安全驱动下的数字新生活，第四届CSS互联网安全领袖峰会随笔

随着《延禧攻略》的一波热潮，清宫戏又双叒叕火了。据说本片原定是拍成穿越剧，天才少女魏璎珞从社会底层做到总统夫人是什么体验？结果因为某些原因未能成行，就改成了我们现在看到的版本。不过这丝毫没有影响万千少女对之的喜爱，甚至偶尔也会做做“回到清朝当王妃”的美梦……

做王妃可能挺爽（排除勾心斗角争宠夺嫡等一干桥段），但咱们可得好好算笔账。睡到中午起床的你叫了一份周末肥宅套餐，打开电脑先刷一遍社交网络，跟黑粉吵完架之后饭也到了，边吃边逛X宝，然后打开蒸汽平台，又是美好的一天……没了这些早就习以为常的生活便利，你真的能下定决心做回古人吗？

我觉得不行，虽然这些便利也就是过去10年不到发生的事儿。

去年的CSS大会上，来自卡巴斯基安全实验室的Vladimir Dashchenko和我们聊了聊2050年的世界，短短10年时间就能改变一代人乃至整个社会的生活习惯，2050年咱球该有多发达啊！ 很多科幻片儿的概念，可能正在慢慢变成现实。 由腾讯安全主办的CSS 2018互联网安全领袖峰会上，来自海内外的安全专家在此集结，带来了很多有趣有料的内容，比如下面这位。

三体

国际智能控制早期开拓者、中科院大佬王飞跃老师分享了他的三个平行世界安全观。一般人只熟悉两个世界，即“物理世界”和“心理世界”。但奥地利哲学家波普尔告诉我们，还有个第三世界——“人工世界”。他举了Alpha Go的例子，正常人类可能每天自己跟自己对弈几百万盘吗？人力有限，有些事情是时候让AI来解决了。安全亦如此。

在他的构想中，未来的世界一定是真人与人工智能一体化的世界。就技术发展而言，在机械化、电气化、信息化、网络化之后，人类已经进入了第5个技术发展阶段：平行化，即以虚实互动为特征的智能技术时代。人类以前总是在“物理世界”吃一堑，到“心理世界”长一智，几千年来轮回往复从未改变；这次则相反，要在“人工世界”吃一堑，回到“物理世界”长一智，通过虚拟对抗实现平行安全。（大佬标配：以哲学为出发点聊技术，再从技术回归讲哲学）

以大数据、机器学习和AI算法为驱动，传统安全产品也正在经历着“AI转型”，王飞跃的平行安全理论正经历着实践的检验。

王飞跃向大家描绘了他的期望，愿将来所有的系统都能在平行安全下得以保护，实现物理、心理、知识300%的安全。他引用了鲁迅先生的一句格言——“于无声处听惊雷”，也许这就是平行安全的真谛吧。

在云端

在过去一年中，勒索病毒持续活跃，安全行业更是曝出史诗级CPU漏洞，直接导致硬件级城墙的洞穿。可是，在过去十年以来，全球各大企业对安全的投入不止翻了十倍，各类安全公司皆不遗余力的开展研究和创新，但为什么我们的网络世界在今天，依然疲于攻防应对？

当下，随着网络空间的快速演进，新业态、新生态生机勃发，从二维空间到叠加了物联网和云的四维复合生态空间后，安全早已超越了技术的范畴，与整个产业的变化更加息息相关。

腾讯云副总裁黎巍在演讲中表示，通过长期的探索和实践，腾讯云已实现以大数据、 AI算法为驱动，构建应用于安全领域的知识图谱、图像识别、自然语言处理、知识表达等AI能力，以逐步取代传统的规则对抗。得益于多年来腾讯公司的开放和连接战略以及不间断的研究投入，腾讯云已经成为一个连接各行各业的生态系统。

偷偷捎带点私货，这里有一篇我们前几周出品的关于腾讯云管家WAF的体验心得，聊了聊AI如何成为WAF市场转折的趋势，非常专业（就是这么自信），值得一读~

窃听风暴

近期有个很火的新闻，受害者一觉醒来发现自己所有账户都被盗了，一夜回到解放前。骗子通过短信嗅探技术获取了用户的验证码，从而实施犯罪。 来自Security Research Labs的首席科学家Karsten NohI 六年前就玩透了短信嗅探技术（这位也是老朋友了，大家可以下载SRL开发的 SnoopSnitch 玩玩，测一测你的手机漏打了多少安全补丁），是一名移动安全专家。今天他要跟我们分享的标题是《We will Never be Fully Secure,and That is Good.》，主要讨论了安全开发与落地中的一些心得与见解。

Karsten 展示了两张照片，一名白领女性和一位印度农民，并留下一个问题，这两个人谁将更快实现数字化？答案稍后揭晓。

业务与安全的矛盾是永恒的话题，在他的观点看来，过分强调安全或对安全视而不见都会损害创新，因此要找到合适的平衡点。2012年Gartner提出DevSecOps，很多人都认可甚至迫切想看到DevSecOps发挥优势，但事实情况确是有关DevSecOps的实践并不多见，从概念到落地仍然需要时间的积累。

国外的一份调查针对北美大公司和中小企业的200多名安全、开发和运营专业人员发起了问卷，结果显示，DevSecOps的理念易于理解和接受，也经常受到公司赞誉，但却没有多少实践案例。造成这种情况的主要原因是缺少高层的支持，业务领导者甚对此并不鼓励。52%的公司承认会削减安全措施，以便在截止日期前完成目标。

很多初创小公司，往往可以直接使用最新的技术，避开很多历史遗留问题（无论是技术上还是管理上的），这是很多大公司不具备的优势。以4G网络为例，几年前4G还是最新的技术，一家新公司可以直接忽略2G、3G，这样很多陈旧且并不那么安全的协议就可以被绕开了。如果你有拥有很多仍在使用2G网络的用户，那么遭到伪基站攻击的风险就大大增加了。

回到开头提出的问题，这两个人谁会更早实现数字化呢？ Karsten 认为是那个印度人，因为他还没有接触任何技术，通过政府给他的补助，仅花8美元就可以买一张4G Sim卡（印度人民水深火热）。直接使用指纹进行支付，短信验证码什么的，对他来说已经过时了。

达芬奇密码

因为突发状况， Bruce Schneier 竟！然！鸽！了！可以说很多观众就是为了一睹这位大佬的真容才来的，真的是非常可惜了……不过他还是为这次演讲专门做了一段视频，抚慰了一下观众们受伤的心灵。

提到Bruce Schneier，在安全圈绝对算是如雷贯耳了。他曾被外媒列入世界十大科技作者（这十大里包括牛顿和爱因斯坦），也是Dan Brown的悬疑小说《达芬奇密码》里的安全专家原型，最出名的著作为《应用密码学》。

Bruce Schneier提到， 当前的安全环境比他年轻时更加多变，因为要测试的东西实在太多了，这不仅是现状，也是未来的发展趋势。成千上万的IoT设备在不同领域各司其职，他们拥有不同的系统、规格与标准，因此IoT安全问题会非常复杂。

假设你的手机两年一换、DVR五年一换，冰箱十年一换、调温器一辈子不换，这些变化也会影响安全。假设我买辆车开了两年，然后卖给别人，别人又开了十年，然后再卖给别人，甚至可能卖到别的国家再开二十年 （美国国情） ，这都会带来各种安全方面的不确定性。

面临愈发严峻的安全形势，Bruce Schneier再次强调了体系化防御及安全设计的重要性，说白了就是从一开始就明确安全的重要性、预测可能出现的问题，被动等待绝对是最差的选择。另外，他还强调了在政策制定中我们需要技术人员的参与。当前的互联网安全牵一发而动全身，正确的政策知道是非常重要的，而技术人员的参则是重中之重。

步履不停

今天的大会上，腾讯高级副总裁丁珂围绕四个关键词：“行业共建”、“生态共治”、“政府监管”和“企业自律”，对数字经济时代的安全趋势做了研判和解读。丁珂表示，数字经济时代信息安全已不只是一种基础能力，还是产业发展升级的驱动力之一。安全是所有0前面的1，没有了1，所有0都失去了意义。

此外，他还指出数字安全新生态建设需要在两大路径上继续努力：

首先，是安全升维，安全问题未必出现在原有的体系内，因此，企业要以全新视角去理解安全问题；

其次，是转换安全观，以协作为基础，推动政府、企业、用户联动，共同提升防护意识。

丁珂认为，可以从“一横一纵”两大维度为数字安全新生态建设提供助力，全面开放腾讯在安全领域的技术能力和平台资源，并期待携手更多伙伴，完善安全驱动力，推进数字安全新生态建设，继续为“数字中国”提供助力。

今天没来得及拍花絮照片儿，就到这儿，咱们明天的议程再见。

*FreeBuf官方报道，本文作者：Akane，未经许可禁止转载