先分享一个好消息:今天 《麻省理工学院科技评论》 ( MIT Technology Review ) 杂志揭晓 2017 年全球青年科技创新人才榜(TR35)评选结果,阿里巴巴人工智能实验室首席科学家王刚、阿里云首席安全科学家吴翰清脱颖而出,获此殊荣。
TR 35 获奖者 吴瀚清
TR35 是一个针对 35 岁以下青年科技才俊,为找出最有可能改变世界的牛人而设立的奖项。
自 1999 年以来,该杂志每年会在全球 IT(计算机、通信、网络)和生物医药、商业等领域内,从影响力、创新力、进取力、未来潜力、沟通力五个维度进行评估,挖掘学术界和工业界的 35 位科技创新精英。
从以往的上榜者来看,说 TR 35 是预言人类进程的先知也不为过。Google 联合创始人拉里·佩奇(2002 年)和谢尔盖·布林(2002 年),Linux 之父林纳斯·托瓦兹(1999 年),Facebook创始人马克·扎克伯格(2007 年),Yahoo 创始人杨致远(1999 年),Apple 设计总监乔纳夫·伊森(1999 年)等,都曾是该奖的座上宾。如今,他们正在改变我们所处的世界,甚至影响人类进步的方向。
正因如此,TR35 的门槛极高。据统计,从 1999 年到 2016 年,共评选出 820 名 TR35,中国入选者仅 17 人。今年,阿里巴巴有两位科学家同时入选,创下中国互联网科技企业的先例。
非常荣幸,上月在北京举办的网络安全生态峰会上,我与吴翰清有过一次深入的独家专访。本文特别采用问答形式,希望还原吴翰清在技术领域的深度思考。
一、云计算终极目标:实现飞机那样的技术普惠
老王:
网络攻击和渗透行为日益增多,给社会和企业带来巨大危害。但并不是每个企业都有足够的预算和技术能力来迎接安全风险的威胁。
安全服务也能像水、电、网这样的基础服务一样,可以随时购买、随时使用,而不用关心很多引擎盖下面的技术细节?
吴瀚清:
我自己觉得这个问题得分成两部分来看。
首先,今天整个云端团队,或者阿里云安全团队希望成为互联网安全的一种基础设施。既然它是基础设施,它对于很多的人来说,就应该是普惠的,如同今天的水、电、网一样。在这个层面上来讲,我们希望把安全服务做的更加的透明一些,更加的无感知一些。
从技术的角度来讲,有一些问题通过弹性安全网络就有可能解决掉。
但网络安全服务其实是一个研究对抗的问题,只要是人与人之间的对抗,只要还要有坏人存在,就一定有新的安全问题会涌现出来,只是会随着技术发展不断更新。
比如,过去从 PC 走向了互联网、移动互联网,再走向 IoT,所有的安全问题也是跟随着 PC 的发展,然后到互联网,再到移动互联网的安全问题,到未来是研究 IoT 的安全问题。
另一方面,其实我觉得云计算的安全方面,或者云计算本身,它非常像飞机。比如说你要造一架飞机,用到的技术是极其复杂的,但是今天我们每个人都能够用非常便宜的价格,去享受这个航班的服务。所以我觉得这就是里面的差别。
就是说,我们要重新去发明一项技术,把它做到足够成熟是需要非常专业的人,花非常大的代价去把它做出来的。但是,最后我们要把这个非常复杂的技术,做到每个人都能够用。每个人都能够用最低的成本、最低的门槛去使用。
我觉得这个就是云计算所要追求的目标。就是要让技术变的普惠。让每个人都能够非常简单的去用非常复杂的技术。
对于普通客户,他并不需要理解一架飞机的原理,它只要能乘坐就好。
二、安全边界将会越来越模糊
老王:
怎么样才能让用户,在需要时能够感知到安全,没有遇到安全问题的时候实现隐形。这个安全边界是怎么确定比较好?
