专访“白帽子”:5G+大数据+人工智能时代,中国网络安全吗?

来源:观察者网

2021-07-10 08:44

张雪松

张雪松作者

漏洞银行联合创始人、CTO

近些年,5G、物联网、人工智能一直是科技圈的热词,随着这些领域的技术逐渐成熟、越来越多的应用实现落地,社会经济生活正变得更加便捷和高效。不过,当人们享受技术革新带来的红利时,网络安全的风险也正迅速提高。

2021年世界人工智能大会召开之际,观察者网对漏洞银行联合创始人兼CTO张雪松进行专访,就物联网和人工智能时代的网络安全、数据治理、国家层面的网络攻防、网络安全人才的培养等话题展开讨论。

张雪松认为,在物联网和人工智能时代,技术的发展会让网络安全防护的范围变得更大,黑客触达的便利性也会越高、攻击端溯源变得更难,而且越是新的技术新的领域,安全成熟度越低,黑客越有可乘之机。

他同时指出,中国在自主可控方面已经下了非常大的功夫,这在战略层面对网络安全有非常深远的影响。当中国研发出自己的操作系统、应用系统,甚至办公软件的自主化,发展出自己的技术路线,就会让我们在整个攻防战略层面形成一种安全优势。总体综合来看,中国和外国的网络安全实力是旗鼓相当的。

漏洞银行(BUGBANK)是国内首家互联网安全服务SAAS平台,已有数百家企业和上万名白帽子(指以保护网络安全为目的的黑客)入驻平台。2020年11月,漏洞银行入选“2020年度中国网络安全企业百强名录“; 该公司联合创始人兼CTO张雪松入选“上海市首席技师、技能大师工作室资助名单” 。

图片来源:视觉中国

【采访/观察者网 周远方 编辑/吕栋】

观察者网:随着5G和人工智能的发展,我们现在加速进入物联网时代,从网络安全角度,怎么看这种发展趋势?

张雪松:像5G、物联网和人工智能这些技术会为我们的生活提供更多方便和快捷,但是安全风险会大大增加。

首先,设备的数量和需要安全防控的体量规模变大了,过去这些设备是不联网的,现在这些设备联网了,从安全管控的范围上来说,规模成几何级的增加。

其次,这些物联网设备,比如电力、交通、民生等设施,都不再建专网,出于成本考虑,统一用互联网进行联通,但随之而来的隐患会更大,黑客可以随时接入互联网触达到这些系统,同时随着5G技术的发展,黑客攻击端也更难溯源,黑客可在任何地方连接5G网络进行攻击,IP地址随机可变,很难追查和抓捕这些黑客。

再讲下人工智能,这种技术为安全防护造成了比较大的困难。过去我们使用系统、软件,在没有人工智能的情况下,基本都是一个稳定的输入输出过程,输入一个逻辑往往对应一个明确的结果,这种情况下,安全防控可以制定审计策略,排查异常的攻击行为。

但是人工智能系统,它的特性就是会不断学习,一个指令会有多种不同的表现,因为它是智能的、成长的。这在安全的防护和分析上,就变得复杂了,不再是一个输入对应一种输出,它会基于大数据,基于主人习惯,基于对当前的一些形势判断,得出它自己的结果,站在安全角度很难判断系统是异常还是正常。特别是未来智能化场景越来越多,比如智能汽车、智能电器等等,在人工智能系统越来越发达的未来,黑客攻击会越来越难以发现,所以智能的安全会成为一个行业难题。

包括现在的人脸识别技术,其实在近几年的黑客大会上,比如GeekPwn等黑客赛事上,都有非常多针对人脸识别的攻破。现在黑客技术可以欺骗人脸识别,使系统误认为我是某人或者某物,甚至替身某国总统,这对于现在使用人脸身份验证的场景都有影响。目前的安全技术对此暂时还没有解决方案,无法去识别这个风险,黑客在攻击中更多的是利用脏数据,一些误导人工智能的数据,没有恶意代码,所以这种攻击很难判定,但是却让人工智能产出一个错误的认知,甚至一个错误的判断,这就会造成很严重的后果。

