8月8日,第二届顺丰信息安全峰会在深圳举行,本届峰会以“聚·变”为主题,凝聚各界力量,促进各界的安全技术与前沿思想的交流碰撞,提升行业的安全护航能力。百度AI安全技术总监聂科峰出席峰会,并进行以“AIoT时代的新仇旧恨”为主题的分享。分享中指出,AIoT生态存在着系统性的安全风险,为破解智能终端的安全难题,百度安全从评估、保障和响应三个关键维度入手,通过建立统一的安全技术标准、云管端一体化的安全防护能力和强大的安全响应与修复能力,为AIoT生态护航。
IoT生态安全的新仇旧恨
聂科峰表示,随着AI技术的发展以及物联网在专有芯片、传感器等应用方面的突破,IoT正在进入以感知、理解和自学习为特征的AIoT时代。AIoT生态存在着“新仇旧恨”,整个AIoT安全形势不容乐观。“AI想要往前走得更快、更稳,必须有强大的安全能力护航,越是新生的东西越充满危机,特别是传感器获取的数据基本都是跟隐私相关,跟个人相关,所以这里一旦出现问题,后果将非常严重。另一方面,AIoT本身存在很多安全问题,复杂的产业链关系和碎片化使得问题在过去很难被很好地解决。”
“安全问题丛生,根本原因在于整个AloT的生态碎片化非常严重。”聂科峰表示。大多数AIoT厂商要么是传统的硬件厂商,要么是纯粹的软件开发商,没有办法形成完整的安全解决方案,导致整个生态的分层非常明显。整个AIoT生态链也是一种非标准化的生态链,各个环节厂商只负责做好自己的产品,整体安全生态把关者处于缺位状态,这已经成为阻碍AIoT产业发展的最大阻力。
谈到AIoT时代的安全问题特点,聂科峰指出,最大的特点就是AI不确定性带来的新挑战。AI需要基于传感器和背后 学习框架做出反应,而AI存在不确定性,攻击者可以利用这种不确定性导致非预期或错误的输出结果,也可以导致攻击者想要的预设输出,从而造成数据污染、数据流攻击或者机器学习对抗性攻击。
破解AIoT安全难题的关键点:评估、保障、响应能力
当IoT传统安全风险与AI不确定性带来的挑战并存,如何破解AIoT安全难题?聂科峰指出,安全是一个持续对抗的过程,百度AIoT安全方案从评估、保障和响应三个维度构建全面的安全生态体系。
分享内容中提到,AIoT安全是一个生态系统,要系统性解决安全问题,首先就要建立严格的安全标准防患于未然。因此,在智能设备架构设计中,可需要在数据处理层、网络传输层引、应用设备层安全技术标准,从硬件、固件、应用软件、外围接口、通信、用户数据方面都打好安全基础。安全标准的建立有利于及时发现安全隐患,让AI的应用更稳健、让数据防护更稳固,也要让设备端安全响应更迅速、让数据传输更稳定。
在严格的安全标准下,AIoT安全需要构建云管端一体化的安全保障系统。云端面临的最大问题就是在网络层劫持的问题,窗口一旦被劫持,导致数据泄密甚至播放非法内容,会给用户和厂商的品牌价值、产品价值带来严重损害。因此,加强WIFI安全、DNS安全和通信安全至关重要。在设备端,也需要重视从设备端数据的防护到系统本身的漏洞的排查。
“问题修复能力是生命线。”聂科峰表示。面对复杂的安全环境,安全响应机制的“亡羊补牢”能力也相当重要,这就要求智能设备拥有可靠、安全的系统升级及修复通道。在系统升级中,升级通道本身的安全也至关重要。要建立安全的通道去修复问题,包括系统版本的提升层面,我们要不断更新系统版本,但这个通道一定要确保安全,否则你的安全修复就会存在被第三方利用的风险,你的设备就会变成别人家的设备。这一层面,百度安全集成了多种安全能力研发了“百度安全OTA”,能够为IoT设备提供可靠的固件升级服务,OASES KARMA的技术专利,则实现了自适应热修复,则让系统在不影响设备使用的情况下实现升级,产品只要集成该框架,使用一个补丁就可以修复这个产品。目前,这套OTA服务已面向多家合作厂商开放。
AIoT安全开放多项安全能力
聂科峰介绍,百度以AI为主航道,对AI生态下各方面的安全非常重视。针对智能终端当前存在的安全难题,百度开放自身的AI安全能力,集成百度众多安全专利技术,推出了一套完整的AIoT安全解决方案。
聂科峰表示,百度这套AIoT安全解决方案,包括ADS服务、 OpenRASP、还有恶意应用检测等一系列安全服务,为智能设备提供了云管端一体化的安全防护,为厂商节约了研发成本和时间,并提供了灵活的接入方式。目前,这套解决方案可覆盖智能家居、智能移动设备、智能车载等众多场景。
当AIoT时代到来,我们必须要学会如何与AI相处,AI安全问题将成为我们必须应对的挑战。正如本次峰会所倡导的“聚·变”理念,合作共赢将成为我们应对AIoT时代安全挑战最有力的方式。无论是智能设备产商还是安全产商,都应以开放的心态积极拥抱新技术,提升自身安全能力。
免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与 无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。