小咖见大咖:阿里巴巴资深安全专家杭特,跟我们一起扒一扒为什么安全圈儿里全是攻?
根据《第十一届网络空间安全学科专业建设与人才培养研讨会》的数据显示,“我国网络空间安全人才年培养规模在3万人左右,已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。”缺口不小,但目前安全人才的历史存量和每年的增量,其结构是不是合理,是否反映了产业的需求呢?
阿里安全资深专家杭特在安全行业从业十余年,甲方和乙方公司都有经历。他认为,相对于欧美等发达国家,国内人才培养在结构和技能方面,有几个“怪现状”。
杭特这个名字,来自于Hunter重视“攻”,轻视“防”
攻防就如同硬币的两面,哪一方面都不可或缺,因此才出现了“以攻促防”,“未知攻,焉知防”之类的金句。但现实往往不尽如人意,这些金句实际上也只做到了前面一半,后一半则明显薄弱,最终成了“虎头蛇尾”,“强弩之末”。现在安全人才在总数不够的前提下,防守人才更是极其匮乏,比例严重失调。表现形式很多:
情形1:对于搞Web漏洞和渗透的人,八成以上不知道怎么搞SDL;
情形2:技术类的文章,大部分都是攻击挖洞类的文章,至于防护方案,通常只有短短几句,“已将问题提交厂商”、“不要使用弱口令”、“及时更新系统”等等;
中国网发起成立元宇宙国际传播实验室:6月1日消息,5月31日,由中国外文局(中国国际传播集团)下属中国互联网新闻中心(中国网)和当代中国与世界研究院共同发起的“元宇宙国际传播实验室”宣布成立。据实验室负责人介绍,元宇宙国际传播实验室将围绕“元宇宙对国际传播带来的挑战与机遇”“基于元宇宙的跨文化交流形态和国际传播策略”“虚拟形象与智能问答机器人”“沉浸式虚拟空间与文化传播”“数字藏品/NFT”“区块链在国际传播中的运用”等多个方向开展课题研究,并定期举办“对话未来”系列学术沙龙,邀请专家委员会成员、产业领军人物、技术创新带头人等与青年人对话。中国社会科学院新闻与传播研究所所长、中国社会科学院大学新闻传播学院院长胡正荣作为首期主讲嘉宾,作了“元宇宙赋能国际传播”专题演讲。(中国新闻出版广电报)[2022/6/1 3:55:30]
情形3:一个个基础系统被攻破,2G有伪基站、4G也能被降级劫持、Wi-Fi不可靠、蓝牙不安全,操作系统天天打补丁还能被控制。安全Geek们无所不能的同时,也得保护好自己,把自己武装到了牙齿,“我小心故我安全”,但想做到独善其身很难,你的爹妈和亲戚朋友可咋办?别说那些高大上的,密码太多记不住,这么现实的问题,让岁数大的人怎么解?
艾安军:构建区块链监管沙盒,构筑中国网络安全的新力量:3月29日消息,部原十局局长艾安军在局·势 | 新力量 2021 区块链生态应用创新峰会上表示:随着新基建加速落地,新基建安全,尤其是5G、工业互联网、数据中心、人工智能等数字基建的安全问题受到业界高度关注。
