隨著全球數字化進程不斷加快,安全漏洞、數據泄露、網絡詐騙、勒索病毒等網絡安全威脅日益凸顯,有組織、有目的的網絡攻擊形勢愈演愈烈,網絡安全面臨越來越大的威脅與挑戰。網絡安全威脅會朝什麽方向演變,又該如何應對?在7月14日舉行的2022年北京網絡安全大會(BCS2022)·安全戰略峰會上,聯合國官員、院士、全球知名網絡安全專家共聚線上,求解未來網絡安全之道。
網絡空間面臨嚴峻挑戰
近年來,數字技術飛速發展,在抗擊新冠肺炎疫情、提供公共服務、促進産業發展等方面展現出強大作用。但與此同時,網絡犯罪、網絡暴力和網絡空間軍事化也硝煙四起。
“對于一些仍然在努力融入網絡時代的人來說,缺乏數字素養、缺乏地方網絡産品和缺乏網絡安全基礎准則常常使他們面臨網絡威脅。”聯合國副秘書長劉振民在安全戰略峰會上不無憂慮地說。
“複雜而且脆弱”——俄羅斯最大網絡安全廠商卡巴斯基公司創始人尤金·卡巴斯基如此形容當下的網絡空間。“大企業受到攻擊,只是影響業務,也許會影響國民經濟;但如果是基礎設施,尤其是關鍵基礎設施受到攻擊,那就是一場災難。”在卡巴斯基看來,普通黑客攻擊與網絡犯罪只是疥癬之疾,專業黑客盯上工業系統和關基才是心頭大患。
俄羅斯“網安大神”的判斷,絕非危言聳聽。
美國IBM公司2020年進行的調查顯示,社會基礎設施和大型工廠等的控制系統遭受網絡攻擊而受損或很可能受損的情況達到468起,相比2019年增加50%。而俄羅斯網絡服務公司Rostelecom-Solar調查發現,2021年俄羅斯發生的大多數(92%)高度專業性網絡攻擊都是針對關鍵信息基礎設施。
除基礎設施外,包括奧運會在內的全球重大賽事活動,也成爲近年來網絡攻擊的重點對象。無論追逐經濟利益的黑客組織,還是謀求政治目的國家級黑客,都在期間頻現魅影。
作爲奧運會曆史上首家第三方網絡安全服務商,奇安信對網絡攻擊之凶險最有發言權。據奇安信集團總裁、北京網絡安全大會執行主席吳雲坤介紹,在北京冬奧會籌辦前後800的多天時間裏,網絡攻擊超過3.8億次,跟蹤、研判、處置的涉奧關鍵網絡安全事件達105起。
成本低、效果大、難溯源等特點,賦予網絡攻擊極強的隱秘性與殺傷力。知名安全專家Thaddeus.e.Grugq長期關注網絡沖突、網絡戰略、網絡安全政策及攻防技術。他認爲,當前網絡攻擊集中攻擊通訊設施、中樞網絡,意在切斷政府和軍隊的指揮權,從而形成某種形式上的“虛擬斬首”,網絡戰能夠造成巨大損失且難以挽回。現代網絡戰爭形態目前仍是“一團迷霧”,這也正是網絡威脅的複雜難測之處。“我們了解的只是少數事件,並沒有掌握全貌。”
數據問題凸顯網絡防禦之難
爲了應對不斷變化、升級的網絡威脅,各式各樣的防禦模式和工具被不斷研發出來,但結果並不總能盡如人意。以安全運營中心(SOC)爲例,在實際運行中,安全運營中心有時會攔截某些內容,而這些內容沒問題;有時又不會攔截任何內容,比如郵件發送,致使整套基礎設施處于釣魚攻擊風險之下。
“爲什麽SOC不及能時阻止攻擊,不能實時發現攻擊行爲?”在安全戰略峰會上,全球最大網絡安全供應商派拓網絡的創始人和首席技術官Nir Zuk抛出了這個問題並給出了自己的答案——“數據太多,而且都分布在不同的系統。”
據數據研究機構IDC預測,全球數據總量到2025年將達到175ZB。面對海量數據,如果SOC過度依靠人力顯然難以爲繼。
更爲重要的是,作爲互聯網時代的主要生産要素之一,數據具有與傳統生産要素完全不同的特征。中國工程院院士邬賀铨認爲,數據要素具有可見性、易理解性、可鏈接性、可信性、互操作性、安全性、歸屬性、開放性和資産性等多重屬性。每一重屬性的實現都面臨安全風險,都需要有相應的安全防護。
以數據的易理解性爲例,爲了更好理解數據,通常需要對數據進行標注等前期預處理工作。目前,數據標注70%由人完成,預計2022年全國需500萬人。在這種形勢下,衆包、轉包成爲數據標注的常用形式,用戶數據隱私泄露的風險也隨之産生。
