文 | 曾响铃
来源 | 科技向令说(xiangling0815)
导语:通过一台便携信号嗅探设备,便能轻松远程截获到共享单车的开锁密码,在分秒间将共享单车变成无锁单车;在商场扫码下载应用,可能会导致偷跑流量或者信息泄露;在网上交易时通过扫描二维码的方式付款,稍有不慎就会直接导致金钱损失……,如此漏洞与陷阱的交织,带来的是一道移动安全被提上最紧急日程的时代命题。
用户的稍有不慎带来的是财产的损失,即便不是见码就扫,但偶尔的一次疏忽大意,可能就会中招。而对于各种为用户提供信息、产品、服务的平台而言,则不仅要提醒和教育用户注意安全防范,在大数据就是水电煤的时代,一方面要有安全的部署来缺乏自身平台上的数据资产的安全,另一方面则要对用户的安全负责。作为时代命题,其实即便如题头的共享单车这样的网红明星平台,也很难有能力以一平台之力去答好移动安全这道命题。
怎么破?合纵连横是也。一方面练好内功,不给黑客发现漏洞的机会;一方面则是要联合外部力量,通过与第三方安全平台合作,获得全方位的移动安全赋能。那么,目前安全行业是如何部署移动安全的?人工智能技术的日新月异,带来怎样的安全赋能?移动安全的正确打开姿势是怎样的?
场景如毛细血管一样深入遍布 移动安全的新课题
移动互联网时代,场景犹如毛细血管一样深入遍布各大日常行为之中。无论是共享单车的扫码、还是移动支付,亦或是直接涉及资金安全的互联网金融,各种新场景的常态化涌现,带来的是移动安全的几道新课题:
1.从漏洞防范到感知、预防的进化。即,安全平台不应该仅仅延续PC互联网时代的抓漏洞、修复漏洞的常规防范举措,而是因为以碎片化、移动化的思维,实现从漏洞的防范修补,进化到对各种场景的移动安全的提前感知、全面预防。之所以这么说,是因为移动互联网时代,安全不仅仅是漏洞,对于大多数用户的日常而言,如何帮助用户预先感知和防范威胁才是最日常的课题。以钓鱼威胁和恶意程序这些常见的安全威胁为例,DCCI、中国信息通信研究院泰尔终端实验室、360互联网安全中心联合发布的《2017中国手机安全生态报告》就显示,2017年1月-7月,360手机卫士共为全国手机用户拦截各类钓鱼网站攻击16.6亿次,从3月开始,每月拦截手机端钓鱼网站均在2.4亿次以上。对移动端所拦截的钓鱼网站进行分类,可以发现,赌博博彩类比重最高,为77.8%。其他占比较高的类型包括虚假购物(10.0%)、虚假招聘(3.7%)、金融证券(3.5%)、假药(1.4%)以及钓鱼广告(1.3%)类型的钓鱼网站。不仅如此,恶意程序也猖獗不断。2017年1月-7月,360互联网安全中心累计监测到移动端用户感染恶意程序1.3人次,平均每天恶意程序感染量达到了61.5万人次;新增恶意程序样本483.9万个,平均每天截获新增手机恶意程序样本近2.3万个。
2.扫码的安全防范,应该深入场景为应用护航。尽管在高学历人群特别是TMT业内人士中在进行扫码、生物识别等场景中会保持较高的警惕,但是对于亿万的普通用户而言和三四线城市用户而言,往往还是处于新奇而“见码就扫”。这种情况下,就需要安全平台能提供内嵌式的安全防范。如360手机卫士推出的“安全扫码”功能就提供了这种安全防范。腾讯、百度等公司的安全产品也提供类似的服务。
3.更迫切的是生物识别场景的安全防范。尤其是随着诸如iPhone X的Face ID,以及更多厂商的面部解锁手机的发布(如一加5T),从指纹到面部的生物识别场景会日趋普及,诸如支付宝已经推出“面容支付”方式。这种情况下,对移动安全平台而言可以说是一个更大的挑战和考验,因为面容识别基本上是无感的。而这一层面的安全防范,关键就是如何深入场景为应用护航。而这就牵涉到外部联动合作的问题。只有安全平台与各大主流应用进行深度合作,方才能从应用底层实现对安全的防范。
刷脸、无人、深度学习 人工智能技术如何赋能安全
人工智能技术的勃发,带来的对人类生活方式和生活质量的全面赋能,刷脸取代指纹,无人零售取代有人商业,深度学习和机器训练让机器像人一样思考和做事成为可能。这种情况下,不仅本身的移动安全变得尤为重要,而且移动安全的AI化发展也提上日程,即,技术的进步带来的是移动安全技术的升级和深化。