区块链监管需从以下三个方面实现:一是整合链上链下数据,以及不同区块链系统的数据,形成统一的综合性区块链信息库,并实现高效智能的信息检索查询管理;二是实现对区块链系统中各种交易模式的识别,进一步分析识别出非法的交易行为;三是分析区块链链上数据中的非法舆情信息,以及链下的互联网和现实中的区块链相关舆情信息,实现全面的区块链舆情监测。在行业标准层面,加快形成数据产权保护机制,促进数据产权标准化,构建行业标准体系,在数据产权清晰的基础上推进行业自律规范。在市场应用层面,形成市场与政府协同管理机制,确保数据从采集到应用再到交易等环节的安全可控。面对新基建浪潮的全面开启,我们要进一步提升在高速数据处理、海量数据获取和深度信息挖掘上的技术能力,积极利用人工智能、边缘计算、区块链等新技术,持续优化网络智能化产品体系,构建开放的安全平台,为新基建加速落地以及数字经济蓬勃发展奠定安全基石。[2021/3/29 19:26:13]
依大咖杭特之见:攻击技术很重要,相关人才也要占领高地,高价值漏洞这样的战略武器一定要有,但这绝不是网络安全的全部。打个比方,相对于目前多方都有“NUKE”的现状,造十枚还是百枚核弹并没有区别,反而是类似于美国的TMD更显重要。我们有如此多的系统需要建长城来守卫,期待更多防守人才的出现和贡献。
中国网安区块链研发中心安红章:区块链核心技术有待突破:今日,中国网安区块链研发中心总经理安红章在经济日报上刊文称,区块链技术的集成应用在新的技术革新和产业变革中起着重要作用。区块链技术利用其去中心化、不可篡改、可追溯等特性,在疫情防控和复工复产中小试牛刀。相比人工智能、大数据、云计算等新技术,区块链技术在疫情中的应用尚处起步阶段。区块链技术正在积极寻找适当的商业应用场景,核心技术问题仍有待突破。由于缺乏跨地域数据共享、技术协同平台,不同省市的区块链技术标准不同,多方实体的数据协调难度大。区块链应成为解决省际流动人员健康数据互信问题的关键技术,因此应推动区块链的基础设施建设。[2020/5/6]
重视“攻防”,轻视“数据”
大部分业界从业者认为,安全就是Security,但实际上对应的英文单词有两个,我们先来区别一下。
Safety:确保生命、健康、财产、权益人数据及物理环境等方面不存在灾难性后果;
Security:内外部的保护,以避免无意或者未授权的访问、改变、破坏或使用。
之前网络安全大部分都属于Security的范畴,但随着IoT和ICS的出现,动动鼠标也能物理危害人身安全,从而扩展到了Safety的领域。由于Safety更注重能影响物理世界的安全,因此作为争夺“EIP”控制权的“攻防”是最为重要的;而Security要重点保护的,其实是“数据”的控制权。
卫士通:控股股东中国网安参与制定贵州省区块链标准:卫士通公司(002268.SZ)近日透露,贵州省近日正式发布4项地方区块链标准,其中公司控股股东中国网安直接参与制定了《DB52/T 1466-2019 区块链应用指南》和《DB52/T 1468-2019 基于区块链的数据资产交易实施指南》两项标准,间接参与制定了《DB52/T 1467-2019 区块链系统测评和选型规范》和《DB52/T 1469-2019 基于区块链的精准扶贫实施指南》两项标准。[2020/3/12]
可惜的是,绝大多数的安全人才都把精力放在“攻防”上,认为只要拿到控制权,就能拿到数据,但事实真的如此?举个反例,不考虑物理攻击,现在iOS的指纹数据貌似还没有人能拿到,即使能完美越狱又如何呢?在这里笔者再引申两个问题,供大家可以思考:
问题1:不借助硬件,有哪些领域的数据安全需求是和漏洞一点关系都没有的?
问题2:不考虑可用性问题,一个系统给你root/admin就真的非常可怕?
