侵權投訴
訂閱
糾錯
加入自媒體

響鈴:開放協(xié)作理念走入移動安全,360這次又挑大梁?

2018-01-30 14:17
曾響鈴
關注

互聯(lián)網創(chuàng)新創(chuàng)業(yè)時代,很多領域呈現一個共同特征:當先行者的技術積累到一定程度后,開放協(xié)作就逐漸成為這個領域的關鍵詞,百度的Apollo人工智能、阿里的城市大腦/大數據、京東的區(qū)塊鏈溯源平臺莫不如是。

事實上,在安全問題頻發(fā)時,當下的移動安全產業(yè)形勢已經無法應對系統(tǒng)性的安全風險,開放協(xié)作成為產業(yè)迫切的需求,也是行業(yè)發(fā)展的必然趨勢之一。

就在1月22日,“穿云箭”組合漏洞媒體溝通會于360大廈召開,以安全立身的360和移動安全聯(lián)盟(MSA)推出了“先行者”行動計劃,目的在于幫助手機廠商減少等待補丁下放時間,更快速修復漏洞減少用戶損失,該計劃的推出標志著移動安全領域的開放協(xié)作理念已經開始落地。

響鈴:開放協(xié)作理念走入移動安全,360這次又挑大梁?

嚴峻形勢面前,安全已成移動互聯(lián)網“剛需”

過去認為的手機安全問題并不突出可能已經站不住腳了,移動端的安全形勢已經不比PC端輕松,安全已經是剛需。

1、產業(yè)數據上,黑產、灰產已然可觀

360首席安全官譚曉生在媒體溝通會上表示:“中國網絡安全產業(yè)2017年估計才剛剛過400億,而對應的網絡灰產、黑產在2016年時就超過1000億,用道高一尺,魔高一丈形容再貼切不過!边@與《阿里聚安全2016年報》不謀而合:手機木馬病毒呈現快速上升的趨勢,2016第四季度就翻了近一倍。

所謂黑產,即通過直接入侵用戶手機的方式獲取非法收益,例如隨便點擊帶短鏈接的陌生短信,轉接到木馬網站自動下載病毒,威脅電子支付等手機功能的安全,或者帶來不勝其煩的騷擾電話。

2、危害程度上,威脅進一步升級

過去,移動安全只是點狀的、應用層面的,也即,只是針對某些應用,例如支付寶、手機銀行的漏洞,再配合詐騙等手段獲取用戶密碼,套取非法收入。

現在,移動安全的威脅已經深入到系統(tǒng)底層,尤其是在開源的、被廣泛運用在智能手機、平板電腦及其他智能終端的安卓系統(tǒng)上。本次“穿云箭”就是典型的可以遠程徹底攻破谷歌Pixel手機的組合漏洞,該漏洞基于底層系統(tǒng)存在,能影響手機設備上所有應用,甚至包括電話短信等基礎應用,也因此,該發(fā)現獲得了Google向Alpha團隊負責人龔廣頒發(fā)的112500美金的獎勵(包括105000的Android獎勵和7500的Chrome獎勵),是自2015年谷歌設立安卓漏洞獎勵計劃(ASR)三年來給出的史上最高獎勵。

這種漏洞讓凡是架構于系統(tǒng)之上的應用都受到影響,造成的危害是系統(tǒng)性的。例如,過去還需要其他手段套取手機驗證碼,現在利用漏洞可以直接獲取。

3、社會影響上,網絡電信詐騙已經成一大公害

在爆出的新聞中,時常可以發(fā)現巨額財產損失,上百萬、上千萬屢見不鮮,企業(yè)破產倒閉、普通人養(yǎng)老錢、救命錢被騙輕生自殺也能見諸報端。根據權威媒體報道,2013年至2016年10月,全國共發(fā)生被騙千萬元以上的網絡電信詐騙案件94起,百萬元以上的案件2085起,另外,我國平均每15個人中就有1個接到過詐騙電話。(以上數據出自南方都市報、央視等)

毫無疑問,網絡電信詐騙過去就已經成為一大公害,而隨著智能手機的普及,單一的傳統(tǒng)電信詐騙已升級為移動木馬詐騙。根據《2017年手機安全報告》,電信網絡詐騙已經呈現多種手段聯(lián)合作戰(zhàn)、風險WiFi異軍突起、木馬病毒家族作案三種特征。

解決 “剛需”問題,開放協(xié)作成為必然

盡管形勢嚴峻,但移動安全關聯(lián)方,包括安全廠商、手機廠商及系統(tǒng)開發(fā)商過去的應對卻有不足之處,隱患十分明顯,而開放協(xié)作成為解決這種不足最好的方式。

1、單打獨斗無法應對系統(tǒng)性風險

系統(tǒng)性風險只能由系統(tǒng)性的策略來防御。

盡管360能夠發(fā)現“穿云箭”組合漏洞,也位列Google2017年漏洞致謝榜首位,發(fā)現漏洞數占比接近一半,遠超趨勢科技、Google Project Zero等國際頂級黑客天團,但無論如何,360的技術再領先,也只能輻射到已安裝用戶。

