周鴻祎:我們該如何應對海量設備所帶來的安全挑戰?
不論是安全教父周鴻祎,還是國內外的科技大佬以及先知們,在關于未來的趨勢上均有兩點共識:所有企業都會成為互聯網企業;所有設備都會成為互聯網設備。
Internet of Things(IOT)時代之后,人類正在進入Internet of Everything(IoE)。無處不在的計算和連接設備正在滿足人類的貪婪和懶惰,讓人類生活更加舒適的同時卻帶來的前所未有的安全挑戰。正如周鴻祎在2014年互聯網安全大會上所描繪的,互聯網安全已進入Security of Things(SoT)時代,大數據安全、云端安全、隱私安全和實體世界安全成為重中之重。
比特原子化大潮掀起安全風暴
傳統世界由原子組成,信息革命則帶來呈現海量爆炸的比特世界。隨著互聯網縱深發展,兩個下沉趨勢正在發生,一是互聯網下沉到傳統行業成為其升級工具;二是互聯網下沉到所有設備掀起智能化大潮。正是“比特原子化”的趨勢這個大背景,讓互聯網安全面臨全新的挑戰。
人類的貪婪懶惰催生了大量改變世界的發明,萬物互聯很大程度也是這個原因。人們期望汽車自動駕駛、機器人可以做完家務和陪伴孩孩子、尚未到家便可以用手機控制空調提前制冷;政府部門為了提高破案效率和維護社會治安部署著海量的攝像頭;商場為了進行精準營銷則開始部署近場感應網絡……
每個人、每個家庭、每個企業都在擁有著越來越多的具備操作系統和聯網能力的設備。每個人所處的環境中的具備感知和計算能力的設備也在曾爆炸式增長之中。周鴻祎估計未來三五年內這些設備數量為達到200億規模,遠遠超過地球人之和。海量設備在服務人類的同時卻帶來更大的安全挑戰。
周鴻祎眼中的六大新安全問題
1、邊界正在消失,傳統手段失效
PC和手機安全在網絡和系統層面尚且擁有邊界,隔離、切斷行之有效。但IoT(Internet of Things)時代,海量設備分散在不同的物理地點又交叉連接、終端必須與云連接以使用其計算、存儲和服務能力,未來沒有一個設備是單獨存在的,而是必須與環境、與周圍設備、與云連接在一起。這將暴露出更多的潛在攻擊點以及更多漏洞機會,傳統的安全邊界正在消失,安全手段不再行之有效。
2、企業互聯網化,安全亟待惡補
互聯網企業正在滲透到每一個行業,傳統企業、學校、醫院、政府等組織所使用的互聯網手段越來越多,部署的連接設備越來越多,因此收集到的用戶數據也越來越多,大數據是每個組織的機會,又是每個組織的安全隱患,因為不論是從意識、人才、投入還是技術上看,大多數企業都不具備保護用戶隱私數據的能力,譬如一個安全監控攝像頭的店鋪的網絡如若被入侵,黑客就可以追蹤一些人的軌跡和習慣。
3、大數據污染,數據決策風險
大數據時代,人類會越來越依賴于基于數據的決策方式,輔助決策也是大數據的核心能力。但倘若數據收集、傳輸或存儲任何一個環節出現紕漏被黑客所攻擊,悄無聲息地注入垃圾數據,或者說是有意影響分析結果的數據,則會讓數據決策適得其反,最終影響企業的運行,這樣的數據污染非常難以被監控。
4、信息到設備,安全危害升級
過去是信息安全時代,出現安全問題頂多是導致設備無法運行降低工作效率、隱私信息被泄露或者說財產損失等等。設備安全時代,因為設備與人們的生活已經融為一體了,被攻破后果嚴重一萬倍不止。周鴻祎舉例說,智能汽車是人們騎著四個輪子的手機,被攻破了就可以影響駕駛安全。在智能家居這些領域還有更多隱患,譬如門禁被攻破帶來家庭財產和人生安全隱患、機器人被攻破可以從朋友變為敵人,攝像頭被攻破讓人類家庭毫無隱私……倘若上升到社會基礎設施那就更不可思議了,智能電網、交通系統哪怕只是紅綠燈、廣播電視系統,每一個出問題后果都不堪設想。
5、大數據時代,用戶隱私難題
無數傳感器將會不斷收集我們的數據并上傳到云端,將所有碎片化的云端數據還原之后匯總起來就可能將我們每個人就變成了透明人。我們每個人在干什么,在想什么,可能這時候云端全部都知道。如果有一個或者幾個云端服務商出現了安全問題,或者說本地的設備出現了紕漏,我們的數據被別有用心的人收集到之后,整個人都透明化地呈現在別人面前,隱私暴露比艷照門之類的嚴重許多。更可怕的是艷照門事件后受害者是知道的,但大數據隱私泄露很可能是一個人一輩子都被監控之中,生活收到影響還渾然不知。
6、法律法規制度的滯后
企業在收集和使用用戶數據時的責任和義務,出現問題后應該付出的代價,數據的所有權,攻擊者應該付出的代價,都還沒有完善的法律法規體系來監督約束。只有法律法規才可以不斷督促企業去完善安全防護措施,可以震懾別有用心的攻擊者,讓整個行業更加安全。
三大原則應對新時代安全問題
周鴻祎是互聯網老兵,從PC時代到移動互聯網時代都能很好把握住用戶痛點做出令人叫絕的產品——盡管一些產品的推廣手段有爭議但產品本身卻很接地氣。周鴻祎對用戶需求理解很深,安全教父的背景讓其站在用戶角度對安全形勢提出了全面、前瞻和務實的洞察。周鴻祎演講口才上乘,更是通過各種案例和段子將安全趨勢這樣的枯燥話題深入淺出地講述出來。但問題是倘若這些安全問題變為事實,人類的未來就更不樂觀了,尤其是隱私幾乎是空談了,如何破?周鴻祎認為有三大原則必須遵守。
1、所有用戶數據的所有權必須屬于用戶。不論存放在哪家服務器上,不論是免費還是收費,它只是暫時存放和托管在企業服務器上,這就意味著用戶對數據如何使用、數據是否可被刪除等等擁有決定權。歐盟今年要求Google提供支持用戶刪除關于自己的內容的功能正是印證了這一原則。
2、所有收集和存儲用戶數據的企業必須具備保護數據的能力,并且為之負責。“你要把你收集到的用戶數據進行安全存儲和安全的傳輸,這是企業的責任和義務”。如果這一原則被政府接納,未來相關法律法規必然會對企業進行資質審核、數據監督以及出現問題后的判罰。企業也必須在安全上投入更多。
3、給予用戶知情權和選擇權。企業不能未經用戶授權就去采集他的信息,采集之后如何使用、何時使用、是否有交給第三方或者出賣給第三方使用,都必須讓用戶知曉。同時用戶應該隨時具備停止自己的數據被使用的權利。
三原則落實是否就能讓人類沒有后顧之憂地擁抱IoT時代呢?答案是否定的。三原則只能是最基礎最底層的建議,要讓人類在新時代享受真正的大數據安全、隱私安全、設備安全、云安全,還需要更多的原則去遵守,同時,相關法律法規、行業規約、技術手段、物理設施、企業和用戶意識都需要配套完善起來才行。盡管互聯網下沉給所有傳統企業帶來機會,給人類描繪了一個全新的未來生活,但安全一定是一直未伴隨并且揮之不去的“陰影”,這似乎是在提醒人類在用智慧滿足貪婪懶惰的時候,別忘了科技終究還是一把雙刃劍,人類應該心存敬畏。
作者微博@互聯網阿超,微信SuperSofter
文章為作者獨立觀點,不代表創投分享會立場
知名風險投資公司
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
創業聯合網是創業者和投資人的交流平臺。平臺擁有5000+名投資人入駐。幫助創業企業對接投資人和投資機構,同時也是創業企業的媒體宣傳和交流合作平臺。
熱門標簽(qian)
精華文章
