|||
高曉松老師說:“人生不是故事是事故”,。人們習(xí)慣把安全“外包”給專業(yè)機構(gòu),,只有當(dāng)?shù)準(zhǔn)乱u來才會痛定思痛,這大概是人性的最大bug,,因此安全從來不能一勞永逸,。如今,全國有12億人像我們一樣,,每天與手機為伴,。越來越多的安全隱患是從“手機”這個最薄弱環(huán)節(jié)攻入的,很多網(wǎng)絡(luò)犯罪分子也已紛紛“轉(zhuǎn)型”線上了,。
在第5屆中國互聯(lián)網(wǎng)安全大會(ISC2017)上,,360掌門人周鴻祎關(guān)于“大安全”的演講刷新了人們對網(wǎng)絡(luò)安全認知高度,比如萬物皆可編程,,只有軟件是由人編寫就一定存在漏洞,,就有被攻破的可能性;在未來網(wǎng)絡(luò)戰(zhàn),,系統(tǒng)漏洞是最寶貴的戰(zhàn)略資源,;網(wǎng)絡(luò)安全方向?qū)⑹擒娒窈献鞯取按蟀踩毙掠^念不勝枚舉,。鑒于移動安全重要性及復(fù)雜形勢,由360公司組織了ISC2017“移動終端安全論壇”,,邀請工信部旗下安全實驗室,、中國移動、華為,、螞蟻金服,、360等活躍在安全產(chǎn)業(yè)第一線重要角色參加。
筆者作為媒體代表有幸受邀觀摩學(xué)習(xí),,感慨作為一名安全小白享受著移動互聯(lián)網(wǎng)帶來便捷和繁榮,,很少設(shè)想網(wǎng)絡(luò)底層“地基”是否牢固?憂慮過是否有不速之客闖入手機“安樂窩”的可能,?如果被攻破還沒有察覺,,就像被人騙了還在給人數(shù)錢一樣昏聵,,那么,,我們的手機未來會真的更安全嗎?
一,、手機系統(tǒng)漏洞爆發(fā),,智能手機產(chǎn)業(yè)鏈讓安全形勢更嚴(yán)峻
主流的智能手機操作系統(tǒng)要么是iOS,要么是Android,,國產(chǎn)手機幾乎全部基于安卓的開源系統(tǒng),,安卓機市場占據(jù)智能手機份額的70%以上。據(jù)CVE Details年初的報告,,去年安卓軟件的漏洞高達523處,,高居所有軟件漏洞之首;此前360互聯(lián)網(wǎng)安全中心就出具報告顯示,,超9成安卓機處于系統(tǒng)高危狀態(tài),。
好在安卓系統(tǒng)更新非常勤快,升級新版塊一般會把以往公布的漏洞進行修補,,那漏洞應(yīng)該會越來越少才對,。讓人沮喪的是,在ISC移動安全終端論壇上,,360 Alpha小組安全研究員楊文林公布了一組數(shù)字,,2015年谷歌官方公布了64個漏洞,2016年則公布了498個,,2017年上半年谷歌官方已披露了1000個,,其安全漏洞數(shù)量不降反增,預(yù)計2018年系統(tǒng)漏洞還將數(shù)以千計爆發(fā),。
在ISC2017移動終端安全論壇上,,中國信息通信研究院泰爾終端實驗室信息安全部副主任楊正軍在其演講中,就移動安全形勢越來越嚴(yán)峻的原因做了梳理:
1. 智能手機上下游產(chǎn)業(yè)鏈極其龐雜,其中芯片廠商,、手機廠商,、App應(yīng)用開發(fā)者等每個環(huán)節(jié)都可能產(chǎn)生漏洞。
2. 各個手機廠商之間相互競爭,、各自為政,,對自身UI的安全程度不一,比如谷歌發(fā)布CV1漏洞后國內(nèi)各個手機廠商及主要應(yīng)用修復(fù),、升級較為滯后,。
3. 用戶手機安裝眾多App,有的App存在敏感信息泄露,;隨著智能手機所連接的智能設(shè)備越來越多,,云端密碼、用戶隱私信息泄露風(fēng)險加大,。
(摘自《2017年中國手機安全生態(tài)報告》,,不同App對用戶隱私權(quán)限不一樣,整體來看非常嚴(yán)重)
要按以往PC時代安全思維,,用戶安全直接交給專業(yè)網(wǎng)絡(luò)安全公司,、裝個殺毒軟件或手機安全管家就OK了,但移動安全產(chǎn)業(yè)鏈牽一發(fā)而全身,,系統(tǒng)漏洞防不慎防,,如果不能從全產(chǎn)業(yè)鏈上“團結(jié)”起來,很難打擊網(wǎng)絡(luò)犯罪分子及黑客大盜的囂張氣焰,。據(jù)了解,,去年全球網(wǎng)絡(luò)犯罪所造成的損失高達3萬億美金,預(yù)計2021年會達到6億美金,。
二,、打擊網(wǎng)絡(luò)犯罪,移動互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈大協(xié)作才能“治本”
智能手機不僅是人們的認證中心(手機號與社交資料構(gòu)成人的身份證及通行證),;還是個人的財富中心(支付寶和微信在很多城市已經(jīng)取代現(xiàn)金支付,,還與銀行卡進行綁定)。
這意味著網(wǎng)絡(luò)犯罪分子只要搞定用戶手機,,絕不可能空手而歸,,網(wǎng)絡(luò)犯罪離廣大網(wǎng)民并不遙遠,據(jù)2017年Q2手機安全報告,,360獵網(wǎng)平臺共接到網(wǎng)絡(luò)詐騙舉報達6807起,,涉案金融高達1.2億元,人均損失17582元,,其人均損失基數(shù)有逐年上漲態(tài)勢,。
打響移動安全保護戰(zhàn)首先要升級的全行業(yè)的憂患意識,,以系統(tǒng)漏洞偵查甄別及修復(fù)為“牛鼻子”順藤摸瓜。從這個角度講,,安全互聯(lián)網(wǎng)公司向手機廠商公布或提示漏洞并非要“砸場子”或“搞事情”,,而是幫助手機廠商提升自身的防御力。
以蘋果為例,,去年iOS系統(tǒng)開始嘗試安全接口的開放,,以攔截騷擾電話、垃圾短信,、釣魚鏈接等,,360推出防騷擾大師等安全軟件;而谷歌,、微軟也會對系統(tǒng)漏洞舉報者給予獎勵,,其中全球安全廠商之中,360提供的漏洞數(shù)量最多,。
國內(nèi)運營商,、手機廠商、開發(fā)者對系統(tǒng)漏洞也應(yīng)秉持這樣的開放態(tài)度,。要知道,,任一手機廠商,、互聯(lián)網(wǎng)公司只備選某方面的數(shù)據(jù),,無法做到全面的安全監(jiān)測,要從源頭上解決移動安全問題,,就需要政府單位,、安全互聯(lián)網(wǎng)公司、運營商,、手機廠商,、開發(fā)者加強合作。出席ISC2017“移動終端安全分論壇”有中國移動,、華為,、螞蟻金服的科學(xué)家及專家建言獻策。
(ISC2017首屆移動終端安全論壇專家)
1.政府及行業(yè)管理層面:移動終端安全由于手機廠商規(guī)范不統(tǒng)一,,驅(qū)動力不夠,,需政府主管部門統(tǒng)籌,比如對電信設(shè)備入網(wǎng)進行安全檢測,、抽查入網(wǎng)設(shè)備,、對系統(tǒng)安全更新備案;推動手機廠商建立移動智能設(shè)備持續(xù)性監(jiān)測與安全管理標(biāo)準(zhǔn)體系,,以及全行業(yè)安全產(chǎn)業(yè)聯(lián)盟,。
2.運營商與移動互聯(lián)網(wǎng),、金融機構(gòu)合作:中國移動已開放自身的用戶號碼能力,提供實名,、短信,、號碼、數(shù)字簽名等認證,,這些成為移動金融征信的一部分,;使手機號碼與業(yè)務(wù)安全結(jié)合在一起,讓越來越多App基于移動手機號碼注冊,,并進行賬戶權(quán)限管理和各站點的互聯(lián)互通,。
3.安全互聯(lián)網(wǎng)企業(yè)與手機廠商、第三方應(yīng)用分發(fā)平臺合作:如華為手機就下架了近3000多個問題應(yīng)用,;360對安全隱患的App進行跟蹤,,對有漏洞或病毒程序的溯源,再做風(fēng)險分析和應(yīng)急預(yù)警等,。
此外,,用戶數(shù)據(jù)安全管理需要保護用戶隱私不被非法獲取,手機安全管理軟件防止偽基站WiFi熱點竊取用戶賬戶密碼,;云服務(wù)公司尤其需重視云數(shù)據(jù)存儲及下發(fā)安全等,,都需要安全互聯(lián)網(wǎng)公司與最新云計算、大數(shù)據(jù)等公司協(xié)作,。
以往移動互聯(lián)網(wǎng)行業(yè)中各個參與者都在想如何做安全產(chǎn)品,,專業(yè)水平暫且不論,但往往只能“馬后炮”修補迭代,,面對不斷變異的病毒程序形同虛設(shè),。唯有移動安全生態(tài)中的芯片廠商、終端廠商,、手機廠商,、運營商及安全互聯(lián)網(wǎng)公司開放協(xié)作,才能提升移動安全的根本,。
三,、安全產(chǎn)業(yè)永遠要道高一尺,安全互聯(lián)網(wǎng)企業(yè)是協(xié)調(diào)者+賦能者
對廣大用戶來說,,移動安全也是“武功再高,,也怕菜刀”,無數(shù)耳釣魚網(wǎng)站及網(wǎng)絡(luò)詐騙讓互聯(lián)網(wǎng)充滿陷阱,,以手機端勒索軟件為例,,據(jù)360烽火實驗室技術(shù)經(jīng)理陳宏偉表示,在2017年上半年,,總共截獲了勒索病毒41萬個,,其中一些勒索病毒甚至能以語音或二維碼解鎖形式,,制作成本低廉,而且每天新增約2萬個勒索病毒,,這些病毒甚至被一些00后群體作為謀財工具進行經(jīng)營和散布,。
今年5月WannaCry勒索病毒事件開始顯示其猙獰的一面。很多國家,、地區(qū)的加油站沒法加油,,交通指揮系統(tǒng)失靈、醫(yī)生做不了手術(shù),、銀行系統(tǒng)被攻入等,,其勒索支付手段是查無實證的比特幣;更令人細思極恐的是,,該事件使用的竟是美國泄露的網(wǎng)絡(luò)戰(zhàn)武器之一,。不僅移動安全是一個系統(tǒng),整個網(wǎng)絡(luò)安全也與金融安全,、公共設(shè)施安全,、國家安全聯(lián)系成為一個生態(tài)系統(tǒng),而移動安全可能就是大安全系統(tǒng)之中最薄弱,、也最常見的環(huán)節(jié),。
有數(shù)據(jù)統(tǒng)計,目前黑色產(chǎn)業(yè)鏈的規(guī)模是網(wǎng)絡(luò)安全產(chǎn)業(yè)的10倍以上,。在電影《速度與激情8》中的大反派賽弗搶走“天眼系統(tǒng)”,,從而把所有人的手機、城市里的攝像頭成為她隨時可調(diào)用的監(jiān)控,,馬路上行駛的汽車瞬間成為“僵尸”和自殺性襲擊武器,。這是一個IOT時代預(yù)言,,當(dāng)人們不安分地接近自動化,、智能化的AI世界時,如果沒有強有力的網(wǎng)絡(luò)安全技術(shù)作為保障,,那將是歷史災(zāi)難,!
樂觀主義者認為“魔高一尺、道高一丈”,。移動安全痛點越強,、人們市場需求越旺盛,政府對安全產(chǎn)業(yè)的重視和扶持,,可以說,,當(dāng)前也處于安全產(chǎn)業(yè)“雙創(chuàng)”的黃金期,由360主辦的ISC2017“安全雙創(chuàng)周”及“安全訓(xùn)練營”活動就給予國內(nèi)的白帽子創(chuàng)客以資金,、技術(shù)和平臺支持,,安全創(chuàng)業(yè)的風(fēng)口正在猛烈刮起,。據(jù)艾瑞的研究報告顯示,在2016年全球安全投入增長至7356.8億美元,,占據(jù)IT總投入的16%,;而在2017年達到9104.4億美元,與全球IT產(chǎn)業(yè)同步的中國更須在安全產(chǎn)業(yè)上厚積薄發(fā),。
在這個過程之中,,360的格局似乎從以往為用戶服務(wù)的產(chǎn)品型公司逐步升級為一家輸出安全能力,為互聯(lián)網(wǎng)公司,、企業(yè),、銀行提供安全技術(shù)保障的社會型組織,而在打造移動安全全產(chǎn)業(yè)鏈過程之中,,政府與市場之間,,各個手機廠商之間、手機廠商與安全廠家之間,、互聯(lián)網(wǎng)公司與安全互聯(lián)網(wǎng)公司,、安全產(chǎn)業(yè)創(chuàng)客與資本市場之間絕少不了360的“穿針引線”,能否在“安全”上求同存異,,如何逐漸化解互聯(lián)網(wǎng)公司由來已久的數(shù)據(jù)封鎖,、戰(zhàn)略對峙等“小九九”,摒棄零和博弈思維,,相當(dāng)考慮智慧,,但這是營建移動安全生態(tài)鏈的希望。
結(jié)語
互聯(lián)網(wǎng)本身是代碼編寫的的比特世界,,隨之智能手機在滲透人們生活,,連WiFi上網(wǎng)與安全一樣成為最底層的剛需,而移動互聯(lián)網(wǎng)一步步把“人和物聯(lián)網(wǎng)”,,越來越多智能硬件會成為移動終端,,系統(tǒng)漏洞的疏忽、被利用,,都會對物理世界,、對人造成實質(zhì)性的損傷。只有在移動安全內(nèi)“積跬步”,、全產(chǎn)業(yè)鏈上“手牽手”,,才有可能在萬物互聯(lián)(IOT)時代“行千里”,因為無論科技多么發(fā)達,,人的“安全感”將構(gòu)成用戶體驗及商業(yè)價值的支點,。
作者:李星,公眾號:靠譜的阿星,,靠譜匯創(chuàng)始人,,科技媒體專欄作家,,個人微信號即QQ:1598145405,歡迎交流
銷售與市場官方網(wǎng)站 ( 豫ICP備19000188號-5 )
GMT+8, 2024-12-25 21:16 , Processed in 0.031948 second(s), 17 queries .
Powered by 銷售與市場網(wǎng) 河南銷售與市場雜志社有限公司
© 1994-2021 sysyfmy.com