中国信息安全、腾讯安全联合实验室及腾讯研究院共同发布《2022产业安全十大趋势》,在“产业安全宏观态势”、“产业安全实践”、“产业安全技术演进”三个维度中,专家们对“技术演进”维度讨论的篇幅最长,着墨最多,行业反响者众。
技术进步及IT工业化水平的提升,给数字化带来了很大的助力,但技术赋能建设的同时也在赋能攻击,IT工业化水平提升的背后,是某个软件被攻陷会带来一连串下游企业受影响,XcodeGhost、Solarwinds……网络安全不再是特定人的专属,而是多数人都应该关心的工作,如何理解技术发展趋势及其带来的伴生安全影响?
3月23日,由CSDN和腾讯安全联合主办的「大咖来了」栏目上线。本期节目由CSDN副总裁邹欣主持,与腾讯安全天马实验室负责人杨卿、悬镜安全创始人兼CEO子芽,以《2022产业互联网安全十大趋势》(以下简称“趋势”)为背景,围绕2022年网络安全技术演进及落地应用问题进行了深入讨论。
邹欣:《趋势》中谈及立法、人才短缺、数据泄露常态化等问题,两位专家有什么看法?
杨卿:我更想从一名个人技术者的角度来看,因为如果我是一名开发者,更多会关注网络安全的对抗技术和安全技术的演变,这个在我们的报告中也有所提及,但是它只是一个维度,像您所说的,我们报告里还有关注宏观态势以及产业实践这两个维度,所以报告在一定程度上可以补足一名开发者在自身深耕领域外的更全维的视角,也能脱离技术从更宏观更产业的角度去了解趋势。
这个报告提出了网络安全从业者的共识,也让大家了解2022年共同面对的挑战是哪些,主要的热点趋势在哪些方向上,那么报告通过从多个维度呈现安全热点趋势,联动各界,促进生态交流,这样就能让大家在创新和应用上更多携手,尝试通过相互交流以及共赢的方式探索一些共建模式,使得大家可以在产业安全中持续的去一起捍卫数字时代的美好,也能起到推动产业安全发展的关键作用。
子芽:比较触动的是我看到趋势二、趋势四、趋势六、趋势七。趋势二讲的是供应链安全,我们软件的开发方式从闭源到混源再到现在的开源驱动,外部的威胁和内部的风险发生了比较大的变化,软件供应链安全的挑战变得很重要了;
第二个是趋势四,趋势四是说需要通过共建实现共存共治。其实悬镜在商业化过程中也比较注重DevOps上下游生态的打造,要把安全——特别是供应链安全做好,上下游生态整体的治理是非常有必要的;
趋势六核心讲的是云原生安全,在云原生环境下的安全,不只是容器安全,如果涉及到数字化应用本身,云原生安全怎么去做,我们提出了一个“代码疫苗技术”,它和云原生安全非常密切相关;
在趋势七里提及的是在攻防对抗升级的情况下AI的赋能。我们后面可能会提到一些检测和防御技术,比如BAS(威胁模拟技术),这样一个新型技术下,AI怎么能够通过威胁模拟提升安全前置或者积极防御体系的效果。
邹欣:在《趋势》覆盖的内容之外,还有哪些问题值得注意?
子芽:第一个是当下的热点BAS,即“威胁模拟”,它通过智能自动化深度测试技术,对现有安全防御体系进行持续验证,核心要做到安全度量。第二个是“代码疫苗”里的“应用自免疫技术”,这两个是我们认为比较值得关注的。
杨卿:安全的外延在持续扩大,原来可能是移动互联网,后来到了物联网、万物互联,到现在是信息安全转向整体空间安全,现在一个很热的热点比如卫星互联网,也是亟需我们重点关注的领域,还有新基建里关于5G、区块链这些领域,这些领域的安全可能还未被更多关注,但它们在未来产业安全里占有很重要的位置。
特别是卫星网络,卫星互联网大家可能以为是很遥远的事情,但其实卫星网络在我们现在数字平台、数字经济上已经被广泛应用了,卫星电话、导航、数字广播,航空海事,也包括各种灾害应急救援等,这些都有卫星网络在发挥作用。这些领域相关技术的安全性是我觉得需要重点关注的,但在现在来说还不是很明显的趋势,但未来肯定会是安全趋势。
邹欣:我们经常谈及趋势变化,但是在变化中有没有什么“万变不离其宗”的东西?
