0
| 本文作者: 李勤 | 2017-12-12 12:47 |
最近,有人問雷鋒網宅客頻道(微信ID:letshome),你覺不覺得物聯網領域最近動作頗多?
是的,一個明顯感受是——大家對 IoT 安全的興趣越來越濃了。
11 月 28 日,小米開了一場 IoT 開發者大會,發布了 IoT 開發者計劃,百度也加入了這場合作,要引入百度的 AI 能力。如果你留心一下,會發現那天下午還有一個 IoT 安全峰會的分會場,在最后一個議程中,小米安全 CSO 陳洋、清華大學教授段海新、百度安全事業部總經理馬杰、騰訊極棒大賽創始人王琦、長亭科技聯合創始人楊坤以及 360 的楊卿一同坐在了臺上。
他們要宣布合作?那倒沒有。但是,各家對于 IoT 安全的態度可見一斑。
小米的 IoT 安全主要聚焦在自家及生態鏈產品上,并不包括對其他產品的攻防研究,除非“家里也有余糧時,才會對其他家的產品做一些攻防研究”。這無可厚非,畢竟小米及生態鏈產品的市場占有率可以說明,小米正緊緊把控著智能硬件的入口。
同月初,百度安全成立了一個 OASES 智能終端安全生態聯盟,這個聯盟里囊括了安全廠商犇眾信息、Keen 公司(極棒黑客大賽主辦方)、NewSky Security(青天科技,主攻物聯網設備安全)、騰御安(TYA,Linux 內核安全專家團隊)等攻防能力很強的技術團隊。雖然,這次百度安全說的是要“緊靠 AI ”,開放 AI 生態上的多項安全能力,但落地點依然在智能終端領域。
至于騰訊,它宣告得也很早。9 月 10 日,騰訊與無錫市高新區聯合成立了國內首個TUSI(騰訊用戶安全基礎設施)物聯網聯合實驗室,同時與英特爾開發區塊鏈技術,推動構建物聯網安全能力。
不在臺上的阿里也有個 ICA 聯盟,也稱 IoT 合作伙伴計劃。ICA 聯盟構架由 5 個模塊構成,分別是接口、低功耗廣域網、安全、數據和測試認證。
360 雖然是安全廠商,但也專門搞了 IoT 安全?
是的。11 月 21 日,楊卿在朋友圈發布了一張招人海報,宣告 360 IoT 安全研究院成立。
事實上,雷鋒網了解到,楊卿所在的無線電安全、劉建皓所在的智能網聯汽車安全等安全領域做出的研究其實也都與物聯網安全有關,但為什么還要特地成立一個 IoT 安全研究院?這個研究院和之前360 在物聯網上布局的力量有什么關系?他們到底要做些什么?
帶著這些疑問,雷鋒網跟 360 IoT 安全研究院的兩位負責人李康與楊卿聊了聊。
李康:CGC 機器人競賽項目 UGA Disekt 的華人領隊,目前是 360 網絡安全北美研究院負責人,IoT 安全研究院院長。
楊卿:360 無線電安全研究院掌門人、UnicornTeam獨角獸團隊首席黑客楊卿,IOT安全研究院副院長,知乎有人評價顏值非常高。
楊卿(右一)
楊卿:前段時間的小米發布會上,雷軍說小米有 8500 萬個 IoT 設備掛在網上,日活躍率約有1000萬臺,這說明 IoT 設備真正用起來了。一用起來, IoT 安全有多重要?我就不贅述了。
其實 360 各安全團隊這些年做的很多事情都跟 IoT 相關,但沒有一個完全聚焦這個方向去的團隊,但 IoT的安全又是極其重要且不容忽視,所以公司希望要成立一支專心于這個方向深挖技術并合理轉化輸出造福IoT 產業的安全研究機構,這就是 360 IoT安全研究院的設立的由來。
楊卿:李康老師在安全界有很深的積累,安全技術視野更遠,方向感更強。但因為李康老師同時負責360 北美網絡安全和 IoT 安全兩個研究院的全局規劃, 所以我會一同負責 IoT 安全研究院的一些事務,包括招聘、部分日常工作跟進等,和李康老師“搭班子”的工作模式我本人也是第一次嘗試,還蠻期待的。
李康:楊卿客氣了。一方面像他講的,他會做很多細節的東西,我可能會想一些更多的新的潛在威脅形式,或者說發現新問題,有這種分工。
李康:我先解釋一下,我們對于 IoT 的定義。我們考慮的物聯網安全,不僅僅是過去大家說智能攝像頭、音箱等,我們理解的物聯網還有更廣義的設備——物聯網是萬物互聯,比如基礎設施,包括電站、智能電表等關鍵設備,這些也和互聯網聯動,整個 IoT 安全研究院關心的是更廣義的 IoT 設備的安全問題。
這些設備的安全隱患有可能引發很嚴重的安全問題。比如,過去我們關心攝像頭安全,一方面是有隱私泄露的問題,另一方面被劫持的攝像頭也被用來攻擊互聯網上的服務。但是一旦涉及互聯網關鍵基礎設施,影響會更大。不安全的 IoT 設備也可能對物理世界造成威脅,比如導致一個城市斷電,水系統污染,影響的不僅僅是個人,很可能是很大范圍的城市。
2015 年白宮發生了一次斷電事件,整個白宮的人不得不撤離。這么重要的地方為什么會斷電?原來,事故發生在 40 英里外,馬里蘭州一個變電站的智能設備出了問題。但具體是怎么壞的,我不太清楚。 估計只是一次故障,但也存在有人故意搗亂的可能。
如果有人惡意直接攻擊防守嚴密地白宮供電系統,這可能很困難,但把幾十英里外不同的州的設備作為目標,這類攻擊造成危害的可能性會提高。
在歐洲的安全會議上,曾有一個展示項目,攻擊的目標是家庭智能燈泡,燈泡可以遠程控制時間、顏色。比如在巴黎,我能通過這種方法控制幾萬個燈泡,不光能讓這些燈泡開關,還能讓它們協同產生同步的用電或者停止用電的行為,這樣的行為會對電網系統造成威脅。
所以 IoT 安全不僅僅是單一設備的問題。 對于 IoT 安全的考慮,我們以單一設備為起點,要考慮設備自身的安全,還要考慮對物理世界的影響,也要考慮新的威脅形式。
楊卿:我會協助李康老師,并按照老周提出的“大安全”理念,結合我們的創新能力與前瞻視野去打造團隊,鉆研技術。
我在小米安全峰會的圓桌上提到,看到小米安全團隊的朋友演講時多次提到“無線電安全”,并做了諸多GPS 干擾、偽基站網絡劫持等這些在“連”這個層面危及 IoT 設備的技術分享時,我深有感觸。2014年,360 就成立了獨角獸這樣的團隊,做無線通信安全這方面的事情,寫了本“無線電”安全的書來率先定義了“無線電安全”,未來我想我們會全面建立覆蓋整個信息安全研究的體系和安全攻防輸出能力。
楊卿:從老周最早的免費殺毒到現在,其實我們一直以來都在給用戶提供各種安全上的服務和產品,所以為了應對層出不窮的新興威脅,對于to C 的 IoT 智能產品安全攻防和智能技術,我們依舊會研究和投入。
楊卿:我看到小米之前也在連接層面測試過其智能設備的安全能力,360 之前在物聯網安全上有一些能力積累,這些能力是可以復用的,如果小米的智能設備需要我們這些能力,我們隨時歡迎。我跟陳洋也算是多年朋友,以后考慮合作。
李康:我們現在做了很多關于人工智能系統軟件本身的安全分析、測試的工作,我們覺得今后很多 IoT 設備也會和人工智能進行很強的結合,即設備的智能性越來越強。
我的團隊在人工智能現有的公開平臺發現了一些漏洞,人工智能程序的設計開發人員一般都用一些公開平臺在,我們做了一些研究,其實是幫助那些平臺做修復。
另外,我們發現人工智能,尤其是圖像識別、語音識別這方面的應用,大家對其安全的關注度還不夠,我們發現程序設計里還是有很多點可能會受到攻擊。所以,我們現在也會提很多建議,讓大家注意在哪些地方做修復。
楊卿:IoT 設備高度依賴無線通信,很多產品也都有 WiFi 模塊、NFC 模塊、藍牙、GPS 模塊等,360 很多的智能聯網安全產品在設計時,就會引入信息安全團隊來做整體安全評估,從底層硬件通信、無線電連接協議、Web 與移動端應用實現,云端及業務平臺測,長年以來積累了豐富的漏洞經驗與安全設計與防護體系。
我們在無線電安全研究做了許許多多無線與硬件安全相關的事情和 IoT 安全相關。未來我們仍會繼續聚焦在無線通信,不管是4G、5G,Zigbee、Lora 還是 NBIoT,這些無線通信技術哪一個都有可能被未來的IoT設備大量使用。所以我認為無線電安全與 IoT 安全的協作會更加的緊密。
楊卿:我們的智能產品本身也需要這樣的平臺去支撐,所以我們本身擁有一套依靠自己安全團隊的嚴苛測試評估體系后打造并不斷完善支撐的 IoT 平臺,但我認為這種“安全能力”是可以通過有效的轉化輸出,與各類 IoT 企業形成聯動合作共同提高 IoT 產業整體安全基線的。
楊卿(笑):兩個人,李康老師和我。
在人員招聘風格上,我們不看重學歷,技術能力為先,但因為是做安全,所以也更看重品德。所以,IoT 研究院現在的重任就是招人。
我篤信這樣一件事——即使你在做錯的事,招到好的人,錯的事情也可能變成對的。如果你在做對的事情,招錯了人,對的事也可能無疾而終。所以,我們想要招對的人。我希望招一些有志向且勤奮,有自己職業規劃方向感強的人,有志向其實就成功了一半。一個人有志向就會有激情,就會知道先積累,再成長,再去賺錢,會有大局觀。
楊卿:那倒不是,我們以不輸于業內薪酬標準的硬條件加上自由的學習成長平臺的軟條件等候和我們志同道合的朋友的加入,也歡迎大家給李康老師和我發簡歷。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
