安全的边界,正在被无限极打破,而我们身处其中,却不自知。
云计算的出现,让安全的边界上升到云端;5G和物联网的发展,让安全的边界从云端扩展到边缘,而人工智能的走向成熟,又带来了更多无可预料的难题:站在防火墙对面的“黑客”,到底是人是还是AI?
AI是一把很难界定的双刃剑,一方面,AI帮助我们实现了主动的安全防御,而另一方面AI也成为了顶级黑客们最有力的武器,让攻击在虚拟的空间里无处不在,让物理世界倍感压力。
而AI等新技术的层出不穷背后,却是企业仍旧薄弱的安全意识,和不断放大的安全人才缺口,这一切都需要我们时刻提高警惕。
AI安全战略,人才梯度培育是关键
今天的网络世界,因为云、边缘、Iot的急速发展,已经无法割裂为单一的行业。而对一个国家而言,网络安全尤其是AI安全其实应该上升到国家战略层面。
从国际上看,英国就已经成立了国家层面抵御网络攻击的网络安全中心,印度将网络安全视为国家战略,同时日本也在2018年7月份推出了国家网络安全战略。可见,网络安全就是国家安全,这并不是一句空话。
早在2016年,国家领导人就强调:“网络空间的竞争,归根结底是人才竞争。”这表示,网络安全最后的胜负手在于安全人才的广度与精度,而AI安全更是如此。
但目前国内的安全人才的现状是:人才缺口大、缺乏人才培养和认证体系、能力和意识都有待全面提升。据中央网信办发布的报告,随着信息化建设的不断推进,预计到2020年,我国网络空间安全人才需求数量将超过140万,而在现实就业中,相关AI安全人才更是供不应求。
2017年6月1日正式施行的《网络安全法》明确支持校企共同培养人才。不过,网络安全人才的培养很有特殊性,传统教育偏于理论、技术、学术体系,尤其是AI安全更加关注实战的对抗,如加解密处理、系统漏洞分析、网络攻防等等。不难发现,攻防对抗,实战演练是检验对抗能力的最有效的手段。无论是检验整体防御能力和水平,还是培养人才,基于实景对抗的攻防演练和比赛,才是安全人才培养的重要舞台。
这就是百度安全,当初将全球黑客聚会DEFCON引入中国的原因。而作为DEF CON的经典板块,被喻为网络安全领域 “世界杯”的CTF(Capture TheFlag)“夺旗赛”,一直以百度安全BCTF成为国内的最高标准。该项赛事也通过实战的比拼,为我国筛选出最有潜力的AI安全为核心的网络安全精英和团队。
将AI引入安全,将实战引入场景
4月14日,继以漏洞挖掘为主题的首轮较量后,百度安全OpenRASP加持下,BCTF-RHG人工智能场景攻防对抗赛(热身赛)在天津大学揭开战幕,一场典型的AI算法间的较量。
实际上,从2018年起百度安全就开始把人工智能研究引入了到BCTF赛场,让网络安全先一步升级到安全AI的实战层面。
的确,我们也看到,传统的网络安全防护已经越来越难适应今天的安全态势。由于APT攻击针对性越来越强,安全问题涉及到国防安全、城市安全、社会安全和金融安全等等一系列问题,导致传统的安全防护手段很难去对抗现在自动化、智能化的网络攻击手段,同时也为人工智能技术与网络安全的融合提供了舞台。
我们知道,AI在解决人力所不及的安全大数据统计和抽取规律方面具备天然优势,它能够全面提高威胁攻击的识别、响应和反制速度,提升风险防范的预见性和准确性。AI不仅针对未知威胁和攻击的检测也更出色,也可以第一时间发现和识别预防威胁,更快的启动应急响应将损失缩减到最小程度。
为了更贴近于实战,今年的BCTF还增加了场景的自动化攻防战:机器人将面对真实Web环境及更贴近业务的场景,在比赛中需要自动对具有一定复杂程度的场景进行分析,发现漏洞并进行修补。通过特定的规则和环境,实现在场景化的网络环境中由纯机器人程序独立找到最高效的攻防框架,进行安全对抗的尝试。与此同时,百度安全“七种武器”之一的OpenRASP下一代云端安全防护系统也在本场比赛中向战队开放,助力战队提高本场攻防竞赛的自动化防御能力。
很显然,在安全攻防场景之中,会有一定复杂性和层次化的场景问题,这并不是程式化的命题和解题,真正考验了机器人经过分析,破解问题的能力。这其实,也蕴含了百度安全的思考,场景攻防对抗赛比漏洞挖掘,离实际的业务更近,更容易让真正的精英脱颖而出。而这些胜出者,一定程度上代表了中国网络安全的未来,称之为AI国防军也并不为过。
未来的AI国防军,英雄不问出处
据了解,本次BCTF-RHG场景对抗赛,经过三个小时的攻防博弈,来自北京邮电大学的OutIsland战队最终以2959分荣获第一名,恒安嘉新EversecLab战队和山东科技大学TimeKeeper战队分别获得第二和第三名。
这场云集了国内最顶级大学和企业的网络团队,代表了国内安全AI的最高水平。除了高水平的攻防对抗之外,这次比赛有明显的传承意味:由两名高三学生和一名大三学生组成的FaFa战队,在本次对抗赛中取得第四名。
这证明了我国网络安全人才梯队建设取得了不错的成果,也说明网络安全教育在学校、企业和学生三点之间形成了良性的循环,有希望源源不断的输送网络安全的精英人才。
作为百度旗下以AI为核心,大数据为基础的领先安全品牌,秉承有AI,更安全的使命,百度安全举办的这次BCTF-RHG人工智能场景攻防对抗赛做到了,集合海内外最优秀的战队,在最前沿的AI安全领域碰撞火花,输出实战经验,成为产学研各界交流切磋的平台和演兵场,成为AI时代助力培养中国网络安全人才的“黄埔军校”。
随着网络安全上升到前所未有的高度,在更加复杂的、多维度、多层次的生态系统级别的攻防安全挑战之下,由这座“军校”脱颖而出的团队和个人精英,本质上就是我国未来面向更复杂网络空间的一支“AI国防军”。任何年龄,任何背景的人才将会通过在实战竞赛中的发光表现,进一步向扛起守卫全球网络安全的蓝军致敬。建设更美好的网络家园,我们期待“AI国防军”的成长和成军。
