第四屆中國互聯(lián)網(wǎng)安全大會(ISC 2016)于8月16-17日在北京國家會議中心舉行，本屆大會由國家網(wǎng)信辦、工信部以及公安部指導，中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡空間安全協(xié)會和360互聯(lián)網(wǎng)安全中心共同主辦。來自全球70多家網(wǎng)絡安全相關機構和企業(yè)的百余位安全智庫和專家參會，本屆大會提倡的核心理念“協(xié)同聯(lián)動，共建安全+命運共同體”。

《安全智庫》作為一家定位于沉淀信息安全行業(yè)全新視角的知識庫的安全媒體，受邀參加ISC2016大會，在大會期間有幸采訪到了重量級嘉賓，奇虎360首席安全官——譚曉生。

譚曉生，奇虎360首席安全官，兼任首席技術官，ISC2016中國互聯(lián)網(wǎng)安全大會執(zhí)行主席。在互聯(lián)網(wǎng)技術圈子中，早已流傳著一個更顯其本色的稱號——“譚校長”。

譚校長在本屆中國互聯(lián)網(wǎng)安全精英峰會上一改往日學者風范，變身網(wǎng)絡安全“老醫(yī)生”，發(fā)表《我有病，你有藥么?》的主題演講，向過于強調漏洞挖掘而忽略防御保護的安全產(chǎn)業(yè)現(xiàn)狀拋出一塊巨石，可謂是一石激起千層浪。

[[170929]]

其實，相比漏洞挖掘，檢測更難做，漏洞挖掘就是在眾多的系統(tǒng)缺陷中查找，而安全檢測是在大量的正常行為中，捕捉異常，在此過程中，還要時刻關注操作者本身的行為突然變化。因此，檢測需要掌握的知識，以及對抗的干擾要比漏洞挖掘多得多。

《安全智庫》有幸對這位“新晉”網(wǎng)安“老醫(yī)生”做了《檢測技術路在何方》的采訪，有著多年網(wǎng)安從業(yè)經(jīng)驗的他，對安全檢測技術進行了鞭辟入里的分析。

[[170930]]

譚醫(yī)生首先對當前安全檢測技術遇到的挑戰(zhàn)進行了病理的分析。

第一，用行話講“攻擊面越來越大”。

現(xiàn)在物聯(lián)網(wǎng)和“互聯(lián)網(wǎng)+”，意味著過去不聯(lián)互聯(lián)網(wǎng)的設備已經(jīng)聯(lián)了互聯(lián)網(wǎng)，過去企業(yè)不聯(lián)互聯(lián)網(wǎng)的內(nèi)部系統(tǒng)現(xiàn)在也在聯(lián)，導致別人的攻擊點增多，攻擊的系統(tǒng)增多，這是第一個挑戰(zhàn)。

過去操作系統(tǒng)可以裝360安全測試，裝McAfee，裝殺毒，現(xiàn)在手環(huán)怎么防護，攝象頭怎么防護，或者是汽車怎么防護，根本沒有額外地方裝防護軟件，新的問題就會冒出來。社會對互聯(lián)網(wǎng)依賴越來越大，各類物品都在聯(lián)網(wǎng)，防御形態(tài)必然變了。

第二，產(chǎn)業(yè)形態(tài)在發(fā)生變化。

原來windows時代，大家有清晰的分工，操作系統(tǒng)做操作系統(tǒng)，安全做安全，鐵路警察一人守一段，分工合作。但是今天移動互聯(lián)網(wǎng)時代，大家都拿一個手機，一般老百姓對安全的感知沒有windows時代那么強。如果十年前用windows不裝殺毒軟件分分鐘被木馬搞定，瀏覽個網(wǎng)頁木馬就進去了，現(xiàn)在手機哪怕很長時間不裝安全軟件也不會中招，情況已經(jīng)變了。手機是相對封閉的市場，安全門檻還是比較高。

提供APP Store的廠商為了吸引更多的用戶，非常注重自己的商譽，就做了安全檢查，木馬就不那么容易碰到，不會隨便上網(wǎng)就中木馬。安全的確比原來好了很多，副作用是用戶覺得安全沒那么重要，覺得哪怕不裝安全軟件，或者裝一個不知名的安全軟件，過一段時間也沒出事，安全效果差不多，但這很危險，防御有差別，一旦中招損失就會非常大。手機與網(wǎng)上銀行關聯(lián)，或者是隱私信息關聯(lián)，造成的損失會很大。只是中招概率沒有那么大，消費者意識也就沒有那么強，在移動互聯(lián)網(wǎng)時代，我們在安全防御上遇到很大的困境。其一是用戶安全感知不明確，其二是手機制造商不提供安全軟件管理權限。

第三，攻擊手段花樣翻新。

在全世界上，中國的黑產(chǎn)非常發(fā)達，已經(jīng)形成了一種地下產(chǎn)業(yè)，一種可以掙錢的產(chǎn)業(yè)，無論是偷個人信息還是直接偷錢。數(shù)據(jù)顯示，UBER在中國市場40%左右的推廣費用被地下黑產(chǎn)用拽羊毛方法拽走，他們通過用“假的”手機模擬耍單拿補貼，40%的數(shù)據(jù)比例很高。我們有一個龐大的黑產(chǎn)，有經(jīng)濟利益刺激，他們愿意這么做，就會想出各種各樣稀奇古怪的攻擊方法。現(xiàn)在攻擊比以前多，但防守方能力卻沒有比以前強，用戶也并沒有意識到要有一個好保鏢，這些都會帶來很大的問題。

