正如馬云的“新零售”對應(yīng)著零售行業(yè)的轉(zhuǎn)型��,周鴻祎則用“大安全”代表著當(dāng)下安全行業(yè)的變革升級����。在9月12日召開的ISC2017中國互聯(lián)網(wǎng)安全大會上���,360董事長周鴻祎首次提出了“大安全”的概念:網(wǎng)絡(luò)安全已經(jīng)不僅僅是網(wǎng)絡(luò)本身的安全���,更是國家安全、社會安全�����、基礎(chǔ)設(shè)施安全���、城市安全����、人身安全等更廣泛意義上的安全。
“這幾年��,安全越做�、安全問題越大”,對于摸爬滾打多年的安全老兵周鴻祎來說���,這句話應(yīng)該是深有體會�。但對于普通網(wǎng)民�,除了對“WannaCry勒索病毒攻擊事件開啟了大安全時代”能有些認(rèn)知,其他方面想理解“大安全”這個概念多少有點費勁!
不過別擔(dān)心�,你絕不會在安全轉(zhuǎn)型的彎道上被拋到后面。下面就讓我們先從以下幾個ISC2017大會環(huán)節(jié)入手�����,對“大安全”有一個直觀了解��。
聽個故事:“影子經(jīng)紀(jì)人”神秘黑客組織成為美國安全局最大噩夢!
在SyScan360國際前瞻信息安全會議中��,全球“影子經(jīng)紀(jì)人”追蹤研究第一人Matt Suiche講述了當(dāng)今最具爭議黑客組織“影子經(jīng)紀(jì)人”的秘密����。聽完它的故事,你一定會對周鴻祎所講的“網(wǎng)絡(luò)戰(zhàn)不宣而戰(zhàn)”�、“漏洞成為重要的武器”��、“網(wǎng)絡(luò)犯罪的潘多拉盒子開啟”等觀點深有體會�����。
2016年��,“影子經(jīng)紀(jì)人”宣稱黑掉了美國國家安全局(NSA)的網(wǎng)絡(luò)武器庫��,盜走了大量黑客工具和漏洞利用代碼�,并在網(wǎng)上以100萬比特幣(約5.68億美元)的價格公開拍賣這批黑客武器�����,然而�����,無人買賬���。
或許是無奈,亦或是出于報復(fù)����,今年3月�,“影子經(jīng)紀(jì)人”一下子在網(wǎng)上公布了多款NSA武器庫攻擊武器��,免費供人們下載使用�,而其中就包括“WannaCry”用到的“永恒之藍(lán)”。
今年5月�,當(dāng)勒索病毒“WannaCry”橫掃全球時,安全專家分析出它就是“永恒之藍(lán)”的升級版�,人們又迅速將目光聚焦于“影子經(jīng)紀(jì)人”組織,關(guān)注起它們公布的NSA黑客工具��,安全專家稱這些武器可以遠(yuǎn)程攻破全球70%的Windows電腦�����,甚至稱其為“網(wǎng)絡(luò)核武器”���。
從無人問津到一戰(zhàn)爆紅���,甚至成為NSA當(dāng)前最大的噩夢,“影子經(jīng)紀(jì)人”僅用了不到一年���。這場網(wǎng)絡(luò)世界的核彈危機(jī)不曾預(yù)演也沒有預(yù)告��,而如今����,網(wǎng)絡(luò)上不乏類似“永恒之藍(lán)”的高度“平臺化、系統(tǒng)化�����、甚至自動化”的網(wǎng)絡(luò)武器��,“WannaCry”這樣的大規(guī)模攻擊事件是否會繼續(xù)出現(xiàn)?在比特幣高額勒索贖金的利益誘惑下��,這種犯網(wǎng)絡(luò)犯罪的重演只是時間早晚的問題�����,“WannaCry”之后不久爆發(fā)的“Not Peya”勒索病毒就是最好的例子!
看場秀:萬物皆可破的HackPwn2017有啥瞠目結(jié)舌的破解動作?
周鴻祎在談“大安全”時��,用平均每1500行代碼就可能出一個錯誤(漏洞)的例子�,來證明“沒有攻不破的網(wǎng)絡(luò)”這一判斷�。對于安全從業(yè)者,這一觀點很容易理解���,但對普通網(wǎng)民來說����,這一論據(jù)似乎沒有“眼見為實”來得直觀和生動,無法深刻理解什么是“萬物皆可破”!