所以从这些层面,一是防控的范围,二是黑客触达的便利性,三是黑客溯源的难度,四是人工智能的安全难题,从这些角度上来看,新技术带来的安全风险是巨大的,而且越是新的技术新的领域,安全成熟度越低,黑客越有可乘之机。

观察者网:这让我对新技术产生了一些焦虑。

张雪松:是的,确实新技术带来了新的危机,而且万物互联,新技术与隐私安全也息息相关,比如智能汽车外全是摄像头,实时捕获视讯信息,还有智能助手,实时捕获语音和谈话信息等。

观察者网:是的,我跟相关行业和法律人士交流的时候也了解到,这甚至会影响到国家安全,同时,从国家层面来说,对于数据的治理其实涉及非常复杂的跨部门协调。您怎么看待数据治理这个问题?

张雪松:刚才谈及的5G、人工智能、物联网等技术,其实都是未来发展趋势,也是由于科技进步和市场需求应运而生的。这种新技术的应用和推广速度非常快,对国家发展的好处不言而喻。我认为信息安全和技术革新是相辅相成的,我们可以发现一个现象,如果某种技术的安全可靠性还没有达到应用所需的标准的话,这样的技术可能也不会有更好的普及应用。例如现在的自动驾驶,如果自动驾驶的安全级别还没达到一定要求,它其实不会被允许上路的。

另一方面,只有在新技术不断应用探索过程中,我们才能发现问题。这个试错成本本身会被研发机构和先行企业承担,国家也会承担一部分,一个新事物的发展会有试错成本,这是必然规律。

试错的同时,应该马上推进的是安全的手段,这方面考验的是我们安全行业的反应速度和能力,我们有责任和义务去解决这些难题。

数据治理层面,国家也在有条不紊地做布局,比如说最近国家颁布了《数据安全法》,对数据管理进行了法律定义,对第三方存取管理公民隐私数据的行为也做了明确的法律规定,这样就从法律层面有了依据,界定了非法行为和合法行为。这样很多企业在获取数据的时候,就必须约束自己的行为,我觉得从治理的角度来说,是向前跨出了一大步,非常关键。

剩下的就应该是发展技术手段和监管,比如不久前有一个案例,某个第三方公司发明了一个爬虫软件,爬取某知名大型网购平台存储的、与个人隐私有关的数据,我觉得要有足够的监管手段,能够从技术层面了解到有哪些系统、哪些设施在暗中存储数据。其实某些主体获取到这些数据后,用于自己做分析、或是转化为一种算法、或是转化为大数据的某种结论,这些用途比较正常,但是这些信息如果留存,并且还对外提供查询,这就有安全和隐私风险,国家也要有更明确的监管要求和措施,来对此类企业进行管控。

观察者网:你们作为一家网络安全公司,在这方面有怎样的探索实践?

张雪松:我们是国内知名的白帽平台,叫漏洞银行。专注黑客攻防领域的安全漏洞平台,我们有全国超过4万名的黑客技术专家,现在更多地致力于解决企业、机构、政府遇到的网络安全问题。基于这样的业务,我们的思考和技术研究方向,更多的是帮助企业构建安全机制,发现先进威胁的风险。我们现在在积极地做以下几方面的努力:

一方面,我们尽可能地在网络层面及时发现威胁隐患,比如黑客攻击的风险性和漏洞危害,这是我们一直以来的主要研究方向,我们认为,研究漏洞可以帮助企业甚至国家层面获得安全防护的提前量。比如美国石油管道遭受一种定向攻击,我们能预判有这样的攻击风险,这就可以提前做一个可靠的防护。

另一方面,我们发现黑客现在更多关注数据,不管是攻击网站还是勒索,都是在打数据的主意,这是一种趋势。所以我们在数据安全方面投入很大,一是防控数据的安全,包括数据治理本身,我们跟很多数据中心在合作,尝试建立出一整套数据分级管理+防控+标记+追踪的完善安全体系,我们通过安全手段,对不同数据采取不同管理级别,对数据分别打上标签,这样在出现问题的时候,就能够有效追踪和确保数据安全,这就在国家数据治理框架下,强化了技术手段和监管手段,确保技术发展不会受黑客攻击的干扰。

