透明时代下的安全反思与重构

你是否常常遇到这样的情况：仅仅是在某网站填写了注册信息，便会接到无数的推销电话？又或者，无意间点开一个不明链接，原本不多的余额瞬间变得渣也不剩？
在互联网快速发展的今天，我们几乎成了“透明人”，个人数据不再是隐私，信任基线一次次被拉低，原本提供便捷的技术也被烙上了“原罪”的底色，或许，是时候该慢下来、反思和重构互联网安全一番了？

4月26日-4月28日，第五届“4.29首都网络安全日”系列活动在京举办，来自百度、阿里、京东、360等知名公司上千位网安专家同台，也为这场反思与重构提供了更多维度的思考。
技术之思：“一念天堂，一念地狱”
《安全简史》的开篇，有个形象的比喻：“到了大数据时代，你就成了 ‘穿新衣’的皇帝”。没错，大数据大环境下，你走过的路、听过的歌、点过的餐……都会以数据的形式被一一记录在案，并加以深度分析，转而用于商业。虽然听起来非常完美，企业为用户提供便捷的服务，用户在享受服务的同时，“顺便”贡献出自己的数据，两得其所。但是，不要忘记，黑产一直在虎视眈眈，我们的隐私数据也由此成为黑产的敛财工具。
据了解，目前国内涉足网络黑产的从业者多达40万人，产业链上下游相关的从业者更是多达160余万，年产值约1100亿元。在庞大的利益诱惑下，我们还能相信谁？
事实上，已经有越来越多地顶尖黑客踏上了黑产之路；反观另一方，与黑产对抗的安全企业，更多时候连“招人”都困难，技术的差距竟从源头已经拉开。雷锋网曾在起底黑产时介绍道，一个普通黑客月入8万美金并不算多。良好的工作待遇让黑客有更大的动力探索新型技术，以AI应用为例，几乎成为攻击者的标配，相较而言，绝大多数的安全防护技术还处在被动防御阶段，很多公司甚至都没有自己的安全部门，严重处在“安全贫困线”之下。这也无怪在接受采访时，京东安全负责人李德浩会感慨道：“对过去20年的安全策略很失望”。
现状堪忧：问罪商业还是问罪人性
安全问题说到底是人的问题，人的安全意识出了问题。然而，提升安全意识，这句话说起来容易，做起来却很难。首先，企业要在商业和道德之间进行艰难抉择，因为注重安全就意味着增加更高的成本和减少商业机会，而很多小公司根本无能为力；其次，除了企业的自律，也需要每一个人的自觉。扪心自问：你是否嫌麻烦就把所有的密码都设为一样？又或者为了图便宜就去下载非正规渠道的盗版软件？
最近沸沸扬扬的Facebook丑闻把本已岌岌可危的安全现状再度推上了风口浪尖。同时，也引发了修改隐私条款的风潮。其实，保护用户隐私完全可以通过技术手段实现，只需采用敏感信息脱敏，就能最大限度的保障数据在传输、存储和使用上的安全。但很多企业并不愿这样做，由此可见，网络安全最大的挑战，不只是意识的缺失，更是利益驱动下的人性与价值观的坚守。
然而，人性是最经不起考验的。或许正是看到这一点，去年6月，我国颁布了《网路安全法》，开始整肃网络，通过不断地立法、监管和打击，有效震慑了黑产。但我们也要清醒地认识到，通过强制力量仅仅能让他们不敢做，想要真正根除，还得做到让黑产不想做和不能做。
AI赋能，在技术端向黑产亮剑
不可否认，面对花样百出的黑产，传统的思维模式和技术手段已经力不从心，人工智能的兴起，或许将成为解决网络安全问题的一剂良方，也能更好的补足传统技术和人的决策层面的不足。一方面，可以通过自动化识别来提升效率，以此解放大量人力；另一方面，强大深度学习能力，可以在不间断攻防演练中精进自己，从而更有效地应对潜在威胁，或许正是看到它们的强大，BATJ才会纷纷把AI上升为公司战略。
以京东为例，京东去年提出“无界零售”战略以来，全面落地AI建设，在安全方面也积极推进AI技术。不仅和国内外知名高校、科研院所联合发力AI安全研究，还将AI安全技术应用到智能家居的安全防护上，实现了AI对抗AI。此外，AI还能通过自动化地数据分析比对，提前预测攻击情报。
“我们运用AI，但不能完全相信AI”伯克利计算机教授Down Song曾在京东安全主办的TOPMINDS美国活动上说道，“因为攻击者也能使用AI。”
这并不是危言耸听，在此前京东安全联合公安系统破获的多起网络黑产案件中，黑产组织正是利用AI技术打码，试图攻破传统的安防系统。在这种生态下，以AI对抗AI成为了京东安全等安全防护机构的必然选择。以黑产AI打码为例，安全防守方通过AI技术为攻方提供错误的模型，引导其进行错误的机器学习，从而破解黑产打码行为。
由此可见，攻防双方是动态平衡的过程，AI的攻防对抗也是如此，如何用好AI这柄利剑仍然是行业内各方必须思考的问题。
意识觉醒，共建网络安全生态
网络安全从来不是一个人、一家企业的事情，而是整个网络生态要解决的问题。以人才培养为例，不仅要在企业内部做好培训，更要把安全培训前置，从教育早前抓起。目前，阿里、京东、百度、360等知名互联网公司都在积极推进高校合作，为的就是从人才源头起建立正确的安全观，从而为整个行业培育源源不断的生力军。此外，单就企业内训而言，安全也不再单单是安全部门的事，而是公司全员的事。“做安全不是亡羊补牢，而是谋篇布局，是每个人做任何产品首先要想到的先决条件。”李德浩说道。
除了人才培养，更重要的是企业价值观的“不忘初心”。这也正是谷歌强调“不作恶”、京东强调“正道成功”的深层原因。更多时候，保障用户隐私安全不是一句口号，而是行动上的自律自觉。据了解，为确保用户隐私安全，无论在产品上线前还是使用过程中，京东都要进行严格的安全检查，保证敏感信息脱敏。在京东人眼里，“用户的信任始终是京东的核心竞争力，用户隐私红线绝对不能逾越”。

“黑夜给了我黑色的眼睛，我却用它寻找光明”，用这句话形容眼下的安全形势再恰当不过了。事实上，每一次新技术的突破，都会产生对现行道德秩序的冲击，尤其在早期的时候，会最大化地发掘人性之恶。好在我们每一次都守住了正义的光辉，在不断的反思和重构中最终驾驭技术。这次也不例外，虽然短时间内无法清除黑产，但是我们欣喜的发现，无论个人还是企业，安全意识都在不断觉醒、安全策略更加行之有效。特别是像京东一样的拥有海量数据的大企业，在利益与道德的博弈中并没有向前者妥协，而是在坚持确保用户安全的同时，积极加大信息共享和技术沟通，推动安全开源社区建设，为更多中小企业打赢网络安全“脱贫攻坚战”而不懈努力。由此可以预见：一场全民安全意识的觉醒正在上演，构建健康、文明的网络生态或许只在朝夕。