如果你是個科技達(dá)人�,是否想象過有一天你的信用卡會被帶黑盒子的人非接觸盜刷?是否想象過讓你舒適生活的智能家居會被別人控制?是否想象過你放在智能保險箱里的錢能被人輕而易舉拿走?
2017HACKPWN破解秀暨物聯(lián)網(wǎng)安全論壇上,五位90后黑客現(xiàn)場表現(xiàn)了這些讓人瞠目結(jié)舌的破解秀���。信用卡放在兜里��,被神秘人跟蹤就會盜刷;智能燈�、智能門鎖���、智能攝像頭不再按主人指示做動作;智能保險箱不再根據(jù)主人設(shè)定的密碼進(jìn)行開鎖!
別急�����,破解秀還不是這次活動的破解巔峰��,真正突破你想象極限的����,還要數(shù)浙江大學(xué)閆琛博士演示的通過超聲波攻擊Apple Siri�����、Google Now等語音助手��,使設(shè)備不知不覺的發(fā)送短信、郵件����、撥打電話、打開網(wǎng)頁��,甚至直接在目標(biāo)用戶手機(jī)上植入木馬����。
物聯(lián)網(wǎng)攻擊可以悄悄地蒙上你的眼,它絞盡腦汁地隱藏自己�����,用腦洞大開的攻擊方式突破你的防線�。相信參加了HackPwn,你一定會對“沒有無法攻破的網(wǎng)絡(luò)”有別樣的體會�,也會明白什么是“網(wǎng)絡(luò)攻擊面向物聯(lián)網(wǎng)、車聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)”���。當(dāng)我們和機(jī)器存在更多接觸的媒介,所有的交互形式都有可能成為黑客嚴(yán)重攻擊的靶子�。
見證一場競賽:全國首個48小時黑客馬拉松大獎賽
大安全時代,人是網(wǎng)絡(luò)安全中最重要的因素����。在這里���,周鴻祎提到了美國著名的大數(shù)據(jù)公司Palantir,該公司不僅僅具有大數(shù)據(jù)核心能力��,還擁有超過4000名大數(shù)據(jù)領(lǐng)域的專家在進(jìn)行人工的分析和研判�����。
普通人當(dāng)然很難有機(jī)會參觀這樣的企業(yè)��,不過大家卻可以通過近距離觀賞一場馬拉松比賽���,直觀地感受應(yīng)對和處理安全漏洞時的緊張場面�,以及人在安全攻防中的決定性作用�����。
9月12—13日整整48小時����,360IoT安全守護(hù)計劃黑客馬拉松大獎賽邀請了20位精英白帽全程參展,破解目標(biāo)包括360手機(jī)、360攝像機(jī)����、360路由器、360兒童手表等設(shè)備�,這些產(chǎn)品安全性都經(jīng)過了360信息安全部的“嚴(yán)防死守”,比賽難度大大增加���,白帽黑客只能見招拆招���,對考驗臨場作戰(zhàn)能力。
連續(xù)兩天的破解過程�����,對于參與者的體力和腦力都是極大的考驗���,我們看到的可能是挑戰(zhàn)者最終獲得36萬現(xiàn)金獎勵無限風(fēng)光��,卻不知這48小時僅僅是白帽子日常工作的縮影���。安全危機(jī)就是最高行動指令,他們和軍人有著相似的驚人執(zhí)行力�����,是一群坐在電腦前��,用腦力排兵布陣�����,用鍵盤和鼠標(biāo)做武器的人民安全“子弟兵”�����。
看完這場破解比賽���,相信你也會明白“永恒之藍(lán)”勒索病毒爆發(fā)時期����,360安全專家72小不眠不休的火線營救���,2000余名專家第一時間到企業(yè)機(jī)構(gòu)一線實施解救……這些數(shù)字絕不僅是說說而已���,它背后還隱藏安全行業(yè)獨有的家國情懷,以及無法被機(jī)器��、智能取代的人的意義。
京公網(wǎng)安備 11010502041587號