吴瀚清:
AWS 提出了责任共担模型,他们认为操作系统之下的都是他们来负责;操作系统之上的都是客户自己来负责的,比如客户自己写的应用,比如自己管理的一些系统,比如客户配置出现了问题,都是要客户自己来负责的。但是操作系统之下,进程本身的安全,包括底层基础设施的安全,这些都是由 AWS 来负责。他们把这个边界划在这里。
但是我觉得这个边界,也不是一成不变的,它会随着软件架构的演进而不断发生变化。
边界会越来越模糊,而且我们整个技术是在进步的,所以在我的理解里,云计算是不需要像 Windows 跟 Linux 这样的 PC 时代的操作系统的。
因为今天大量的云时代的应用,或者互联网时代的应用,实际上就是用代码直接操作数据,其实并不需要关心底层操作系统。从这个角度来讲,今天这些程序员写代码的方式将来都是需要变化的。当计算时代真正到来的时候,比如说现在 AWS 就在推 serverless 这样的一些东西,谷歌也有 GCE,类似这些东西,实际上它真正代表的是未来我们写代码操作数据的方式。
所以回到未来来看,今天你所关心的很多的软件问题,在那个时候已经不再是一个问题了。因为都被云计算公司封装到了它的责任范围之内,所以我觉得这条线、这个边界是在不断地演进的,而且它的封装是越来越完整的。
三、未来五年,安全看 IoT 和 AI
老王:
你们现在有没有考虑到三年、五年以后的安全势态会怎么样,会不会研发相应的产品和技术?
吴瀚清:
我觉得未来要抓的两件事情,还是相对比较明确。
在战略思考方面,第一个就是抓 IoT。可能在整个 IoT 这方面,最根本的一个东西就是认证体系,它应该是从一个硬件芯片开始,通过证书做硬件的加密和认证,然后通过信任链的传递,在整个 IoT 里面我们就会有一个可信的计算环境。我们今天在 IoT 的安全方面,已经有一些解决方案。
另外一件,我觉得 AI 是我们这个时代接下来需要重点去抓的事情,它带来的这个变化,可能会超过我们所有人的想象,它可能会像手机出现的时候,会对这个世界带来这么大的影响和变化。所以今天如何把 AI 应用在我们安全技术本身,这个是我们今天要去思考的。
四、对网络暴力斗争到底
老王:
在安全圈子里,有没有攻击者和厂商互相勾结?
吴瀚清:
从这个行业乱象来讲,今天一定存在你刚才说的这种黑与白的互相勾结,或者收取保护费的事情。
特别在我所了解的高防这个产业,实际上有一些这样的乱象的,就是攻击者和收保护费的实际上是同一波人。但是今天从其他的一些我所了解的一些厂商来说,比如说像今天的阿里,或者我们的一些友商,他们是绝对不会做这种事情。
因为对于阿里自己来说,对我们来说每一次大的攻击的挑战,实际上都是一次磨炼我们技术的机会,如果我们不去正面迎接这种挑战,我们的技术就不会进步。错过了我们技术进步的这个机会,我觉得这才是对阿里来说更大的一个损失。所以面对这种网络暴力,实际上我们更加采取的是这种绝不宽容的这种态度,一定会去斗争到底的。
五、安全和开源、闭源没有关系
老王:
你对开源与安全是怎么看的?它们之间有没有必然联系?有什么样的联系?
吴瀚清:
我觉得安全不安全,跟开源还是闭源没有直接的关系。但是它跟这个软件背后的这个运营方是有关系的。
比如就开源软件来讲,有很多很多的开源软件,确实对整个互联网作出了不可磨灭的贡献。但是也有很多开源软件,它的软件开发者是非常、非常缺乏安全意识的。
像 Linux 这种,它本身有一个非常好的基金会,它的开发者都是非常资深的软件工程师,本身又有非常好的安全意识和非常完善的机制。从这个角度来讲,Linux 本身的安全,我觉得是做的非常不错的,而且它也在持续的、不断推出一些新的安全功能。
回到闭源软件这一边,比如微软本身就建立了非常好的一个应急响应机制,它本身建立了非常大的安全团队来做安全这个事情。从这个角度来讲,微软的安全也做的不错。
在我看来,更重要的应该去关注应急响应,这应该是整个安全机制里面最重要的一些事情。甚至我觉得,应该占到整个安全工作的 50%。另外 50% 的工作就是检测,所以安全实际上就是做两件事情,就是检测和响应。
所以在这里面我们做的很多工作,都可以看成应急响应的一部分。比如说你发现问题之后,你去做这个漏洞的修补,以及定期检查之后做的加固。包括通知机制,实际上都是应急响应需要去做的。应急响应不仅仅是解决具体某一个漏洞的问题,它还包括一系列的问题,包括安全的分析,以及产品能力本身的提升,比如说这次响应没有做好,下一次你的产品是不是有更强的能力来提升?
