互联网创新创业时代,很多领域呈现一个共同特征:当先行者的技术积累到一定程度后,开放协作就逐渐成为这个领域的关键词,百度的Apollo人工智能、阿里的城市大脑/大数据、京东的区块链溯源平台莫不如是。
事实上,在安全问题频发时,当下的移动安全产业形势已经无法应对系统性的安全风险,开放协作成为产业迫切的需求,也是行业发展的必然趋势之一。
就在1月22日,“穿云箭”组合漏洞媒体沟通会于360大厦召开,以安全立身的360和移动安全联盟(MSA)推出了“先行者”行动计划,目的在于帮助手机厂商减少等待补丁下放时间,更快速修复漏洞减少用户损失,该计划的推出标志着移动安全领域的开放协作理念已经开始落地。
严峻形势面前,安全已成移动互联网“刚需”
过去认为的手机安全问题并不突出可能已经站不住脚了,移动端的安全形势已经不比PC端轻松,安全已经是刚需。
1、产业数据上,黑产、灰产已然可观
360首席安全官谭晓生在媒体沟通会上表示:“中国网络安全产业2017年估计才刚刚过400亿,而对应的网络灰产、黑产在2016年时就超过1000亿,用道高一尺,魔高一丈形容再贴切不过。”这与《阿里聚安全2016年报》不谋而合:手机木马病毒呈现快速上升的趋势,2016第四季度就翻了近一倍。
所谓黑产,即通过直接入侵用户手机的方式获取非法收益,例如随便点击带短链接的陌生短信,转接到木马网站自动下载病毒,威胁电子支付等手机功能的安全,或者带来不胜其烦的骚扰电话。
2、危害程度上,威胁进一步升级
过去,移动安全只是点状的、应用层面的,也即,只是针对某些应用,例如支付宝、手机银行的漏洞,再配合诈骗等手段获取用户密码,套取非法收入。
现在,移动安全的威胁已经深入到系统底层,尤其是在开源的、被广泛运用在智能手机、平板电脑及其他智能终端的安卓系统上。本次“穿云箭”就是典型的可以远程彻底攻破谷歌Pixel手机的组合漏洞,该漏洞基于底层系统存在,能影响手机设备上所有应用,甚至包括电话短信等基础应用,也因此,该发现获得了Google向Alpha团队负责人龚广颁发的112500美金的奖励(包括105000的Android奖励和7500的Chrome奖励),是自2015年谷歌设立安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励。
这种漏洞让凡是架构于系统之上的应用都受到影响,造成的危害是系统性的。例如,过去还需要其他手段套取手机验证码,现在利用漏洞可以直接获取。
3、社会影响上,网络电信诈骗已经成一大公害
在爆出的新闻中,时常可以发现巨额财产损失,上百万、上千万屡见不鲜,企业破产倒闭、普通人养老钱、救命钱被骗轻生自杀也能见诸报端。根据权威媒体报道,2013年至2016年10月,全国共发生被骗千万元以上的网络电信诈骗案件94起,百万元以上的案件2085起,另外,我国平均每15个人中就有1个接到过诈骗电话。(以上数据出自南方都市报、央视等)
毫无疑问,网络电信诈骗过去就已经成为一大公害,而随着智能手机的普及,单一的传统电信诈骗已升级为移动木马诈骗。根据《2017年手机安全报告》,电信网络诈骗已经呈现多种手段联合作战、风险WiFi异军突起、木马病毒家族作案三种特征。
解决 “刚需”问题,开放协作成为必然
尽管形势严峻,但移动安全关联方,包括安全厂商、手机厂商及系统开发商过去的应对却有不足之处,隐患十分明显,而开放协作成为解决这种不足最好的方式。
1、单打独斗无法应对系统性风险
系统性风险只能由系统性的策略来防御。
尽管360能够发现“穿云箭”组合漏洞,也位列Google2017年漏洞致谢榜首位,发现漏洞数占比接近一半,远超趋势科技、Google Project Zero等国际顶级黑客天团,但无论如何,360的技术再领先,也只能辐射到已安装用户。
而根据360手机卫士与中国泰尔实验室联合发布的统计数据显示,在测试手机中,平均未修复漏洞比为19%,每款终端含有未修复漏洞5个左右,在我国安卓用户占比超过87%的情况下,仅靠360等安全卫士厂商的一己之力,不太容易应对系统性风险,需要所有从业者联合起来。
