关口前移,防患于未然——5G时代的网络安全风险趋势与产业应对思考
时间 : 2022年08月15日 来源: 安天CERT
导读:2022年8月,世界5G大会在中国哈尔滨召开,会议期间,光明网刊发安天科技集团肖新光、潘宣辰共同撰写的长文《5G时代的网络安全风险趋势与产业应对思考》,思考网络安全威胁“泛化”演进和安全基础能力与IT耦合的规律,总结了安天依托安全引擎赋能智能手机的历史经验,探讨5G+IoT时代安全威胁“泛化”趋势的应对之道,强调面对威胁向各种新兴场景的“泛化”,更需坚持网络安全“关口前移”,才能“防患于未然”。新华社、科技日报、中国青年网等也对文中主要观点在网络平台作了报道转载。文章刊发后,作者对文章做了再次完善修订。此外,作为技术文献,本文此前部分引文、图表受媒体发文格式所限无法完整刊载,因此我们将修订后的全文发布于安天公众号,并提供PDF版本便于读者阅读。
“关口前移,防患于未然”[1],这是习近平总书记对网络安全工作的明确要求,也是网络安全伴随信息技术发展演进的必然之路。
计算的分散化是信息技术的核心特征,而将分散的计算连接则是网络的本质。从上世纪6、70年代的大型机作为主导,到上世纪80年代的个人计算革命,再到随着互联网的终端和智能终端所兴起的各种网络应用的蓬勃发展,直到今日大量的各种物联网终端、工业物联网终端和智能传感器构成数字社会的“神经元”,我们正在看到一个计算无所不在、网络链接万物的场景。5G技术正在以更快速、更大规模、更大带宽的链接能力成为计算分散化的超级加速器。
与此同时,网络安全威胁始终跟随计算的分散化而同步泛化扩散。上世纪70年代,面向大型机系统,就已经出现了比较原始的网络攻击,包括越权访问、原型蠕虫和人为破坏等等。上世纪80年代的个人计算革命,也使安全对抗从操作对抗进入到代码对抗。IBM PC架构成为主流,感染式病毒成为最早泛滥起来的恶意代码类型,并伴随磁盘数据交换而传播,成为了安全威胁的主角,杀毒软件也应需求而生。2000年前后,随着全球信息高速公路的建成和互联网应用的快速发展,操作系统也有了巨大进步,能够承载更丰富多样的应用程序,支持更多开放服务,大量计算终端不再是数据孤岛,而成为连接在网络上,特别是连接在互联网上的终端节点,而以此为攻击目标的网络蠕虫和木马先后成为恶意代码的主流类型。2010年前后,智能手机开始兴起,恶意代码和各种威胁的重点目标逐渐从PC侧转移到移动侧。与此同时,安全威胁逐渐蔓延到各种新兴场景中。2013年,安天安全研究与应急处理中心(Antiy CERT)在恶意代码发展趋势研判中,创造了“Malware/Other”一词,并把对应的中文名称为“泛化”,将其作为仅次于APT的安全威胁发展趋势编入年度“病毒”通缉令。在《2014:威胁“泛化”的年代漏洞频发》[2]一文中,本文作者对相关趋势进行了解读。安天CERT从2015年开始,每年在上一年度的威胁年报中,公布年度威胁泛化图谱,揭示出威胁泛化不断加速的趋势[3]。
图一:2021年度网络安全威胁泛化与分布图谱[4]
(查阅其他年份安全威胁泛化图谱,请翻阅当年度安天网络安全威胁年报)
安全威胁以暴露面和脆弱性为攻击入口。基于检索国家信息安全漏洞共享平台,我们可以看到过去六年间通讯设备和移动互联网相关的漏洞数量持续处在高位;而智能设备的漏洞数量呈现出持续快速增长的趋势。特别值得我们警惕和关注的是,由于智能设备市场有大量小众产品品类和品牌型号,软硬件组合呈现出“长尾”特点,目前并没有成为安全研究和漏洞发现的主力领域,因此还有更多的威胁潜伏在水面之下。尤其是一些严重的开源漏洞,已经继承传导到大量智能设备的系统中,但并不为用户所知。尽管国内多家机构都在进行相关方面的研究,取得了一定成果,但目前还没有形成具有足够覆盖率的软件成分关系关联视图和全面的跟进响应机制。
图二:近五年5G相关领域漏洞增长趋势
