从人工智能到国家重器 看安全大脑的历史使命

11月7日,第五届世界互联网大会于乌镇正式拉开为期三天的帷幕。今年大会的主题,是“创造互信共治的数字世界——携手共建网络空间命运共同体”。“网络空间”承载着各国的未来,“互信”、“共治”的背后是国家间的“看不见的”博弈。网络安全综合实力,便是这场长期博弈的重要基石。

今年9月,在亚洲规模最大的信息安全行业会议——互联网安全大会(ISC)的开幕式上,360集团董事长兼CEO周鸿祎就对360“安全大脑”的价值(应对大安全时代的网络威胁),以及开放、共建、“打造成信息领域的核心技术和国之重器”的意图,做出了详细的阐释。此次,借入选第五届世界互联网大会“世界互联网领先成果”的机会,红衣教主周鸿祎带来了关于安全大脑更多的思考。

360集团董事长兼CEO周鸿祎

建立安全产业生态 打造国家网络安全重器

信息安全的概念已经“被迫”向大安全扩展。这既是数字技术和应用不断迭代的必然结果,更是受到各国在网络空间博弈——这种安全技术、理论、思想都快速迭代的“超竞争”形势所迫。试图在一定程度上减少各国间通过网络安全技术实现的恶性竞争,在记者看来也是此次世界互联网大会重申“互信”的重要原因之一。

周鸿祎在会上表示,现今,网络威胁的发展速度,已经超出单靠人类自身可以有效遏制的范围。数字世界中必然存在的不可知的漏洞、数以百亿物联网设备所增加的攻击面、不断进化的高级攻击手法,让我们面临更大的安全挑战。AI的加入,无疑将成为辅助人类进行分析和决策的关键因素。

全球顶尖的IT企业,对人工智能的探索已经有多年,借助AI、大数据分析等技术实现自动化和智能化(学习和思考),以IBM Watson为例,已经在包括医疗、时尚、旅游等多个行业有广泛应用实例。网络安全领域的需求虽然不尽相同,但其依赖的基本能力,对大量人工分析效率低下的(安全)数据进行快速分析、处理,却也基本类似。

当然,AI在网络安全领域的应用也不是首次。但以“安全”为基因,综合360十余年所积累的海量数据,4千余种相关专利技术构建起的“分布式智能网络安全防御系统”——360安全大脑,有两个重要且独特的优势。

一是在数据方面。

AI驱动的分析引擎,其分析结果的准确性受训练和分析数据的影响很大。不夸张地说,高质量的训练和分析数据,是重要的前提。既然叫做“大脑”,自然就需要对外界信息的捕获和感知。作为安全厂商,360有丰富、专业的安全数据来源。这些脱敏后用于安全研究的数据,来自包括360智能手机和其智能硬件终端,360的终端安全软件,部署在企业网络中的安全设备,合作的电信运营商的骨干网数据等等。大量、多维度的实时安全数据,让“安全大脑”在数据获取这一初始环节就有了更多的可靠性。

二是在安全能力方面。

360有多个安全实验室,比如专精恶意样本分析、恶意软件家族和APT攻击溯源的“追日团队”,专注车联网安全的“SkyGo团队”,漏洞研究的“伏尔甘团队”,和通信安全的“独角兽团队”等。这些安全实验室所代表的安全攻防能力,之于安全大脑的意义,不仅在于对威胁深刻的理解、安全分析方式方法的认识,更重要的,在于保护安全大脑自身的安全,保证其不被恶意攻击和滥用。这也是许多全球IT大厂对AI引擎的应用,不够重视的一点。

当然,仅有以上两点,绝不足以支撑这个庞大的AI引擎。人工智能相关算法、大数据平台和算力等方面,也都是360安全大脑的重要支撑。安全大脑所代表的5点突出能力,威胁感知、推理溯源、攻击预警、决策辅助、自我学习,就是这些优势汇聚后的具体体现。

对安全大脑定位的理解,外界更多的认为其是360另一个平台型安全产品。但其实,周鸿祎更愿意把它看作未来5到10年解决网络安全问题的一种技术思路或方向。如果用此次世界互联网大会的关键词来表述的话,就是“共建”,打造开放生态。

