360集團技術總裁兼首席安全官 譚曉生
文 / IT創事記 祁萌
在生產力提高,成本降低的“誘惑”下,沒有人能拒絕一個萬物互聯的當下和未來,即便我們清楚地知道它的危險所在。
“世界上只有兩種網絡,一種是已經被攻破的,另一種是還不知道自己被攻破的。”2015年中國互聯網安全大會(ISC 2015)上,曾經的美軍網絡司令部司令基斯·亞歷山大言之鑿鑿。
現在,伴隨著雲計算、移動互聯與物聯網等技術的演進,網絡空間的安全威脅更已今非昔比——它已不是偷盜網絡資產的間接傷害。穿透網絡空間和物理世界的邊界,造成現實世界的物理損害,在今天都已不是聳人聽聞的談資。
“關鍵基礎設施、工業系統、智能汽車、數以億計的各類智能設備,都可以被攻擊,造成物理和人身傷害。”譚曉生說,這是“大安全”時代面臨的一些典型的安全挑戰。譚曉生是360集團技術總裁兼首席安全官。
在5月16日召開的第二屆世界智能大會上,360集團董事長兼CEO周鴻禕首次提出了“安全大腦”的概念;次日,譚曉生解讀了它。
多重因素加深了網絡安全威脅的嚴重程度。
網絡是一個整體,任何一個薄弱點發起的攻擊都可能引發災難——萬物互聯的美麗新世界更是讓這個整體趨於無邊無界;同時,深度學習和人工智能等技術的演進,讓這個世界變得更為智能,但同時讓也網絡攻擊走向了自動化和智能化。
譚曉生拿DBIR(Verizon發佈的《數據洩露調查報告》)2018年與2015年報告對比,得出了一個好消息,和一個壞消息。
好消息是,3年過去了,攻擊檢測發現的時間比之前稍微早了一些,人們作出反應的時間也稍微提前了一些。
壞消息是,大趨勢並沒有改變。攻擊者在秒和分鐘級得手,防禦者則仍以月為單位進行著響應——面對海量安全事件,人力已經無法及時有效分析處理。
一組調研數據顯示,網絡安全人員在2017年的缺口是70萬人,預計到2020年,這一缺口將達到140萬人;而目前,我國每年培養的網絡安全人員目前僅3萬人左右。
人力缺口促成了互聯互通背景下對智能型安全大腦的剛需。效率的提升只能依靠第一生產力——科學技術。
尤其是類似於一些威脅著國家安全的高級持續性威脅APT,其攻擊越來越隱蔽,也越來越難以從局部被發現。“這就更加要求安全領域必須謀求建立一個全局視角。”譚曉生說,類似於“上帝的視角”。
9年前,一款智能查殺引擎QVM,開啟了360基於人工智能產品的自主研發進程。這款全球首個採用人工智能和機器學習技術的反病毒引擎,今天處理的樣本量達到了180億。
藉助人工智能等技術,QVM基於180億樣本持續自學習。目前,其未知惡意軟件檢出率超過99%,誤報率已做到了小於0.01%.
2017年,WannaCry勒索蠕蟲爆發後,QVM在1個多小時內便找出了它的數百個變種——這顯然只能依靠人工智能算法進行匹配,人力早已望塵莫及。
智能查殺引擎QVM,是360安全大腦的一個典型應用場景。它指向了一個問題的兩個方面,即升級的網絡安全威脅,和同樣需要升級的網絡安全防護理念與技術。
現在,QVM已經成為新發布360安全大腦的一個典型應用場景,與網絡安全態勢感知能力、APT溯源分析、Mirai物聯網殭屍網絡攻擊預警,和AI輔助決策等,共構成了目前安全大腦五大主要應用場景。
與QVM取得的“戰績”相仿,在這些應用場景中,360安全大腦發佈前就已表現出了令全球同行刮目相看的能力。
美國東部斷網事件中,360提前45天監測到Mirai殭屍網絡掃描,並提前6天發佈了預警報告。
一些明確的榮譽佐證了360當下的技術能力。
2016年,360安全團隊獲得包括蘋果、谷歌和微軟等公司的致謝共計408次,相應排名升至全球第一,並超過此前第一的谷歌團隊。2017年,這一數字提升至519次,360蟬聯第一。
“漏洞相關研究能力上,我們是全球最領先的廠商。”譚曉生可能也沒想到,有一天他可以這樣略帶平淡地表述這一點。
顯然,技術能力是360得以首推安全大腦的一個核心要素。同時,360在人工智能及大數據領域,具有深厚的技術積累和經驗優勢,這包括,百萬億級的安全大數據積累;10萬+臺服務器的計算能力;百億級特徵處理,千億級圖計算等智能算法支撐;再加上全球領先的安全漏洞挖掘和攻防能力,以及全球最大的安全知識庫等。
網絡空間安全建設的一個目標,是讓計算機系統能夠智能化地處理安全問題,對攻擊作出自覺的反應。
9年前,360安全開始對這種“玩法”進行投入,並有了今天的QVM。
譚曉生說,在經歷了9年的成功與失敗後,伴隨著人工智能算法的技術進步,360安全希望告訴業界,網絡安全其實可以有一種新玩法——用新技術來幫助我們提高網絡安全的檢測和快速響應的能力。
它涉及了當下幾乎所有熱門的技術領域,如“ABCIB”,即人工智能、大數據、雲計算、IoT智能感知和區塊鏈等。
與影視作品中人工智能或超級計算機的形象大相徑庭。在現實的網絡世界,要保護國家、國防、關鍵基礎設施、社會、城市及個人網絡安全的“安全大腦”,如今呈現為一個分佈式智能安全系統,就像360安全大腦當下呈現出來的形態。
與人的中樞神經系統傳輸模式類似,360安全大腦的威脅響應流程包括了四層結構,如安全應用層、智能服務層、數據服務層和數據採集層等。
基於四層結構,“360安全大腦目前已經具備了人類大腦處理安全問題時所需的五項核心能力。”譚曉生說。它包括了感知、學習、推理、預測和決策。
這些能力讓360安全大腦可利用數以億計的智能終端,採集數據和信息,經過智能化的分析,感知安全風險;具備自我學習、自我演進的能力,實現對新威脅的識別;依據安全大數據及先驗知識或規則進行推理;對未來可能發生的網絡安全威脅和攻擊進行預測;同時,綜合利用各種技術,實現對網絡安全威脅的分析、判斷、處置、響應、反制等決策進行輔助。
“網絡的互聯,不是一條可以回頭的路。它面臨的安全威脅,最終也要靠機器輔助人力來完成。”譚曉生說,“360安全大腦現在已經開始協助我們維護網絡世界的安全,它的智能化程度會越來越高,準確度會越來越高,效率也會越來越高。”
閱讀更多 IT創事記 的文章