*数据来源:国家信息安全漏洞共享平台 https://www.cnvd.org.cn/
在这种发展趋势下,如果没有有效的应对方略,势必会出现一个悲观的未来:由于关键信息基础设施的智能神经末梢整体性缺乏安全基因,会形成大量新增的暴露面、可攻击入口,以及因代码利用传递甚至攻击者上游植入后门,所形成的难以发现的深层隐患,进而导致能源电力体系更容易因网络攻击而中断,交通运输等公共基础设施遭遇网络攻击干扰发生中断瘫痪的风险概率大大提升,大量个人与家庭的智能设备可能随时停摆,心脏起搏器乃至一些远程医疗设备遭遇攻击后,人身安全也会遭遇重大威胁。
威胁可达之处就是防御构建之处,而防御构建的本质是安全与IT的耦合。安天防御能力框架[5]中定义了网络安全的五个基础能力集合与过程,即识别、防护、检测、响应、塑造。这五个能力或者源起自IT场景的变化,或者源起自新的安全威胁挑战,它们与IT系统的耦合范式也各不相同。
表一:网络安全的五个基础能力
|
安全的基础能力 |
识别 |
防护 |
检测 |
响应 |
塑造 |
|
时间维度 |
1980~ |
1990~ |
2000~ |
2010~ |
2020~ |
|
核心挑战 |
构建基础的IT运维能力 |
主机侧如何防病毒、防入侵和保护操作系统 |
怎样知道、如何知道防御失效 |
如何将深层攻击者赶出去,缩短响应时间 |
发挥建设者的优势,与业务同步建设安全能力 |
|
解决方案 |
资产管理、IT管理工具 |
杀毒软件、主机防火墙 |
IDS、SIEM |
应急响应和配套工具(EDR、NDR、SOAR) |
具备纵深、能够支撑体系化防御和持续运营的系统 |
|
能力耦合方式 |
与IT管理耦合 (在IT运营流程中增加) |
与被保护目标耦合 (占用被保护的主机资源) |
与网络结构耦合 (将网络的检测能力采用独立的载体连接部署到网络体系上) |
与流程闭环耦合 (在事后环节延展流程,增加资产作用深度) |
与信息化原生融合 (实现安全基因在源头的沉浸,提升初始基线水平) |
|
对立统一的网空 |
|
||||
|
关注点 |
了解家底 |
有效拦截和阻断 |
在实时阻断之外,增加准实时和异步能力 |
专注威胁和风险影响进行处置 |
体系化、安全同步建设、可持续改进 |
*本表整体结构和部分内容借鉴了 Sounil Yu报告《New Paradigms for the Next Era of Security》[5]中的相关表格,同时有一些差异和不同的观点。
从上世纪80年代,随着计算机在更大范围使用,特别是PC革命带来的计算普及,政企侧小型局域网络也开始构建,安全运营与IT管理实现了流程耦合,达成了初始的信息资产的识别和故障运营流程。上世纪90年代初,已经比较成熟的反病毒软件广泛安装在被防护的DOS系统主机之上,实现了防护能力与被保护目标的耦合,这是占用被保护主机资源算力来达成安全的耦合方式,早期的病毒扫描+TSR(内存驻留)中断监控,在后续以Windows为主的系统环境下,逐渐完善出包括病毒检测查杀、实时行为防护、介质管控、主机流量监测和连接拒止等能力。2000年前后,安全威胁跟随网络发展的快速流转扩散,单纯端点侧的“个体安全布防+集中管理”的方式缺少足够的防御纵深,流量侧的安全检测能力与独立的载体设备相结合,采用直路或旁路接入与网络结构进行耦合的方式来构建网络侧的统一流量检测能力。2010年左右,用户发现仅靠实时的检测与防护依然不足以有效对抗更深度的安全威胁,特别是像APT攻击这种长周期、高度定向性的安全威胁,需要构建异步的分析检测-响应环,从而耦合出安全响应流程。从2020年开始,更多的安全管理者开始认识到,随着大量的智能终端设备、传感器、互联网设备的接入,以及数据和业务的资产价值更多地向云中分布,用户原有的安全部署能力、响应干预能力都被严重削弱,更需要安全基因在源头开始沉浸,实现与信息产品深度耦合来支撑安全环境的塑造。