網絡防禦面臨的另一個難題是,到底什麽樣的系統才是安全,即安全標准的量化問題。被業界稱爲“國內最牛白帽黑客”的北京賽博昆侖科技創始人兼CEO鄭文彬發現,過去很長一段時期內,人們對網絡安全的認知停留在定性階段:只要沒被攻破,安全架構便沒有問題。殊不知,此時安全並不代表彼時安全,短期安全也不意味著長期安全。鄭文彬認爲,由于缺乏定量標准,國內雖有很網絡強攻防能力,但缺乏與之相匹配安全産品,而安全産品恰恰最需要定量,需要持久化、常態化的評測手段。
共建數字化安全新生態
層出不窮的網絡安全威脅,已經成爲全人類共同面臨的挑戰。聯合國副秘書長劉振民在安全戰略峰會上表示,聯合國互聯網治理論壇(IGF)在支持全球網絡安全規範的持續發展方面已經做了大量工作,擬于今年年底舉行的第17屆IGF將把主題定爲“彈性互聯網,一個共享、可持續和共同未來”。
迎接這樣的未來,顯然需要團結協作。
新加坡國立大學李光耀學院前院長、新加坡前常駐聯合國大使馬凱碩認爲,西方應該學習借鑒亞洲國家的包容理念,加強合作,這將有利于避免網絡戰等災難性事件發生。
包容與合作,得到了與會網絡安全專家的認同。
“與他們(網絡攻擊者)對抗的唯一方法就是進行全球合作。只有通過技術、教育、知識等各方面的全球合作,才能消除我們生活的網絡空間的網絡威脅。”卡巴斯基說。
中國工程院院士吳建平認爲,互聯網的發展源于“包容性”,而互聯網的持續發展則要依靠“安全性”。爲提升“安全性”,需要對涉及網絡空間中的前瞻性、全局性、核心性技術問題進行預研和持續研究,針對軟硬件領域的不同戰略需求和特點,不斷向下穿透,在基礎理論和關鍵基礎産品上不斷壯大自主成果,構建出自主、可控、兼容、創新的互聯網體系結構。同時,要適應新的數字化發展形勢,打牢支撐數字經濟發展的安全底座,做好應對極限情況的准備。這一切都需要落在人才隊伍建設上,特別是高層次人才的培養。
在呼籲加強合作的同時,與會專家也從技術層面給出了提升網絡安全水平的建議。
卡巴斯基認爲,一方面要通過專業網絡安全團隊幫助受害者,另一方面要建立強大的“網絡安全保護傘”,以應對高度專業化、複雜化的網絡攻擊。從長遠看,還應提升關鍵基礎設施的設計水平,通過設計免疫系統來構建網絡安全體系,最終實現網絡免疫。
鄭文彬認爲,鑒于網絡漏洞貫穿整個網絡攻防鏈且具有可枚舉性、可對比性,因此可以把漏洞利用難度、攻擊危害等指標量化爲網絡安全的標准,以此驅動提升整體網絡安全水平。Nir Zuk則建議,通過人工智能技術提升安全運營水平並管理網絡安全基礎設施。
盡管具體建議有所差異,但與會人士一致認爲需要用全面系統的方法應對新挑戰。在這方面,北京冬奧會網絡安全“零事故”的經驗,提供了很好的範本。奇安信集團總裁吳雲坤將之概括爲冬奧網絡安全“中國方案”的“四個創新”:
新的組織形式——“中國模式”拉通防禦體系和網空對抗體系,形成“三級態勢指揮體系”,最大範圍、最快速、最高效調集各類資源。
新的建設模式——“中國架構”推動各工程和任務之間相互關聯、能力互補,將多元、動態、零散的安全能力彙集到統一標准的安全能力體系,同步分布融入數字化業務的各個方面。
新的研發模式——“中國産品”將多種安全能力、安全功能組件化、模塊化,然後用平台化的方式進行輸出,打造符合冬奧會高標准要求安全産品。
新的運行模式——“中國服務”立足威脅應對和事件處置,將安全運行與IT和業務運營全面覆蓋、深度融合,實現全天候、全周期、平戰結合的實戰化運行。
“無論是冬奧‘零事故’,還是關基安全保護,背後支撐的都是網安産業的持續創新和發展。”吳雲坤呼籲業界擁抱變化,從組織模式、管理模式、研發模式、運行模式等方面轉變思想、落實行動,共建數字化安全新生態。“這既需要安全圈內的融合,也需要安全與信息化、業務的融合;既需要安全大廠、大平台的創新規劃設計牽引,也需要細分領域的安全技術創新來填補空白”。
本文源自金融界資訊