庄邦宣布完成5000万元Pre-A轮融资,诚和资本独家投资
06-17
“我们处在一个液体世界,一切都在不断流动和升级。
” 2009年,凯文·凯利在讲话中指出:如今,数据——无论你从事房地产、医药、化工、教育,都是数据,流动的数据将催生科技超级实体。
这个“科技超体”的直接载体如今已经成为我们日常生活的一部分。
正如支付宝围绕着“衣食住行”打理我们日常所有与金钱相关的事情,微信成为工作和生活的重要沟通工具,一切的背后都是数据。
我们不必携带钱包,我们可以用手机扫描二维码将钱从一个地方或一个人转移到另一个地方,我们也不必找到公用电话来了解别人的当前状态。
这是一个巨大的变化。
大多数从PC时代迈入移动互联网时代的人,都体验到了技术进步带来的高效、便捷、零距离。
但在科技从业者和极客眼中,他们看到的是一波与危机并存的数字化浪潮。
数据安全从未像今天这样重要。
不久前,在刚刚结束的GeekPwn安全极客大赛中,来自蚂蚁集团天琼和光年实验室的团队完成了技术性很强的挑战,获得了G-TOP年度极客榜冠军奖。
两位年轻人获胜 笔者再次站在国内安全领域的聚光灯下。
赛后极客公园也与他们聊天,探讨这群年轻人如何走上网络安全,并成为蚂蚁集团“安全堡垒”不可或缺的一部分背后的故事。
01 极客男孩,追逐“夺旗”梦想 GeekPwn 与 Pwn2Own、Defcon 并称为世界三大黑客大赛。
这是全球最大的专注于智能领域信息安全的极客大赛。
每年都有很多来自中国领先的互联网公司、信息安全公司、大学、科研机构的顶尖极客团队参与比赛,就像科技时代的“啄木鸟”一样,寻找我们常用系统或软件中的漏洞。
这些漏洞的发现可以更好地帮助互联网企业提高产品安全性。
俗话说“黑客培养年轻人”。
事实上,他们不仅仅是“黑客”,业内还有很多优秀的“白帽”也年纪轻轻就成名了。
他们了解“黑客”技术,却选择用技术来保护网络安全,每呼吸一口气。
,都在思考如何发现并消除漏洞。
在本次GeekPwn比赛中,无数年轻“白帽子”大放异彩:清华大学NISL物联网安全研究组、荣获“全球脑王”最强大脑的19岁天才郑林凯、CTF大赛选手以及其他新生的技术实力在这场聚焦智能安全的极客科技挑战赛中尽显无遗。
姜宇豪(甘拉饰)和应心蕾(王欢饰)参加了本次比赛。
他们来自蚂蚁安全天穹和光年实验室。
两个年轻的“白帽子”。
江宇豪(甘拉饰)和应欣蕾(王欢饰)“2000后”甘拉在高中读完《龙纹身的女孩》这本书后,对黑客产生了强烈的好奇心,随后逐渐了解了网络安全相关知识。
大学期间,甘拉努力加入国内知名信息安全学会Vidar-Team。
这是一支成立于2001年的团队,名字中的Vidar一词来自于北欧神话《诸神的黄昏》中灾难中幸存下来并带领人类重建家园的神维达尔(Víearr)。
这支名字酷炫的队伍是由杭州电子带领的一群热爱信息安全的科技大学学生自发组建的队伍,活跃于各大CTF(夺旗,一种网络安全技术人员的技术竞赛形式,也称为“夺旗”)作为大学队参加的活动。
采访中,甘拉还记得刚加入俱乐部时的难忘经历:“正式入队后,我们几个新生组队进去打了一场0CTF的比赛,当时我们一场2场。
学校会议室通宵天哪,当时我们大概十个人一直在会议室里研究问题,努力克服这个挑战,到第二天中午,我们就解决了,进入了顶尖。
全国大学队的十支球队,我觉得这种氛围特别好,“这对我来说也是很大的鼓励。