这种原生融合的安全能力,是构建5G时代新安全体系的基础。同时我们也要看到,安全能力对算力和资源有较高需求。而所有新的IT场景革命事实上都是从一个低算力起点重新开始。虽然从全局发展趋势来看,半导体的集成度不断提升、CPU核数不断增加,通用芯片的处理能力不断提升,但每一个新兴场景节点,对比主流场景节点,都处于低算力的状态。无论是上世纪80年代初,中型机、大型机与刚刚出现的个人计算机,还是在本世纪初把PC机与刚刚登上历史舞台不久的智能手机进行配置对比,都可以看到这种新场景的“算力降级”特点。而对于攻防对抗来说,防御是一个体系,攻击则从单点入口开始,因此在新的低算力场景,安全能力构建在资源上处于相对被动和局促之中。因此,也需要关注安全算力和算力形态的演进趋势。端点安全算力形态的演进趋势是原生化,即在智能终端、智能传感器、包括新的云基础设施之中,安全机制深度耦合到端点系统中;流量监测算力形态演进趋势是云化,即随着流量场景重心从内外网体系转移到云平台场景,流量侧能力成为云端的安全资源池;安全管理的算力形态演进趋势,是走向统一管理和基于可恢复弹性的局部自治能力的组合,在大规模SIEM、SOC、SOAR或统称为态势感知平台的实践中,很多用户反而发现,随着网络资产规模的日趋扩大,仅靠一个统一的管理中心,很难同时既确保宏观层面的管理运营充分覆盖、又确保微观层面指挥战术对抗的敏捷闭环。当前一些用户提出双SIEM/SOC模式,把支撑威胁对抗的XDR平台,从大型SOC或SIEM中独立出来,都是这种趋势的体现。而把IT的算力需求分布和安全的算力需求分布叠加,则会发现实时化端点检测防御算力跟随IT算力同步分散化,近乎均匀分布;而异步的检测、分析算力,包括管理资源算力则又呈现全局或局部集中化部署特点。
通过前面的总结,我们就可以看到在5G+IoT时代安全能力融合相对于传统安全面临着一系列困难,这些困难一部分来自于新的接入和计算场景,一部分来自需要完成的旧设备、旧应用、旧协议的接入、兼容和联通。
表二:5G+IoT时代安全能力融合的困难
|
传统IT安全 |
5G+IoT安全 |
|
|
场景 一致性 |
操作系统和体系结构收敛。 网络协议栈相对统一。 |
场景碎片化特征明显,体系结构不收敛。 大量自闭小众协议和小生态。 |
|
安全基因 |
合规规范比较完善成熟,系统内置和协同安全机制基本完善。 |
基本安全规范极不完善,缺少成熟的安全融合经验。 |
|
资源分配 |
通用算力较强,基本满足安全资源的运行要求。 |
边缘算力较差,难以满足安全算力需求。 |
|
系统与安全耦合方式 |
系统层面:成熟的内核、驱动和管理接口,以及安全开发者支持。 网络协议层面:支持有效实现安全机制的串接和耦合。 |
系统层面:缺少安全机制融合的接口。 网络信号层面:缺乏有效的耦合方式。 |
|
安全管理 |
更希望达成统一管理。 |
难以统一管理。 |
|
部署方式 |
出厂原生预装和安全管理人员安装部署相结合。 |
几乎只能采用出厂原生预置的方式。 |
● 从场景一致性来看,传统IT安全在端点侧有相对收敛的几种主流操作系统、硬件结构和指令体系,因此虽然设备品牌众多,但安全需要兼容适配的场景是相对有限的。安全防护产品和能力可以实现相对的标准化或模块化的部署。设备整体上都按照统一的TCP/IP网络体系进行连接。而在物联网场景中,物联网和各种智能终端设备处于非常明显的场景碎片化状态,同时有大量小众的私有协议,构建了一个高度差异化的长尾,特别是工业场景中还有大量设备采用老式工业无线协议甚至模拟通讯协议。
● 从安全基因能力上来看,传统IT体系经历了相对比较高的规划起点(如IBM-PC架构)的初始统一设计,并经历了系统迭代和威胁对抗的演进考验,安全性已经是传统IT系统的重要考量因素,操作系统、应用软件等都已经形成了较为成体系的安全规格体系和统一的安全规范约束,提供了从底层可信芯片调用、到系统驱动、注册和管理接口等一整套安全产品成熟可调用接口和开发者支持。而在整个物联网设备体系下,目前还没有整体统一的安全要求,现有的初步安全规范也很难覆盖到大量碎片化的场景。