[[170931]]

以前安全技術以FW/IPS/AV等基于簽名防御技術為主，但隨著云計算與大數(shù)據(jù)，以及移動互聯(lián)網(wǎng)等新的技術浪潮的到來，傳統(tǒng)防御技術已經(jīng)不再適應整個安全趨勢的變化，其實大家都在嘗試研發(fā)新的安全檢測技術，那么安全檢測技術未來出路在哪里?

神農(nóng)嘗百草，日遇七十二毒，得茶而解之。

譚醫(yī)生笑談，安全檢測技術的“茶”，有的已經(jīng)看到，有的仍在嘗試。

第一，對于各種各樣的攻擊，當你沒有辦法第一時間進行有效攔截時，就要退而求其次。看看可以用什么樣的方法能發(fā)現(xiàn)正在進行的攻擊，而不是預警，預警是攻擊沒發(fā)生之前拉警報，而我們是在有人攻擊的時候，怎么能知道別人正在攻擊我，或者是被別人攻陷的時候，怎么能盡快知道被攻擊了。是否被攻擊5秒鐘時就知道有人攻擊我，或者是設備被攻陷，1分鐘后有人把該設備下架。2014年有數(shù)據(jù)統(tǒng)計，系統(tǒng)被攻破，最大比例知道這件事是6個月以后，而處置需要2-7天，這是一般比較好的處置單位。

未來的防御思想變成怎么檢測正在進行的攻擊，怎么檢測成功的攻擊，以及加快自己響應的路子，這是思路。思路怎么實現(xiàn)?用大數(shù)據(jù)方法實現(xiàn)。通過收集網(wǎng)絡數(shù)據(jù)，以及應用程序運行的行為數(shù)據(jù)，把這些數(shù)據(jù)收集，然后進行分析。比如說網(wǎng)絡流量，一個人平時12點睡覺，怎么今天半夜3點還在忙，這個人平時都在北京，他過去也很少出國，怎么今天突然出現(xiàn)在紐約。

基于大數(shù)據(jù)行為異常的判定，這是大家覺察的方向。當然，這個方向雖然聽起來很美好，但是實際做起來非常難。因為這個人真可能是突然別人送他一張美國旅行票，今天可能真有什么事半夜爬起來玩手機。其實異?；煸谟脩粽Ｊ褂弥?，如果拉報警拉多了，用戶最后也就不信了。真正的攻擊隱藏在一大堆正常的異常行為里面。這是產(chǎn)業(yè)界和學術界努力的方向。

第二，最近這些年很多人認為終端作用越來越小，不僅大家都有防火墻以及網(wǎng)絡設備，而且終端設備殺毒也沒那么多毒可殺，但現(xiàn)在情況發(fā)生了變化，終端作用有所提升。上面提到檢測異常行為，希望通過收集盡可能多的行為數(shù)據(jù)，終端變成手機行為數(shù)據(jù)的地方。當有攻擊的時候可以最終拿下哪一端，拿下一臺PC或者服務器，在端里一旦發(fā)現(xiàn)自己被搞定，還有一定概率把對方踢出去。

如果在云上，做大數(shù)據(jù)異常分析，檢測到這臺機器中招，那有沒有能力下發(fā)一條指令，因為別人攻進來并不代表可以完全破譯軟件，有一段時間是并存，所以如果下發(fā)一個指令把它除掉，或者采取其他動作，那就有可能會起作用。

在終端檢測和響應這件事情得到了重新的重視，這是一個方向。

第三個方向，美國舉辦的網(wǎng)絡超級挑戰(zhàn)賽，CGC。它是程序的自動攻防，在隔離的環(huán)境里聯(lián)網(wǎng)，一個戰(zhàn)隊一臺超級計算機，把程序提交，光盤吸進去，然后讀，讀完上去。在封閉網(wǎng)絡中間比賽，要做到的是機器自動挖掘漏洞，機器自動對漏洞生成攻擊代碼，機器自動對系統(tǒng)加固，然后代打。

主辦方安排了很多攻擊，參加比賽的隊伍可以對打，最后誰得分最高誰就贏，這也是一個進步，這是向攻防自動化方面的研究。但這不是人工智能起作用，而是自動化，是脆弱性挖掘的自動化，攻擊代碼生成的自動化，攻擊的自動化，甚至評估都是自動化。如果安全全靠人，實際上又沒那么多人可用，我們應該想辦法讓機器盡量代替人，把事情做了。

[[170932]]

對于網(wǎng)絡安全的“病癥”，譚醫(yī)生感慨:“安全總體來說，沒有一招制敵的東西。相比之前，防御者面臨更加困難的處境，大家都在絞盡腦汁想新的防御方法，但是目前為止，攻防還是處于不平衡的狀態(tài)。”