通过数据、算法算力和服务的开放与共建,我们可以围绕安全大脑,建立智能、安全的开放创新生态,并将安全能力的应用从传统的未来安全领域扩展到智能制造、智慧城市、移动互联网等领域。最终,借助生态的力量,通过互信、共治的机制服务整个产业、服务国家,打造一个可以保障国家级网络安全的重器。

赋能移动安全实例

移动互联网应用的发展,中国走在世界前列。移动安全领域,中国的安全工作者也有绝对的发言权。移动app是企业和用户交互实现的载体,更是安全实现的源头。安全大脑在移动互联网领域的赋能,目前更多的是借助三六零天御和三六零问天两款移动安全产品体现。

“天御”类似一个“武器库”,其中“加固保”是核心产品。通过保护应用的核心代码、保证资源文件和应用自身的完整性、以及应用运行时安全,保护着总计10亿手机终端,超过80万款app。“问天”则是一个移动端综合威胁感知平台,通过在异常设备定位、应用安全风险分析&预警、应用仿冒打击四个角度进行风险感知,和“天御”形成“感知->分析->处置”的闭环。

一言蔽之,借助“天御”与“问天”,360安全大脑对全球最新移动端攻防态势的跟踪,以及事件发生后响应的即时性和全面性,在移动应用开发和运营侧有最明显的体现。这也是拥有安全大脑加持后,在移动安全方面能力最大的不同。

以安卓应用常见的“盗链”和“app破解”两个用户痛点为例,记者采访了360开发者安全产品产品负责人刘存,将客户需求和防护思路整理如下:

版权视频和用户资源是一个视频站点的核心资产。通过模拟真实用户行为,或者拿到目标app的so文件后私用,可以盗取深度链接,免费为自身平台用户直接播放其它视频站点的付费视频,以获得用户。这也是目前部分聚合视频平台主要侵权手段。由于不做原视频页面的展示,视频版权方不仅没有广告收益,难以收回版权成本,带宽资源被非法占用,同时,用户群也会有所流失。

通过技术手段防止盗链,一直不是件容易的事情。首先,安全防护的前提,是保证防护后的用户体验,即应用的稳定性、启动速度、下载和更新(包体积)等。其次,在防护技术方面,因为各厂商app开发并没有统一规范,从内核代码的漏洞,到app的逆向,都要有对最新技术的跟踪以及应对。

和盗链类似,破解版app的“价值”,在于通过免广告(包括应用的启动,以及资源中内嵌的广告)、免会员等方式,吸引用户。在国内,破解版的app,其规模甚至已经成为一个小的生态。破解版app不仅破坏了对版权的投入,更直接损害了众多app开发者的利益。

应对这两个痛点,据刘存介绍,目前思路以开发阶段“加固&核心模块保护”,以及上线后的监测为主。包括对高危漏洞检测;将视频本身的so文件和加固后的so文件合并,生成新的so库;加入so文件的校验机制(校验逻辑加密),使用的新so文件和应用绑定;基于流量和历史数据,进行入侵安全检测,以降低漏报。

(每个版本)上线前的评估和加固,以这些开发者工具为载体,安全大脑对最新攻击手法的覆盖,可以让用户的app的安全能力在移动安全攻防的前沿。同时,有了安全大脑的高效分析处理,天御的架构才可以以至少两周的速度进行更新,在安全性和性能等方面做优化。

上线后,对应用安全性和状态的监测(崩溃分析),则更多是由“问天”来完成。安全大脑接入了大量安卓应用市场、360个人/企业级移动安全产品、安卓安全攻防研究(如360烽火实验室)等针对安卓的安全数据,将它对整网移动安全态势近乎实时的理解,通过“问天”结合用户的风险感知需求,交付给用户。

上一篇:从CISO到DPO 现在虚拟安全官(VSO)来了

下一篇:英特尔处理器中发现侧信道攻击漏洞 PortSmash 可能导致敏感数据被盗