南方财经全媒体 吴立洋 上海报道
近年来,随着数字化延伸到社会生产生活的各个层面,数据、网络、信息和智能软硬件与人们日常行为的关联愈加紧密,在大大提升便利性和效率的同时,各类网络安全威胁也在信息化应用愈加广泛的而背景下,带来了不可忽视的安全风险。
另一方面,以人工智能、新能源车等为代表的新一代科技软硬件产品,因其复杂的生产过程和产品原理,以及和人们紧密的联系,正成为安全威胁的重要对象,在数字化智能化的背景下,如何根据新的应用场景需求开发迭代网络安全技术,提升对信息化社会企业、政府、个人的安全保护能力,成为安全行业发展的重要方向。
10月23日,看雪·第七届安全开发者峰会于上海成功举办。本届峰会以“安全开发·数智未来”为主题,聚焦数智化时代下安全技术的发展与创新,来自学界、业界不同安全领域的安全从业者从实际安全案例出发,分享了各自对于当前解决安全难题、推动技术创新的理解。
“我们发现,MaginotDNS可以攻击域名解析器(CDNS)缓存,通过发送大量恶意请求来填满缓存,从而导致合法的域名解析请求无法被解析器缓存。这样一来,每次解析请求都需要访问DNS服务器,增加了网络延迟和服务器负载。” 清华大学网络研究院教授段海新分享了其团队对于域名服务系统的重大安全漏洞及其可能导致的MaginotDNS研究。
作为一款在现实网络中广泛应用的DNS解析器,段海新发现至少有 35.5% 的 CDNS 容易受到 MaginotDNS 的攻击,为攻击者提供潜在攻击目标。
“DNS安全扩展DNSSEC是一种基于公钥算法的数字签名与验证机制,可有效保障客户端不接受虚假 DNS 响应,但自九十年代提出后的三十多年间,中国的部署率仍非常低。” 段海新表示,需要进一步促进DNSSEC等基础安全保障的部署。
大语言模型亦是近期科技界的热点问题,在畅想大模型的广泛应用前景的同时,其潜在的安全风险也受到越来越多的担忧。
“从逻辑计算到神经计算的转变会带来输入输出间的不确定性,一定程度需要弱化对于大语言模型内部可解释性的深入研究。” vivo 安全研究员张栋在峰会分享中指出,对可解释性的忽视导致prompt(提示词)安全成为未来的重点之一。
例如,通过假定一个危险的身份,要求大模型对于不法行为给出建议或执行步骤的角色扮演攻击中,如果大模型具备问题解决能力但缺乏辨别能力,就会对社会产生难以预计的危害。
张栋表示,此类攻击方式攻击文本具有多样性,可以针对单个模型也可广泛影响多个模型,且通常难以检测和防范,随着大模型运用愈加深入,相关安全防护建设也需要及时跟进。
山石网科安全研究员刘洋则针对工业控制系统在当前数字化背景下的安全问题阐述了自己的观察,他指出当前工控安全面临缺乏相关设备,无工控实践环境,研究者知识储备不足,公司经费支持方面不足等多方面问题,而安全端工控产品类别多但往往设备价格高昂,人员知识面狭窄,亟须多方推进安全体系建设。
“人工智能将带来一系列的安全问题挑战,车联网系统的进一步发展也需要安全性能的保障,作为国家战略层的安全保障,要加强对网络信息安全的整体规划和部署。” 上海市信息安全行业协会秘书长王强在峰会致辞中表示,在当前的数字化发展阶段,需要更多安全人才参与到网络信息安全领域中,加强技术研发与创新,为国家安全贡献力量。
(作者:吴立洋 编辑:蔡姝越)
网络安全
新浪科技公众号 “掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
相关新闻 