”甘拉坦言,俱乐部在各个领域的研究和学习。
Web开发与渗透、逆向工程、二进制、Windows&Linux、移动安全等领域的知识都让他得到了巨大的提升,大学俱乐部时期的各种比赛也成为了进入职场不可缺少的一部分。
职业生涯。
与甘拉不同,另一位“90后”王倩在初中时就接触了《电脑报》等杂志。
在大学期间,他身边没有像Vidar-Team这样优秀的俱乐部,所以他就通过图书馆自学。
提到他在PC时代经历的“大事件”:“我也经历过熊猫烧香、以前的虫子等事件。
当时接触PC的时候,我觉得不仅有很多破坏,但也有很多对抗,所以我投入了时间去研究。
”他说,由于自己在自学时经常遇到各种疑惑,所以通过参加CTF比赛进一步结识了志同道合的人。
这是提高他在信息安全方面的技术能力的好方法:“每个人都会有一个共同的目标,做一些事情,彼此就形成了一些兼容性,一起学习、钻研这些知识。
”相同的爱好使得两人组建团队。
加入蚂蚁安全实验室后,他们在虚拟化方向发现了很多技术突破。
观点。
虚拟化的目的是让环境更安全。
由于与外部物理机隔离,部分操作将在虚拟化环境中完成,这样即使出现病毒感染或其他问题,也不会影响外面的真实计算机。
。
要在这样的虚拟环境中取得突破,技术难度可想而知。
甘拉透露,通过识别虚拟机中的漏洞,他们不仅成功破解了最新的虚拟机产品VMware Fusion,在1分钟内迅速获得了主机的所有控制权,而且还获得了主机中的指定秘密。
文档。
该项目最终在比赛现场获得了GeekPwn历史最高分6.04分,成为本次比赛含金量最高、奖项最多的项目。
但当被问及是否担心最终失败时,黄旺表示:“不能保证%稳定成功,但通过实验室长期实践积累的漏洞挖掘技术可以大大提高成功率。
”他们的情况也可能如此。
充满信心的重要理由。
天琼实验室和光年实验室成立6年来,作为蚂蚁基础安全攻防和红蓝对抗演练的主力军,已经形成了一整套自主研发的全自动漏洞挖掘技术解决方案。
凭借这项技术,2020年,两大实验室仅用了三个季度的时间就获得了苹果公司的47个漏洞确认,位居当年全球确认名单之首。
在这47个确认的漏洞中,包括系统库、浏览器、内核等层面,几乎全部是高危漏洞,部分漏洞获得了高危评分。
如今,两个实验室已经进行了组织升级,光年也融入了天琼的运营之中。
两个实验室各有特色。
天琼进行红蓝对抗演练,光年进行基础软件和设备安全研究。
他们共同打造顶尖的安全攻防能力,帮助提升蚂蚁乃至整个行业的安全水平。
02 用科技打造隐形盾牌。
为何有这样一群年轻人投身安防行业,不断研究新技术、大胆突破?当这个问题提出来时,我的脑海中浮现出“兴趣”、“黑客情结”等答案,但甘拉却给了我一个意想不到的答案:“我认为做白帽子可以为社会带来价值。
”正确的做法是确保整个网络空间的安全。
通过发现有影响力的漏洞,我们可以让社会知道这个安全问题的危害性,然后我就可以督促厂商修复这些安全问题,让他们更加关注安全。
“这是一条积极的道路,也是我能感受到网络安全技术魅力的地方。
”听到“00后”白帽这样的回答,不禁让人更加好奇。
蚂蚁安全实验室。
什么样的特点吸引这样的年轻人加入,实验室又是如何选拔优秀的年轻极客加入的?对于这个问题,蚂蚁安全天空实验室负责人曲和表示:“我们主要在中国招募三年级的极客,不同层次的同学。