● 从资源运用上来看,在传统安全体系中,通用算力能力不断提升,形成了支撑安全功能的算力基础,系统资源能够基本满足安全代价。安全产品也形成了初步的模块化或解决方案级别的组合能力,可以根据系统资源进行开关调整和模块组合。而多数物联网设备算力较低,保障自身功能和应用优先,算力资源无法满足安全机制的算力需求。
● 从安全机制与场景的耦合方式上来看,类似安天等主流安全厂商,无论是和麒麟、统信等国产的操作系统,还是和微软都有非常明确的合作协议,来确保安全机制能够在底层驱动支撑下有效加载,来保证系统引导链安全,面向威胁实现以逸待劳的防护。而对于各种物联网场景,目前安全耦合尚处在原始和自发的阶段。
● 从部署能力上来看,传统场景安全能力部署灵活,既可以出厂预装,也可以由安全管理人员进行安装部署。而在新兴场景的智能物联网设备中,几乎没有管理人员进行能力部署的入口和机会,或者部署后无法实现底层的防护能力,只能采用原生融合的预置方式。
因此,如果我们没有对5G+IoT安全的有效的因应之道,应用发展就有可能成为一匹脱缰野马,向安全性崩盘的悬崖飞奔而去。
而安天在智能手机时代所走过的近十年的“关口前移”之路,为解决新兴场景安全提供了可以参考借鉴的经验探索。安天在智能手机场景实现了非常有效的能力落地,截止到2022年6月,安天的AVL SDK反病毒引擎和AVL Inside安全内核已经累计为全球超过30亿部手机为主的智能终端提供安全防护,总体上覆盖了2018年后出品的全部主流品牌国产手机,2019年后出品的几乎全部的国产智能POS机。安天以下一代威胁检测引擎技术为核心能力,在智能手机场景中使安全能力在底层与系统硬件芯片的能力相结合,而在顶层依托安全内核扩展相关的场景保护能力,包括病毒检测与防护、网络攻击防护、漏洞利用防护、Wi-Fi接入防护、支付安全防护、短信安全防护、彩信安全防护等等。同时我们通过系统安全层面防护能力的增强,进一步强化了手机的身份认证和相关的数据加密执行保护。
图三:安天为智能手机终端构建底层安全能力
在智能手机产业快速发展的过程中,安天始终挖掘跟进不断演进的真实安全需求。从2010年到2015年左右的时间里,在当时的情况下,手机行业面临的是以安卓为主的基础第三方操作系统的初步集成,对安全成熟度要求较低,手机厂商更多考虑的是按照配置更高、运行速度更快、拍照效果更好、屏幕更大且色彩更艳丽来打造有客户吸引力的产品,对安全相对考虑较少。直到2014-2015年,多数手机厂商才开始考虑自建安全团队,同时引入第三方安全供应商。而在2014-2015年,由于手机初始对于安全的忽视,就带来了非常严重的问题。
我们以2014年“xx神器”手机病毒快速感染扩散速度为例,就可以看到当时手机安全防护较为糟糕的情况。这仅仅是一个学生编写的技术水平并不高的病毒,其实就是利用了安卓系统手机存在安全策略缺陷,点击URL下载APK后会自动执行,之后病毒获取通讯录,并群发短信,形成信任链传播。2014年前后,恶意代码对手机用户已经成为了显性可感的严重安全威胁。
图四:2014年“xx神器病毒”的感染扩散监测情况(根据主管部门历史公布监测数据绘制)
在这个背景下,能不能保证手机用户的基本安全,至少让手机不会轻易被病毒感染,就成为了手机厂商市场基础竞争力的一部分。在这种背景下,安天积极跟进了手机厂商的安全需求,提供杀毒防护、应用管控等相关机制,逐步有效压制了包括手机蠕虫、木马打包捆绑、恶意固件等威胁的泛滥传播。2016-2018年,从市场竞争层面已经开始倒逼手机厂商提供全面的相关安全体验,而在这个时候手机侧又面临着更进一步的一些安全的压力和需求,那就是随着手机设备产业体系的规模成型,应用服务商、APP开发商呈井喷增长,安全威胁也开始复杂化和小众化,手机成为黑灰产牟利的重灾区。在这种情况下,各个手机厂商也都在强化以场景安全为核心的安全能力。在过去的几年间,如果一个手机厂商不考虑安全的原生优势和竞争力,已经到了难以获得持续的创新和发展的地步,这个时候安全性已经成为了手机用户的一个市场品牌和产品竞争力的核心要素。