同时这还涉及到一个对外舆情的问题。这种应急响应是不是会带来恐慌?比如说有一些安全问题,完全是炒作漏洞,很多客户就会引发恐慌,这时候你能不能通过技术分析出来拨乱反正?所以有很多这样的问题,综合起来就会变成一个体系。
我们觉得今天可能更多的东西,应该是从实践中来的。所以几乎阿里云每周都在进行安全响应,每周都在响应两到三次。所以就会把我们的一套非常高效的流程给逼出来。
在未来我们也希望在这一块能够帮到更多的企业,我们在应急响应这块,也希望能够推出更多的产品和服务。
六、坚持产品的使命是最根本的东西
老王:
你是阿里云的初创成员之一,也是阿里云安全团队初创成员。是否可以分享一下如何规划团队的技术和发展?
吴瀚清:
阿里本身也是一家使命驱动的公司。所以这两点,造成我们的做事方式实际上还是有迹可循的。
今天在所有的战略思考和所有的坚持上面,我们的使命一直是建设互联网安全的基础设施。
从这个角度来讲,我们会做很多、很多的东西。我们现在的产品,不管这个产品的形态如何发生变化,可能会经历一些阶段性的失败,但是我们的产品,最终它要去的那个地方,是始终没有动摇过的。
像我们的高防产品,我们第一天就打出一个使命,就是我们要消灭互联网的 DDoS,这是我们和其他所有做高防产品厂商的区别。他们都是希望 DDoS 存在的,因为这个能带来业务收入。
但是我们今天不在乎靠这个反 DDoS 产品赚钱,虽然今天我们的主要收入确实来自这个产品。这是一个现状,但是未来我们要去的地方——-我们是希望消灭整个互联网的 DDoS 的。我也觉得,只有真正到了那一天,我们对这个互联网和对这个社会的贡献的价值足够大,才会有足够大的商业空间诞生出来。我觉得这是我对整个商业的一个理解。
所以我觉得,今天在整个使命愿景的坚持上面,是我们最根本的东西,今天经历的所有的波折,实际上都是可以根据时间随着来调整的。
七、给年轻从业者的建议
老王:
现在有很多年轻人想从事安全服务行业。作为一个资深的网络安全专家,有什么建议?
吴瀚清:
我觉得主要是三件事情。第一件就是多看一些书;第二件是多去见一些真正优秀的人;第三件是多经历一些事情。
回到安全服务这个行业,我觉得除了多看书之外,动手能力是最重要的。我觉得这个对于所有从事计算机产业的年轻人,都是非常重要的一个建议。就是动手远比从书本上看东西要重要——当然看书也很重要。
再就是能够多接触一些行业里面真正优秀的顶尖人物,我觉得这是需要他自己不断去找机会去拓展的。
安全这个行业,我觉得跟其他产业不太一样的地方,就是在于今天我们是在里面有一个对抗存在,涉及到正义与邪恶的,我希望未来的年轻人不要走上邪路,要站在正义的这一方,真正成为光明的守护者,去保护我们人民财产的安全。
采访后记
对吴瀚清的采访就到这里,从和吴瀚清的交谈中,我能体会到真正纯粹的技术专家的赤子之心,也能感受到吴瀚清和他的团队对安全的热爱和社会责任感,其所一直践行的,或许就是他的“道”吧。
采访者:老王,Linux 中国开源社区的创始人,曾任职亚信旗下的玛赛系统安全公司的华东区技术总监,中国电信系统集成公司网络安全事业部高级专家。