8月中旬的拉斯维加斯,白天气温高达40多度,炎热的天气不断提醒着人们自己身处何地——这是一座完全凭借人类意愿而在沙漠中建立的城市。
热浪不断把游客们推向酒店大堂里阴凉的赌场,而在这里,游客们会发现,昼夜不停、五花八门的老虎机不再是最闪烁的“明星”,取而代之的是一群群打扮或朴实或怪异的人们胸前挂着的发光电路板。
这一周的拉斯维加斯属于“黑客”们。安全领域最出名的、有26年历史的大会 DEF CON 在拉斯维加斯市中心的凯撒酒店举行。
就像拉斯维加斯这座城市一样,人类“凭空”制造了互联网,并根据自己的意志来改造它,让它变得越发重要。随之而来的就是黑客和网络攻击,然后就诞生了网络安全行业。网络安全市场不断增长,据 Cybersecurity Ventures 测算,2017年全球网络安全市场规模超过1200亿美元,为 2004年的 35倍多。而到2021年,全球在网络安全上的支出将超过1万亿美元。
在这个市场上,美国依然是领先者。除了先发优势带来多年的积淀外,像DEF CON这样的活动也塑造着支撑整个行业发展的氛围。据官方数据,今年DEF CON有超过两万人到场参加活动,对于国内的从业者来说,有些难以想象。
不过,中国的安全领域从业者也已经开始行动。今年5月,DEF CON首次在海外举办大会,就来到了北京,出席人数达2000人。而试图将DEF CON以及这种极客文化带到中国的,就是百度安全事业部总经理马杰和他的团队。
将DEF CON带到中国
硅星人在凯撒酒店的会场旁见到马杰。在我们身旁是不断经过的各路黑客,以及不停传出愉悦音乐的老虎机。
就像你在DEF CON上会遇到的大多数人一样,马杰身穿黑T恤,牛仔裤,干练且精力充沛。
1999年进入网络安全领域的马杰,是安全行业的老兵。他先后在豪杰公司、瑞星工作,我们耳熟能详的许多杀毒软件,如超级解霸、瑞星杀毒等的背后,都有他的身影。2015年,马杰创立的基于SaaS的云安全服务品牌“安全宝”被百度收购,马杰也加入百度负责安全事业部。
马杰已经不是第一次参加 DEF CON。他还记得第一次来到拉斯维加斯的情景,当时的他已经参加过许多国际上的各种安全会议,但他发现,DEF CON与其他会议相比,不止规模惊人,而且还可以看到很多小孩子参会者。家长带他们来,因为DEF CON除了内容分享之外,还有大量的动手活动,充满了极客文化元素。
“中国安全从业者是需要极客精神的,极客精神是不分国界的,我特别希望中国广大的安全从业者、一线的安全工作人员能够感受到这种氛围。这不只是一场行业专业论坛,更是一场普及极客文化的活动。” 马杰回忆到。能否把DEF CON带到中国呢?马杰当时想。
而加入百度后,马杰有机会实现这个想法。“梦想还是要有的。”他说。2015年,马杰认识了DEF CON 的创办者,另一个大神级人物 Jeff Moss。Jeff Moss在1992年创办了DEF CON,最初只是拉斯维加斯的一个小派对,却在经营多年后成为了2万人规模的大会,他也成为黑客圈里的传奇人物。
“当时和马杰他们认识以后,他们晚上邀请我去一个中国极客的聚会。” Jeff Moss对硅星人回忆。“我当时说,什么中国极客聚会?你们每年都有聚会?那之前我完全不知道。”
其实当时Jeff Moss 也已经开始思考 DEF CON 走出美国的事情。中国无疑是一个最佳的选项。百度并不是唯一一个和Jeff Moss 的团队谈合作的中国公司。而经过了一年的筛选,最终DEF CON 选择了百度。这之后又经过了两年的来回谈判和准备,2018年5月,DEF CON的中国“beta”版终于在北京举行。
