你的GPS被“劫持”了嗎？

隨著萬物互聯時代的到來，網絡安全領域出現了一些新動向
你的GPS被“劫持”了嗎？

                              圖片來自網絡

你的GPS被‘劫持’了！”

這並非科幻電影中的場景。現實中，在我們越來越多打開手機的GPS定位來預定外賣、打車或解鎖共享單車時，由於GPS發射的信號未經加密，“黑客”可以利用SDR（software defined radio，軟件定義的無線電）設備偽造衛星信號，發射到指定的區域內，進而影響這一范圍內的目標設備。這時，你的手機可能會被“定位”在一個你從未去過的地方，時間設置也可能“穿越”到過去或未來。

　　日前，由亞信安全承辦的C3安全峰會上，記者就在現場演示環節遭遇了一次GPS“劫持”，而這暴露出的不過是網絡安全威脅的“冰山一角”。近年來，黑客攻擊層出不窮，信息竊取和數據洩露事件頻頻發生，尤其是今年肆虐全球的勒索病毒，再次給人們敲響了網絡安全的警鐘。那麼，網絡安全領域有哪些新動向？會產生什麼影響？我們又該如何應對？

　　當物理世界和虛擬世界打通時，對虛擬世界的攻擊可作用到物理世界

　　未來的物聯網城市什麼樣？科學家們是這樣描繪的：一切都變得越來越智能，路上行駛著自動駕駛的汽車，空中有無人機送貨，股票外匯交易、城市服務與管理、緊急救援、食品安全保障都需要通過裝載GPS的設備來實現。如果這些設備的GPS被“黑”，造成的影響和損失可不是那麼簡單。

　　市場機構預計，到2020年，全球將有500億台物聯網設備。屆時隨著5G通信技術和物聯網的大規模應用，萬物互聯將成為現實，物理世界和虛擬世界被打通，對虛擬世界的攻擊可作用到物理世界，基礎設施也將會面臨更加嚴峻的安全威脅。

　　中國移動通信集團信息安全與運行中心總經理張濱認為，物聯網時代將有兩個“無處不在”：一是物聯網的應用無處不在，智能家居、智慧交通、智慧城市將從各個方面影響人們的生活；二是它所帶來的風險也將無處不在。“物聯網把傳統的信息技術和運營技術的風險結合在了一起。而隨著物聯網應用的碎片化，不管是傳感層、接入層，還是平台層、核心層，都面臨風險滲透的可能。”

　　目前，個人隱私、家庭安防等領域都是物聯網安全的“重災區”。亞信安全首席技術官張偉欽介紹，今年年初，奧地利一家酒店的電子門禁系統就曾多次遭到黑客的攻擊，使得客人無法進入或走出房間。酒店只得向黑客支付了價值1500歐元的比特幣，然而，黑客在獲得贖金以後，還在系統留下了“後門”，這意味著他們隨時都可以卷土重來。最後，酒店不得不考慮更換為傳統的鑰匙鎖。

　　物聯網時代的安全風險還會呈現“全鏈條”的特點，從終端、管道一直到雲端，都將面臨風險挑戰。“理論上講，物聯網設備都會有操作系統和標准，有標准就會有漏洞，就會給攻擊者可乘之機。”張偉欽說，尤其在雲和應用服務器取代企業系統成為核心系統以後，攻擊的對象也不再是終端的設備，而是雲。因此如果無人駕駛汽車被攻擊或“劫持”，目標很可能不只有一輛汽車，而是馬路上的“車流”，所以對雲和應用服務器的安全威脅更值得警惕。

　　信息技術研究咨詢公司加特納全球研究總監張毅認為，從整個網絡安全的格局來看，雲端占據著重要的地位，尤其是國外廣泛使用的公有雲，更像是住進一座公寓，裡面住著很多房客，很難知曉這些房客會不會給大家帶來風險。

　　人工智能可用來強化網絡安全防護，機器學習技術成功截獲“想哭”勒索蠕蟲

　　隨著人工智能的發展，網絡安全廠商正在積極探索機器學習在安全數據挖掘、網絡安全、威脅檢測等方面的應用，通過人工智能來強化網絡安全防護。

　　早在1986年，美國斯坦福研究中心就提出用數據統計來檢測入侵行為。亞信網絡安全產業技術研究院副院長童寧介紹，過去識別安全威脅時，可以根據一維特征，最簡單的就是黑白名單的技術——定性是壞人，就是壞人；也可以根據二維特征，比如字符串的匹配，只要請求裡包含某一類型的數據，就會被認定為非法；更靠譜的是多維技術，比如可以讓一個程序運行，通過觀察其真實行為來判定是否有破壞性。用於判斷的特征維度越多，判斷也就越准確，當然成本也就越高。機器學習正好可以大展身手。