一是像甘拉这样的学生,在学校参加过各种比赛,有丰富的实践经验和参赛经验,也有非常扎实的基本功;另一种是刚毕业一两年,在公司工作过,有一定的安全研究经验的学生,也许他的成就没有那么多,但是他有一些潜力或者活跃的思维,并且对某些方面有独特的看法。
问题;第三类是已经在行业内有影响力并取得了一些高质量成果的学生,这类学生相对来说比较难招收,所以我们会和他们进行长期的交流。
他还提到,团队中一些优秀的研究生通常会有一些不寻常的研究想法。
例如,团队招募的一名同学此前在一次比赛中闯入了虚拟机。
虽然整个攻击路径的技术并不先进,但是路径的选择却非常独特,因为它代表了一种可能性。
未来,当蚂蚁遇到新的项目和技术挑战时,“也许他的观点会比别人更新颖”。
事实上,人才的多元化确实极大地促进了蚂蚁在安全技术上的突破。
早些年,支付宝刚出现的时候,黑灰产品的侵入,让支付宝团队下定决心,既要保证用户资金安全,又要保证流畅的用户体验。
围绕这个目标,安全团队创建了大数据风控引擎(CTU)。
),随后多次升级不断强化了这个风控引擎。
随着“双十一”的火爆,数亿笔支付同时发生。
为了解决大数据带来的效率问题,蚂蚁安全团队在大数据风控引擎中加入了人工智能,成为了大名鼎鼎的AlphaRisk。
今年,支付宝智能风控引擎已升级至第五代。
每一代风控引擎的背后,随着行业的发展变化,安全下的细分赛道领域不断丰富和增加,逐渐催生了今天的九大安全实验室,新的安全技术组织形成。
曲鹤表示,蚂蚁内部有多个安全实验室正在做黑灰产品相关的研究和对策。
黑、灰产品相关的研究工作已经积累了很长时间,并且基于各自的专业知识相互合作,建立了完整的安全体系。
研发、安全运营流程和红蓝演练机制可以提前规避、发现和解决线上风险问题,实时感知黑产情况和攻击行为,快速进行攻防对抗。
如今,蚂蚁天琼实验室等九大实验室的成果相互协作,为行业技术升级提供了正确的方向和有益的补充。
例如,天真、天机、天前三大实验室专注于智能风控、数字身份、数据安全等领域的关键技术和实践;光年、天琼、非攻三大实验室专注于前沿基础安全研究和安全水平提升;天琼、天枢、天盟三大实验室的研究重点是网络犯罪研究和行业生态协作。
蚂蚁安全实验室拥有多元化的技术团队,拥有全球最多的“人工智能安全可信关键技术”专利,成功主导和参与了14项国际标准,并多次在国内外行业竞赛中获得冠军奖。
由于“白帽”贡献,他受到了国际国内同行的感谢。
而且,天机实验室也是全球唯一获得谷歌Android直接授权的生物识别安全检测认证实验室。
在保安团队做好防盗防御措施后,这群年轻的极客们并没有就此罢休。
随后他们主动出击,深入研究电子欺诈模型和技术对策。
例如,向用户推广“迟到2.0”。
当用户遭遇诈骗时,这种延迟转账功能可以为用户及时报警争取时间。
当警方发出停止付款指令时,转账可按原路线返回。
此外,还有近年来逐渐成型的“图计算”。
通过研究欺诈转账与正常转账的数据差异,实验室的安全研究人员不断探索量化指标。
通过图计算,他们可以识别个别案件中欺诈者的线索。
发现系统中的异常特征,从而更快速、高效地针对批量可能受骗的用户群体输出个性化的反欺诈提醒和系统防控,直至资金被截获。
据了解,全场景风控结合完整风控引擎的能力,目前已实现10毫秒内对每笔交易进行欺诈扫描和风险检测,准确率达到95%。
随着引擎不断提速,功耗越来越低,计算间隔不断缩短,未来准确率会不断提高,而蚂蚁内部安全团队现在正在用这样的“隐形盾牌”来保护用户的信息安全。
