最近思考人生比較多，對行業(yè)的發(fā)展也有些自己的思考。關(guān)于業(yè)務安全、物聯(lián)網(wǎng)安全、AI安全、隱私保護、區(qū)塊鏈等安全領域的幾點思考。

[[220498]]

業(yè)務安全

在大多數(shù)互聯(lián)網(wǎng)公司，安全崗位都是屬于成本部門。不考慮安全部門ROI的鳳毛麟角。即使是超大型的幾個頭部公司，安全部門的匯報級別普遍較高，但是安全部門的工作重點都是不斷證明自身的價值。對于絕大多數(shù)業(yè)務部門，基本是無法理解什么是XSS和SQL注入。

和業(yè)務部門解釋這些，好比和一群素食愛好者介紹你們新推出的雞腿堡套餐，不是說不說的清楚的問題，是傻不傻的問題。

唯一的例外，就是業(yè)務持續(xù)性和業(yè)務安全這兩個是可以和業(yè)務部門溝通的。前者最常見的就是被D了，業(yè)務中斷了，一小時損失多少PV，多少流水，業(yè)務部門比安全部門算的清。但是前者安全部門可以做的很有限，大多數(shù)情況下還是要以來安全廠商來解決。后者除了依賴安全廠商，安全部門也可以有發(fā)揮余地。常見的業(yè)務安全問題多與黑灰產(chǎn)對抗有關(guān)系，比如虛假點擊、虛假注冊，惡意爬蟲之類。這些業(yè)務安全問題，業(yè)務部門是比較容易理解的，安全部門的價值也是容易體現(xiàn)的。2018年，甲方安全的同學如果覺得自己做的事情價值業(yè)務方不理解，不認同，不妨嘗試下業(yè)務安全。

物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)安全一直是一個大家覺得會火，事實上也比較火，但是貌似大多數(shù)廠商沒賺到錢的領域。

早期針對物聯(lián)網(wǎng)設備的攻擊，主要驅(qū)動力是用于垃圾郵件僵尸網(wǎng)絡，說的更直白一點就是通過垃圾郵件進行廣告營銷變現(xiàn)，在那個物聯(lián)網(wǎng)設備計算和帶寬資源都相當有限的年代，干這個事是不錯的選擇。

這幾年情況發(fā)生了很大變化。

• 一方面物聯(lián)網(wǎng)設備井噴式發(fā)展，數(shù)量極其驚人;
• 一方面物聯(lián)網(wǎng)設備的計算和帶寬資源更加豐富;
• 另外一方面，智能家居等有能力接觸到大量個人隱私的物聯(lián)網(wǎng)設備大量出現(xiàn)。

所以目前這對物聯(lián)網(wǎng)設備的驅(qū)動力主要為：

• 組成DDoS僵尸網(wǎng)絡，發(fā)起超大規(guī)模網(wǎng)絡攻擊;
• 挖礦，挖各種幣。
• 竊取個人隱私數(shù)據(jù)，從圖像、語音到健康數(shù)據(jù)、消費數(shù)據(jù)以及賬戶數(shù)據(jù)等。

物聯(lián)網(wǎng)安全技術(shù)的發(fā)展不是最令人擔心的，因為目前大多數(shù)設備在設計的最初沒有考慮安全問題。基礎的操作系統(tǒng)漏洞、以及協(xié)議層的重放攻擊，應用層的弱密碼都可以干掉一大批設備。一個根上的問題，是誰該為安全問題買單。最終受害的是消費者，但是指望消費者去解決安全問題嗎?買個家用的物聯(lián)網(wǎng)IPS?指望廠商也不太靠譜，目前物聯(lián)網(wǎng)或者說智能家居，智能設備行業(yè)還屬于野蠻發(fā)展階段，除了極其有限的幾個頭部廠商有能力去解決自己的安全問題，數(shù)量極其驚人的發(fā)展中廠商主要精力還在解決活下來的問題，指望他們?nèi)ブ鲃咏鉀Q安全問題也不靠譜。

整個行業(yè)范圍的去解決這些安全問題，我個人理解比較靠譜的方式，是類似大型公有云平臺解決客戶安全問題的方式，就是在物聯(lián)網(wǎng)的操作平臺層去統(tǒng)一解決大部分問題。設備廠商只要使用統(tǒng)一的幾種OS或者開發(fā)套件就可以解決大部分安全問題。2018年這方面大家拭目以待。