　　機器在“有監督的學習”之後，通過對數據的消化、吸收，會提取出一些重要的特征指標。用這些特征就可以判斷一個新的文件究竟是不是惡意文件，速度效率也都能得到大幅度的提升。

　　童寧表示，利用網絡威脅數據資源，結合大數據、智能算法與專業的風險分析平台，就可以用多種高度仿真的機器學習算法來判斷一個文件是否可信。“機器學習技術應用成功的關鍵在於持續高質量的安全數據、高水平的網絡安全專家以及機器學習數據專家。”他介紹說，目前機器學習已應用於惡意程序及勒索病毒的防治、垃圾郵件防治、高級威脅態勢感知以及網絡反欺詐等網絡安全防護實踐，並及時截獲了“想哭”（WannaCry）勒索蠕蟲等安全威脅。

　　但童寧也表示，面對機器學習安全技術，還應該保持謹慎的態度。“將機器學習真正地運用於安全威脅之中還需要長期的技術積累，威脅時時在變，機器也要時時學，學習的過程中還要面臨精度提升的問題。”

　　也有專家表達了擔憂，網絡安全領域的人工智能也可能變成一把“雙刃劍”：如果黑客使用了人工智能的惡意軟件，就能更輕松地弄清楚它周邊的環境，並模仿系統中用戶的行為，從而造成更大的危害。甚至未來也可能出現人工智能的防御措施與進攻手段在網絡安全空間決一勝負的情況，而人類往往只能作壁上觀。

　　維護網絡安全要形成合力，由被動防御向主動保護發展

　　近年來，盡管打擊網絡犯罪的行動取得了一定成效，但全球網絡安全形勢依然嚴峻。據亞信安全統計，2016年，僅勒索病毒家族的數量就從29個暴增至247個，足足增長了752%，讓網絡犯罪集團大賺了10億美元。在我國，網絡犯罪已占犯罪總數的近1/3，且每年還在大量增加。據統計，去年，僅電信網絡詐騙就立案63萬起，占全部刑事案件的近10%。網絡安全威脅正在呈現出復雜化、產業化的趨勢。

　　“網絡安全的觀念需要調整。”亞信安全董事長何政認為，“過去講，誰的東西誰負責保證安全。但是在信息技術不斷演進、網絡安全形勢日趨嚴峻的今天，靠單一主體的力量很難實現，只有齊抓共管，互相配合，才能形成相對可靠的立體保障格局。”

　　今年6月1日起正式施行的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）是我國網絡安全領域的第一部基礎性法律。中央網信辦網絡安全協調局副局長高林表示，網絡安全已經成為國家長治久安的戰略問題之一。維護網絡安全是全社會的共同責任，推動《網絡安全法》的貫徹落實要形成合力，充分發揮各個行業網絡運行單位、互聯網企業、專家學者及廣大網民在維護網絡安全方面的重要作用，提高我國網絡安全水平。要讓網絡安全意識進機關、進鄉村、進社區、進學校，調動全民網絡安全的主動性和參與性。

　　亞信安全CEO張凡指出，應對有組織的網絡攻擊，除了要打破各自為戰的局面，還需要轉變防護觀念，由被動防御向主動保護發展，建立一體化的防御體系。

　　“比如站在城市安全的角度，我們要保護的是基礎設施，不能等到已經發生了嚴重的事情再來‘救火’。必須在黑客發動第一步攻擊時就要聯動到整個體系上的安全策略。” 亞信安全通用安全產品中心副總經理劉政平認為，網絡攻擊很可能是低頻、高速的，不能總被威脅“牽著鼻子走”。

　　他介紹說，“目前四川省公安機關啟動的網絡安全態勢感知平台就能夠在充分尊重原始數據的基礎上，用圖形或地圖等可視化的方式，把威脅的來源、攻擊的手段、主要的風險、可能影響的范圍，甚至未來的趨勢勾畫出來，做到對網絡空間實時、動態地主動防護。”