03 当黑客“破解人类” 随着信息技术的快速发展,数据正在成为世界上最重要的资产。
过去,PC时代的网络安全问题已经从系统安全转向数据和隐私安全。
随着数字生活逐渐深入,很多人惊讶地发现,生活中,哪怕是一些小细节,一个诈骗电话、一个二维码,甚至一根不起眼的充电线,都可能引发比PC时代更多的问题。
更严重的安全问题,带来可怕的后果,正如尤瓦尔·赫拉里(Yuval Harari)所说:“我们正在进入‘黑客人类’的时代,因为数据是如此重要,而且它不仅仅是关于我们去哪里、买什么的消费数据,而是数据。
”关于我们身体和大脑内部发生的事情,不仅可以黑客计算机,还可以“黑客人类”。
当然,我们正在大规模应用的人工智能也将成为一种武器。
因此,对于犯罪分子来说,网络安全已经成为一道无法绕过的高墙,这堵墙不仅需要“兵塞水土掩”,而且还需要随着外部危险的升级而不断加厚和升起。
曲和还表示,“在蚂蚁内部,天琼实验室和光年实验室都是九大安全实验室的成员。
通过九个安全实验室和其他 Ant 安全团队的合作,Ant 拥有了今天的成就。
生态安全防线。
“在PC时代,网络威胁是主要问题,但在移动互联网时代,虽然PC时代遇到的问题依然存在,但人们更关心个人隐私和信息安全问题。
包括蚂蚁在内,更多企业正在使用采取多种手段确保个人信息不被窃取或滥用,特别是国内手机厂商也在加强对用户信息安全的管控,拦截诈骗电话/短信,数据安全和隐私保护得到进一步完善。
过去在PC上产生的广泛影响在移动互联网时代已经逐渐不再常见,但所谓的信息安全实际上是基于一定安全假设的安全。
实际情况中,行业对安全需求的认识以及共同形成的行业共识会随着技术的发展、技术使用门槛、防范能力等发生变化,随之,安全水位也会发生相应的变化。
。
凯文·凯利曾提出世界发展四定律。
第一个指出,“无论哪个行业,颠覆都不是从内部出现的,而是从外部驱动的”。
在他看来,“搜索引擎的创新并不是从搜索开始的”。
而网络安全的创新并不是信息安全本身,而是关系到我们日常生活的方方面面,从扫码支付的支付宝,到日常聊天。
微信,从高德地图到大众点评,当我们谈论个人隐私和信息安全理念的创新时,或许我们应该用更深刻的视角来感受即将到来的变化。
当移动支付逐渐兴起的时候,普通人看到的是它比纸币更快、更高效,这是科技的一个壮丽的一面。
但“白帽子”们看到的却是潮流背后的阴暗面——无论是过去的偷窃、作弊、P2P,还是现在的赌博、诈骗、洗钱,无数的黑灰行业也如潮水般涌来。
潮。
大多数人之所以对此没有强烈的意识,是因为有强大的“白帽子”保护着他们。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-17
06-18
06-18
06-17
最新文章
Android旗舰之王的过去与未来
智能手表不被开发、AR眼镜被推迟,Meta的产品经历了一波三折
为什么Cybertruck是特斯拉史上最难造的车?
更新鸿蒙3后,文杰允许你在车里做PPT了
新起亚K3试驾体验:追求“性价比”,韩系汽车仍不想放弃
阿维塔15登场!汽车配备了增程动力,理想情况下会迎来新的对手吗?
马斯克宣布创建 ChatGPT 竞争对手! OpenAI的CEO给他泼了冷水, GPT-5可能会发生巨大变化
骁龙无处不在,是平台也是生态