最近思考人生比較多，對行業(yè)的發(fā)展也有些自己的思考。關(guān)于業(yè)務(wù)安全、物聯(lián)網(wǎng)安全、AI安全、隱私保護(hù)、區(qū)塊鏈等安全領(lǐng)域的幾點(diǎn)思考。

[[220498]]

業(yè)務(wù)安全

在大多數(shù)互聯(lián)網(wǎng)公司，安全崗位都是屬于成本部門。不考慮安全部門ROI的鳳毛麟角。即使是超大型的幾個頭部公司，安全部門的匯報(bào)級別普遍較高，但是安全部門的工作重點(diǎn)都是不斷證明自身的價值。對于絕大多數(shù)業(yè)務(wù)部門，基本是無法理解什么是XSS和SQL注入。

和業(yè)務(wù)部門解釋這些，好比和一群素食愛好者介紹你們新推出的雞腿堡套餐，不是說不說的清楚的問題，是傻不傻的問題。

唯一的例外，就是業(yè)務(wù)持續(xù)性和業(yè)務(wù)安全這兩個是可以和業(yè)務(wù)部門溝通的。前者最常見的就是被D了，業(yè)務(wù)中斷了，一小時損失多少PV，多少流水，業(yè)務(wù)部門比安全部門算的清。但是前者安全部門可以做的很有限，大多數(shù)情況下還是要以來安全廠商來解決。后者除了依賴安全廠商，安全部門也可以有發(fā)揮余地。常見的業(yè)務(wù)安全問題多與黑灰產(chǎn)對抗有關(guān)系，比如虛假點(diǎn)擊、虛假注冊，惡意爬蟲之類。這些業(yè)務(wù)安全問題，業(yè)務(wù)部門是比較容易理解的，安全部門的價值也是容易體現(xiàn)的。2018年，甲方安全的同學(xué)如果覺得自己做的事情價值業(yè)務(wù)方不理解，不認(rèn)同，不妨嘗試下業(yè)務(wù)安全。

物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)安全一直是一個大家覺得會火，事實(shí)上也比較火，但是貌似大多數(shù)廠商沒賺到錢的領(lǐng)域。

早期針對物聯(lián)網(wǎng)設(shè)備的攻擊，主要驅(qū)動力是用于垃圾郵件僵尸網(wǎng)絡(luò)，說的更直白一點(diǎn)就是通過垃圾郵件進(jìn)行廣告營銷變現(xiàn)，在那個物聯(lián)網(wǎng)設(shè)備計(jì)算和帶寬資源都相當(dāng)有限的年代，干這個事是不錯的選擇。

這幾年情況發(fā)生了很大變化。

• 一方面物聯(lián)網(wǎng)設(shè)備井噴式發(fā)展，數(shù)量極其驚人;
• 一方面物聯(lián)網(wǎng)設(shè)備的計(jì)算和帶寬資源更加豐富;
• 另外一方面，智能家居等有能力接觸到大量個人隱私的物聯(lián)網(wǎng)設(shè)備大量出現(xiàn)。

所以目前這對物聯(lián)網(wǎng)設(shè)備的驅(qū)動力主要為：

• 組成DDoS僵尸網(wǎng)絡(luò)，發(fā)起超大規(guī)模網(wǎng)絡(luò)攻擊;
• 挖礦，挖各種幣。
• 竊取個人隱私數(shù)據(jù)，從圖像、語音到健康數(shù)據(jù)、消費(fèi)數(shù)據(jù)以及賬戶數(shù)據(jù)等。

物聯(lián)網(wǎng)安全技術(shù)的發(fā)展不是最令人擔(dān)心的，因?yàn)槟壳按蠖鄶?shù)設(shè)備在設(shè)計(jì)的最初沒有考慮安全問題?；A(chǔ)的操作系統(tǒng)漏洞、以及協(xié)議層的重放攻擊，應(yīng)用層的弱密碼都可以干掉一大批設(shè)備。一個根上的問題，是誰該為安全問題買單。最終受害的是消費(fèi)者，但是指望消費(fèi)者去解決安全問題嗎?買個家用的物聯(lián)網(wǎng)IPS?指望廠商也不太靠譜，目前物聯(lián)網(wǎng)或者說智能家居，智能設(shè)備行業(yè)還屬于野蠻發(fā)展階段，除了極其有限的幾個頭部廠商有能力去解決自己的安全問題，數(shù)量極其驚人的發(fā)展中廠商主要精力還在解決活下來的問題，指望他們?nèi)ブ鲃咏鉀Q安全問題也不靠譜。

整個行業(yè)范圍的去解決這些安全問題，我個人理解比較靠譜的方式，是類似大型公有云平臺解決客戶安全問題的方式，就是在物聯(lián)網(wǎng)的操作平臺層去統(tǒng)一解決大部分問題。設(shè)備廠商只要使用統(tǒng)一的幾種OS或者開發(fā)套件就可以解決大部分安全問題。2018年這方面大家拭目以待。