马杰和Jeff Moss 都认为,最终还是两家的“性格匹配”使得合作能够最终落地。“ DEF CON一直以来所强调的对技术前沿和边界的探索,与百度安全崇尚的自由共享、追求极致的极客精神一拍即合。”
在今年的活动间隙,百度照例举行了晚宴。与往年不同的是,今年晚宴的主题是“DEF CON CHINA [ BETA COMPLETE ] HELLO, WORLD!”,由Jeff Moss亲自命名。这次的晚宴上不再仅是中国极客们的聚会,Jeff Moss团队以及DEF CON CHINA上的诸多嘉宾都参加了晚宴。
Jeff Moss表示,百度是很好的合作伙伴,让不可能成为可能,让DEF CON走得更远,让构建极客的华人社区愿景越来越清晰。“互联网的问题是全球的问题,我们无法仅凭一国之力解决问题,我们需要走出去,广交朋友。”
作为将DEF CON成功引入中国的推动者,百度总裁张亚勤来到现场,向大家介绍5月中国DEF CON 的情况。“百度安全做了一件不容易的事情”他说,再次显出百度对将DEF CON带到中国的重视。
百度之所以如此重视与DEF CON的合作,除了认同它所代表的极客精神,以及看重它在推动安全社区发展上的影响力外,也因为它与百度安全事业部的发展策略很匹配。在马杰带领下,百度安全业务最重要的两个战略可以总结为两个关键词:AI 和 开放。
像所有大公司的安全事业部一样,百度安全事业部最初也是为了保证公司内部运营安全而成立的部门。百度拥有中国最大的搜索引擎,AI成为业务强大的驱动力,Duer OS正在渗透到家居、零售、酒店、汽车等场景,诸多创新业务以及盘踞在上面的海量数据,都需要安全团队保驾护航。
在多年的安全领域经验积累之后,百度希望将这些安全能力对外部开放。百度安全事业部有云安全、数据安全、移动安全等多个细分条线,而其中 AI 安全是在马杰主导下于2017年重点划出,百度安全也提出了“有AI更安全”的口号。
不过,马杰也强调,安全领域对AI的应用依然是初步的。“我们在安全领域对 AI 的应用,并不是外界一提到 AI 就很夸张的那种感觉。”马杰说。据他介绍,百度在网络安全领域使用 AI 的方式主要有两种,其一,是依靠 AI 算法来替代一些传统由人工完成的费时费力的工作。马杰表示,这体现在安全的执行层、感知层、任务层和战略层。
执行层方面的例子最好理解,马杰以网址安全为例介绍,百度每天会抓取数十亿网页,其中有很多恶意网站通过不断变换规则来逃避检测,过去需要人工来审查这些网站,费时费力。而机器学习技术出现后,就可以训练机器形成一个模型来进行识别。
“AI 可以不知疲倦地工作,而且更棒的是,AI 可以自动生成规则,显著的提升规则化安全工作的效率,还能自动发现很多隐含的相关性,从杂乱无章的关系中找到脉络。”马杰说。百度安全去年拦截了超过202.9亿恶意网页,下线了540万条涉嫌窃取用户隐私的网址。
除此之外,百度安全团队还在研究 AI 时代下可能带来的新的安全威胁。这部分更像是一种超前的防范性考量。
“ AI 时代,在安全领域会有很多新的情况出现。”马杰说。在 AI 逐渐在各个产业链中承担核心功能后, AI 本身的安全很关键。“AI 时代,安全从业者需要开始研究算法,这在以前是比较少的。AI系统本身受到来自于围绕机器学习模型的安全对抗和对抗因子的干扰,超乎我们传统对于安全边界与框架认知的范畴。”
马杰形容,安全领域是一个事件驱动型的行业,总是攻防互动着推动行业前进。他在安全领域这么多年,亲眼看到过一个个大规模病毒事件发生后,安全产品后台用户变化情况的数据。有时候只有这些安全事件发生后人们的安全意识才能提升,才会带来用户量的增长。“但是,这同时带来的损失也是很大。”马杰说。