2、系统所有者出手,但时间差留下隐患
毫无疑问,系统所有者(例如安卓的Google)是有能力应对系统性风险的,通过底层修复,几乎所有的漏洞、病毒都无处藏身,并且能够发布到所有的终端上。
然而,这种修复面临严重的时间差问题:Google需要首先确认漏洞是什么,然后进行POC验证(Proof of Concept,针对客户具体应用进行验证性的测试),再分析漏洞产生的原因、制定修复方案,最后发布修复补丁。
这个时间可能长达4个月,对被黑产庞大利益所吸引的不怀好意者来说,已经足够做很多事情。
3、三大优势下,开放协作本就是移动安全应有之义
在这样的背景下,推出“先行者”行动就显得顺理成章,其成长土壤则是2017年12月由中国信息通信研究院泰尔终端实验室牵头,终端设备厂商、互联网厂商、安全厂商、高等院校等共同发起成立的移动安全联盟(Mobile Security Alliance,简称MSA)。
作为理事成员,360联合MSA推出“先行者”行动,其目的在于帮助终端厂商成为漏洞修补的“先行者”。从实际效果来看,MSA上的“先行者”是典型的移动安全领域的开放协作模式,其价值应当在于:
A、在漏洞、病毒的发现方面,安全厂商、终端厂商、应用厂商资源协作,从而覆盖到尽可能多的漏洞或病毒,减少黑产死角的可能性。
B、在反漏洞能力的协作方面,360等领先厂商的技术能力可以不同程度在“先行者”计划里共享,帮助协作平台上的参与者更好地提升技术水平,并解决漏洞。这与百度Apollo计划把无人驾驶相关技术分享出来类似,对整个移动安全的整体技术提升有直接意义,而过去,包括国际厂商在内的安全厂商从未思考过这件事。
C、在速率上,“先行者”计划可以与MSA漏洞修补相关计划配合,不管是360还是其他参与者,发现漏洞信息可以第一时间分享漏洞风险、防御方案等信息,终端厂商能够在最短时间内修复漏洞,或者用热补丁应急再待Google的全体更新,避免时间差的问题。
由此,MSA和“先行者”计划所体现的开放协作,本就是移动安全应有之义,当移动安全形势严峻而又应对不足时,被重视并实践下来。
弯道超车,开放协作加速中国技术全球领先
对360这样的厂商来说,“先行者”式的开放协作似乎会造成核心竞争力的外泄,毕竟,破解漏洞对抗病毒的技术是安全厂商最核心的能力。
但这种看法并不全然正确。正如360掌门人周鸿祎所说,大安全时代需要大协作,网络安全必须要进行跨企业、跨行业、跨部门、跨地域、甚至跨国家的大合作,才能应对大威胁、大挑战。
与传统领域不同,网络安全的人才、技术和数据多分布于不同的企业,虽然360在人才和技术上积累非常有优势,但“先行者”计划中的终端厂商、应用厂商却有非常多的数据。
而仅靠人才和技术,有时候也不一定能解决所有问题,2017年大范围爆发的勒索病毒事件中,360出动两三千人次帮助很多企业机构解决了问题。但虽然有360尽力弥补,如果能够提前预判并制定系统预案,最终结果会好很多。
也即,数据和技术能够提早结合,做成开放协作的平台,那么安全防御的体系或许能够从过去的“亡羊补牢”变成“未雨绸缪”,这种跨越是质的变化,企业与企业之间的合作空间非常广阔。
进一步说,在全球角度,新时代的网络安全没有一个企业或者政府可以独自应对,勒索病毒就是典型。习总书记在2015年提出共建网络空间安全命运共同体,十九大报告又提出构建人类命运共同体,共同应对网络安全等非传统威胁。
由此,企业之间、政企之间、军民之间、国家之间必须广泛深入合作,“先行者”计划只是移动安全开放协作的起步阶段。同时,国家层面的技术引领大多数由行业联盟支撑,移动安全联盟成员积极共享自己的技术力量进行协作,对中国移动厂商成为全球移动安全漏洞修复的“先行者”也有助推作用。
在人类共同面对移动安全威胁时建设未来移动互联网大发展的安全基石,这又是大安全时代中国技术利用开放协作的优势弯道超车的机会。