AI安全

這個領(lǐng)域是我覺得比較奇葩的領(lǐng)域?；蛟S我對AI安全的理解太狹義了。我個人理解的AI安全主要是使用AI技術(shù)去賦能安全產(chǎn)品，比如讓W(xué)AF和IPS更牛逼，我寫了兩本介紹AI安全的書《web安全之機(jī)器學(xué)習(xí)入門》和《web安全之深度學(xué)習(xí)實(shí)戰(zhàn)》也主要是從這個角度介紹的。

但是目前市場上相當(dāng)一部分甲方和乙方是把智能設(shè)備的安全也稱為AI安全，當(dāng)然這也沒啥問題。

AI一直是個不溫不火的領(lǐng)域，讓整個世界重視AI，阿爾法狗功不可沒。阿爾法狗展現(xiàn)了，AI可以在部分領(lǐng)域超越人類。推而廣之，計(jì)算機(jī)的強(qiáng)大算力和并發(fā)處理能力，可以讓AI最終可以以更低的成本更好的完成人類的一些工作。這確實(shí)非常有吸引力。

AI技術(shù)目前在語音和圖像識別領(lǐng)域非常成熟，幾個頭部的AI公司也是圍繞著兩個技術(shù)?；谶@兩項(xiàng)技術(shù)的AI安全公司勢必也可以給人以驚喜，比如智能安防，智能認(rèn)證等。

另外在AI賦能安全產(chǎn)品領(lǐng)域，我個人理解在更加細(xì)分的領(lǐng)域，漏洞發(fā)現(xiàn)類的產(chǎn)品發(fā)展會快于防護(hù)類和監(jiān)控類產(chǎn)品。因?yàn)锳I尤其是深度學(xué)習(xí)，最大的一個特點(diǎn)就是不可解釋性，雖然最新的發(fā)展已經(jīng)可以部分解決卷積處理的結(jié)果，但是對于MLP、RNN這些還是難以以人類可以理解的邏輯去解釋。這對于防護(hù)類和監(jiān)控類產(chǎn)品非常尷尬，你攔截一個包，判斷一個交易申請是欺詐，你還沒法和人解釋，這就尷尬了。但是對于掃描類，或者說智能滲透，這個問題就沒有那么尷尬了。另外掃描類產(chǎn)品對于誤報(bào)的容忍性比其他產(chǎn)品要強(qiáng)，偶爾誤報(bào)也可以忍了。但是阻斷類產(chǎn)品就沒那么輕松了。我個人理解掃描類AI產(chǎn)品值得期待。

隱私保護(hù)

從幾個頭部公司到眾多獨(dú)角獸公司，從互聯(lián)網(wǎng)公司到傳統(tǒng)企業(yè)和政府，都接觸到大量的個人隱私數(shù)據(jù)。基于大量客戶數(shù)據(jù)二次挖掘，提升用戶體驗(yàn)甚至直接產(chǎn)生經(jīng)濟(jì)價值，已經(jīng)成為很多公司的選擇。但是一旦這些隱私數(shù)據(jù)沒有妥善的保存、處理以及操作審計(jì)，出現(xiàn)信息泄露事件后果都是很嚴(yán)重的。這兩年基于個人隱私數(shù)據(jù)的PR戰(zhàn)只是冰山一角?；趥€人隱私數(shù)據(jù)的犯罪以及司法刑事案件已經(jīng)層出不窮。典型的就是基于隱私數(shù)據(jù)的互聯(lián)網(wǎng)欺詐。立法層面對企業(yè)搜集、保存和處理個人隱私數(shù)據(jù)進(jìn)行約束已經(jīng)逐步進(jìn)行。尤其是國外，公司層面的個人隱私泄露將遭受巨額罰款。國內(nèi)這方面還在起步，不過趨勢肯定也是向國外看起。與個人隱私相關(guān)的大數(shù)據(jù)軟件安全、SGX、TEE、差分隱私、同態(tài)搜索等技術(shù)將普遍使用，有興趣的可以關(guān)注這塊。隱私保護(hù)已經(jīng)從制度和審計(jì)層面，走向了攻防對抗階段。

區(qū)塊鏈

區(qū)塊鏈?zhǔn)潜忍貛诺牡讓蛹夹g(shù)。大量的虛擬貨幣都依賴于區(qū)塊鏈技術(shù)。攻擊虛擬貨幣交易機(jī)構(gòu)，洗劫電子貨幣的事件將越來越多，損失也會越來越大。

從賦能安全產(chǎn)品的角度，區(qū)塊鏈的去中心化、不可篡改和可審計(jì)特性，特別適合于強(qiáng)審計(jì)需求的領(lǐng)域，我認(rèn)為基于區(qū)塊鏈的征信、溯源系統(tǒng)、操作審計(jì)系統(tǒng)將會是個不錯的方向。