子芽:安全的本质我们会认为要聚焦到一个底层逻辑。首先,我们会认为社会的进步核心是硬科技的推动,硬科技涉及到安全领域,而安全的核心是一些技术的创新,如果把我们现在的一些认知实践画上一个圈的话,每一个赛道里面的技术力量核心是往这个圈外再扩展一步。我认为安全本质的核心是要把安全的能力平台化。
也就是说我的们更加强调什么?第一是安全的自动化,平台化、自动化的安全技术才能推动技术向前发展;第二是安全度量,我们采用更好、更智能的技术、产品和设备后,它是不是跟我们的业务、组织相结合,带来了更好的交付价值、应用价值。总结下来,我会认为安全技术的自动化和安全度量是安全比较本质的东西。
杨卿:我补充两点,作为一个攻防人员,我认为漏洞和情报是安全的本质,不管产业发展到什么阶段,这两个都是安全最重要关注的核心问题。漏洞又引申到攻防的技术对抗,从安全实验室漏洞研究者的角度看,能始终比攻击者更早预判新型攻击以及更早发现高危漏洞,拥有这些经验能力的人是很关键的核心要素。与此同时,他们能不能持续保持这种预见性及前瞻的技术能力,以及能不能把他们个人修炼出来的能力成果沉淀出一些解决方案,能延展复用到更多企业和平台之上,这就是“从零到1”“从1到N”的两个点,这两个是我比较更关注的。
邹欣:过去有哪些印象较深的现象级安全事件,能带来什么样的启发?
杨卿:Solarwinds算一个,但是真的能让我比较触动的,XcodeGhost那个事是一个更早的苗头,那个时候供应链攻击的目标是向C端用户,因为毕竟Xcode面向的是iOS的开发者,2017年也出现了类似的供应链攻击的事件,这个时候我觉得已经从C往B端去转了,包括刚才说的Solarwinds,完全是针对运维人员和企业的IT工作人员群体的。
这种问题出现的时候,对我最大的触动是,我对于生产力工具的信任关系是产生质疑的,每天陪着我的这些操作系统和天天要用的开发工作工具,让我从心理上产生了不能信任的感觉——用现在热点的话说是“零信任”,这些事件给我的反思是,需要对自己平常的生产力工具或者企业内部的系统平台的运转行为持续常态监测,不能一开始就把他们放在我们心理的“白名单”,要始终对它的安全性提出质疑,要时刻有所顾虑。
邹欣:可能刚开始我们开发者总觉得所有人都是善意的,后来发现,可能任何第三方的内容都不能默认相信。子芽有没有什么印象比较深的事件?
子芽:我想说的是2020年12月13号左右冒出来的Solarwinds Orion供应链攻击事件。Orion是Solarwinds这家公司的一个基础设施管理平台,它在编译构建阶段被植入了后门,也就是我们说的供应链早期进行了感染,后面通过分发或者升级软件感染了下游至少1.8万目标用户。
过程中比较大的启发是什么?第一,我们过往对数字化应用的风险面主要归结为三类,第一类风险是通用漏洞,比如像SQL注入、远程代码执行、OWASP TOP 10这种通用漏洞,第二类风险面是一些业务逻辑漏洞,比如水平越权、垂直越权等等;现在我们意识到了第三类风险是针对第三方开源软件存在的安全漏洞,当下我们的大部分应用是组装的,非纯自研,有统计数据说78-92%的应用成份是第三方的开源框架库等。通过Solarwinds这种供应链攻击事件,第一个启发是拓展了我们对风险面的认知,会认为在开发上线过程中,需要额外考察下异常行为代码的实时审查和检测;第二,我们需要对开发里面的开发工具、开发环境这种基础设施在安全上重视起来。
邹欣:刚刚大家都提及供应链安全问题,在这类问题上是否有解决思路?
