作为BCS2021三大峰会(战略峰会、产业峰会、技术峰会)中的压轴峰会,技术峰会吸引了全球网络安全技术爱好者的热切关注。在今年峰会上,Forrester副总裁、集团研究总监Laura Koetzle(劳拉·科茨勒),北京赛博英杰科技有限公司董事长谭晓生,Kryptos Logic 高级威胁情报分析师与恶意软件研究员,WannaCry破解者Marcus Hutchins(马库斯·哈钦斯),复旦大学计算机科学技术学院副院长杨珉,美国俄克拉荷马大学助理副校长、讲席教授 David S. Ebert(大卫·伊尔伯特),北京大学大数据分析与应用技术国家工程实验室常务副主任袁晓如,蚂蚁集团副总裁韦韬,清华大学-奇安信集团联合研究中心主任段海新等发表了主题演讲。安全牛总编辑、国际信息系统审计协会(ISACA)中国专家委员会副主席陈伟作为主持人出席了技术峰会。
勒索病毒、供应链攻击,威胁侧的变化莫测
2021年似乎一开始就是不平静的一年,在全球网络安全领域也充满了变化和挑战。从去年年底SolarWinds供应链攻击事件开始,有两个关键词一直充斥着人们的眼球,一个是供应链攻击,另一个是勒索攻击。值得关注的是,奇安信威胁情报中心已监测到多起安全公司被入侵造成的供应链攻击事件。
甚至,这二者开始出现了结合。今年7月2日,企业管理软件供应商Kaseya被曝出旗下产品KASEYA VSA软件存在漏洞,已被REvil黑客勒索组织利用攻击,并造成其大量客户因此关闭服务。
“他们并不在乎黑进了哪家公司,他们只在乎能够花费最少的代价获取最多的收益。” 劳拉·科茨勒在演讲中一语道出了供应链攻击流行的原因,由于攻击目标往往处于供应链的上游,因此通常具备“攻其一点,伤及一片”的特点,尤其是攻击那些使用较为广泛的软硬件产品。
劳拉·科茨勒说,SolarWinds事件告诉我们,不要觉得供应链攻击离你很远,即便你不知名,但如果你有很多知名的客户,你依然具备极高的攻击价值。并且,攻击者为了达成攻击目标,通常会在目标中潜伏很长的时间,从而植入恶意代码。为了应对这种攻击方式,组织机构应该尝试使用零信任架构,用于将每一次访问的安全风险降至最低,同时应当建立软件资产清单,便于清晰掌握软件供应链所面临的风险,即便发生攻击,也能在最短时间内做出正确的响应。
但遗憾的是,大多数组织机构并没有明确掌握他们所使用的软件面临的风险,尤其是在引入开源软件的时候。由于开源软件使用的广泛性,给了大量攻击者以可乘之机。
根据奇安信发布的《2021中国软件供应链安全分析报告》显示,在奇安信代码安全实验室分析的2557个国内企业软件项目中,平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。其中,存在已知开源软件漏洞的项目占比高达89.2%;存在已知高危开源软件漏洞的项目占比为80.6%;存在已知超危开源软件漏洞的项目占比为70.5%。
“多项开源组件受到高危漏洞影响、松散的开源社区管理难以有效推动漏洞修复以及开源代码的漏洞补丁部署状况混乱,是造成开源代码面临的漏洞威胁巨大三个主要原因。”杨珉解释到,“面对这些不足,我们希望通过挖掘开源组件漏洞、增强开源漏洞信息以及评估漏洞补丁状态等方面的工作去解决,尽管在这个过程中我们遇到了漏洞挖掘效率低、漏洞库信息不完整、补丁部署管理混乱等方面的困难。”
当然,饱受漏洞问题困扰的绝非只有普通的开源软件或者其他商业软件,互联网核心协议的漏洞问题同样不可小觑,由于使用更为广泛,其危害性甚至更加巨大,2014年曝出的OpenSSL心脏滴血漏洞仿佛就在昨日。
“互联网基础协议的小问题常是互联网的大问题。” 清华大学–奇安信集团联合研究中心主任段海新强调,作为互联网基础协议领域的安全专家,段海新又一次在技术峰会上,分享了他在该领域的最新研究成果。他说:“经过长期的研究和攻防实践,我们发现了互联网基础协议漏洞的一些显著特征,基础协议的漏洞影响范围很广,但想要运用自动化的方法来挖掘或者寻找漏洞却十分困难。并且,这些互联网协议漏洞绝大多数都是逻辑漏洞,甚至许多漏洞是多个系统组合在一起才出现的,需要多个系统组合在一起才能发现。”
