獨家專訪 MIT 2017 年度 TR35 吳翰清
先分享一個好消息:今天 《麻省理工學院科技評論》 雜誌揭曉 2017 年全球青年科技創新人才榜(TR35)評選結果,阿里巴巴人工智慧實驗室首席科學家王剛、阿里雲首席安全科學家吳翰清脫穎而出,獲此殊榮。
TR 35 獲獎者 吳瀚清
TR35 是一個針對 35 歲以下青年科技才俊,為找出最有可能改變世界的牛人而設立的獎項。
自 1999 年以來,該雜誌每年會在全球 IT(計算機、通信、網路)和生物醫藥、商業等領域內,從影響力、創新力、進取力、未來潛力、溝通力五個維度進行評估,挖掘學術界和工業界的 35 位科技創新精英。
從以往的上榜者來看,說 TR 35 是預言人類進程的先知也不為過。Google 聯合創始人拉里·佩奇(2002 年)和謝爾蓋·布林(2002 年),Linux 之父林納斯·托瓦茲(1999 年),Facebook創始人馬克·扎克伯格(2007 年),Yahoo 創始人楊致遠(1999 年),Apple 設計總監喬納夫·伊森(1999 年)等,都曾是該獎的座上賓。如今,他們正在改變我們所處的世界,甚至影響人類進步的方向。
正因如此,TR35 的門檻極高。據統計,從 1999 年到 2016 年,共評選出 820 名 TR35,中國入選者僅 17 人。今年,阿里巴巴有兩位科學家同時入選,創下中國互聯網科技企業的先例。
非常榮幸,上月在北京舉辦的網路安全生態峰會上,我與吳翰清有過一次深入的獨家專訪。本文特別採用問答形式,希望還原吳翰清在技術領域的深度思考。
一、雲計算終極目標:實現飛機那樣的技術普惠
老王:
網路攻擊和滲透行為日益增多,給社會和企業帶來巨大危害。但並不是每個企業都有足夠的預算和技術能力來迎接安全風險的威脅。
安全服務也能像水、電、網這樣的基礎服務一樣,可以隨時購買、隨時使用,而不用關心很多引擎蓋下面的技術細節?
吳瀚清:
我自己覺得這個問題得分成兩部分來看。
首先,今天整個雲端團隊,或者阿里雲安全團隊希望成為互聯網安全的一種基礎設施。既然它是基礎設施,它對於很多的人來說,就應該是普惠的,如同今天的水、電、網一樣。在這個層面上來講,我們希望把安全服務做的更加的透明一些,更加的無感知一些。
從技術的角度來講,有一些問題通過彈性安全網路就有可能解決掉。
但網路安全服務其實是一個研究對抗的問題,只要是人與人之間的對抗,只要還要有壞人存在,就一定有新的安全問題會湧現出來,只是會隨著技術發展不斷更新。
比如,過去從 PC 走向了互聯網、移動互聯網,再走向 IoT,所有的安全問題也是跟隨著 PC 的發展,然後到互聯網,再到移動互聯網的安全問題,到未來是研究 IoT 的安全問題。
另一方面,其實我覺得雲計算的安全方面,或者雲計算本身,它非常像飛機。比如說你要造一架飛機,用到的技術是極其複雜的,但是今天我們每個人都能夠用非常便宜的價格,去享受這個航班的服務。所以我覺得這就是裡面的差別。
就是說,我們要重新去發明一項技術,把它做到足夠成熟是需要非常專業的人,花非常大的代價去把它做出來的。但是,最後我們要把這個非常複雜的技術,做到每個人都能夠用。每個人都能夠用最低的成本、最低的門檻去使用。
我覺得這個就是雲計算所要追求的目標。就是要讓技術變的普惠。讓每個人都能夠非常簡單的去用非常複雜的技術。
對於普通客戶,他並不需要理解一架飛機的原理,它只要能乘坐就好。
二、安全邊界將會越來越模糊
老王:
怎麼樣才能讓用戶,在需要時能夠感知到安全,沒有遇到安全問題的時候實現隱形。這個安全邊界是怎麼確定比較好?