因此,对于像 AI 带来的新的潜在威胁,最好能在“封闭”的假设场景下进行预演。像DEF CON这类大会上,往往就会有很多“命题作文”般的挑战课题,一流的极客们可以在此演练最新的攻击和防御。这也是百度与DEF CON合作的价值所在。
在今年5月北京的DEF CON大会上,百度就设置了 AI 攻防的环节,也是DEF CON历史上第一次引入 AI 战队。“第一道题目就是AI解出来的。它只花了几十秒,但人类需要好几分钟。但最后结果还是只有人能解完所有题目。”马杰表示,其实对于防止漏洞来说,第一个漏洞很关键。如果速度太慢,攻防中后面的漏洞你就会来不及了。
“所以,即便现在没有现实的攻击,但我们还是要在实验室里先去做。因为未来它可能会发生。”
开放才能共赢
马杰带领下的百度安全事业部正在做的另一件重要事情,就是开放。
2017年年底,百度安全联合工信部信通院、终端厂商、安全厂商和海内外学界牵头发起OASES智能终端生态联盟,开始将百度安全方面的能力,以开放技术、专利等形式共享出来,试图建立一个AI时代基于开源分享的安全联盟。
马杰认为,现阶段的安全市场,需要百度这样有实力的公司开放自己的能力,帮助整个行业共同进步。“国内安全行业这几年有明显进步,无论从国家层面还是普通用户层面,网络安全意识都在提升。”但是,马杰认为,整体安全领域公司的营收、市值,与整个行业的成本、费用相较尚不成比例。
因此,百度也希望借自己的开放生态,来推动行业一起把这个市场做大。“像BAT这样的公司,其实并不会在现在希望从安全业务上直接得到什么收益。更多是在力所能及的情况下,对这个圈子和生态做一些贡献。”马杰说。
“百度做开放生态的这个决定,并不能带来短期的利益,而是看重长期对行业带来的好处。”他表示,安全是一个很重视用户信任的领域,如果一家两家厂商在安全上做的很差,消耗的是对整个行业的信心。
百度安全团队很早就开始为建立这个生态做铺垫。2016年开始,百度安全团队先后发布内核漏洞热修复技术KARMA(这项技术改变了以往安卓操作系统需要依靠厂商定期提供更新才能修补漏洞的方法,而是可以自动在后台不断快速修补漏洞)、OASP移动应用签名安全技术(用于识别冒名顶替的虚假app)等多项安全技术,并将这些技术的代码开源,专利使用权与联盟成员共享。
所以,百度的开放生态简单说就是这样:OASES是大家参与进来形成的联盟,而百度开放的这些技术,各成员可以根据自己的需求选择使用,就像拼积木一样。为了推动这个联盟更快速的成长,百度安全与华为等终端厂商、智能电视厂商建立了广泛合作。
“首先是需要建立信任。”马杰表示,要有开放的心态,主动先往前走一步。“我们将代码开源,所有联盟里的厂商都可以看到。” 而且,除了提供这些开源的模块外,百度还会提供技术支持。“从源代码到后期的支持,我们的做法比传统的SaaS更加开放。”马杰说。“其实就是让整个生态变得更安全点。”
百度将今年5月北京举行的 DEF CON CHINA大会定义为“beta”试验版。在他身穿的黑色T恤背后,写着这样一行代码:” >HELLO, WORLD!_ ” 。这是电脑程序中的经典语言,意味着运行环境已经确认安全,寓意经过DEF CON CHINA beta版的验证,DEF CON在中国正式落地。
2019年的DEF CON CHINA 1.0版本则更加值得华人安全社区乃至全球极客期待。在马杰推动之下,百度安全将代表全球安全领域最高技术水平和影响力的峰会引入中国,跨越世界半球,以更开放的方式促进全球安全社区更加平等、自由的对话。