杨卿:从常见使用的使用软件、使用工具来说,我们科恩实验室推出了一款二进制的安全检测工具,叫BinAuditor,如果大家对自己手头上的工具软件或者二进制文件的安全性有所疑虑的话,可以通过这个技术来做下安全体检及风险分析。
邹欣:这个名称听起来是“Binary audit”。
杨卿:对,Binary audit,BinAuditor。另外,我们云鼎实验室也在做一些相关工作,因为云鼎是腾讯云的安全建设方,也支撑腾讯云整体安全防护,他们持续着面对各种攻防上的即时挑战,沉淀腾讯云运营安全上的成熟经验,有很强的“安全左移”的需求及安全研运造诣,所以云鼎参与了很多行业研发安全运营标准的制定,以及联合中国信通院共同发布研发运营安全工具系列标准。
子芽:软件供应链安全主要包括两大块:一块是数字化应用自身的安全,比如现在比较火热的通过DevSecOps把安全能力或者安全活动融入到开发全生命周期过程中,对整个安全做治理;第二块是数字化应用在分发过程中,比如采购、供应过程中,安全风险的审查和安全风险的监测。
核心要做到的是:第一,建立可信的源头,比如现在数字化应用开源的比例很高,占比70%-90%多的成份,第二个是对待闭源里面的免费和完全商业化,不同软件开发方式,我们对风险源头的监测和审查的方式也是不一样的。
另外就是刚才说的,应用自身的风险,无论是大企业还是小企业,第一是从组织角度,如果组织有开发能力,从传统的面向业务交付的开发,到现在有一套相对完善的开发者生命周期或者安全开发流程,这样能保证应用自身的风险不会“带病上线”;
第二个,通过“代码疫苗技术”,实现应用风险的自发性和未知威胁提前的“驻场免疫”,这样在软件供应链过程中,从源头和过程中做有效的管控。
但是这里面也有个比较关键的技术,就是对开源的同源。供应链安全治理过程中涉及到开源的风险治理,开源风险治理过程中同源检测,全球高效的溯源技术会发挥比较大的作用。
邹欣:现在的软件服务越来越智能、越来越自动,以前是手动下载一个更新,现在它告诉你更新要不要装,或者早上醒来就发现手机或者设备已经更新过了,这带来很大福利和威胁。智能化和自动化给安全带来什么样的威胁和机会?
杨卿:像您刚刚提到的,软件更新的时候可能会因为一些机制——虽然可能是一些更好的安全机制,比如OTA升级这些东西,让一些攻击的手法可能有机可乘,比如在升级过程中把安装包换掉了,或是劫持了,都算是网络自动化攻击的兴起带来的威胁。
我觉得攻击手段的产生相比前十年有更大的变化,就是它的加工速度很快,原来攻击的高手可能是自己研发了一些攻击的自动化框架,去抓肉机和深度测试的扫描机,现在可能因为开源的体系和生态的繁荣,攻击者可以直接从一些平台上拿一些框架代码,把自己的PoC往里一放,马上就能组装出一个攻击工具出来,原来自己可能要写一些运载底层的东西,但现在马上能下载,下载完组装,大量的“网络武器”被快速组装加工也就造成了7×24小时无时无刻都会有在网络上各种各样的自动化攻击,针对C端的、针对B端的、针对服务器的、针对云的、针对家庭用户路由器的,比如家里的路由器没打补丁或者有安全漏洞的话,那些自动化扫描攻击程序就自动锁定目标,利用相关漏洞把DNS地址换掉,你的设备可能就变成“僵尸网络”的一员了。这种攻击每天的量都在成倍上升,原来自动化攻击方式未泛滥时,这种威胁的严重性还没那么大。
邹欣:刚才两位都提到,在开发过程中,大公司能够支付很多安全成本,但并不是所有公司都支付得起,怎么平衡安全性和开发成本、开发速度之间的关系呢?
杨卿:小企业或者小微企业来说,可能更多选择公有云服务。因为腾讯云也好,其他公有云也好,公有云厂商配备的安全能力基线比很多小企业上限还要高,同时在选择了公有云之后,云上的安全托管服务也能让中小企业以比较低的成本获得高水平的防护。
比如咱们买宠物,有可能去宠物店买,有可能去宠物市场买,但从宠物店买的宠物已经打完疫苗了,到家了可以安全抚育,不会有太多问题;如果在市场买,可能疫苗没打全,可能刚养一个月就出现一些疾病,就要带它去医院。所以尽量选择安全防护能力更可靠的平台。如果是小微企业,可以选择更成熟的,已经通过安全防护体系研运磨砺沉淀出的整体方案,你直接使用它就更好。
子芽:我也非常同意杨老师刚才提的观点。对一些小微企业来说,它更关心的是业务交付、业务增长。中小企业往往用公有云比较多,对小微企业来说,它可能没有安全部门,可能是运维的人兼职做了安全的事情,所以它更关注的是即使我给你发现了风险漏洞,你能不能一键化的直接处置掉了,也更加关注能不能自带免疫能力。所以在常态化运营阶段,云原生安全技术或者安全产品方案、SaaS化的交付方式是比较适合中小用户的。
邹欣:从攻防技术对抗角度,有哪些前沿安全领域或者方向是很重要的?