依大咖杭特之见:安全要搞清楚保护的对象是什么,而这些对象也随着产业发展不断变化。“EIP”控制权的争夺应该更多的面向与物理世界相连的设备,而其它的场景,则应该重点关注“数据”的控制权。数据已经成为DT时代的石油,是产生价值的新能源,如果还是用传统的漏洞思维来谈数据安全,是肯定做不好的,密码学久违的春天已经到了。
动态 | 《中国网络社会治理研究报告》:防患人工智能、区块链、全媒体等前沿技术带来的风险:12月5日,暨南大学新闻与传播学院、人民网舆情数据中心、社会科学文献出版社联合发布2019年《中国网络社会治理研究报告》蓝皮书。蓝皮书指出,随着5G网络基础设施不断发展,5G时代人工智能、区块链、全媒体的治理应关注以下几点:第一,要着眼于推进国家治理体系和治理能力现代化,改变以往“先发展后治理”的方式,要一手抓发展,一手抓治理,防患人工智能、区块链、全媒体等前沿技术带来的伦理、隐私、安全、信息地缘等风险。第二,要把握人工智能、区块链、全媒体的技术属性和社会属性双重特点,正确处理好创新发展应用与确保安全有序的辩证关系,建立一整套围绕这些新信息技术发展与应用的伦理、规范、政策、制度和法律等治理规则体系。第三,要统筹国内国际两个大局,在人工智能、区块链、全媒体的治理规则上既有中国特色又有全球视野,提升中国参与全球互联网治理的制度性话语权。(中国经济网)[2019/12/6]
重视“单点、破坏”,轻视“体系、建设”
安全有一个著名的木桶理论,“系统安全性的整体水位与最脆弱的组件水位相同”,绝大多数的人都在“集中优势兵力,从系统最薄弱的地方突破”,可是破坏容易建设难。当要保护的对象足够多、足够复杂,如何能成体系地进行安全建设,如何能将安全威胁收敛到可控的程度,是一件非常有挑战的事情,下面列举几个:
反入侵:对于所有的企业,这都是个令人头疼的挑战。有句笑话,“世界上只有两种企业,一种是知道自己被入侵的,一种是不知道自己被入侵的”。反入侵需要非常体系化的架构来控制风险。很多企业借助众筹或蓝军模拟渗透找到某些脆弱点并完成修复,认为这样就能高枕无忧,这种做法只是暴漏了很小的风险,连标都没治,更别说本了。实际上SDL只是标配,WAF、RASP、各种监控、各种数据、各种算法,安全建设的任务艰巨……
供应链安全:前几年APT热火朝天,各种0day满天飞,门槛也快速提升,攻防双方的日子都不好过。东边不亮西边亮,随着XCodeGhost的爆发,xshell、CCleaner、pip、nodejs接连中招,原来还可以这么玩?目前发现的例子都是事后,还有多少掩藏在冰山之下?目前还没有特别有效的防护方案,要么太重型,要么太晚,面对连规则都没有的目标,希望渺茫。试问有哪个企业和组织可以置身事外?别以为有源码就安全了,pip和nodejs都是源码,更别说还有算法级后门了。
防止钓鱼:安全培训天天讲,可是社工这一关很多人就是过不了。别看对手low,效果还异常的好,毕竟明易躲,暗箭难防。
依大咖杭特之见:安全本不是平等的对抗,打开恶魔的盒子不那么难,但灾后重建却异常艰难。相对于“千里之堤,溃于蚁穴”的蚂蚁,业界更需要的是为生态授粉、创造自然奇迹的蜜蜂。
重视“技术”,轻视“业务”
安全是个技术对抗非常激烈的领域,但这并不代表技术高超就能把基本问题解决的很好,黑灰产对抗就是个非常好的例子。作为一个产业,现在的黑灰产已经形成了一个完整的链条,每个环节都有大量的从业者各司其职。相比较那些神奇的0day,除了极个别情况,黑灰产使用的技术都是相对基础的。即使如此仍然有大量网站被简单的注入或者弱口令攻破,无数个人信息都在地下黑市被贩卖,如果没有徐玉玉案件引起国家重拳,现在的情况可能更为糟糕。商业上的薅羊毛也让众多电商网站承受资损并搅乱了市场公平,但行业里相关的人才却很稀缺。
依大咖杭特之见:有数据表明,黑灰产的市场规模已经和网络安全市场的规模相当,都是千亿规模。整个业界的技术支持配比是否应该向1:1努力?
