譚曉生：如何面對IoT時代的安全新挑戰？

　　譚曉生

作為網絡安全領域高層次、大規模的年度盛會，第四屆中國網際網路安全大會開幕在即，網絡安全話題也自然成為目前業界關注的焦點。今年的網絡安全面臨哪些新形勢？萬物互聯(iot)時代，如何保證智能産品的安全性？企業保護自身網絡安全最需要注意什麼？針對這些問題，360公司副總裁兼首席隐私官譚曉生在接受《人民郵電》報專訪時，為記者分享了其精彩觀點。

安全大環境：使用者感覺變淡，後果卻很嚴重

移動互聯大潮滾滾而來，作為網際網路安全專家，譚曉生為記者分析了iot時代給安全大環境帶來的新變化。

譚曉生首先回顧了網絡安全的發展史，20年前病毒是主要的威脅，會導緻系統工作不正常，機器不能啟動，這種情況下把病毒殺掉就解決了使用者的問題。10年前，流氓軟體在使用者使用電腦的時候會彈出廣告騷擾。然後是木馬開始流行，木馬進來後會偷使用者的遊戲币，涉及一點點的錢财。而現在這個時代使用者面對的安全問題越來越多的是個人資訊被偷或者遇到侵财類的詐騙，手機裡裝個木馬，目的是為了把使用者手機銀行的驗證碼拿走，轉賬的時候轉到另外一個地方，還有一部分是為了獲得使用者的通訊錄等資訊，進一步進行詐騙。譚曉生表示，原來在pc時代，使用者中病毒、木馬的經曆應該會很多，三天兩頭一不小心就中招了，是以那時使用者的安全感覺是非常強的，但如今用手機的時候，使用者中木馬的經曆卻少很多，是以安全感覺越來越淡，但使用者卻有可能遭遇财産類的損失。“雖然機率很小，但一旦中招卻有可能一輩子掙的錢都沒了，這個後果很嚴重！”

譚曉生進一步解釋說，如今的安全問題類型和安全威脅和原來不一樣，使用者往往很久以後才可能知道出問題了。比如黑客把通訊錄和短信偷走，這些資料被偷走以後一直在黑客的資料庫裡，等到這個黑客真正拿出這些收集到的資料進行詐騙等攻擊時，攻擊的成功率會非常高。是以現在的安全威脅不是立馬兌現的，使用者不會覺得今天手機中丢了資訊，會馬上損失什麼。“問題就在這兒，人的特點是如果不是立馬有危害的東西就不重視，但真正出現問題的時候再去防禦就很難防了。”譚曉生感歎道。

概念轉換：從安全産品到産品安全

對很多企業來說，iot是個機遇，包括車聯網、智能家居、可穿戴裝置、vr等都有着巨大的市場潛力，但對于網絡攻擊者而言，越來越多的智能裝置連接配接入網，其實客觀上為黑客或網絡不法分子提供了更多的攻擊途徑，對于這個沖突，譚曉生表示，iot肯定讓整個世界的攻擊面擴大了，可被攻擊的點擴大了，安全廠商需要積極跟進這方面的安全研究，通過及時釋出研究報告等方式，讓整個行業意識到其中有很大的威脅，通過曝光這種形式反過來倒逼iot廠商改進其産品的安全。

譚曉生介紹了攻擊智能裝置最常見的三種方式：一是通過無線聯網，不管是通過藍牙、wifi還是zigbee，因為智能裝置要和其他裝置産生通信，這就産生了第一個攻擊點，它的通信協定如果不安全，就容易被破解。二是智能裝置的管理系統，比如通過手機可以管理一個智能硬體，這個手機和智能裝置直接連接配接，它會連接配接到一個平台上，對這個平台進行攻擊，下達控制指令，篡改控制指令，這個智能裝置也就被攻擊了。三是手機上有控制智能裝置的app，app如果有漏洞或者app和控制平台之間的協定有漏洞，隻要仿冒一個身份發一個指令，通過控制平台就可以間接實作攻擊。

對于這方面的安全問題，360公司早就開始有所行動。譚曉生透露，360公司其實是國内最早搞攝像頭安全研究的，這些研究成果會提供給攝像頭廠商，告訴其攝像頭有什麼樣的漏洞，該如何改進。“大家知道，360公司也是第一個在全球破解特斯拉的企業，去年某一款國産電動車我們也對它進行了破解，我們還給國内不止一個汽車廠家提供安全服務，從車載通信子產品、車機等方面進行整體安全評估。”譚曉生表示，車被遠控，人身安全就會有問題，對于汽車企業來說，如果發生這樣的事情對其品牌的影響會是緻命的。“我們和廠商是站在一條線上的，更多的是及早發現問題、修補問題，我們的政策是做安全研究，發現問題，提出改進建議，幫助使用者建立一個安全營運體系。”

但譚曉生也坦承，目前安全領域尚未有應對此類攻擊的靈丹妙藥，“這不像對付病毒，裝一個針對性的防毒軟體就行了，應對智能裝置的攻擊沒法這樣做”。對此，譚曉生提出了一個概念轉換：從安全産品到産品安全。他解釋說：“過去買一個防毒軟體裝進去，或者買一個盒子隔離網絡，我就能相對安全，這是做安全産品；如今你的産品從設計階段就要考慮到會遇到什麼攻擊、協定是不是安全、固件更新機制是不是有問題、控制平台是不是有漏洞，這一系列問題從一開始就必須考慮，在設計、制造、檢驗這一系列過程中怎樣把安全的因素都嵌入進去，這個産品必須造出來相對就是安全的産品，而不是事後去打更新檔。而且在今後産品營運的生命周期裡要建立一個安全運維體系，而不僅僅是賣出去就完了，要提供持續的服務，并且這種服務首先是安全的。”

面對iot帶來的新的安全挑戰，譚曉生呼籲，這絕對不是安全廠商一家可以搞定的，從産業鍊上下遊，從部件生産到整機生産，再到今後的安全營運，需要大家的協同。“在這個協同中需要給安全廠商一個位置，這是很重要的！”

做安全：還是要從最基礎的工作開始

在分享了關于iot安全問題的諸多觀點後，譚曉生話鋒一轉：“iot安全，大家都覺得這個詞特别熱，新概念容易吸引人的注意，但對于做安全防禦來說，它并不是最重要的事情。”他強調說，做安全，要想能解決大部分的問題，還得把一些最基礎的活兒幹好。

譚曉生表示，要把安全防線建好，得從四個方面的基礎工作入手：

第一個基礎工作是把漏洞管理做好，漏洞管理做好了以後，攻擊難度就很高了。“逼着黑客用0day漏洞攻擊的時候，攻擊成本就很高了，能夠實施攻擊的人一下子就少了。”

第二個基礎工作是網段劃分。“這就像在非典期間搞隔離，把非典病人都隔離到醫院，這種隔離是防止威脅傳播的非常有效的東西。對攻擊者來講，拿下一台終端，一進來卻發現寸步難行，除了這個網段别的都去不了，網段之間還有各種各樣的檢測，就可以把威脅隔離在一個小的區域。”

第三個基礎工作是使用者身份管理和使用者權限管理。“雖然這項工作比較繁瑣，但把這個事做完以後，你會發現攻擊者進來也是寸步難行。”

第四個基礎工作是資料備份。“比如遇到敲詐者病毒，這是非常完美的一種‘商業模式’，它相當于現實中的綁架，綁架了你的資料，你不交錢就銷毀資料，資料就找不回來了。針對這種攻擊，最好的方法是資料備份。這也是特别簡單的活兒，但弄完了以後很多對你的侵害都沒有用了。”

在譚曉生看來，這些基礎工作真的是企業安全最需要關注的。他說：“搞安全有一點，特别苦，這些基礎的活兒有多少人願意幹？這就是最大的問題，人們會覺得這些事情挑戰性不大，但恰恰是這些最基礎的工作才能構築堅固的防線！”

====================================分割線================================

本文轉自d1net（轉載）