专访联想耿晶鑫:在智能物联时代下,共建产品安全创新生态
2020-01-16 09:00:38 Author: www.freebuf.com(查看原文) 阅读量:105 收藏

5G、物联网、人工智能等新一代技术相互赋能,在信息融合的时代下技术创新力逐渐成为社会生产和发展的动力。数据表明,到2025年,包括智能制造、健康医疗、物流交通、连锁零售、公共事业在内,各行业智能物联网的需求将至少达到1750亿美元。

智能物联时代,早已悄然来临。

2019年,中国正式进入5G商用元年。据GSA报告显示,全球5G终端迅速增长,除了智能手机,还包含机器人、无人机、智能显示设备等新型终端。随着5G加速到来,未来的智能终端将覆盖智慧家居、工业互联、智慧城市。

在这样的大环境背景下,我们采访到联想集团安全实验室负责人耿晶鑫,来谈谈在智能物联时代下,产品网络安全面临的威胁与机遇。

微信图片_202001151719341.jpg

耿晶鑫,联想集团安全实验室负责人。超过13年网络和信息安全行业从业经历,先后就职于政府部门、国内顶尖安全公司、全球电信设备制造商,曾任网络与信息安全专家、资深安全架构师,安全战略专家,长期专注于终端安全、云端安全、移动及无线网络安全、智能设备安全等研究领域。

物联网日趋成熟,联网设备也越来越智能化。物联网下的许多场景,比如智能家居、智慧城市、车联网等等,在使人们的生活更加便捷的同时也使得攻击者活动的平台更为广阔,更加多样。物联网新时代下面临的网络安全威胁相较于传统风险,可谓“青出于蓝而胜于蓝”。攻击手法、威胁种类的多样化、高频次让人们防不胜防。

在耿晶鑫看来,物联时代面临的安全挑战跟它自身的多样性和跨域性有很大关系,安全风险涉及到以下几个方面。

一是不安全的数据传输,这类问题可以直接导致数据被恶意拦截或非法越权获取等恶意威胁。不断增长的联网设备创造出了比任何时候都要多的数据,数据可谓是当下这个时代最为宝贵的资源。因此,对于数据传输的安全性也提出了更高的要求,因为不安全的数据传输将带来比以往更为严重的损失。

二是传输协议问题,物联网本身会产生很多新的协议,这些协议也可能会带来相应的安全问题。协议安全问题一旦产生,将直接导致用户数据被中间人劫持获取,比如协议的先天性缺陷,HTTP明文传输导致数据泄露,即使是HTTPS加密传输也存在安全风险,这些协议的安全问题都应该被及时关注。

三是物联网的大规模应用,可能会产生例如物联网僵尸网络,使得整个网络上的攻击强度比原来大很多倍。环境使然,发展与威胁并存,物联网快速发展的同时,攻击也必然加剧。因此,新技术、新事物的发展往往是一把“双刃剑”,人们要有安全风险防范意识。

四是个人隐私数据安全问题,很多类型的物联网设备,都会涉及大量的个人隐私相关信息。在2020年,个人隐私问题具有愈演愈烈的趋势,人们对于自己的隐私数据保护也会越来越重视。联网设备进一步拉近了人们和网络之间的距离,使得人们和网络之间的紧密性进一步提升,比如智能家居设备,智能门铃、智能门锁等等,如果出现网络安全问题,个人隐私数据的窃取将变得十分容易。

智能化转型加速,安全步伐紧随其后

人工智能、算法、机器学习等新兴技术蓬勃发展,人们的社会工作生活已然离不开“智能化”。人在未来发展中越来越重要,企业越来越“以客户为中心”,产品、服务的智能化逐步普及。

吹响“智能化”的号角,企业已经纷纷卷入这场变革之中。

联想以PC设备为主导在时代的浪潮中脱颖而出,打出一片自己的天下。然而,时代的转变也在驱动他们向智能化方向发展,从过去侧重于硬件设备的制造商,转变为专注提供智慧产品、方案和服务的服务供应商。智能化转型冲锋在前,产品安全保障紧随其后。

联想在智能化转型的过程中,面临的安全问题也在发酵,变得更加复杂。

耿晶鑫认为,从过去的传统PC到现在的智能PC,在人工智能、5G、云计算、大数据等技术的融合中也将面临区别于传统安全的新型威胁和挑战。比如,在人机交互中会用到指纹、虹膜、人脸、指静脉、声纹等,将面临着人工智能核心算法破解,生物特征数据泄露,样本对抗攻击等风险。另外,云计算也需要加强云纵深防御来抵御更加频繁和更具破坏性的攻击。

在隐私保护方面,越来越多的国家和组织颁布了法律法规条款,企业在数据的保护和使用过程中也会面临很多的安全问题,如数据非法出境,隐私数据滥用等。智能PC作为智能终端在与智能设备和云端之间的通信连接、远程访问、控制和监控等方面也面临着更多的安全挑战。

因此,对于选择智能化转型的企业在智能产品的安全开发设计、审核测试、售后的跟踪服务上都应该有一套完整的安全防护流程体系,在安全理念加持下的智能产品才是真正有利于市场、利于人们日常生活的产品。

PC端到移动端,安全形势愈加严峻

如前所述,5G的全面爆发是推动物联网发展的重要动力,不仅如此,互联网的移动化也进一步升级。人们的网络接入载体从过去的PC端到现在的手机、平板等移动终端,这一市场转变推动企业的移动业务扩展甚至转型。

移动终端在使用环境、用户、软件形态、网络通讯、设备类型、设备功能上都有别于传统PC,移动终端具有更加开放的操作系统和更加个性化的应用软件,移动终端的用户广泛使得隐私问题更加凸显,移动终端网络具有灵活的接入方式和高带宽通信性能,移动终端利用了更多的智能化功能来满足用户的需求。

然而,移动终端的特性使传统的安全防御不能满足安全防护要求,特别是在智能化变革下,移动终端会面临更多的安全挑战,面临更加严峻的安全形势。在耿晶鑫看来,安全方面,移动互联网设备会有较高的安全风险,用户隐私数据的泄露;垃圾短信,伪基站的肆意横行;带有木马病毒的程序攻击等都为用户的安全埋下了隐患。

移动互联网时代下的网络安全、个人信息隐私风险重重,在充分享受网络便捷的同时也要注意防范时时存在、处处存在的安全问题,比如出现在公共场合时,移动设备自动连接上公共wifi网络,这一便利本身就是一个安全隐患。

因此,耿晶鑫对人们网络安全自我保护提出了一些建议。

比如,移动端设备一定设置解锁密码,支付时要使用支付密码,APP应用取消获取隐私信息等设置,不要把存储大量金额的银行卡绑定手机等等。以上这些安全措施实施起来很简单,但这些措施都会影响设备使用的便捷性,大家要做的就是找到便捷性和安全性之间的平衡。

产品网络安全创新生态下的合作共赢

智能化将成为未来科技发展的主流方向,并且正在不断渗透到整个社会生活中,智能制造、智慧家居、智慧办公、智慧教育、医疗健康、智慧城市等各领域都离不开安全,智能化变革为安全行业带来机遇的同时也伴随着严峻的挑战,这需要全行业建立一个共赢的安全生态来应对新型的安全挑战。

安全生态的创新,需要有共赢的合作模式和先进的技术支撑。在耿晶鑫看来,和各行业合作伙伴建立合作机制,包括国内外著名安全公司和团体,政府机构和组织,国内外一流的安全认证机构等,进行安全技术研究成果的分享和威胁情报数据的共享,对行业进行安全技能的赋能,可以有效地推进行业的安全发展,结合智能化的发展,和全行业共同建立一个共赢共生的安全生态。

打造产品安全生态创新模式,进行生态化发展,其中,企业人员的网络安全意识是基础。因为人是整个安全体系中最为薄弱、最不可控的环节,也是安全的重要尺度。由于人的安全意识缺乏,安全事件往往由内而生。

耿晶鑫提出,信息安全意识需要贯穿到整个公司的所有人员中,加强网络安全宣传教育,提升安全意识和基本技能是维护网络安全的第一道防线。

在巨变的时代洪流中,智能化、移动化、生态化等大势所趋,而相伴相生的安全风险,时刻提点着人们对于安全风险未雨绸缪,防范于未然。

*本文作者:Sandra1432,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/people/225539.html
如有侵权请联系:admin#unsafe.sh