重视“反向能力”,轻视“正向能力”
很多人都是从渗透、逆向、分析漏洞入门的,其实这些都是反向能力,如果要达到相反的目标,也就是防止渗透、防止逆向、设计没有漏洞的系统,一种是“反反向能力”,一种是“正向能力”,两者并不相同。其实这个和汽车工业有些类似,早期自主品牌造车都是逆向起家,买辆样车大卸八块,试图造出差不多的产品,吃夹生饭的结果就是动力、油耗、安全性都与原型相去甚远。下面再举几个例子。
逆向与混淆:逆向是二进制安全的基础,但对于很多公司来说,防止产品被逆向进而保护知识产权,是个硬需求。业界目前采用的常见手段就是花指令、防调试、执行流混淆、普通壳、虚拟机壳、白盒密码。除了白盒密码,其它的都属于“反反向能力”,虽然在现实场景中大量应用,但首次分析和二次分析的强度及有效度无法用数字来度量,虚拟机壳效果好一些,但通俗点讲就是对小白很难,但对专家不难。白盒密码属于“正向能力”的初级阶段,强度至少可以通过数量级来衡量,但不幸的是,目前最好的白盒密码也撑不过28天!美国已经开始高级阶段,至少10万美金的挑战赛还没人成功,东西方差距明显。
可靠软件:如果要开发一个功能,并确保安全可靠,很多人意识里就那么几招,功能测试、覆盖率测试、黑盒fuzz、白盒代码扫描,技术高级点的再加上个符号执行,这些也都偏“反反向能力”,因为这些测试全通过了,也不代表是安全的。有些人可能会说“本来就没有绝对的安全”,但这些测试本质上并没有说明哪些是应该的、哪些是不应该的。而“正向能力”就是要解决这些问题,这也就是为什么别人有信心造出“无法劫持的无人机”、“功能实现正常的加解密算法和协议”。
Chrome与NaCl:如果要在浏览器上运行第三方插件,对性能要求高,必须得跑x86机器码,但如何保护安全性呢?“反方向能力”基本就是inlinehook、调试器监控异常、DBI、虚拟机执行,属于哪里有问题就去堵哪里的策略;“正向能力”就如同NaCl这种,确保生成的代码必须符合规范,并利用x86的体系架构,在加载的时候,只要通过验证就能确保安全性,其强度远超虚拟机。
依大咖杭特之见:精通反向能力,未必能做好正向能力。国内的反向能力与世界水平相当,但正向能力却实打实的低下,我们也应该开始重视正规军的建设了。
重视“人肉”,轻视“自动化”
虽说安全的本质是人性的斗争,人的因素不可或缺,但目前大量的工作都是低级重复性的。比如漏洞分析和逆向,除了少数特别复杂和高深的对象,大部分就是纯体力劳动,以下的场景很普遍。
依大咖杭特之见:对于企业,如何才能让安全从业者从繁重的分析中解脱出来,更多的聚焦更有价值和挑战性的工作?如何能将部分能力沉淀到平台而不强烈依赖个体,进而更好的规模化、易用化?
最后,大咖杭特有话说:
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实的众多名门正派,我国的人才更多的属于旁门左道,因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
布洛克城”是GXChain推出的区块链虚拟城市,你可以在布洛克城创建独一无二的区块链身份,通过区块链存证,确保你的身份信息真实可信,未来你可以在布洛克城进行社交、购物、交易等各类活动.
1900/1/1 0:00:00时代周报记者吴绵强发自北京国内民营体检行业的双雄之战再有新动作。北京时间3月12日晚间,爱康国宾发布公告称,收到来自云锋基金和阿里巴巴的收购提案.
1900/1/1 0:00:00在所有的财富神话里,我听过的最悲惨的故事是,“曾经,有一些珍贵的比特币摆在我的面前,我竟然一脸漠然视而不见”...... 火爆的比特币 多年前,没有人会想到,数字货币会有改变人生的力量.
1900/1/1 0:00:00各种价值千万的豪车 相信我们都在网上看过 但国外的这些 “史上最强消防车” “迪拜克尔维特超跑消防车” 估计大伙没有见到过 光是看着威武霸气的紧急特种任务车辆外形 就已经让人欲罢不能 ↓↓↓ 英.
1900/1/1 0:00:00据中国之声《新闻纵横》报道,尽管比特币备受争议,但其技术支撑的区块链价值则受到业界普遍认同。甚至有人把它称作是继蒸汽机、电力、互联网之后的下一个颠覆性创新.
1900/1/1 0:00:00一年之内,凭两部作品分别获得金像奖和金马奖的最佳女主角,惠英红实在太厉害了!在2017年11月25日的金马奖颁奖典礼上,《血观音》获得最佳剧情片、最佳女主角、最佳女配角三项大奖.
1900/1/1 0:00:00