抓住IoT+AI,把握企業未來 | 對話WitAdwards 2018專家評委京東安全首席架構師程巖
由FreeBuf.COM主辦的 ofollow,noindex" target="_blank">WitAwards 2018網際網路安全年度評選 已接近尾聲。本次評選週期歷時3個月,評委包括頂尖行業專家、行業媒體和安全從業者,是目前國內極具公信力和影響力的行業評選活動,頒獎盛典將在FreeBuf 2019網際網路安全創新大會(FIT 2019)舉行。
今年,組委會邀請了超過60位來自國內安全廠家、企業安全部門、政府相關單位、研究機構、行業協會、專業媒體的資訊保安知名專家和學者組成專家評委團隊,全方位、多角度綜合分析、公正評判每一個參評物件。
這次小編邀請京東安全首席架構師程巖來聊一聊他在 【企業IoT+AI安全建設】 方面的心得。IoT毫無疑問是這兩年的熱點,而IoT安全話題往往圍繞著智慧裝置或者工業應用場景展開,鮮有人討論IoT在企業自身的應用以及相關安全體系問題。
程巖其人
暱稱:暗夜潛風、d4rkwind,熟悉他的人通常叫他“小哥”。企業安全及雲安全領域專家,擁有豐富的大型甲方企業安全建設及雲端計算安全規劃和實踐經驗,在安全圈可謂是不折不扣的“老法師”了。
目前就職於京東集團,擔任京東安全首席架構師,併兼任基礎安全部及安全運營部負責人。在入職京東前,程巖於2010年加入百度安全團隊,與同事們一起建立和完善了百度企業安全體系,於2015年,加入百度雲端計算部門,擔任安全百度雲端計算事業部的安全首席,負責百度雲安全。
抓住IoT+AI,把握企業未來
一提到IoT,大部分人想到的都是智慧家居、智慧城市等民生相關場景,或者會想到工控相關的大型工業生產相關場景,但隨著企業IT化趨勢的不斷深入,IoT與企業之間的關係已經相當緊密了。
小哥認為:
隨著網路安全知識的普及及入門門檻降低,常見企業IT架構逐漸透明化,企業大量舊有或新式的聯網裝置作為企業IT化的基礎設施,一旦被攻擊或控制對企業的安全和業務連續性無疑會是一場災難。
從單一裝置視角談一談安全:
具體攻擊面:
各種裝置在企業的聯網,除去物理接觸式攻擊,其在網路上通常暴露了業務功能和管理功能中的一個或全部攻擊面,前者通常是其裝置聯網的核心價值所在,後者通常是便於裝置管理員遠端管理。如攝像頭聯網是為了雲端監控回傳資料,但攝像頭的管理是為了便於管理員遠端維護等;再如伺服器帶外管理,是為了方便運維人員在伺服器宕機等情況下可以遠端重啟等管理伺服器,其因為管理而誕生,這個情況下業務和管理功能合一。
潛在風險點:
越是簡單的東西越容易確保安全,業務功能往往因為單一,很少出現相關安全風險,但一旦出現,都往往是通訊協議的設計或實現存在安全漏洞,往往遠端利用起來較為困難。而裝置管理功能因為功能複雜,往往是安全問題頻發的核心,比如管理功能認證存在弱口令、預設口令仍然是大部分IoT裝置的主流安全風險,利用起來也非常容易,殺傷力還非常大。
企業IoT裝置整體安全體系建設:
由於企業的裝置折舊及採購原因,往往企業內的各種用途的聯網裝置,不僅種類眾多,還存在同一功能裝置的型號或韌體版本不一致,即大量場景、大量型別、多種碎片化版本,如此複雜的裝置資產管理,對於企業IT管理已非常麻煩,更何況是其安全管控,沒有“一招鮮”技術能幫助企業安全團隊直接解決眾多裝置的安全管控問題。
從小哥的經驗出發,為了做好IoT裝置的安全管控,企業安全通常會分而治之:
首先,降低攻擊面,通過“業務網”與“管理網”分離,來減少辦公環境、生產環境裡各種裝置的安全攻擊面,使其管理功能從面向所有聯網終端或伺服器開放,變為面向特定區域的開放,並加強管理認證在特定區域內的校驗。
其次,主動探測企業存活的裝置,並與企業IT等部門維護的裝置做對比,確保對資產相當清晰的掌控,包括其型別、韌體版本甚至關鍵補丁等。由於此類裝置都是第三方裝置,企業自身難以投入大量人力去挖掘裝置漏洞,重點都是及時關注官方安全公告和業內安全諮詢。而基礎設施的升級牽涉交廣,針對特定品牌的大量採購,往往要與供應商簽訂安全問題提前披露協議,確保在官網對全網釋出公告前,企業已經提前收到安全報告和補丁。值得一提的是,針對裝置本質是一個軟體部署在Linux、Windows、Android等作業系統上的情況,尤其還要關注此類作業系統出現的遠端攻擊類的漏洞及補丁。