观察者网:说到勒索病毒,最近黑客攻击基础设施的新闻很多。

张雪松:是的,之前作为美国重要基础设施的输油管道遭到攻击,导致总长度8000多公里的输油管道就停工,影响到了国民经济,甚至国家秩序领域,所以美国非常重视,出动了FBI等一些特殊机制来做反黑客的工作。

具体来说,他们追踪到了比特币交易钱包的一个记录,这种线上钱包实际上是一个网络地址,在技术上它其实是匿名的,但是这个地址可能在某个数字货币交易所产生过一些交易记录,或者账号被登记使用过,比如用这个数字钱包转账过一笔钱,这样的话这些记录会被一些机构和组织保存下来,这样就可以对反黑客、反黑产的行动提供一些信息支撑。调查机构找到使用这些加密钱包的个人,追踪到这些个人所在的地区。FBI还可以动用相关的法律机制,要求提供钱包服务的运营商和管理者冻结钱包,甚至通过运营商的一些技术信息找到钱包的密码,把钱包里的钱再转出来,这次的FBI追回勒索金也算是一个重大成果了。

今年5月,全美最大成品油输送管道的运营商Colonial Pipeline公司遭黑客勒索软件攻击

观察者网:从您描述的这个过程来看,加密货币虽然说技术上有匿名性,但其实跟现实世界还是会在关键节点有交集,比如某些交易所可以有流程记录,所以还是可追溯的?

张雪松:是的,就如同我们的电脑一样,如果我们通过电脑上网做了一些行为,势必就会产生一些痕迹,那相对容易被追溯到。但是如果我们通过U盘私下传递一些信息,就很难被追查到,数字钱包其实也如此。

观察者网:还有一个现象,2017年勒索病毒流行的时候,有一些报道说,网络安全公司的股价大涨,最近也有一些新闻说,这些勒索团队专门攻击上市公司,不是为了直接去勒索资金,而是通过威胁做空企业来获益。那么应该如何看待网络安全和资本市场之间的关系?

张雪松:网络安全与资本市场的关系是直接关联的。一方面,例如2017年全球著名勒索病毒wannacry爆发,总共影响150多个国家,它的影响范围非常广泛、深远,这样一次大规模的安全事件,势必会让资本市场关注到安全行业,导致网络安全公司股价大涨。另一方面,对于上市公司和大型企业、机构来说,安全会直接影响他们的市值或者估值,安全事件是一个重大负面信息,短时间内就会造成股民情绪波动,造成对公司经营发展的恐慌,直接会影响公司股价。所以上市公司一般对网络安全十分重视,而且其内部的安全机制也比较健全,会采取一些措施让风险可控。

观察者网:美国输油管道基础设施受到攻击,有一些舆论认为,这不是个人或者小团队的偶然行为,而是国家层面的体系对抗。您对此怎么看?有没有黑客“国家队”?

张雪松:因为我们长期从事与黑客群体高度相关的工作,有过一个分析。从黑客群体的人员构成来说,有大约5%的黑客人员效力于国家层面,也就是各国政府,这个群体的黑客实力很强,可以针对国家级别发动攻击;大约15%的黑客人员属于民间组织,具备比较专业的技术,可以远程进入到各系统实施勒索或攻击;剩下的80%左右的人员实际上处于学习提升阶段,是一群能力参差不齐的爱好者。

从攻击动机的角度来分析,对于国家基础设施的攻击的收益可能不仅是经济方面,还可能会对相关国家的信誉和权威,乃至国际秩序都会产生影响,从这方面来看,此次攻击事件“国家队”黑客参与的可能性是比较大的。

从经济角度来分析,国家基础设施由于性质独特,业务不能中断,相对于其他机构,国家基础设施更愿意支付勒索金给黑客,以确保尽快恢复生产,所以此次攻击事件,也是专业的黑客组织定向攻击的典型。

观察者网:这是不是说明黑客攻击也要考虑投入收益的比例?