吳瀚清:
AWS 提出了責任共擔模型,他們認為操作系統之下的都是他們來負責;操作系統之上的都是客戶自己來負責的,比如客戶自己寫的應用,比如自己管理的一些系統,比如客戶配置出現了問題,都是要客戶自己來負責的。但是操作系統之下,進程本身的安全,包括底層基礎設施的安全,這些都是由 AWS 來負責。他們把這個邊界劃在這裡。
但是我覺得這個邊界,也不是一成不變的,它會隨著軟體架構的演進而不斷發生變化。
邊界會越來越模糊,而且我們整個技術是在進步的,所以在我的理解里,雲計算是不需要像 Windows 跟 Linux 這樣的 PC 時代的操作系統的。
因為今天大量的雲時代的應用,或者互聯網時代的應用,實際上就是用代碼直接操作數據,其實並不需要關心底層操作系統。從這個角度來講,今天這些程序員寫代碼的方式將來都是需要變化的。當計算時代真正到來的時候,比如說現在 AWS 就在推 serverless 這樣的一些東西,谷歌也有 GCE,類似這些東西,實際上它真正代表的是未來我們寫代碼操作數據的方式。
所以回到未來來看,今天你所關心的很多的軟體問題,在那個時候已經不再是一個問題了。因為都被雲計算公司封裝到了它的責任範圍之內,所以我覺得這條線、這個邊界是在不斷地演進的,而且它的封裝是越來越完整的。
三、未來五年,安全看 IoT 和 AI
老王:
你們現在有沒有考慮到三年、五年以後的安全勢態會怎麼樣,會不會研發相應的產品和技術?
吳瀚清:
我覺得未來要抓的兩件事情,還是相對比較明確。
在戰略思考方面,第一個就是抓 IoT。可能在整個 IoT 這方面,最根本的一個東西就是認證體系,它應該是從一個硬體晶元開始,通過證書做硬體的加密和認證,然後通過信任鏈的傳遞,在整個 IoT 裡面我們就會有一個可信的計算環境。我們今天在 IoT 的安全方面,已經有一些解決方案。
另外一件,我覺得 AI 是我們這個時代接下來需要重點去抓的事情,它帶來的這個變化,可能會超過我們所有人的想像,它可能會像手機出現的時候,會對這個世界帶來這麼大的影響和變化。所以今天如何把 AI 應用在我們安全技術本身,這個是我們今天要去思考的。
四、對網路暴力鬥爭到底
老王:
在安全圈子裡,有沒有攻擊者和廠商互相勾結?
吳瀚清:
從這個行業亂象來講,今天一定存在你剛才說的這種黑與白的互相勾結,或者收取保護費的事情。
特別在我所了解的高防這個產業,實際上有一些這樣的亂象的,就是攻擊者和收保護費的實際上是同一波人。但是今天從其他的一些我所了解的一些廠商來說,比如說像今天的阿里,或者我們的一些友商,他們是絕對不會做這種事情。
因為對於阿里自己來說,對我們來說每一次大的攻擊的挑戰,實際上都是一次磨鍊我們技術的機會,如果我們不去正面迎接這種挑戰,我們的技術就不會進步。錯過了我們技術進步的這個機會,我覺得這才是對阿里來說更大的一個損失。所以面對這種網路暴力,實際上我們更加採取的是這種絕不寬容的這種態度,一定會去鬥爭到底的。
五、安全和開源、閉源沒有關係
老王:
你對開源與安全是怎麼看的?它們之間有沒有必然聯繫?有什麼樣的聯繫?
吳瀚清:
我覺得安全不安全,跟開源還是閉源沒有直接的關係。但是它跟這個軟體背後的這個運營方是有關係的。
比如就開源軟體來講,有很多很多的開源軟體,確實對整個互聯網作出了不可磨滅的貢獻。但是也有很多開源軟體,它的軟體開發者是非常、非常缺乏安全意識的。
像 Linux 這種,它本身有一個非常好的基金會,它的開發者都是非常資深的軟體工程師,本身又有非常好的安全意識和非常完善的機制。從這個角度來講,Linux 本身的安全,我覺得是做的非常不錯的,而且它也在持續的、不斷推出一些新的安全功能。
回到閉源軟體這一邊,比如微軟本身就建立了非常好的一個應急響應機制,它本身建立了非常大的安全團隊來做安全這個事情。從這個角度來講,微軟的安全也做的不錯。
在我看來,更重要的應該去關注應急響應,這應該是整個安全機制裡面最重要的一些事情。甚至我覺得,應該佔到整個安全工作的 50%。另外 50% 的工作就是檢測,所以安全實際上就是做兩件事情,就是檢測和響應。
所以在這裡面我們做的很多工作,都可以看成應急響應的一部分。比如說你發現問題之後,你去做這個漏洞的修補,以及定期檢查之後做的加固。包括通知機制,實際上都是應急響應需要去做的。應急響應不僅僅是解決具體某一個漏洞的問題,它還包括一系列的問題,包括安全的分析,以及產品能力本身的提升,比如說這次響應沒有做好,下一次你的產品是不是有更強的能力來提升?
