近年来,伴随着更多ICT新技术进入产业互联网,TenSec主办方腾讯安全科恩实验室一方面持续保持领先的技术研究水平,向智能网联汽车、安卓应用生态、IoT等行业开放核心技术能力,另一方面也通过TenSec的国际化平台属性,汇聚全球安全智慧为产业互联网的发展献计献策。
腾讯安全科恩实验室总监吕一平表示,本次选择在上海举办TenSec的目的,就是想借助上海国际化大都市的符号,进一步强化国内外顶尖安全从业人员之间的技术交流。同时也希望基于TenSec的平台,助力上海产业互联网发展和当地企业的数字化转型升级,为全国更多地区的安全发展提供可复制的样本。
2019腾讯安全国际技术峰会(TenSec 2019)现场,腾讯安全平台部负责人杨勇和腾讯安全科恩实验室总监吕一平接受媒体采访所谈及的内容如下:
问题一:腾讯安全对智能汽车的研究,广为人知的一个案例就是特斯拉Model X,为什么要做这类研究?
吕一平:对一些新的万物互联的安全研究,腾讯许多安全团队都在做。我们研究智能网联安全已有三年,包括2016年、2017年特斯拉的网联安全,2018年宝马车型的安全。
作为一个技术研究团队,应该提前布局一些能力。国家刚刚发了5G牌照,马上5G自动驾驶技术,包括车路协同、车车协同等更丰富的智慧交通场景都会落地。我们需要为未来技术的安全保障做一些能力储备。
问题二:各行各业转型做产业互联网,将可能会遭遇哪些新型安全问题?
杨勇:首先,攻击面会扩大。像科恩实验室最新研究汽车安全,一直研究了很多年,实际就是产业互联网带来的,即互联网跟汽车行业出行安全的结合。
前阵子我们发现手机最基础芯片的一些安全问题,只要你用了4G或5G的一些芯片,不管你用在哪些方面,不管是出行还是金融,都会有信息安全问题,这实际上是科技渗透带来的问题。
其次,攻击面的扩大危害是不同的。因为以前安全更多的是电脑蓝屏或数据丢失。但引入了产业互联网,出行领域引入就有人身安全问题,金融领域引入可能会造成一些重大金融风险,航空器上引入,那有可能引发空难,所以这是一个很大的挑战。
但反过来看,人类的进步从来不是因为保守,最大的风险并不是这些安全问题,而是在于不发展。安全的价值就是可以让我们安心发展。所以,我们的焦点是希望给各行各业带来可以安心发展业务,安全的问题交给科恩、交给城市安全。
第三,产业攻击场景的出现。攻击场景越来越产业化,举个例子,之前的攻击是你有一段代码,操作系统有个漏洞,然后黑进去,把数据偷出来。
什么叫产业攻击场景?比如你做电商,可能我也是用了这种漏洞,但我的目的是薅羊毛,把你的红包、营销费用全给偷走。攻击完以后,我通过盗用你金融身份,把贷款骗出来,线下再把钱取出来。
产业攻击场景,汽车也是,楼宇也是。现在万物互联以后,攻击场景不再是简单偷数据和获取操作系统权限,而是越来越多样化。比如汽车可以威胁人身安全,也可以窃取你很多隐私,智能那楼宇更是如此。
所以,我觉得应该从产业互联网的变化重新审视安全,安全要应对这些变化和拥抱这些变化,而不是因为有这些变化和风险,我们就不发展。
问题三:腾讯新总部也在做智能楼宇,对于智能楼宇安全,你们有何想法?
杨勇:我们确实研究过自家新总部大楼智能楼宇安全。新总部完全是智能化的灯光、空调等,有很多新技术在里面。其实很多是研究员出于自身兴趣而研究,因为腾讯有一个企业文化,很多事都是自下而上,所以给了研究员很大的研究空间。
智能楼宇蕴含大量的高科技,很多小区和国外酒店已经在用。我们也会思考,如此高科技的系统,会有怎样的安全风险?
比如智能楼宇的电话系统,可能会变成窃听器;电话系统、会议系统可能会通过人工智能,伪造老板发一个虚假的电话或虚假消息给员工,可能会导致巨额的商业诈骗。
我们想到很多产业的攻击场景,比如住酒店,个人数据会不会被偷走,电梯会不会被别人操控?黑客已能控制操作系统和业务系统,那他会不会进一步控制楼宇系统?