然後,相對強一點的網路裝置或平臺,如帶外管理、交換機等,其通常自帶日誌回傳功能,應開啟系統管理操作日誌回傳機制,因為此類管理操作實際並非是高頻操作,針對此類日誌的監控,也非常容易,且日誌量並不大,並不會影響裝置業務功能的穩定性。
最後,企業IoT裝置往往是基礎設施,穩定性大於一切,很少有企業安全團隊會在裝置系統上開發和部署額外的監控或安全管理軟體,安全與IT的響應及時度和協同效率、以及安全同學對裝置功能和操作的熟悉程度就非常關鍵。
總體而言,安全行業內的主要精力,都是在圍繞著企業的伺服器或容器、終端、網路、應用、資料等,並做出了一系列安全解決方案及思路的創新,而企業IoT裝置的安全解決方案,還在依靠裝置廠商自身以及企業安全團隊。隨著雲端計算市場的壯大,雲廠商會逐步“去”掉上雲企業的IoT裝置,其裝置的安全管控也會被雲廠商統一標準化解決。但仍然有大量場景的企業IoT裝置,在很長時間內,無法被統一標準化,這是安全行業的機遇,也是企業安全團隊不可忽視的方向。
AI技術如何保障包括IoT在內的企業網路安全
對於AI技術,小哥表示:
在現階段的發展和應用非常依賴資料,下一代企業安全建設,如何應用好AI技術,首先意味著,AI在哪些場景可以獲取到資料。
企業應用點:
企業IoT安全場景下的AI應用,因為其裝置的封閉性和非標準化,企業安全團隊通常只能在企業IoT裝置的主動安全探測、裝置日誌安全分析、以及裝置資產及安全問題管理等方面重點研發相應的安全能力,也只有這些方向才可能先行應用AI技術。其中,AI在日誌安全分析上的應用,業界一直討論很多,針對IoT裝置的操作日誌這個場景,當日志積累到一定量級後,基於AI很容易發現異常操作日誌。而在企業IoT裝置的安全管理上,有一種可以嘗試的方向是,利用主動安全探測獲取的大量資料,基於AI,嘗試幫助企業安全在無法安裝agent的情況下,標記裝置種類、韌體等等資訊,降低安全運營人員的人力投入。
技術發展面:
講企業安全場景,主要是海量機器及裝置的埠、程序、日誌、流量等資訊。隨著如今AI技術的熱火朝天,其基礎依賴技術“資料”及“計算”能力已必然不是企業安全建設的瓶頸,從這個點上,撇開AI本身,基礎技術變革本身帶來的突破,已經可以做傳統企業安全不敢想、不能做的能力,如海量業務資料下的溯源分析能力、異常檢測能力等,也大大提升了安全應急響應的效率。再疊加當前一些AI模型在單一場景下效果很不錯,如今,在大資料安全分析的“特定場景”下,AI已經可以很好地輔助安全分析能力,提高大資料安全感知平臺的檢出率,且還不會增加安全人員運營成本。
當然,結合現階段AI技術的發展,企業安全團隊不能盲目的迷信AI,或者在AI上走的太深,千萬不能為了AI而AI,往往很多場景,其實傳統的特徵匹配、安全沙箱、行為關聯就可以快速解決問題。
物聯網+AI模式在安全市場前景
首先,IoT和AI,這都是趨勢,趨勢是不可阻擋的,並且越是影響大量使用者的領域,趨勢的突破和落地越是非常明顯;
其次,環境非常好,無論是政策環境還是使用者環境,對安全行業的發展都是非常有利的催化劑;
然後,技術底子強,AI技術沉澱及AI工具包,並且大量AI技術在業務領域(如人臉識別、語音識別等)的發展和應用,都已經走在前面,對AI安全提出了很迫切的要求,也對安全AI的發展有很多啟發;
最後,沒有業務就沒有安全,物聯網+AI的業務模式下,智慧家居、智慧城市/交通等領域引發的安全需求,會是率先值得關注的方向,既有挑戰也有機遇,如:
1、如何更好地保護好使用者隱私,且能贏得使用者信任; 2、如何實現大量不同功能裝置間的認證安全、通訊安全及雲端安全管控; 3、如何實現針對不同型別裝置的補丁升級管理機制; 4、如何讓安全與業務功能解耦,讓業務只關注業務功能的研發,而降低對安全的關注度。比如將安全做到晶片或硬體。
*FreeBuf官方報道,作者Freddy,未經許可禁止轉載。