与此同时,作为近年来威胁侧的另外一个“明星”,勒索病毒也一直保持着很高的活跃度,甚至是触发企业应急响应流程的最主要威胁。“勒索软件通常不再侵扰消费者系统,而是企图感染整个企业网络。”马库斯·哈钦斯介绍了近年来勒索病毒攻击的变化趋势。这主要是因为感染一家企业,要比同时感染数十万台设备要容易得多,并且相对个人消费者而言,企业支付赎金的意愿更强。马库斯·哈钦斯强调,勒索病毒的防范不仅仅是一个技术问题,仅靠提高安全性、增加安全预算是无法解决的,需要在金融、法律以及网络安全等领域开展多方合作。
AI可视化与平行切面,防护侧的技术变革
魔高一尺,道高一丈。奇安信集团董事长齐向东在26日战略峰会上谈到,只有煞费苦心地经营安全系统,才能保障经营活动安全运转。经营安全是对网络安全的动态掌控,只有让安全能力动起来,不断循环升级,才能破解复杂难题。
对于网络安全技术的发展趋势,谭晓生针对端点安全、网络安全、应用安全等网络安全所有技术领域,展开了非常深入细致的分析。从防火墙到下一代防火墙、从IPDS到NTA和NDR、从SD-WAN再到SASE,以及安全管理和安全服务,推动了整个网络安全防护水平向前发展。
在所有用于网络安全的技术中,机器学习、可视化与平行切面等技术的应用,逐渐走进了大众的视野。
大卫·伊尔伯特表示,尽管深度学习已经在很多领域取得了成功,但它不是万能的灵丹妙药,目前也还没能最大化发挥它的价值,因此很多人都认为深度学习远比现在大有可为。他说,人们需要创造可视分析、可视化和人机协同决策环境,来帮助大众充分利用现有的所有数据源,并且把垂直领域的知识整合到可视分析系统中,改进分析流程,并且基于数据和先进分析,做出更高效的决策。
袁晓如也表达了这样的观点。他认为,智能新时代的可视分析是沟通数据、人与社会的桥梁。虽然机器初步具有分析、预测能力,但人类在复杂事物认知、常识和创意的能力机器不能匹敌。他通过情报文本报告、舆情传播以及与奇安信团队合作的媒体新闻转载分析等可视化案例,指出通过设计有针对性的可视化界面,把人和机器结合起来,可以大大提高人类的知识认知能力。安全领域面临复杂的博弈,可视分析可以更好地帮助决策者理解复杂的数据场景,作出相应的对策。大数据、人工智能和计算能力是计算机科学拉动社会前进的三架马车,可视化可以帮助人类更好的驾驭计算和数据。
同样是与数据打交道,数据治理在拥有海量数据的今天显得更加重要。随着网络安全与数据安全逐渐深入到业务本身,数据安全治理与日常业务的开展经常会出现冲突。如果有一个平行空间,能够让业务部署维度与安全部署维度做到正交融合——两者既能融合为一体,又能独立解耦,各自独立发展,对于安全行业的发展来说将会是一个重要变革。
“安全平行切面体系(安全切面)是一个安全基础设施,通过嵌入在端管云内部的各层次切点使得安全管控与业务逻辑解耦,并通过标准化的接口为安全业务提供内视和干预能力。”韦韬给出了安全切面的概念。能够预见的是,在数据爆炸的DT时代,安全平行切面体系的引入,能够有效推动数据感知覆盖、数据链路血缘高精度分析上产生新的突破,以解决数据治理面临的精确度、覆盖度、保鲜度等深水区的严峻挑战,并且在App隐私管控、数据分类分级、数据主体确权以及数据输出防泄露等数据治理关键工作中起到重要作用。
BCS2021由奇安信集团会同中国电子信息产业集团有限公司、中国互联网协会、中国网络空间安全协会、中国密码学会、全国工商联大数据运维(网络安全)委员会、中国通信学会、中国友谊促进会主办,注重打通战略、产业、技术界限,对接需要与供给两侧,打造政、产、企、智、学、用多方参与的交流合作平台。经过数届的成功举办,BCS大会已成为立足北京、辐射全球的国际交流平台,代表了中国网络安全高水平和前沿声音,每年提出最新观点成为产业发展的风向标。