人是网络安全最脆弱也是最关键的因素。
周鸿祎在今年的中国互联网安全大会(ISC)上谈到关于人的重要性,人即是网络安全中的软肋,也是安全中的关键一环,这也验证了本次大会的主旨——人是安全的尺度。
网络安全发展至今,已经逐渐转化成科技劳动密集型行业,而当今在安全人才供需缺口上依然存在数量级别的差别。会中,周鸿祎也提到“没有攻不破的网络”,而防御的关键就在于安全领域存在着众多的安全人才,在安全领域上默默耕耘着。
今天,来自全球20个国家,31家安全厂商的160多位安全领袖与专家与会,同时讲述了他们与安全的故事。
成为杰出的安全人才,到底需要怎样的成长?
Benjamin Kunz Mejri——没有“我”攻不破的系统 Benjamin 是 Evolution Security GmbH 公司CEO , 同时也是漏洞工作实验室的创始人,当他还是一个小孩时,他曾经遇到一些问题,就是没有办法进入到这个行业。原因就是因为他16、7岁的时候,当时安全漏洞市场暂时不存在,当时也没有平台可以做信息的交换,而且自己的学历也很一般,凭借基本的学历是无法进入这个行业的,所以 Benjamin 决定建立自己的基础设施。
对于漏洞实验室的建立是非常艰难的过程,因为当时全要靠自己,没有使用任何的开源组件,比如说20多人的开发者团队都没有,当时也没有太多的预算,也没有很多的资金,也都是自己一个人搞起来的。
只做一个实验室明显是不够的,所以 Benjamin 决定建立自己公司——Evolution Security GmbH,一开始还只是发现一些很小的漏洞,后来越做越大,而现在演变成集体出击,去攻破系统,这种攻破是出于安全的研究,科研,并不是为了去黑市卖钱什么的。
2012年,Benjamin 与航空公司开始合作,在很多国家的安全标准并不是很高,所以 Benjamin 决定建立足够安全的标准。
入侵他们,是为了让他们加强警惕。
Benjamin 公布一系列的漏洞,让他们识别出风险,并修复。在这之后基础设施在机场里面完全发生了变化,他们现在有安全的分析师,有更深的一些安全意识,进行不同领域的研究。
从13年到17年,Benjamin 开始对 ios 设备”下手”了,比如他们发现了:通过紧急呼叫来越过系统,你可能可以越过他的验证系统来进行攻击。 Benjamin 也是从设备当中读取了这些原始的原数据。
而在 16 年的时候,发现了在iOS8的版本里面的两个密码验证的漏洞。
现在 Benjamin 的团队每年都会发现2000个安全漏洞,他们也成为了前5大赏金的猎人,做的事情也得到了很多人的认可。
从满腔抱负到功成名就,我们可以看到在 Benjamin 身上,有一股韧劲。
Neil J. Walsh——死里逃生,当时决定自己要为这个世界做些什么
我来自爱尔兰的北部一个非常小的地方,当时是有一组恐怖主义分子,他们经常杀人,搞炸弹袭击。这在80年代的时候,90年代的时候,一直笼罩着我的童年。
我后来慢慢长大以后,我和我的爸爸曾经在我所来自的首都附近一个小店门口,我们俩站在那里,我和我的爸爸我们两个人非常幸运的躲过了一次炸弹袭击,但是我旁边有一个小孩却在这个事故当中死掉了。
女士们、先生们,当时那一刻我就决定,我长大在我的生命当中,要想办法让别人的生命更加的安全,生活得更好。
Neil J. Walsh 是联合国毒品与犯罪问题办公室网络犯罪全球项目主管。小时候的一一次经历,让他意识到应该做点什么了。在先是做了一段时间的警察后,Neil前往荷兰海牙欧盟的执法机构工作。
联合国的系统中,中国在政策方面的研究,能帮助各个国家共同面对在政策方面的网路犯罪的挑战,包括美国、日本、挪威在内都在一起打击犯罪行为。
Neil 现在做的项目,是帮助教授使用的教学材料,帮助他们去教授学生,抗击网络威胁。从小学、中学一直到大学的教学材料, Neil 的计划是在接下来的两年里面,希望出一做出些关键的教学材料,使他们能够提供给全世界的老师免费使用。
IT教育同时也是双刃剑。
在与 Neil 曾经合作过的国家里面,有几千个暂时未就业的IT从业人员,这么多的从业人员,他们的技巧非常高,但是自己却没有工作做的话,这里就有一个非常大的网络犯罪的风险,有些人可能想去使用自己的技巧,却没有用武之地,当然有可能就会犯罪。
Neil 发展教育,通过这种方式先创造一些就业,建立网络安全的行业,这样国家会更加的安全。
谈及自己早上收到同事发的一封邮件,内容显示现在很多孩子,甚至是婴儿会通过线上受到性侵犯,有些是被强暴,性骚扰和性虐待,甚至有很多的视频和照片出现在网上。他现在急需对警察和检察官进行培训,以及与私营部门合作,与社交媒体和网络安全公司合作,建立犯罪数据库,同时对孩子们进行网络安全教育。
Neil 自己也是有过在生死线上徘徊过的经历,了解到了生命是如何的可贵,用自己的实际行动让这个世界变得更安全了一些。
William A. Owens——无意间的举手之劳却救了一家人
80年代的时候,我是海军的四星上将,当时来到中国的海岸线上,有一天晚上,我看到了四个人,一个妻子,一个男性,两个孩子,他们也是把我吓了一跳,我给了他们一些冰淇凌,还给了他们一些钱,最终救了那个小家庭。
当时 William 在珍珠岛的时候,就被提醒不要违反原则,然而他还是肩负起了领导责任,通过一些小事,帮助了别人。
William 在今天的演讲中透过军事战争的演变来分析了网络战的发展。
网络战其实还是一个新东西,在 William 看来,从军事角度来说,是有一个看卡斯特公式的,通过这个公司可以衡量军队有多少舰船,有多少武器。现在发现,简单的衡量武器装备数量并不能体现一个国家的军事水平,这样的方法已经过时了。智慧战争,已经开始变革传统的军事战。
现在,国家已经不会通过衡量舰队的数量来衡量军事能力,而是花重金在智慧战争中,比如用传感器去看战场,使用大频段的网络等。
网络战也逐渐开始起主导作用。我们也需要找到一种合适的方式,出于国家良好的意愿,以及整个人类的和平,需要自己审视,自己能够在网络战中发挥什么样的作用。
网络安全新疆界 方滨兴院士——网络空间安全的定义与演进
信息安全,网络空间安全,先要分别说清楚。
网络空间安全和传统的信息安全有什么区别?首先要对它们的定义搞清楚,比如传统的信息安全就分成四个层次,最底层是设备安全,上边分别是运行安全、数据安全、内容安全。
方院士提到,第一个要讲的就是载体,比如水就是大海的载体;有载体还不够,还要有资源,刚才提到的网络空间的载体就是计算机,信息通讯设备等,其对应的资源就是数据;有数据还要有主体,而主体一般都是人;再有就是它的活动形式,海陆空中是物理空间,活动形式是运动,而在网络空间中,则要关注的是数据的操作。
对于网络空间的定义,包含以上的四个因素是最为完整的。
在网络安全战略中谈到,伴随着信息革命的飞速发展,互联网、通讯网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成的网络空间,正在全面改变着人们的生产生活方式,它的要素有设施、数据,同时还有用户和操作,操作包括它的应用之服务等等。等于在中国定义网络空间的时候就是强调了包括这四个要素。
定义应该覆盖所有的可能才是一个严格定义,所以在学术角度上来看,网络空间就是人类通过网络决策,依托信息通讯基础设施来进行广义信号交互的人造活动空间。
安全的范畴大大延伸,形成基于“424”要素的网络空间安全。
对于网络空间上的防护,方院士提出了自己的“424元素”,第一个“4”代表着设备、运行、数据和运用中所存在的安全问题,第二个“2”是两层,保护代码层和空间层,防止滥用这些系统;第三个“4”则是上文提到的4种要素。
网络空间的的发展随着技术,社会的发展而改变,需要采取法律、管理、自律等综合手段来应对,确保信息通讯系统及所承载数据的机密性、可鉴别性、可控性、可用性得到保障。
周鸿祎——大安全时代
周鸿祎演讲的内容是上午的最后一个议题,作为压轴出场,红衣教主也是围绕“人”这个尺度讲述了即将到来的大安全时代——WannaCry ,标志着大安全时代的到来。
红衣教主称,这个全球性的安全危机不但破坏大量高价值数据,而且直接导致很多公共服务、重要业务、基础设施无法正常开展。高校、加油站、火车站、自助终端、邮政、医院、出入境签证、交通管理、政府办事等多机构瘫痪。网络安全事件直接影响影响到了社会稳定和正常运行。
