2018安全行业发展遐想

最近思考人生比较多，对行业的发展也有些自己的思考。关于业务安全、物联网安全、AI安全、隐私保护、区块链等安全领域的几点思考。

[[220498]]

业务安全

在大多数互联网公司，安全岗位都是属于成本部门。不考虑安全部门ROI的凤毛麟角。即使是超大型的几个头部公司，安全部门的汇报级别普遍较高，但是安全部门的工作重点都是不断证明自身的价值。对于绝大多数业务部门，基本是无法理解什么是XSS和SQL注入。

和业务部门解释这些，好比和一群素食爱好者介绍你们新推出的鸡腿堡套餐，不是说不说的清楚的问题，是傻不傻的问题。

唯一的例外，就是业务持续性和业务安全这两个是可以和业务部门沟通的。前者最常见的就是被D了，业务中断了，一小时损失多少PV，多少流水，业务部门比安全部门算的清。但是前者安全部门可以做的很有限，大多数情况下还是要以来安全厂商来解决。后者除了依赖安全厂商，安全部门也可以有发挥余地。常见的业务安全问题多与黑灰产对抗有关系，比如虚假点击、虚假注册，恶意爬虫之类。这些业务安全问题，业务部门是比较容易理解的，安全部门的价值也是容易体现的。2018年，甲方安全的同学如果觉得自己做的事情价值业务方不理解，不认同，不妨尝试下业务安全。

物联网安全

物联网安全一直是一个大家觉得会火，事实上也比较火，但是貌似大多数厂商没赚到钱的领域。

早期针对物联网设备的攻击，主要驱动力是用于垃圾邮件僵尸网络，说的更直白一点就是通过垃圾邮件进行广告营销变现，在那个物联网设备计算和带宽资源都相当有限的年代，干这个事是不错的选择。

这几年情况发生了很大变化。

• 一方面物联网设备井喷式发展，数量极其惊人;
• 一方面物联网设备的计算和带宽资源更加丰富;
• 另外一方面，智能家居等有能力接触到大量个人隐私的物联网设备大量出现。

所以目前这对物联网设备的驱动力主要为：

• 组成DDoS僵尸网络，发起超大规模网络攻击;
• 挖矿，挖各种币。
• 窃取个人隐私数据，从图像、语音到健康数据、消费数据以及账户数据等。

物联网安全技术的发展不是最令人担心的，因为目前大多数设备在设计的最初没有考虑安全问题。基础的操作系统漏洞、以及协议层的重放攻击，应用层的弱密码都可以干掉一大批设备。一个根上的问题，是谁该为安全问题买单。最终受害的是消费者，但是指望消费者去解决安全问题吗?买个家用的物联网IPS?指望厂商也不太靠谱，目前物联网或者说智能家居，智能设备行业还属于野蛮发展阶段，除了极其有限的几个头部厂商有能力去解决自己的安全问题，数量极其惊人的发展中厂商主要精力还在解决活下来的问题，指望他们去主动解决安全问题也不靠谱。

整个行业范围的去解决这些安全问题，我个人理解比较靠谱的方式，是类似大型公有云平台解决客户安全问题的方式，就是在物联网的操作平台层去统一解决大部分问题。设备厂商只要使用统一的几种OS或者开发套件就可以解决大部分安全问题。2018年这方面大家拭目以待。

AI安全

这个领域是我觉得比较奇葩的领域。或许我对AI安全的理解太狭义了。我个人理解的AI安全主要是使用AI技术去赋能安全产品，比如让WAF和IPS更牛逼，我写了两本介绍AI安全的书《web安全之机器学习入门》和《web安全之深度学习实战》也主要是从这个角度介绍的。

但是目前市场上相当一部分甲方和乙方是把智能设备的安全也称为AI安全，当然这也没啥问题。

AI一直是个不温不火的领域，让整个世界重视AI，阿尔法狗功不可没。阿尔法狗展现了，AI可以在部分领域超越人类。推而广之，计算机的强大算力和并发处理能力，可以让AI最终可以以更低的成本更好的完成人类的一些工作。这确实非常有吸引力。

AI技术目前在语音和图像识别领域非常成熟，几个头部的AI公司也是围绕着两个技术。基于这两项技术的AI安全公司势必也可以给人以惊喜，比如智能安防，智能认证等。

另外在AI赋能安全产品领域，我个人理解在更加细分的领域，漏洞发现类的产品发展会快于防护类和监控类产品。因为AI尤其是深度学习，最大的一个特点就是不可解释性，虽然最新的发展已经可以部分解决卷积处理的结果，但是对于MLP、RNN这些还是难以以人类可以理解的逻辑去解释。这对于防护类和监控类产品非常尴尬，你拦截一个包，判断一个交易申请是欺诈，你还没法和人解释，这就尴尬了。但是对于扫描类，或者说智能渗透，这个问题就没有那么尴尬了。另外扫描类产品对于误报的容忍性比其他产品要强，偶尔误报也可以忍了。但是阻断类产品就没那么轻松了。我个人理解扫描类AI产品值得期待。

隐私保护

从几个头部公司到众多独角兽公司，从互联网公司到传统企业和政府，都接触到大量的个人隐私数据。基于大量客户数据二次挖掘，提升用户体验甚至直接产生经济价值，已经成为很多公司的选择。但是一旦这些隐私数据没有妥善的保存、处理以及操作审计，出现信息泄露事件后果都是很严重的。这两年基于个人隐私数据的PR战只是冰山一角。基于个人隐私数据的犯罪以及司法刑事案件已经层出不穷。典型的就是基于隐私数据的互联网欺诈。立法层面对企业搜集、保存和处理个人隐私数据进行约束已经逐步进行。尤其是国外，公司层面的个人隐私泄露将遭受巨额罚款。国内这方面还在起步，不过趋势肯定也是向国外看起。与个人隐私相关的大数据软件安全、SGX、TEE、差分隐私、同态搜索等技术将普遍使用，有兴趣的可以关注这块。隐私保护已经从制度和审计层面，走向了攻防对抗阶段。

区块链

区块链是比特币的底层技术。大量的虚拟货币都依赖于区块链技术。攻击虚拟货币交易机构，洗劫电子货币的事件将越来越多，损失也会越来越大。

从赋能安全产品的角度，区块链的去中心化、不可篡改和可审计特性，特别适合于强审计需求的领域，我认为基于区块链的征信、溯源系统、操作审计系统将会是个不错的方向。