子芽:过去很多安全搭建或者安全体系,包括在护网过程中从被动防御到主动防御,包括当下护网过程中效果比较好的技术,终端的ERD或者蜜罐,它核心解决是“看得清、看得见”的问题。但是“看得清、看得见”威胁和风险后,最后一公里的实时响应谁来做?因此,我们会认为代码疫苗技术,比如RASP技术能够基于情境感知上下文做精准的感知动作,所以我们认为RASP技术在接下来3-5年内比较好的积极防御技术之一。
另一个是攻防持续对抗技术。攻防的网络对抗是网络安全技术持续演进的外在表现。在攻的层面或者威胁模拟的层面,前面有提到DevSecOps,它核心解决的问题是:在上线前,我们通过一系列的自动化的安全活动防止应用带病上线,解决的是应用自身的风险,那在常态化运营之后,我们应该解决什么问题呢?当现有的防御体系都已经完全启用和开启的情况下,能否通过自动化、智能化的威胁模拟技术,持续验证防御体系的有效性?安全的验证及安全的度量,我们把这样的技术称之为“BAS(威胁模拟)”。威胁模拟加上出场免疫,是我们认为在下一代积极防御技术里面两大基石的关键技术。
杨卿:接着子芽总的方向,我分享一个安全对抗领域的,我认为很重要,也是现在很多人关注的,就是5G的安全,跟它交融的工业互联网、未来的星地互联、6G,以及跟卫星互联网相交融的这个整体网络场景的安全。5G未来要承载的连接责任更多、连接设备更多,汽车、智能设备、手机,甚至以后智慧工厂大型的机械也通过它来连接。这里面本身一个是5G终端基带,空口管道、以及协议本身安全的方方面面,是一个显著且需要关注的安全技术趋势。
邹欣:我们知道腾讯安全联合实验室汇集了很多前沿的安全研究人员,能否跟我们透露你们目前在研究什么?
杨卿:总体而言,作为实验室,我们第一个任务肯定是要关注未来三五年的安全技术,但安全是一个实践导向的领域,我们也同样关注数字产业的安全实际需求,比如目前企业数字化普遍面临的供应链攻击、数据安全、勒索攻击,以及一些前沿技术在应用过程中带来的安全问题,例如AI、5G、物联网等的普及带来的伴生安全问题。
我们实验室目前主要的工作分为几个模块,一个是把攻防能力产品化,工具化,例如sysAuditor就是基于科恩实验室在车联网漏洞挖掘上的能力,研发的一款嵌入式系统审计工具,可以帮助车企快速排查到90%通用的安全漏洞。第二是把实验室技术和成熟的产品结合,增强安全产品的性能和防护能力,比如我们反病毒实验室帮主机安全产品提升webshell防护能力,玄武实验室利用漏洞攻防经验帮助NDR产品增强对于漏洞的检测和攻击防护能力。第三个重要工作就是通过和高校、企业建立联合实验室,把我们的一些能力输出给学校和企业,这是我们比较成熟的“产学研用”的模式。
邹欣:今天我们聊了很多有趣的话题。事实上,软件安全和生活中医疗的安全、食品安全是很相关的,前两天“3.15”爆出了一个供应链上提供的服务或者产品——比如说酸菜,出了问题,导致后面的产品就出了大问题,这个是一样的。
我想跟大家沟通的一点是,网络的安全不是只有几个黑客才关心,而是跟每个人、每个开发者都息息相关。随着经济进一步发展,家家都是软件企业,人人都是开发者,每一个人都得注意,软件安全是跟开发文化、开发流程以及各种工具是息息相关的。
今天很高兴请到两位重量级嘉宾分享了很多有价值的观点和前沿的介绍,非常感谢两位重量级嘉宾,给我们带来了很多前沿观点以及安全攻防中有趣的小故事。希望在以后的节目中,能看到腾讯安全以及悬镜安全给广大开发者带来更多安全保障,让开发者专注于做软件开发,带来价值的增长,然后把这些安全生态交给真正的专家。