张雪松:是的,黑客攻击最看重的就是投入产出比,黑客其实也是为了牟利。针对于勒索目标,同样是实施攻击,难度和成本都不低,黑客有时要投入百万购买漏洞,还要花费数月分析和入侵目标,在这种情况下,黑客肯定要考虑哪些攻击的回报更高。

观察者网:西方媒体之前在其他案子上,也有不少指责中国黑客团队的声音。

张雪松:对,这种声音会比较多,大家都会有这样的猜疑,因为黑客本身就有匿名性,大家面对未知,肯定会有这种敌对猜测,我觉得出现这种推断也是正常的。从技术上来说,其实可以通过代码分析,找到黑客的代码特征,初步锁定病毒作者的国家区域。

观察者网:中国一直在硬件和基础软件上强调自主可控,这些进程是否会影响到网络安全攻防的形势?

张雪松:中国在自主可控方面已经下了非常大的功夫。从战略层面来说,这对网络安全确实有非常深远的影响。

首先,从技术路线的角度上来说,发展我国自己的操作系统、应用系统,甚至办公软件的自主化,这样的一个技术路线就会跟国外体系有所区别,中国发展出自己的技术路线,就会直接让我们在整个攻防战略层面形成一种安全优势。

为什么这么说?因为黑客在研究学习网络攻防的成长过程中,大部分都会以通用系统作为样本进行研究,而这些通用系统,比如针对微软的windows、针对Linux或者office进行攻击,一旦研究得到成果之后,就有黑客会发动攻击,比如实施勒索病毒攻击。这种攻击对我国自主可控的系统成功率会大大降低,甚至会失效。

从国家战略的角度来说,国家执行自主可控的战略,有利于我们建立自己的操作系统和应用软件体系,这些基础体系为后续发展自主可控的安全体系奠定了基础。因为安全技术本身的迭代和升级也受制于系统的发展,现在多数系统都是国外的,我们想要发展安全体系,跟操作系统、应用软件商合作,目前我们和他们的合作是有受限的,国外厂商不会单独为我们定制安全机制,所以安全升级会受制于他们。如果我们能够做到自主可控,战略上会有非常深远的影响。

观察者网:你们在实践当中有没有碰到过自主可控的系统,比如中国电子搞的一些软硬件体系?它的实际安全程度怎样?

张雪松:我们实战过程中确实发现,自主可控的系统发生的安全事件本身会少于通用系统。但也还是有的,这也是因为我国现在的自主可控技术还没有完全成熟,处于一个成熟过程当中,还是用到了部分与国外技术有关的引擎和内核。而这些引擎和内核的逐步自主化,还是一个比较漫长的过程,所以针对这些内核和底层的一些漏洞进行攻击,还会生效,但是对于一些应用层或表现层,包括一些组件、插件进行攻击的话,大部分都会失效。

观察者网:您对于中国网络安全行业的发展水平如何评价?我国的网络安全体系目前是否够用?

张雪松:目前总体来看,整个中国的网络安全行业仍处于高速发展期,还达不到成熟期,发达国家安全行业已经成熟,我们还有3-5年的差距。

中国信息安全人才十分紧缺,据我们调研统计,在中国网络攻防领域的专家大致在15万左右,但整个行业对攻防专家的需求量在30万左右,缺口比较大。网络攻防专家必须熟悉黑客技术,懂攻才能懂防,但是这类人才成熟化的培养路径不专业、不统一,没有专门学科,多数黑客专家都是通过自学,在攻防实战中摸索技术,甚至通过网上的一些技巧分享成长起来的,所以他们的成长路径实际上不稳定,这也导致人才缺口的出现。

同时,在攻防技术研究方面,国外确实略领先,因为他们也有发展优势,目前主流的操作系统、应用软件,都是国外品牌和技术,编程语言也是英语语系的,所以国外的技术研究人员有得天独厚的优势,他们的研究会略领先于国内。

但是,现在国内也有一些优势,首先,国内的信息安全人才基数相对更大,这是因为我国高素质人口基数比较大;其次,国内信息安全公司数量也相对较大,比国外国家要多,这也为未来的安全发展奠定了基础,激烈的行业竞争会加速行业发展。第三,中国的互联网高速发展,应用场景更多,面临的安全问题也更多,安全实战经验积累会更快。

观察者网:某种意义上来说,市场体量更大。

张雪松:是的,市场体量也造就了一个中国网络安全的发展优势,所以总体综合来看,中国和外国的网络安全实力是旗鼓相当的。

5月14日,东芝欧洲业务遭黑客入侵

观察者网前面提到的网络安全人才培养体系的问题,从你们来看,有没有解决办法或者建议?

