從全局視角到百億美元 看安全廠商的核心價值觀

近期360有兩件大事，一是在第二屆智能大會上發布了「安全大腦」，二是披露區塊鏈3.0平台EOS存在嚴重漏洞。前者集成了人工智慧、大數據、雲計算、IoT智能感知、區塊鏈等前沿技術，後者則在加密貨幣和安全領域均掀起了軒然大波。為此，安全牛走訪了360首席安全官譚曉生先生，近距離了解360如何看待安全。

一、安全大腦的全局視角

「安全大腦」的概念是由360集團董事長周鴻褘提出，資料網上已經有很多，因此本文並不詳述細節，只是從與譚曉生的對話中，結合自己的理解做出一些總結。

首先從技術層面上講，之所以叫做「安全大腦」，是因為與實際的大腦活動比較像。整個過程包括了感知、學習、推理、預測、決策五個部分。首先是網路、終端上的流量探測，收集各種維度的數據，如同人的各種感官感覺，然後在數據中心（大腦）做關聯分析，最後做出決策。如同大腦有若干個神經中樞，運動、視覺、語言中樞等等，針對不同的主題，如態勢感知、APT、網路釣魚、數據保護等，安全大腦也有相應的部分去對應處理。

與人的中樞神經系統傳輸模式類似，安全大腦的威脅響應流程包括四層結構。其中，多元一體的安全應用層是安全大腦的指令輸出，它面向網路的全方位安全防護；智能服務層開放的智能服務體系及平台，是安全大腦的神經元；數據服務層擁有端到端的數據治理服務能力，為安全大腦提供高效的信號處理通道；數據採集層背靠全球領先的網路空間安全大數據，是安全大腦的感知元。

簡而言之，安全大腦就是通過多維度的數據，做關聯分析，從而掌握全局信息，以「上帝視角」來觀察安全狀況，從而達到整體態勢感知和全局掌控的安全能力。可以看出，想要做到這一步的關鍵前提，必需擁有安全相關的海量數據資源。這一點，恰恰是360的強項。

然後從價值層面上講，安全防護技術從基於特徵規則的時代發展到了基於行為檢測的時代，但整個網路環境卻面臨著網路攻擊爆炸性增長的態勢，防護卻始終跟著攻擊走，處於被動挨打地位。做過安全運維工作的人都知道，面對海量報警會有多鬱悶，最後只能脆置之不理。進一步設想一下，雖然說安全人才缺口非常大，但即使這些人員都補齊了的話，這個世界真的需要那麼多的「保安」嗎？安全防禦如何能夠主動一些？如何又能方便一些？

基於人類追求舒適、便利的天性而言，機器學習、深度學習、人工智慧的出現既是需要也是必然，其最終的目的就是用機器來代替人工，減少人的工作量。此為「安全大腦」的終極目標。所以，「安全大腦」的核心價值在於，通過前沿技術保護數字環境，造福社會。

談完安全大腦，我們再來看看在幣圈和安全圈引起轟動的EOS漏洞事件。

二、影響百億美元的漏洞

有人認為EOS是目前最好的公鏈，被譽為下一代區塊鏈操作系統，在性能上和成本上（免費）均超越了加密貨幣中的明星平台「以太坊」，其發行的代幣估值接近700億人民幣。不難想像，其存在的高危漏洞可以造成多大的影響。

我們先來了解一下問題主要出在哪裡:

EOS節點使用了WebAssembly編碼語言，當節點中的解析器在解析WebAssembly的時候，存在一些問題，其中一個問題可導致內存越界寫入。懂安全技術的人知道，這意味著什麼。於是這個問題或說漏洞就這樣被利用，即在某個節點上提交一個包含惡意程序的智能合約，由於區塊鏈的特性，這個智能合約就會被同步到EOS的所有節點。當節點去解析執行這個合約的時候，惡意程序可取得root許可權，於是運行這個節點的主機被完全控制。

由於這一系列漏洞可能產生的後果過於重大，360內部經過連夜協商，緊急聯繫到EOS的創始人 Dan Larimer，簡要說明情況後，便把漏洞具體描述，攻擊代碼，利用程序和修復方法發了過去。對方表示「非常感謝」，之後又在儘可能短的時間內根據360提供的具體情況，將漏洞一一修復。EOS1.0也於原定時間6月2日正式發布，與此同時官方公開致謝360安全團隊，並給出3萬美元的3個漏洞發現獎勵。

事情到這裡，暫時告一段落。但回過頭來看，還是有不少值得思考的地方。

首先，近幾年來使用區塊鏈技術的加密貨幣不斷出現，其中蘊含的價值也被不斷被蜂擁而入的玩家放大到恐怖的量級，而聞風而來的黑產則是「當仁不讓」的從中攫取豐厚的利益。從演算法漏洞到設計漏洞，再到信息盜取和挖礦蠕蟲，尤其是後者已經呈現出超越勒索軟體的趨勢。近年來，數字貨幣平台被黑的事件層出不窮，就是一個客觀的證明。

作為一個聚集了國內頂尖黑客攻防技術人才的互聯網公司，360已經各種加密貨幣平台已經有了不少的安全發現。除了EOS的解析漏洞，還有智能合約設計、挖礦演算法、密鑰存取、拒絕服務等漏洞，可影響到全球幾十種加密貨幣，其中不乏一些排名前一百位的「明星」級別的貨幣。據綜合加密貨幣平台Coinmarketcap統計，2017年加密貨幣的流通總值超過5000億美元，差不多相當於一個阿里巴巴或是騰訊的市值。可以試想一下，不管加密貨幣的未來如何，如果手中掌握某些漏洞秘而不宣，用做商業價值，毫不誇張的說，可以想像的空間很大。

EOS漏洞曝光後，引發業內不少人的猜測和懷疑，懷疑360在做空EOS，但實際上明眼的人都能看出來，如果在EOS上線之後再曝光漏洞的話，可能是致命性的打擊。周鴻褘在一個談話節目中表示：360依據安全行業標準的漏洞通報機制，先和EOS團隊聯繫，提交漏洞詳情，然後等修復完成才對外公布，這是非常負責任的做法。360希望的是，EOS乃至整個區塊鏈行業發展的更好。

隨著物聯網、數字化時代的到來，網路安全已經不僅僅是現實世界中的安全在網路世界上的映射，而是變得前所未有的無比重要，並成為全人類、全社會技術與經濟發展的基石。如何利用手中的類似於安全大腦這樣的「高級武器」，同時經受住各種誘惑，堅定地做好數字世界的護航者，這也許才是一個優秀安全廠商的核心價值觀。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！