濟寧百度 濟寧百度公司 濟寧網站建設 濟寧優化公司 濟寧百度優化

您現在的位置是:網站首頁 » 
信息內容
百度安全為什么成立智能終端安全生態聯盟
發布者:admin 發布時間:2017/11/9 10:53:53 閱讀:549

百度 All in AI 后,百度安全搞出了一個 OASES 智能終端安全生態聯盟,并稱其為“國內首個致力于 AI 時代提升智能終端生態安全的聯盟組織。”

其實,這個聯盟去年在百度內部就已立項, 9 月初正式敲定,一直在等合適的時機發布。


百度安全事業部總經理馬杰對雷鋒網說:“我們建立聯盟,不想說一個特別空的東西,最好有實際的東西,比如,拿代碼、專利這些給大家,而不是坐一塊說——好吧,我們合作,我們要干點什么。”

 


準備

馬杰說的“不空”的東西,是指百度安全在聯盟正式宣布成立前做好的一系列的準備。

第一,百度安全首席科學家、百度安全實驗室負責人韋韜針對自適應內核漏洞熱修復技術,從 2016 年 5 月開始,在 2016 年中國網絡安全年會、XCon 2016、 BlackHat 2016、國際頂級安全學術會議 USENIX Security2017 上持續宣傳碎片化生態熱修復的重要性,并陸續發布其核心技術。

這項韋韜不遺余力推廣的新技術終于在 2017 年 10 月落地—— 10 月中旬,某低調的國產著名手機大廠發布的新產品就集成了百度的 OASES KARMA 自適應內核熱修復技術。

宅客頻道了解到,百度安全正在趁熱打鐵,推進與中興和酷派等更多廠商的合作。

第二,今年 6 月,在Mosec上發布 OASP 移動應用簽名安全技術,并開始在百度全線移動產品上應用。

第三,今年10 月,推出 OpenRASP 自適應 Web 安全防護技術,目前正與著名安全組織 OWASP 聯手在全球推廣。

最后,百度安全向聯盟成員開放了這四項申請了專利的安全技術能力,包括:KARMA自適應內核漏洞熱修復技術、OASP 移動應用簽名安全方案、OpenRASP 自適應Web安全防護技術和 MesaLink 內存安全通信協議棧技術。

這里說的開放是真開放,百度安全把四項技術的代碼開源,而且專利與聯盟成員共享。

 


已推進一年多

從技術推出到落地,再到規模性的合作,這顯然不是一次容易的任務。

仔細看百度安全此次對聯盟內部開放的四項技術,就能找到“為何這么難”的答案。

在終端層面,首先要保證系統安全。因為一旦系統被攻破,就等于給智能終端的安全來了個釜底抽薪,即便上層的應用安全做得再好也是徒勞。但這恰恰是智能系統的“頑疾”。

以往的安全修復,需要系統廠商先打補丁、升級系統,終端廠商再進行修復、版本升級,最后終端用戶升級智能終端的系統。這個修復鏈條非常長,收斂的速度甚至長達幾年。加之智能系統碎片化嚴重,市面上有 2 萬多種設備型號。

更要命的是,在這個過程中專業的安全企業是缺位的——智能終端廠商不可能組織一群安全研究人員專門發現及解決漏洞問題,即便是發現了高危漏洞也無從“插手”。

按照百度安全的說法,通過自適應內核漏洞熱修復技術,終端設備不用系統升級,就可以在不影響用戶體驗的情況下,快速修復系統漏洞,避免被黑客惡意攻擊。

以手機為例,如果安卓手機系統出現需要修補的 bug,以往的做法是,手機廠商推送 bug 需要修復的系統升級公告給用戶,用戶使用手機時需要點擊“同意”,修復升級,重啟手機。

一個小白用戶真的能意識到這個 bug 是非修復不可的嗎?會不會很多人直接點擊了“稍后”,然后忘了這件事?根據百度安全實驗室的統計,在業界做得最好的iOS也有超過40%的用戶長期不能升級到最新版本。

漏洞及修補措施一經發布,用戶若沒有及時反饋修復,便給攻擊者提供了絕佳的時間差和武器。

熱修復的主要優勢說白了就是“不重啟打補丁”——熱修復補丁不會作為常規補丁隨系統自動更新,不會中斷設備當前運行的業務,在不重啟設備的情況下,可對設備當前軟件版本的缺陷進行修復。

但是,關鍵點在于,這不是一個 App 的修復,而是終端設備的系統層面的問題。讓別的安全廠商觸碰自家手機系統層面的 bug 修復,需要極高的信任度和不斷的磨合。

App 的熱修復一般通過事先設定的接口從網上下載無 bug 的代碼來替換有 bug 的代碼。雷鋒網了解到,百度安全與手機廠商的合作模式可能是類似的合作方法——手機廠商設定一個補丁庫,然后通過百度安全提供的接口,推送到用戶的手機上。至于什么時候推補丁、推什么、如何告知用戶,通通都是手機廠商說了算。

正如文前所說,為了進一步建立雙方的信任,百度安全先把代碼開源了,明明白白地拿給你看。

韋韜說:“這次合作本身的難點在于,我們解決了一個非常難的問題,而且要在數十億用戶的市場上達到萬無一失——生態碎片化時代在我們之前沒有任何人能夠應對這些漏洞的威脅,包括谷歌在內。而我們的合作伙伴又都是大公司,產品版本非常多,要確保用戶體驗不會受到影響。”

僅自適應內核漏洞熱修復技術的落地,百度安全就推了一年多。

 


百度安全也“AI ”

百度安全的目的不止于此,OASES 聯盟是打著“ AI ”的旗幟的。

11 月 6 日,百度總裁張亞勤與 AI 安全研究領域的學術大牛、加州大學伯克利分校計算機系教授 Dawn Song 為該聯盟成立站臺,聊了聊 AI 安全,隨后就是百度安全演示智能終端安全技術。

一個友商的安全研究員會后叫住了百度安全實驗室的黃正:“你們這個活動的主題是 AI ,但智能終端設備很‘AI’嗎?”

黃正答:“我不知道是不是很‘ AI ’,但 AI 安全講得這么多,大家真的理解嗎?我覺得未來 AI 安全的落地應該是在智能終端上, 我們把事情拿到前面做了。”

百度安全的官方說法是,AI 的安全既包含傳統安全層面,比如 AI 系統的硬件、軟件、框架、協議等,也包含 AI 自身層面的安全,比如錯誤地引導機器學習系統,以達到攻擊者的目的,或者破壞機器學習的樣本,讓機器學習得出錯誤的結果。

百度安全向 OASES 聯盟成員開放了其在 AI 生態上的多項安全能力,是希望在智能終端領域,通過專利共享、技術開源、標準共建,與聯盟合作伙伴共同推動安全技術與服務的應用落地,共建安全的 AI 時代。

此外,百度安全開放的四項技術能力,雖然針對的是智能終端,但包含了“云、管、端”的各個環節。

比如,除了自適應內核漏洞熱修復技術,還有針對應用安全的 OASP 應用簽名安全方案,還有針對傳輸層的下一代可配置嵌入式安全通信協議棧 MesaLink,在語言層面提供內存安全保障,算法層面提供后量子密碼對抗能力,以及針對云端安全的 OpenRASP 開源自適應安全解決方案,保護引擎集成在了應用內部,可以直接跳過紛繁復雜的應用協議解析,直接在應用脆弱環節檢測、抵抗攻擊。

韋韜對后量子密碼對抗能力進行了解釋:“量子計算里有一種算法叫做 Shor 量子算法,可對 RSA 或 DSA 這些算法產生可怕的影響——可以在多項式時間內求解大整數分解問題和離散對數問題。在量子計算發展成熟后,RSA 和 DSA 、ECDSA 這些傳統公鑰算法在理論上都不安全了。”

這意味著,整個公鑰體系將全線崩潰。對銀行業而言,更是噩夢。不管銀行的證書藏得多么好,比如藏在 U 盾里,但公鑰是公開的,攻擊者可以通過公鑰計算出私鑰讓整個證書系統徹底崩潰,這種就是可被量子攻擊的狀態。而后量子密碼體系不受 Shor 量子算法影響,即使量子計算機實用化以后,依然提供安全的服務。

AI 安全涉及的技術相當前沿,為了后續推出更過 AI 安全技術,該聯盟吸納了許多高校學術大牛,如清華大學、復旦大學、中國科學院、上海交通大學、佛羅里達州立大學等中外頂尖院校的一線專家學者。

另外,聯盟還有安全廠商犇眾信息(內置業內著名的盤古團隊)、Keen公司(著名的 GeekPwn 極棒黑客大賽主辦方)、NewSky Security(青天科技,主攻物聯網設備安全)、騰御安(TYA,Linux 內核安全專家團隊)等攻防能力特別強的技術團隊。

馬杰稱,學術伙伴看前沿,這些團隊則是來一起解決當下的現實安全問題的。

 


谷歌做不到的事情,我們來做

涉及到安卓系統的問題,最終可能會落到谷歌身上。

但問題是,為什么谷歌沒有做這件事情?

韋韜認為,安卓其實是一個開放平臺,但谷歌只對參加它的 CTS(兼容性)測試、獲得安卓商標授權的廠家負責。谷歌的要求是——你必須跟我跑,你必須跟上安卓新版本發展的速度。但后來各家實在做不到,就有所放松了。況且,還有大量用安卓的智能終端廠家不在 CTS 里。

馬杰稱,谷歌的解決方案在傳統移動行業推進盡快升級是正確的,但這個正確的方案落到智能終端這個產業時,產業鏈太長了。

濟寧百度公司了解到,從硬件廠商,到谷歌,到手機廠商,再到運營商。每一個環節都有自己的開發、質控、驗證等復雜流程,有時候還會相互沖突。這樣要消耗大量的時間和人力,而且有時甚至導致安全補丁無法下發給用戶。

今年 10 月中旬,超過 40% 的安卓設備被報告受到了 Wi-Fi 漏洞“KRACK”的影響,與谷歌有合作關系的廠商在10月16日拿到了谷歌發過來的補丁,但谷歌在 11 月 7 日才對外公開發布這個補丁。

安卓設備機型眾多,谷歌方面表示,只會針對 Nexus 和 Pixel 設備進行適配,其它品牌的手機可以通過第三方手機廠商推送的補丁解決該問題,因此只是時間問題。

但恰恰是這個“時間”差,有時能讓攻擊者發起致命一擊。

百度安全此次發起聯盟并促成第一項自適應內核漏洞熱修復技術落地,實際發出了一種聲音:谷歌做不到的事情,我們來做。

 
 
打印本頁 || 關閉窗口
全民飞机大战黑龙公主升级费用