张雪松:我们一直在研究和分析黑客技术人才的成长路径,我们本身也在做黑客专家平台,通过平台吸纳的用户基本上都是这个领域的人才,从大数据的角度来说,他们的年龄构成非常年轻,80%以上都是在20岁以下,16岁左右的人数最多。

首先,这个人群对网络安全的兴趣非常浓厚,他们在高中、大学或者一些专科学校读书,也有不少没有进入正常工作岗位,是一些无业的网络爱好者,他们有能力和精力来学习网络安全技术,也没有太多的社会负担。

我觉得从行业人才培养角度来说,首先建议国家层面鼓励整个教育领域来关注网络安全,一是看国家本身是否能够提供相应的学科和相应的兴趣引导,让我们的在校学生早一点接触到相关内容,甚至从小学就可以接触,这个非常关键,因为兴趣是安全技术人才成长非常重要的因素,如果能及早发现和培养人才,中国会诞生大量的安全专家。

第二,社会层面,疫情之后网络教育变得非常成熟,应该有更多导师开设网络课程,建立更加体系化的安全人才培养路径。当然这样的过程必须辅以安全普法教育,避免培养“坏人”。

第三,像我们这样的安全平台可以把黑客攻防实战做成好事,我们的业务是服务企业发现问题,帮助企业做网络安全建设,以这个目的为前提,可以鼓励黑客专家利用我们的平台进行实战,磨练自己的技术,结合实战,形成网络攻防实验室,形成标准的教育培训体系,这也有利于我国人才的发展。

观察者网:最后一个问题,你们作为一个准备上市的公司,对行业和自身发展前景怎么看?

张雪松:我觉得整个行业的前景非常乐观,国家已经进入后信息时代,信息化的基础设施已经建设完成,不管是大数据还是人工智能,现在的这些新生技术与安全的相关性更加紧密。数据正确性、决策正确性、最终应用场景,都要有安全做保障,甚至影响到整个社会经济、政治秩序。所以在后信息时代,安全是一个非常好的行业,是信息化的刚需产业。

站在公司的角度,我们始终致力于在黑客攻防和先进威胁领域的发展。

什么是先进威胁?其实就是在传统网络安全不断完善的基础上,随着新技术发展和新的攻防思路演化,出现新的安全威胁和新的攻击方式,通过我们平台上4万名安全专家的知识库能力,防控这样的先进威胁。

未来网络安全治理甚至国与国之间的安全对抗,在这种复杂环境下,怎样保护国家、企业、个人在数字世界的安全,我们会全力解决这一时代的命题。

本文系观察者网独家稿件,文章内容纯属作者个人观点,不代表平台观点,未经授权,不得转载,否则将追究法律责任。关注观察者网微信guanchacn,每日阅读趣味文章。

责任编辑:吕栋
网络安全 人工智能
观察者APP,更好阅读体验

专题

世界人工智能大会

2022世界人工智能大会,启动!

2022年02月16日

“AI行业的泡沫是必然存在的,但泡沫总会爆掉”

2021年07月23日

作者最近文章

07月10日 08:44

5G+大数据+人工智能时代,中国网络安全吗?

风闻24小时最热

网友推荐最新闻

找新借口针对中国,美国拉盟友追踪所谓“非法捕鱼”

“俄乌冲突再不改变,世界上近1/4的人将挨饿”

电气油全停,立陶宛成首个与俄能源彻底切割的欧盟国

找新借口针对中国,美国拉盟友追踪所谓“非法捕鱼”

一口恶气:莫里森失败,正合我意

刚赢得澳大选,他就宣布要去参加美日印澳峰会

芬瑞“入约”,为何土耳其“开价”、俄罗斯隐忍?

工党领袖赢得澳大选,曾卖弄对华“强硬”