360谭晓生:AI时代,人才是最好的“安全带 ”

文章来源:网络整理作者:采集侠2018-06-05 11:07

导读:

[360谭晓生:AI时代,人才是最好的“安全带 ”

互联网不只有短视频、外卖、打车,网络安全的热度同样在升温。

首先是习主席4月底在全国网络安全和信息化工作会议上的讲话这段时间被各界人士仔细研读,掀起了学习热潮;再就是6月1日儿童节这天,除了朋友圈刷屏的儿时回忆,《网络安全法》刚好颁布一周年。

而就在6月2日,EOS1.0正式版发布,同一时间,EOS官方就近期出现的一系列高危漏洞做出回应,向发现漏洞的360公司安全团队公开致谢,对其中3个漏洞分别给出1万美元的赏金,要知道这是EOS官方首次向安全机构发布赏金致谢。

在网络安全威胁持续蔓延时,安全问题已经从企业层面提升到国家层面。对从业者而言,或许如芯片行业一样开始了一场盛宴。只是,这个行当多年来一直存在的人才匮乏尚未得到妥善解决,在移动互联网如火如荼、求职者趋之若鹜时,安全领域要找到批量的合适人才却不那么容易。

一些“老玩家”已经开始主动尝试拓展人才渠道。5月29日,360校园俱乐部名校行活动首站走进清华大学,包括技术总裁兼首席安全官谭晓生、独角兽安全团队创始人杨卿等悉数到场。其中,有国内安全领域的领军人物之称的谭晓生先生在“网络安全行业全解析”的主题演讲中直言不讳地表示,2019年千亿量级的信息安全行业将面临百万人才缺口,不能补上缺口将严重制约信息安全产业的发展。

红衣教主的安全江湖,正在寻求打通人才这道关卡,其做法或许也能窥见行业的一些人才逻辑。

本就严峻的安全形势,又有了AI的“负加持”

网络安全本来是一个老生常谈的话题,在PC互联网早期就已经产生。某种程度上,移动互联网既方便了人们的生活,也为互联网黑产提供了舞台。

1、除了广泛性,安全问题的危害性正在进一步升级

关于信息泄露造成的骚扰电话,坊间流传一句话,“你的信息100%被泄露了,你没有接到骚扰电话是因为骗子打电话要一个个来,还没轮到你”。

毋庸置疑,徐玉玉案只是网络黑产的一个典型代表,其背后是全民信息泄露的狂潮,网络安全问题不只是天边的事物,它带来的危害已经发生在每一个人身边。

而且,除了这种广泛性,安全问题的严重性也开始升级,超越了以WannaCry为代表的最严重的虚拟安全,开始走向现实安全的威胁。例如,近来有些攻击者开始瞄上了金融、能源、电力、通信、交通等领域,造成例如乌克兰电网攻击、美国东部大面积断网等严重事件,甚至伊朗核设施都停摆,现实世界的安全受到严重威胁。

2、AI可以促进社会进步,也可以“负加持”

与互联网在全球处于领先地位对应的是,中国网络犯罪团伙也处于全球领先水平。“2018守护者计划大会”上,某BAT大佬甚至表示,用AI神经网络帮助破解网络登录验证码已经是中国团伙的拿手好戏,同时,AI技术也“帮助”犯罪分子加快了从从企业数据库中窃取用户数据的速度。

菜刀可切菜,亦可杀人。AI本身只是不带倾向的工具,在金融服务、安全防护、智能生活、医疗影像等方面能做出有价值的贡献,转手被不法分子利用,就会产生同等的破坏力。

AI技术越是发展(AI当然不能不发展),这种“负加持”的风险就越高,带给网络安全的压力就越大。

安全人才不仅有数量问题,还有结构问题

一边是严峻的形势,另一边是人才的匮乏——不仅仅是数量,结构问题亦十分严重。

1、缺口庞大是首要表现

在这次清华活动上,360谭晓生介绍了一组数据:目前我国网络安全人才面临的人才缺口2017年已经高达70万,缺口率95%,到2020年这一数据将增长至140万,而与之对应的是,现阶段我国高等院校学历教育培养的人才只有区区3万人左右。

这个缺口远远大于欧美国家。根据《2017年全球信息安全人力资源研究》显示,欧洲在2022年才面临35万名网络安全人才缺口。很明显,“领先也是有代价的”,庞大的缺口不补上,安全问题会变得更棘手。

2、“不爽”加剧人才缺口

马云曾说,员工不愿意干,要么是给得不够,要么是做得不爽。

安全这个行当,从薪资来说并不特别差,但做得“不爽”却是实实在在的。它包括以下几个方面:

A、学习周期长。安全是一门需要极强综合能力的计算机学科,而且需要非常丰富的实践经验,理论与现实相差甚远,成长周期十分漫长。一些人几年都可能未入门,反之,一些编程速成班,180天就能培养一个担当一面的程序员。

B、“保安”化。在非专业的安全公司里,安全部门是典型的非核心部门,需要的时候用一下,平时默默做维护,价值观显露很少,如同现实守门的保安一样,一些时候,还不得不为广域攻击背锅。

C、重复式工作无激情。一看到360某大拿拿了国际大奖,很多人觉得安全是一件时刻充满激情和创新的工作。其实不然,很多时候网络安全是一件重复而繁琐的劳动,只有这样才能发现最细微的安全问题。

3、“偏科”问题让人才缺口比实际更严重

就如中国经济总量大,但还是在谈结构性改革一样,即便在网络安全的人才存量池子里,人才的分布也存在偏科问题,结构化失衡让缺口实际上比看起来的更严重。

这种失衡包括:

A、重攻轻防。安全人才总数不够的情况下,防守人才更是缺乏。攻击技术的确重要,高价值漏洞可以成为战略武器,但就如10枚核弹和100枚核弹毁灭力差别不大都够用,而反导系统却越完善越好一样。

B、重单点轻系统。网络人才往往以“发现问题”自诩,也成了工作的主要方向,这固然没错,但相对于“千里之堤,溃于蚁穴”的蚂蚁,业界更需要的是为生态授粉、创造自然奇迹的蜜蜂,更需要的是安全体系化建设。正如360谭晓生在演讲中所说,未来的网络空间安全将会是多线作战,网络安全从业者将会面对与网络犯罪、网络恐怖主义、网络战争、网络意识形态竞争的持久抗争,一招一式、拳脚相搏的古典式攻防将被替代,未来的网络攻防将以上帝视角统筹全局。

C、重反向轻正向。买辆汽车拆解仿造是早期我国汽车工业的普遍做法,夹生饭造成整车性能远不如原版。而国内安全人才很多都是从渗透、逆向、分析漏洞入门,却在防止渗透、防止逆向、设计没有漏洞系统方面能力缺乏,很明显,人才的正向能力才真正体现安全防护的水平。

安全人才不止要“培养”,还需“意识+培养+留住”三位一体

从安全人才的数量和结构化问题来看,仅仅“培养”安全人才显然是不够的,而应当是“意识+培养+留住”三位一体的过程。

1、意识:用足球运动逻辑,建立“意识”激发兴趣人群

本文链接:http://www.soxunwang.com/zl/2018/0605/39889.html

声明:搜讯网转载稿件,不代表本站观点,若侵权请来信告知,有异议请联系我们;

关注搜讯网微信号

扫描加关注!

搜讯网福利发放

最新热点 更多
相关阅读 更多