随着物联网、车联网和工业互联网的发展,他们开始成为网络攻击的目标,另外在物联网、车联网和工业互联网中开始使用一些人工智能技术,使用人工智能技术发展无人化的系统,无人值守的汽车、无人飞机、无人值守的武器,这些无人系统一旦被劫持,将带来更多、更严重的安全问题。
世界上只有两种系统,一种是已知被攻破的网络,一种是已知被攻破但自己还不知道。
现实世界中的任何网络系统,即使设计再精巧,结构再复杂,无一例外都会有漏洞,而且单靠购买和部署各种网络安全设备也无法防住针对未知漏洞的攻击。因此,网络系统的安全就如同马奇诺防线一样,靠防是防不住的,一定会被攻破。NSA的数据泄露和Mandiant被渗透,充分验证了没有攻不破的网络。
漏洞的价值不亚于传统战争中的炸弹。
WannaCry事件深刻揭示了漏洞就是未来网络战的关键,在网络战中,重要漏洞的价值等同于传统战争中的炸弹,谁掌握了对方的网络系统漏洞,谁就找到了攻击的突破口;谁能及时发现和掌握自身的网络漏洞,就可以先为自己夯实安全的堤防。
人是网络安全最脆弱的因素,攻击往往是从重要目标身边的个人开始,如目标单位供应链中的员工、目标政府官员身边的亲人等,然后以个人为跳板,进行横向渗透,最后对目标人物、组织和设施进行窃密和破坏。人也是网络安全中最重要的因素,网络安全不是购买并部署一批网络安全设备,堆砌一些产品和技术就能防的住的,还需要大量专业的安全专业人员来做分析、研判、响应和处置。
人也是网络安全中最重要的因素,网络安全不是购买并部署一批网络安全设备,堆砌一些产品和技术就能防的住的,还需要大量专业的安全专业人员来做分析、研判、响应和处置。
总的来说,人作为安全的“尺度”,对于互联网起着至关重要的作用。
这些内容同样不容错过 生物黑客 Patrick Paumen——出门不用带钥匙
我现在的身体内是14个植入物,有4个在我的指尖,这都是一些感应系统,它们不需要电池,所以可以永久植入。指尖有非常丰富的神经末梢,我可以通过它们感应到电磁场!
会上,Patrick也为我们分享了自己身体内 RFID 标签植入物的感受。
对于Patrick 来说,可能永远都不用担心忘带钥匙的问题,只要有体内的植入物就可以了。
Patrick 也在会上演示了自己是如何使用这个新的标签植入物,来去发一些加密的数据和邮件,他只需要按一个键,发一个信息,这里加密了。然后扫一下植入物,把邮件发送过去。这样的方式也保证了只有本人和收件人才可以打开邮件。
密码技术应用——密码技术的最新趋势 密码技术应用论坛,将重点探讨密码技术最新的发展趋势、理论前沿、应用成果以及国产化探索等问题。
信息安全国家重点实验室林东贷主任为我们带来了“密码技术前沿应用与发展”的议题,议题中谈到密码是网络空间安全的基础,是保障数据与通信安全,构建各类安全协议、安全机制与安全系统的核心技术。随着移动互联、云计算等新型应用的发展,密码算法的运行环境发生了巨大变化,现实应用的多元化需求对密码算法提出了更多更高的要求。同时,开放融台环境下层出不穷的多元化攻击手段,以及量子计算等新型计算技术的出现,也对传统密码算法的安全性提出了严峻的挑战。
中国科学院软件研究所副总工程师张振峰会上提到了同态密码技术的基本原理和核心方法,交流全同态密码的研究现状和发展趋势,探讨典型应用和面临的挑战。
现如今大数据已经渗透到各个行业领域,并逐渐成为—种生产要素,是企业最宝贵的资源。美国AT&T公司高级大数据工程师王伟也探讨了多方数据共享 、云计算和云存储、区块链、人工智能等各种不同的应用场景下的数据隐私和安全问题。数据安全和隐私问题,并且表示这些问题已经成为制约这些应用场景发展的瓶颈。
此次会议上,同时也谈到了关于量子加密,量子力学的出现可以说对于密码学的攻防都有加强, 强大的量子计算使破解密码的能力大大增强,而量子本身的“不确定性原理”又可以感知到是否被观测。
大会花絮
展出的网络安全概念车
行业网络安全专家千人计划
展出的可爱玩偶 *FreeBuf 官方报道,作者 LIki,本文禁止转载