还有安防,人工智能技术其实最成熟的技术,如视觉技术,视觉和图像处理技术,用于传统安防效果应该很好。
对于安防,我们抱着一些开放的态度,比如我们的算法、技术,其他安防厂商、硬件厂商想和我们合作或想用我们的算法,我们可以给他提供,并不是排他性的。
我们跟传统特征算法不同的是,第一可以通过大数据和云数据,把各个摄像头所有数据汇聚在一起进行联动分析,这需要两个技能:
1、数据集中需要很好的算法和传输能力,这是我们的优势。
2、算法还得准确,这也是腾讯在AI上长期投入的东西。
传统安防,坏人作案逃逸,可能8到12小时以后才知道,需要人去拖动视频时间轴查看监控。如果是一个摄像头还好,若是多个,就意味着需要很多人查看几十G甚至几百几千G的数据,万一不小心看漏,所有工作重来。
但如果我们有算法,比如我们用摘要算法,可以很短时间内把视频浓缩在一起看,可能几分钟就能看到,这就是科技研究带来的一些产业变化,也是一个产业的机会。
问题四:目前针对物联网,黑产有没有形成规模的案例?
杨勇:案例有很多。举个例子,我们发现金融行业最近被很多羊毛党薅羊毛,大家都知道,羊毛党会刷购物券、返利券、打折券,但大家可能不知道,他们能干的远不止这些。
比如像矿泉水瓶里有获奖标签,黑灰产会到废品收回站收,把瓶盖集中起来,通过一个机械化流水线,利用摄像头智能识别上面的码,如果有中奖,就把码提取出来集中兑奖。
事实上,如今黑客已经IoT化,并且已经明显跨界,从废品收购产业到人工智能识别,再到羊毛党薅羊毛,黑灰产的产业链已经拥有相当高素质的团队。
我们还看到一个独家案例,可能很多人不知道。就是我们发现黑灰产对金融领域的攻击,他们有一个专业化的团队,把传统分析漏洞的逆向技术、软件跟踪技术用在分析银行的软件上,分析大家手机上金融APP,然后找出一些漏洞。
其中一些案例就是,黑灰产通过逆向手机,发现有些金融企业APP校验逻辑没有放在企业云端,而是放在手机本地。然后直接通过改本地数据,可以开出很多贷款额度,还开出很多虚假的账户、虚假的身份。
对于用户而言,风险极大。以前黑灰产可能只是开出一个10元20元的会员卡,但现在可能会诈取成千上万甚至几十万的贷款。
所以安全不光是几个部门、几家公司的事,而是一个国家甚至全球的事,所以才开国际技术交流峰会,应对大家共同面临的挑战。
问题五:腾讯目前还在探索哪些新场景的安全?
吕一平:万物互联场景太多了,智能汽车只是一个很小的场景。比如我们今年还会有机器人项目。机器人会分两类,一类服务机器人,会面向消费者。一类工业机器人,有点像做智慧制造、智能制造这块。
服务机器人,比如现在在机场、广场、超市里看到有一些机器人,要么是警务用的巡逻机器人,或者超市里的导购机器人。那种机器人一般自重80公斤,最高时速60公里。如果它被恶意操控,哪怕只是随意乱跑,也是一个小坦克,会引发一些公共安全问题。
现在智能电梯,电梯上有很多传感器,有装备通讯模块,能通过远程方式控制电梯。原来电梯巡检靠人跑,成本很高。现在上传感器后,远程控制中心就能监控,比如电梯部件老化,或哪里可能有一些小故障,甚至可以远程下发一些修复指令做修复。这样的话,运营成本可以减少90%。
但正是引入很多远程控制、远程下发命令功能,如果被恶意操控的话,也会造成电梯上上下下不停,对电梯里的人惊吓过度,甚至影响生命安全。
此外,电梯通常还有一块媒体屏幕。我们也通过实际案例证明,我可以替换掉里面的视频。如果被恶意操控,播放了一些不该放的东西,负面影响将会非常大。
还有摄像头,现在安防摄像头太普遍了。比如影视剧《生死时速》中,坏人用摄像头监控大巴上的场景,就录了一段视频,视频循环播放就能达到欺骗性。
另有智能门锁,我们也做过研究,一个远程就可以打开一个地区几千把门锁。
我们现在还在研究工控控制器,比如电力、能源、化工等一些重要行业,比如化工化学反应、控制,电力变电站的控制,包括智能电表等。
万物互联能做的事非常多,其实安全光靠科恩或者腾讯都不够,需要大家一起来努力,才能够真正保护好我们新的技术应用时代的安全。
问题六:现在跨界AI是不是一个重要研究方向,在安全问题上,AI技术到底到了怎样的程度?