而根據360手機衛(wèi)士與中國泰爾實驗室聯(lián)合發(fā)布的統(tǒng)計數據顯示,在測試手機中,平均未修復漏洞比為19%,每款終端含有未修復漏洞5個左右,在我國安卓用戶占比超過87%的情況下,僅靠360等安全衛(wèi)士廠商的一己之力,不太容易應對系統(tǒng)性風險,需要所有從業(yè)者聯(lián)合起來。

2、系統(tǒng)所有者出手,但時間差留下隱患

毫無疑問,系統(tǒng)所有者(例如安卓的Google)是有能力應對系統(tǒng)性風險的,通過底層修復,幾乎所有的漏洞、病毒都無處藏身,并且能夠發(fā)布到所有的終端上。

然而,這種修復面臨嚴重的時間差問題:Google需要首先確認漏洞是什么,然后進行POC驗證(Proof of Concept,針對客戶具體應用進行驗證性的測試),再分析漏洞產生的原因、制定修復方案,最后發(fā)布修復補丁。

這個時間可能長達4個月,對被黑產龐大利益所吸引的不懷好意者來說,已經足夠做很多事情。

3、三大優(yōu)勢下,開放協(xié)作本就是移動安全應有之義

在這樣的背景下,推出“先行者”行動就顯得順理成章,其成長土壤則是2017年12月由中國信息通信研究院泰爾終端實驗室牽頭,終端設備廠商、互聯(lián)網廠商、安全廠商、高等院校等共同發(fā)起成立的移動安全聯(lián)盟(Mobile Security Alliance,簡稱MSA)。

作為理事成員,360聯(lián)合MSA推出“先行者”行動,其目的在于幫助終端廠商成為漏洞修補的“先行者”。從實際效果來看,MSA上的“先行者”是典型的移動安全領域的開放協(xié)作模式,其價值應當在于:

A、在漏洞、病毒的發(fā)現方面,安全廠商、終端廠商、應用廠商資源協(xié)作,從而覆蓋到盡可能多的漏洞或病毒,減少黑產死角的可能性。

B、在反漏洞能力的協(xié)作方面,360等領先廠商的技術能力可以不同程度在“先行者”計劃里共享,幫助協(xié)作平臺上的參與者更好地提升技術水平,并解決漏洞。這與百度Apollo計劃把無人駕駛相關技術分享出來類似,對整個移動安全的整體技術提升有直接意義,而過去,包括國際廠商在內的安全廠商從未思考過這件事。

C、在速率上,“先行者”計劃可以與MSA漏洞修補相關計劃配合,不管是360還是其他參與者,發(fā)現漏洞信息可以第一時間分享漏洞風險、防御方案等信息,終端廠商能夠在最短時間內修復漏洞,或者用熱補丁應急再待Google的全體更新,避免時間差的問題。

由此,MSA和“先行者”計劃所體現的開放協(xié)作,本就是移動安全應有之義,當移動安全形勢嚴峻而又應對不足時,被重視并實踐下來。

響鈴:開放協(xié)作理念走入移動安全,360這次又挑大梁?

彎道超車,開放協(xié)作加速中國技術全球領先

對360這樣的廠商來說,“先行者”式的開放協(xié)作似乎會造成核心競爭力的外泄,畢竟,破解漏洞對抗病毒的技術是安全廠商最核心的能力。

但這種看法并不全然正確。正如360掌門人周鴻祎所說,大安全時代需要大協(xié)作,網絡安全必須要進行跨企業(yè)、跨行業(yè)、跨部門、跨地域、甚至跨國家的大合作,才能應對大威脅、大挑戰(zhàn)。

與傳統(tǒng)領域不同,網絡安全的人才、技術和數據多分布于不同的企業(yè),雖然360在人才和技術上積累非常有優(yōu)勢,但“先行者”計劃中的終端廠商、應用廠商卻有非常多的數據。

而僅靠人才和技術,有時候也不一定能解決所有問題,2017年大范圍爆發(fā)的勒索病毒事件中,360出動兩三千人次幫助很多企業(yè)機構解決了問題。但雖然有360盡力彌補,如果能夠提前預判并制定系統(tǒng)預案,最終結果會好很多。

也即,數據和技術能夠提早結合,做成開放協(xié)作的平臺,那么安全防御的體系或許能夠從過去的“亡羊補牢”變成“未雨綢繆”,這種跨越是質的變化,企業(yè)與企業(yè)之間的合作空間非常廣闊。

進一步說,在全球角度,新時代的網絡安全沒有一個企業(yè)或者政府可以獨自應對,勒索病毒就是典型。習總書記在2015年提出共建網絡空間安全命運共同體,十九大報告又提出構建人類命運共同體,共同應對網絡安全等非傳統(tǒng)威脅。

由此,企業(yè)之間、政企之間、軍民之間、國家之間必須廣泛深入合作,“先行者”計劃只是移動安全開放協(xié)作的起步階段。同時,國家層面的技術引領大多數由行業(yè)聯(lián)盟支撐,移動安全聯(lián)盟成員積極共享自己的技術力量進行協(xié)作,對中國移動廠商成為全球移動安全漏洞修復的“先行者”也有助推作用。

在人類共同面對移動安全威脅時建設未來移動互聯(lián)網大發(fā)展的安全基石,這又是大安全時代中國技術利用開放協(xié)作的優(yōu)勢彎道超車的機會。

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網安備 44030502002758號