AI安全

這個領域是我覺得比較奇葩的領域?；蛟S我對AI安全的理解太狹義了。我個人理解的AI安全主要是使用AI技術(shù)去賦能安全產(chǎn)品，比如讓WAF和IPS更牛逼，我寫了兩本介紹AI安全的書《web安全之機器學習入門》和《web安全之深度學習實戰(zhàn)》也主要是從這個角度介紹的。

但是目前市場上相當一部分甲方和乙方是把智能設備的安全也稱為AI安全，當然這也沒啥問題。

AI一直是個不溫不火的領域，讓整個世界重視AI，阿爾法狗功不可沒。阿爾法狗展現(xiàn)了，AI可以在部分領域超越人類。推而廣之，計算機的強大算力和并發(fā)處理能力，可以讓AI最終可以以更低的成本更好的完成人類的一些工作。這確實非常有吸引力。

AI技術(shù)目前在語音和圖像識別領域非常成熟，幾個頭部的AI公司也是圍繞著兩個技術(shù)?；谶@兩項技術(shù)的AI安全公司勢必也可以給人以驚喜，比如智能安防，智能認證等。

另外在AI賦能安全產(chǎn)品領域，我個人理解在更加細分的領域，漏洞發(fā)現(xiàn)類的產(chǎn)品發(fā)展會快于防護類和監(jiān)控類產(chǎn)品。因為AI尤其是深度學習，最大的一個特點就是不可解釋性，雖然最新的發(fā)展已經(jīng)可以部分解決卷積處理的結(jié)果，但是對于MLP、RNN這些還是難以以人類可以理解的邏輯去解釋。這對于防護類和監(jiān)控類產(chǎn)品非常尷尬，你攔截一個包，判斷一個交易申請是欺詐，你還沒法和人解釋，這就尷尬了。但是對于掃描類，或者說智能滲透，這個問題就沒有那么尷尬了。另外掃描類產(chǎn)品對于誤報的容忍性比其他產(chǎn)品要強，偶爾誤報也可以忍了。但是阻斷類產(chǎn)品就沒那么輕松了。我個人理解掃描類AI產(chǎn)品值得期待。

隱私保護

從幾個頭部公司到眾多獨角獸公司，從互聯(lián)網(wǎng)公司到傳統(tǒng)企業(yè)和政府，都接觸到大量的個人隱私數(shù)據(jù)?；诖罅靠蛻魯?shù)據(jù)二次挖掘，提升用戶體驗甚至直接產(chǎn)生經(jīng)濟價值，已經(jīng)成為很多公司的選擇。但是一旦這些隱私數(shù)據(jù)沒有妥善的保存、處理以及操作審計，出現(xiàn)信息泄露事件后果都是很嚴重的。這兩年基于個人隱私數(shù)據(jù)的PR戰(zhàn)只是冰山一角。基于個人隱私數(shù)據(jù)的犯罪以及司法刑事案件已經(jīng)層出不窮。典型的就是基于隱私數(shù)據(jù)的互聯(lián)網(wǎng)欺詐。立法層面對企業(yè)搜集、保存和處理個人隱私數(shù)據(jù)進行約束已經(jīng)逐步進行。尤其是國外，公司層面的個人隱私泄露將遭受巨額罰款。國內(nèi)這方面還在起步，不過趨勢肯定也是向國外看起。與個人隱私相關(guān)的大數(shù)據(jù)軟件安全、SGX、TEE、差分隱私、同態(tài)搜索等技術(shù)將普遍使用，有興趣的可以關(guān)注這塊。隱私保護已經(jīng)從制度和審計層面，走向了攻防對抗階段。

區(qū)塊鏈

區(qū)塊鏈是比特幣的底層技術(shù)。大量的虛擬貨幣都依賴于區(qū)塊鏈技術(shù)。攻擊虛擬貨幣交易機構(gòu)，洗劫電子貨幣的事件將越來越多，損失也會越來越大。

從賦能安全產(chǎn)品的角度，區(qū)塊鏈的去中心化、不可篡改和可審計特性，特別適合于強審計需求的領域，我認為基于區(qū)塊鏈的征信、溯源系統(tǒng)、操作審計系統(tǒng)將會是個不錯的方向。