吕一平:去年方滨兴院士讲过一句话,说国家希望我们做一个信息安全,到2035年或是到2050年一个二十、三十年的规划,就是信息安全怎么做。方院士回答说这个东西做不了,因为他都不知道2035年、2050年的时候,我们有什么样的新技术、应用场景,怎么判断安全该怎么做,因为安全本身是伴生着信息技术发展的。
AI算法本身的安全性,从科恩角度来讲,目前分两个方向在看:
1、AI算法本身的安全。
比如关于智能汽车视觉、AI的对抗,不管是车道线的变换,研究算法,还是制造AI、视觉的对抗样本,最后都干扰了汽车的驾驶决策。AI现在在各行各业应用场景较多,未来的确会有一个新的对AI算法对抗的研究,可能也会成为一个安全研究方向。
2、怎么样用AI的能力来辅助安全研究?
目前来看,安全研究还是一个以人为主的领域,靠人的经验和突发奇想的创造力。
我们现在也在做一些尝试,举个例子,我们能不能把一个逆向问题转化成一个搜索问题?比如说,原来我们要对大量的二进制文件做逆向,去分析,把它还原成代码,然后读懂代码的逻辑,然后找安全问题。
但是,现在开源的库太多了,代码研发的很多工作,就是开源组件工程化的拼接,有很多安全性的问题。
我们能不能保证每个二进制文件,都能够还原成一个开源组件的代码,就是以自动化的方式、AI的方式,这样做一些匹配?原来是一个个文件逆向,今后是有一个唯一标尺,通过二进制对应的代码,通过AI能力,就能够直接溯源到代码,这样就把大量逆向的方法转换成搜索二进制特征的东西。
这样的话,就能大大减少研究上的工作量,但现在效果还不是太好。我们也找了公司内的AI专家,配合我们看,就是把搜索的正确率,包括判断的准确率能够提高上去。
杨勇:我个人觉得,跨界AI谈不上重要,但却是一个新战场。因为之前整个产业没有特别大规模的引入。你一旦引入一个新技术,就必然产生一些新的业务场景,就会同时引发很多攻防场景。
所以,AI的很多问题,一个是它引入产生的很多新场景,另一个是它包含很多国计民生的东西,现在越来越会用到AI算法和技术,所以以后会有更多的聚焦在这上面。
我讲一下集团内研究的一些理解,我觉得
AI安全应该分几个层面:
1、基础设施。AI本身有AI的基础设施。
举个例子,汽车怎么保证不撞小孩、不撞树?其实有很多训练集,训练它这个是树,只要看到差不多像这个样子的,就不要去撞。这里面基础设施的工具就包括,比如说我攻击你的训练集,比如说数据污染,我让你看到人就觉得像棵树,在这里攻击。
2、AI给我们带来了什么?
有句玩笑话说,人工智能有多少智能,就有多少人工。就是说AI其实在灵活性和创意性上,还不足以到产业化。但AI也有很好的例子,比如在围棋上的应用,已经很成熟,说明算力方面在某些特定领域是可以超越人脑的。
在这里,算力方面会带来什么?比如说在安全的防御、DDoS恶意流量的识别,需要大量的算力。只要你在后台技术、算法技术、大数据技术模型构建得好,这个算力是能解决很多以前配简单规则的问题。
比如说黑客发起攻击,以前人家会开我们团队的玩笑,就是一夜七次郎。什么意思?就是以前黑客发起攻击,改改特征,我们就可以做特征对抗,所以导致我们的值守同学一晚上要起来七次进行对抗,这是非常辛苦的。现在我们可以用特征算法,用算力跟他对抗。
AI在风控领域也特别有效,比如那么频繁的交易,洗黑钱怎么发现?如果这个人涉枪、涉暴、涉恐、贩毒怎么发现?
其实这里有大量的经济学意义、社会价值,我们能够把那些坏人集中地图谱出来,把他们抓住,让他们不要伤害别人,这是防御方面。
攻击领域,比如说对验证码的攻击,我们发现他们其实就用人工智能算法来对抗,如果你也用人工智能,就看谁的算力强。
最后一个领域是泛安全领域,其实更宽广。比如把AI这种成熟技术用在安防领域、IOT领域、出行领域,医疗设备里。这个领域不是传统的信息安全领域,但是又跟信息安全结合、跨界。
以上内容由四川无国界(www.uvsec.com) 整理编辑——专业从事网络信息安全培训与IT风险管理咨询服务。