随着大数据的爆发和企业云部署的加速,如何提高网络技术供应链的安全性,是摆在全世界政府和企业面前的迫切问题。
8月28日,2021北京网络安全大会(BCS2021)的一场线上技术峰会上,来自全球的顶尖网络安全技术专家就网络安全技术的复杂性以及应用展开探讨,并呼吁提高网络安全标准,完善包括开源软件在内的软件供应链安全。
开源软件安全风险大
“大多数组织机构并没有明确掌握他们所使用的软件面临的风险,尤其是在引入开源软件的时候。”弗若斯特研究机构(Forrester)副总裁、集团研究总监劳拉·科茨勒(Laura Koetzle)表示。
科茨勒说道,2021年全球网络安全领域充满了变化和挑战。攻击来自两方面,一个是供应链攻击,另一个是勒索攻击。
今年以来,美国先后发生了针对SolarWinds、Colonial Pipeline、JBS和软件公司Kaseya的一系列网络攻击,令包括能源、食品在内的多个行业损失惨重。“从SolarWinds的供应链攻击开始,黑客就锁定攻击价值较高的供应链上游,尤其是攻击那些使用较为广泛的软硬件产品,因此通常具备’攻其一点,伤及一片’的特点。”科茨勒表示。
科茨勒建议,为了应对黑客在目标中潜伏很长时间并植入恶意代码的攻击方式,组织机构应该尝试使用零信任架构,将每一次访问的安全风险降至最低,同时应当建立软件资产清单,便于清晰掌握软件供应链所面临的风险,即便发生攻击,也能在最短时间内做出正确的响应。
开源软件使用的广泛性,给了大量攻击者以可乘之机。数据显示,开源软件存在的漏洞相对较多,因此成为网络攻击的主要对象。根据奇安信发布的《2021中国软件供应链安全分析报告》,在奇安信代码安全实验室分析的2557个国内企业软件项目中,平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。其中,存在已知开源软件漏洞的项目占比近90%;存在已知高危开源软件漏洞的项目占比超过80%;存在已知超危开源软件漏洞的项目占比超过70%。
“多项开源组件受到高危漏洞影响、松散的开源社区管理难以有效推动漏洞修复以及开源代码的漏洞补丁部署状况混乱,是造成开源代码面临的漏洞威胁巨大三个主要原因。”复旦大学计算机科学技术学院副院长杨珉教授表示,“面对这些不足,我们希望通过挖掘开源组件漏洞、增强开源漏洞信息以及评估漏洞补丁状态等方面的工作来解决。”但他表示,这个过程中仍然遇到了漏洞挖掘效率低、漏洞库信息不完整、补丁部署管理混乱等方面的困难。
除了开源软件之外,互联网核心协议的漏洞问题同样不可小觑。清华大学–奇安信集团联合研究中心主任段海新警告称,互联网基础协议的小问题却有可能酿成互联网安全问题的大隐患。
段海新说道:“经过长期的研究和攻防实践,我们发现了互联网基础协议漏洞的一些显著特征,基础协议的漏洞影响范围很广,但想要运用自动化的方法来挖掘或者寻找漏洞却十分困难。并且,这些互联网协议漏洞绝大多数都是逻辑漏洞,甚至许多漏洞是多个系统组合在一起才出现的,需要多个系统组合在一起才能发现。”
勒索病毒也是近年来黑客攻击的主要方式之一。近年来,勒索软件的攻击对象也发生了变化,似乎不再侵扰消费者系统,而是企图感染整个企业网络。
勒索软件WannaCry破解者马库斯·哈钦斯(Marcus Hutchins)关注到了这一变化趋势。他表示:“这主要是因为感染一家企业,要比同时感染数十万台设备容易得多,并且相对个人消费者而言,企业支付赎金的意愿更强。”
哈钦斯强调,勒索病毒的防范不仅仅是一个技术问题,仅靠提高安全性、增加安全预算是无法解决的,需要在金融、法律以及网络安全等领域开展多方合作。
海量数据带来治理难题
随着数字经济的发展,我国在网络安全方面的投入也不断加大。本次BCS2021发布数据显示,我国2020年网络安全产业规模超过1700亿元,较2015年翻了一番,年均增速超过15%,远高于9%的全球平均的水平。
另据工信部今年编制的《网络安全产业高质量发展三年行动计划》(2021-2023年)》征求意见稿,到2023年,我国网络安全产业规模超过2500亿元;电信等重点行业网络安全投入占信息化投入比例不低于10%。
行业预测,未来十年我国网络安全行业将保持25%以上的增速,十年后市场规模将超过1.4万亿元,头部企业将迎来巨大发展机遇。目前我国网络安全相关上市企业已经有20余家,总市值超过5000亿元。
从政策层面来看,网络安全法和数据安全法已经成为我国数字经济中两大最为重要的政策领域。随着科技行业规模的不断壮大,企业控制海量数据的安全性也越来越受关注,数据的治理也显得更加重要。
奇安信集团总裁吴云坤在BCS2021上表示:“从先发展后治理、同步发展和治理到治理先行,这是从信息化视角看网络安全的巨大转折,网络安全迎来了发展新拐点。”
吴云坤表示,今年以来国家密集出台了《数据安全法》、《个人信息保护法》、《网络安全审查办法》修订版等法律法规、政策制度和监管手段,这些法规和手段强调的是治理先行。
“随着网络安全与数据安全逐渐深入到业务本身,数据安全治理与日常业务的开展经常会出现冲突。如果有一个平行空间,能够让业务部署维度与安全部署维度做到正交融合,那么对于安全行业的发展来说将会是一个重要变革。”蚂蚁集团副总裁韦韬表示。
韦韬提到了“安全平行切面体系”的概念,这是一个安全基础设施,通过嵌入在端管云内部的各层次切点,使得安全管控与业务逻辑解耦,并通过标准化的接口为安全业务提供内视和干预能力。此外,还能在App隐私管控、数据分类分级、数据主体确权以及数据输出防泄露等数据治理关键工作中起到重要作用。
全球政府和企业对于网络安全的投入也在增加。上周,美国总统拜登会见包括苹果、谷歌、微软、亚马逊、IBM等在内的美国大型科技公司、金融业以及基础设施企业的高管,并呼吁私营部门高管提高网络安全标准,采取更多措施应对网络攻击对美国经济日益增长的威胁。
白宫表示,美国国家标准与技术研究院 (NIST) 将与行业以及企业合作,提高技术供应链的安全性,包括开源软件。
亚马逊已经表示将免费向公众提供其网络安全培训,并将从10月开始向一些云计算客户提供多因素身份验证设备。微软表示将在五年内在网络安全方面投资200亿美元,并提供1.5亿美元的技术服务,以帮助联邦、州和地方政府更新维护其安全系统。
IBM也表示将在三年内培训超过15万人的网络安全技能,谷歌则称将在未来五年内投入100亿美元用于网络安全,并帮助10万名美国人获得行业认可的数字技能证书。