抓住IoT+AI，把握企业未来

发表评论
642 views

A+

所属分类：未分类

由FreeBuf.COM主办的WitAwards 2018互联网安全年度评选已接近尾声。本次评选周期历时3个月，评委包括顶尖行业专家、行业媒体和安全从业者，是目前国内极具公信力和影响力的行业评选活动，颁奖盛典将在FreeBuf 2019互联网安全创新大会（FIT 2019）举行。

今年，组委会邀请了超过60位来自国内安全厂家、企业安全部门、政府相关单位、研究机构、行业协会、专业媒体的信息安全知名专家和学者组成专家评委团队，全方位、多角度综合分析、公正评判每一个参评对象。

这次小编邀请京东安全首席架构师程岩来聊一聊他在【企业IoT+AI安全建设】方面的心得。IoT毫无疑问是这两年的热点，而IoT安全话题往往围绕着智能设备或者工业应用场景展开，鲜有人讨论IoT在企业自身的应用以及相关安全体系问题。

程岩其人

昵称：暗夜潜风、d4rkwind，熟悉他的人通常叫他“小哥”。企业安全及云安全领域专家，拥有丰富的大型甲方企业安全建设及云计算安全规划和实践经验，在安全圈可谓是不折不扣的“老法师”了。

目前就职于京东集团，担任京东安全首席架构师，并兼任基础安全部及安全运营部负责人。在入职京东前，程岩于2010年加入百度安全团队，与同事们一起创建和完善了百度企业安全体系，于2015年，加入百度云计算部门，担任安全百度云计算事业部的安全首席，负责百度云安全。

一提到IoT，大部分人想到的都是智能家居、智慧城市等民生相关场景，或者会想到工控相关的大型工业生产相关场景，但随着企业IT化趋势的不断深入，IoT与企业之间的关系已经相当紧密了。

小哥认为：

随着网络安全知识的普及及入门门槛降低，常见企业IT架构逐渐透明化，企业大量旧有或新式的联网设备作为企业IT化的基础设施，一旦被攻击或控制对企业的安全和业务连续性无疑会是一场灾难。

从单一设备视角谈一谈安全：

具体攻击面：

各种设备在企业的联网，除去物理接触式攻击，其在网络上通常暴露了业务功能和管理功能中的一个或全部攻击面，前者通常是其设备联网的核心价值所在，后者通常是便于设备管理员远程管理。如摄像头联网是为了云端监控回传数据，但摄像头的管理是为了便于管理员远程维护等；再如服务器带外管理，是为了方便运维人员在服务器宕机等情况下可以远程重启等管理服务器，其因为管理而诞生，这个情况下业务和管理功能合一。

潜在风险点：

越是简单的东西越容易确保安全，业务功能往往因为单一，很少出现相关安全风险，但一旦出现，都往往是通信协议的设计或实现存在安全漏洞，往往远程利用起来较为困难。而设备管理功能因为功能复杂，往往是安全问题频发的核心，比如管理功能认证存在弱口令、默认口令仍然是大部分IoT设备的主流安全风险，利用起来也非常容易，杀伤力还非常大。

企业IoT设备整体安全体系建设：

由于企业的设备折旧及采购原因，往往企业内的各种用途的联网设备，不仅种类众多，还存在同一功能设备的型号或固件版本不一致，即大量场景、大量类型、多种碎片化版本，如此复杂的设备资产管理，对于企业IT管理已非常麻烦，更何况是其安全管控，没有“一招鲜”技术能帮助企业安全团队直接解决众多设备的安全管控问题。

从小哥的经验出发，为了做好IoT设备的安全管控，企业安全通常会分而治之：

首先，降低攻击面，通过“业务网”与“管理网”分离，来减少办公环境、生产环境里各种设备的安全攻击面，使其管理功能从面向所有联网终端或服务器开放，变为面向特定区域的开放，并加强管理认证在特定区域内的校验。

其次，主动探测企业存活的设备，并与企业IT等部门维护的设备做对比，确保对资产相当清晰的掌控，包括其类型、固件版本甚至关键补丁等。由于此类设备都是第三方设备，企业自身难以投入大量人力去挖掘设备漏洞，重点都是及时关注官方安全公告和业内安全咨询。而基础设施的升级牵涉交广，针对特定品牌的大量采购，往往要与供应商签订安全问题提前披露协议，确保在官网对全网发布公告前，企业已经提前收到安全报告和补丁。值得一提的是，针对设备本质是一个软件部署在Linux、Windows、Android等操作系统上的情况，尤其还要关注此类操作系统出现的远程攻击类的漏洞及补丁。

然后，相对强一点的网络设备或平台，如带外管理、交换机等，其通常自带日志回传功能，应开启系统管理操作日志回传机制，因为此类管理操作实际并非是高频操作，针对此类日志的监控，也非常容易，且日志量并不大，并不会影响设备业务功能的稳定性。

最后，企业IoT设备往往是基础设施，稳定性大于一切，很少有企业安全团队会在设备系统上开发和部署额外的监控或安全管理软件，安全与IT的响应及时度和协同效率、以及安全同学对设备功能和操作的熟悉程度就非常关键。

总体而言，安全行业内的主要精力，都是在围绕着企业的服务器或容器、终端、网络、应用、数据等，并做出了一系列安全解决方案及思路的创新，而企业IoT设备的安全解决方案，还在依靠设备厂商自身以及企业安全团队。随着云计算市场的壮大，云厂商会逐步“去”掉上云企业的IoT设备，其设备的安全管控也会被云厂商统一标准化解决。但仍然有大量场景的企业IoT设备，在很长时间内，无法被统一标准化，这是安全行业的机遇，也是企业安全团队不可忽视的方向。

AI技术如何保障包括IoT在内的企业网络安全

对于AI技术，小哥表示：

在现阶段的发展和应用非常依赖数据，下一代企业安全建设，如何应用好AI技术，首先意味着，AI在哪些场景可以获取到数据。

企业应用点：

企业IoT安全场景下的AI应用，因为其设备的封闭性和非标准化，企业安全团队通常只能在企业IoT设备的主动安全探测、设备日志安全分析、以及设备资产及安全问题管理等方面重点研发相应的安全能力，也只有这些方向才可能先行应用AI技术。其中，AI在日志安全分析上的应用，业界一直讨论很多，针对IoT设备的操作日志这个场景，当日志积累到一定量级后，基于AI很容易发现异常操作日志。而在企业IoT设备的安全管理上，有一种可以尝试的方向是，利用主动安全探测获取的大量数据，基于AI，尝试帮助企业安全在无法安装agent的情况下，标记设备种类、固件等等信息，降低安全运营人员的人力投入。

技术发展面：

讲企业安全场景，主要是海量机器及设备的端口、进程、日志、流量等信息。随着如今AI技术的热火朝天，其基础依赖技术“数据”及“计算”能力已必然不是企业安全建设的瓶颈，从这个点上，撇开AI本身，基础技术变革本身带来的突破，已经可以做传统企业安全不敢想、不能做的能力，如海量业务数据下的溯源分析能力、异常检测能力等，也大大提升了安全应急响应的效率。再叠加当前一些AI模型在单一场景下效果很不错，如今，在大数据安全分析的“特定场景”下，AI已经可以很好地辅助安全分析能力，提高大数据安全感知平台的检出率，且还不会增加安全人员运营成本。

当然，结合现阶段AI技术的发展，企业安全团队不能盲目的迷信AI，或者在AI上走的太深，千万不能为了AI而AI，往往很多场景，其实传统的特征匹配、安全沙箱、行为关联就可以快速解决问题。