360集团助理总裁姚彤演讲分享
具体进化方向有三:
1.算法引擎AI化。一个简单的例子是,促销短信并不总是讨人厌,尤其是在双十一、双十二这样的大促前夕,用户反而期待收到感兴趣品牌的促销信息。然而,作为移动安全的基本功之一——短信拦截功能,却往往是一刀切地对促销短信予以拦截。显然,这是不符合用户体验提升的。而如何有选择的拦截促销短信,就成了考量移动安全平台AI能力与否的一环。以360为例,其通过AI赋能,目前能做到的是,结合场景给予智能的分类推荐,这种做法其实还是值得推而广之的。毕竟,广告对不感兴趣的人而言是垃圾,对感兴趣的人则是重要信息。而算法引擎的AI化,还能做到更多的类似场景+智能的判断和对用户移动安全的防范,求得一个平衡,而非粗暴的一刀切。
2.通过机器训练让安全防护可交互、可感知。传统的依靠号码库实现的诈骗识别已不能满足日益复杂多变的诈骗形式和套路,尤其是以勒索软件为代表的恶意软件逐渐呈爆发态势,危害巨大。而类似永恒之蓝的事件一旦在手机端爆发,目前的安全机制无法及时遏制,其危害程度将远高于PC端。面对这种威胁,大数据与人工智能技术的组合拳,则有望为移动安全进行深度赋能。一方面是人工智能技术驱动下的场景分析与识别,与用户进行实时的交互,并针对用户的使用行为进行机器训练,进而可以做到对诈骗等不安全事件更精准的识别;另一方面,则是在此基础上,结合态势感知对诈骗溯源分析,综合各方面数据、情报进行综合研判,进而对诈骗等非安全行为和事件进行快速阻断。
3.加强大数据驱动,让算法和机器更动态、更智慧。这里的大数据,不仅仅是指用户的日常使用行为和偏好所沉淀下来的数据,还有更重要的即,应用内的数据,平台的数据。这些数据多是在各大平台的内网中产生的,并且在传统的观念中,是被视为商业机密的。而这些数据若能经过脱敏处理后为移动安全平台所用,将更高效、更精准的实现对用户安全的赋能。而要做到这一点,则需要产业链各方的深入合作。
结盟、开放、联动 移动安全需要大安全的姿态和布局
深入合作,对用户、对平台实际上是一个共赢的举措。尽管有些平台可以考虑到数据的私密性而不愿意去敞开怀抱,但是趋势却是必然的。而且,目前产业内已有产业链各方与安全平台联盟结对子的范例。如360集团助理总裁姚彤所言,网络安全已经进入“大安全时代”,移动安全形势更加复杂多变。面对挑战,要从全产业链出发,需要主管机构、手机厂商、运营商、安全厂商、科研机构等多方构建一体多位、全链接的移动网络安全防护体系。
泰尔论坛2017-信息安全分论坛圆桌讨论
那么,目前移动安全领域的平台们都是怎么做的,取得了怎样的进展?先看360,作为“大安全”的首提者,360移动安全团队积极与各方全面合作,比如积极参与行业联盟和标准化制定。就在本月4日举行的“泰尔2017论坛“中,中国信息通信研究院还宣布携手360、华为、vivo等多方一起,共同成立“移动安全联盟”。此外,360还与三大运营商合作,提供骚扰电话识别、二次号码加白、全网彩信/短信拦截、黑灰网址拦截与提醒等服务,业务覆盖全国各省;与三星、华为等手机厂商开展各类技术合作;配合各地公检法机构打击诈骗犯罪等。
再看百度,作为BAT中布局安全较早的,其迄今推出了众多开源项目如阿波罗等来与行业一同发展,而且还成立了OASES智能终端安全生态联盟,该联盟致力于AI时代提升智能终端生态安全的联盟组织。据悉,未来该联盟还将与移动安全联盟展开合作。
而腾讯财付通也与蚂蚁金服支付宝、百度金融、京东金融、美团大众点评共同发起“金融风险信息共享联盟”。
整体来看,安全平台的路径可谓是殊途同归,而且也都是在耕耘和推进联盟战略。这其中,360、百度算是走的比较透彻扎实的两家。通过成立安全联盟,有望将人工智能技术和大数据打通藩篱,实现共享,进而最终为用户的安全防范赋能。从这个角度看,其实结对子走到一起去做事,不仅效率高,而且效果好。而可以预见的是,随着手机厂商、安全服务商、运营商及科研机构等不断深化开放合作。全链条式防御的大安全生态指日可待。