同時這還涉及到一個對外輿情的問題。這種應急響應是不是會帶來恐慌?比如說有一些安全問題,完全是炒作漏洞,很多客戶就會引發恐慌,這時候你能不能通過技術分析出來撥亂反正?所以有很多這樣的問題,綜合起來就會變成一個體系。
我們覺得今天可能更多的東西,應該是從實踐中來的。所以幾乎阿里雲每周都在進行安全響應,每周都在響應兩到三次。所以就會把我們的一套非常高效的流程給逼出來。
在未來我們也希望在這一塊能夠幫到更多的企業,我們在應急響應這塊,也希望能夠推出更多的產品和服務。
六、堅持產品的使命是最根本的東西
老王:
你是阿里雲的初創成員之一,也是阿里雲安全團隊初創成員。是否可以分享一下如何規劃團隊的技術和發展?
吳瀚清:
阿里本身也是一家使命驅動的公司。所以這兩點,造成我們的做事方式實際上還是有跡可循的。
今天在所有的戰略思考和所有的堅持上面,我們的使命一直是建設互聯網安全的基礎設施。
從這個角度來講,我們會做很多、很多的東西。我們現在的產品,不管這個產品的形態如何發生變化,可能會經歷一些階段性的失敗,但是我們的產品,最終它要去的那個地方,是始終沒有動搖過的。
像我們的高防產品,我們第一天就打出一個使命,就是我們要消滅互聯網的 DDoS,這是我們和其他所有做高防產品廠商的區別。他們都是希望 DDoS 存在的,因為這個能帶來業務收入。
但是我們今天不在乎靠這個反 DDoS 產品賺錢,雖然今天我們的主要收入確實來自這個產品。這是一個現狀,但是未來我們要去的地方-------我們是希望消滅整個互聯網的 DDoS 的。我也覺得,只有真正到了那一天,我們對這個互聯網和對這個社會的貢獻的價值足夠大,才會有足夠大的商業空間誕生出來。我覺得這是我對整個商業的一個理解。
所以我覺得,今天在整個使命願景的堅持上面,是我們最根本的東西,今天經歷的所有的波折,實際上都是可以根據時間隨著來調整的。
七、給年輕從業者的建議
老王:
現在有很多年輕人想從事安全服務行業。作為一個資深的網路安全專家,有什麼建議?
吳瀚清:
我覺得主要是三件事情。第一件就是多看一些書;第二件是多去見一些真正優秀的人;第三件是多經歷一些事情。
回到安全服務這個行業,我覺得除了多看書之外,動手能力是最重要的。我覺得這個對於所有從事計算機產業的年輕人,都是非常重要的一個建議。就是動手遠比從書本上看東西要重要------當然看書也很重要。
再就是能夠多接觸一些行業裡面真正優秀的頂尖人物,我覺得這是需要他自己不斷去找機會去拓展的。
安全這個行業,我覺得跟其他產業不太一樣的地方,就是在於今天我們是在裡面有一個對抗存在,涉及到正義與邪惡的,我希望未來的年輕人不要走上邪路,要站在正義的這一方,真正成為光明的守護者,去保護我們人民財產的安全。
採訪後記
對吳瀚清的採訪就到這裡,從和吳瀚清的交談中,我能體會到真正純粹的技術專家的赤子之心,也能感受到吳瀚清和他的團隊對安全的熱愛和社會責任感,其所一直踐行的,或許就是他的「道」吧。
採訪者:老王,Linux 中國開源社區的創始人,曾任職亞信旗下的瑪賽系統安全公司的華東區技術總監,中國電信系統集成公司網路安全事業部高級專家。
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive