定,这样就从法律层面有了依据,界定了非法行为和合法行为。这样很多企业在获取数据的时候,就必须约束自己的行为,我觉得从治理的角度来说,是向前跨出了一大步,非常关键。
剩下的就应该是发展技术手段和监管,比如不久前有一个案例,某个第三方公司发明了一个爬虫软件,爬取某知名大型网购平台存储的、与个人隐私有关的数据,我觉得要有足够的监管手段,能够从技术层面了解到有哪些系统、哪些设施在暗中存储数据。其实某些主体获取到这些数据后,用于自己做分析、或是转化为一种算法、或是转化为大数据的某种结论,这些用途比较正常,但是这些信息如果留存,并且还对外提供查询,这就有安全和隐私风险,国家也要有更明确的监管要求和措施,来对此类企业进行管控。
观察者网:你们作为一家网络安全公司,在这方面有怎样的探索实践?
张雪松:我们是国内知名的白帽平台,叫漏洞银行。专注黑客攻防领域的安全漏洞平台,我们有全国超过4万名的黑客技术专家,现在更多地致力于解决企业、机构、政府遇到的网络安全问题。基于这样的业务,我们的思考和技术研究方向,更多的是帮助企业构建安全机制,发现先进威胁的风险。我们现在在积极地做以下几方面的努力:
一方面,我们尽可能地在网络层面及时发现威胁隐患,比如黑客攻击的风险性和漏洞危害,这是我们一直以来的主要研究方向,我们认为,研究漏洞可以帮助企业甚至国家层面获得安全防护的提前量。比如美国石油管道遭受一种定向攻击,我们能预判有这样的攻击风险,这就可以提前做一个可靠的防护。
另一方面,我们发现黑客现在更多
联系电话: