2017年12月4日-5日,第一届泰尔论坛在京举办。本次论坛以“智能•互联”为主题,聚焦介绍终端与移动互联网、物联网等行业的最新趋势、政策解读、运营战略、研发测试技术和知识产权等情况,探讨整合产业优势资源实现共赢。
会上,中国信息通信研究院牵头会同设备生产厂商、互联网厂商、安全厂商、高等院校共同发起成立移动安全联盟(Mobile Security Alliance,简称MSA),移动安全联盟指导单位工业和信息化部网络安全局袁春阳处长、首届理事长谢毅院长,以及33家联盟首批理事成员和业界同仁代表出席了成立仪式,共同见证移动安全联盟成立这一重要时刻。百度安全作为首批联盟理事成员单位,百度首席安全科学家韦韬出席并发表题为“AI时代的生态安全支点”的演讲。
目前移动安全形势复杂多变,隐私勒索、欺诈、薅羊毛等黑产商业模式兴起,漫长产业链条上安全缺失等问题越发严峻。“百度首席安全科学家韦韬在演讲中指出,目前整个产业的碎片化越来越严重,安全生态是一个附加生态,当主生态过小将无法支撑一个健康的安全产业时,整个攻防会严重失衡,黑产则以疯狂的盈利能力肆意蔓延。“作为安全从业者有责任有义务推动整个行业向健康的方向发展,在黑产收割的发展之前建立起一个有效的防护体系。”
生态问题要用生态的方式解决,AI时代的生态安全支点
韦韬认为,移动安全防护本质上不单纯是一个技术问题,最核心的是一个生态问题。生态问题要用生态的方式来解决。针对移动安全生态打造,韦韬提出三个支点:第一,安全质量显性化。为了避免安全柠檬市场,尽量降低移动生态负面外在性,需要由一线安全专家参与推动法规、标准的制定,让安全质量实现量化,让安全投入不被口号代替;第二,安全生态适应化。生态碎片化是时代挑战,对安全技术的自适应能力提出要求,将碎片化生态融合,是安全业务模式成立的关键,另一方面,安全领域需要主动推进行业标准化、规范化,避免生态二次碎片化,避免囚徒困境。通过生态适应化,产业更好的与安全服务对接;第三,安全能力的信任。提高生态安全效率,首先要解决信任问题,通过技术开源,专利共享,安全社区和消费者的监督,提高产业公信力。
日前,百度安全牵头日前成立了 OASES智能终端安全生态联盟,这是国内首个致力于AI时代提升智能终端生态安全的联盟组织。百度安全向联盟成员开放了包括四项关键技术的全面的安全方案,包含“云、管、端”的各个环节,这些方案结合了百度安全的大数据安全能力,以及机器学习实践经验。
针对移动安全,百度安全业内首创OASES KARMA自适应热修复技术,可以使终端设备在不用系统升级、不影响用户体验的情况下,快速修复系统漏洞,避免被黑客恶意攻击。目前,该技术已经逐渐在手机和智能终端系统中落地;OASP移动应用签名安全技术提供了一种灵活的签名更新和跨代升级方案,让应用状态的动态验证成为可能。最重要的是,它创造了智能终端应用的生态联防机制,不产生新的中心依赖,避免生态独裁。
聚焦生物识别,打破生物特征的“马奇诺防线”
当下,通过生物特征进行身份认证的技术被广泛应用于智能终端,正在成为新的安全攻击面。就在GeekPwn2017大赛比赛中,百度安全实验室的研究员小灰灰展示了虹膜、人脸等一系列生物识别破解技术。
据韦韬介绍,百度安全经过深入研究后发现,指纹识别就是一道“形同虚设”的马奇诺防线。暴露在外的生物特征信息面临更大的被窃取利用的可能性,而经过百度安全实验室的指纹印章技术验证市面常见手机均存在被破解风险。对此,百度安全发布《深度剖析:手机指纹马奇诺防线的溃败》研究报告,并提醒广大设备厂商和生物识别技术厂商加强活体检测的持续对抗,重要场合使用复合认证策略。