图五:安天跟随了移动智能产业持续演进和安全重心的迁移
网络安全在智能终端时代已经出现了重大的变化。如果说在信息化时代中,网络安全是信息化的外挂部分,到了智能终端产业中,它已经成为了一个内生部分。如果我们从产品生命周期来看待智能终端,就可以看到安全在整个生命周期的过程中是以不同的模式进行耦合,而且具有非持续的特点。手机厂商是一个高度依赖供应链体系的产品场景,手机厂商必须构建高质量供给的供应链生态才能保证手机品质,选择技术能力强、坚守安全厂商行为底线的第三方安全厂商也是供应链建设的关键环节。产品的初始规划阶段,更多是考虑产品对用户可用、可见、可感的场景侧、应用侧价值特性,不会在最开始重点考虑安全价值,因此一方面需要内部的安全定义和主张者,也需要由高水平的能长期稳定合作的第三方安全团队参与进来,进行安全的思维和方法框架的柔性赋能;而在产品的生产体系中,则需要来自于相对可控的、确定性的能力供给,部分来自于自主研发,部分来自于第三方安全厂商的模块或中间件供给。智能手机到达用户手中后,作为一种开放式使用的设备,有频繁的用户交互使用、有高频的通讯连接需求、有大量的APP安装应用,在这个过程中就进入到了与安全威胁开放对抗的阶段。在未来的复杂局面下,安全生命周期不断延展,供应链的可靠性和安全性,包括上游开发生产场景的安全已经成为了新的安全风险点,需要对所有供应商都提出网络安全的规范要求。而在客户使用场景中,由于智能手机已经成为日常生活的中枢节点、智能家居的总控设备、办公网络的接入点和公务信息的快捷处理节点,又使它在最终的运行中几乎关乎所有人和所有机构的利益。
图六:安全是数字产业持续发展的内生部分,且有非连续的特点
安天根据智能手机产品生命周期的瀑布模型,在每一个阶段提供不同的支持。在产品规划体系中,我们持续协助手机厂商的专家完成安全规划,帮助他们确定安全技术供应的分工和生态体系,协助手机厂商建立对上游供应商和APP开发者的安全规范。在生产过程中,我们依托TrustZone等内置安全芯片和移动操作系统的安全接口和特性来供应相关内核级能力模块,实现在生产制造过程中的直接ROM层面的融合。而进入到客户安全运营过程中,我们协助手机厂商实现对手机用户面对威胁态势的检测、及时发现响应安全威胁、升级检测规则和能力模块。因此,我们所实现的并不单纯只是把安全的引擎和防护内核内置到手机当中,而是依托“安天赛博超脑”威胁检测运营体系和分析团队,为检测引擎和安全内核模块提供持续的规则、情报推送,安全策略模板调整和其他提升威胁对抗能力的运营支持。我们认为安天的这些工作经验,为在5G+IoT时代做好安全能力的同步跟进提供了一种重要的路径参考。
同时安天也在深入思考,随着数字化转型的加速,智能产品在敏捷能力生成的导向下,在SecDevOps的文化与方法的变革下,必然打破经典的瀑布式的输出链路,进一步地进入到一个基于数信融合、物信融合的弹性生成的体系中。而此时安全的耦合模式和赋能方式也需要因应而变。但最关键的是,在攻击时空泛化的背景下,“关口前移”就是防御能力的时空扩展。在5G+IoT时代,想构建一个安全的未来,就更要坚持网络安全的关口前移,将网络安全防御的基础能力和防御边界延伸至每一个物联网终端设备,并将其作为网络安全弹性防线的有机组成部分,而为了保障和支撑安全的关口前移,则要做到:
1、算力前置:在智能物联网设备的架构设计之初,应为安全功能预留算力成本。与此同时,也可以考虑使用安全的专用算力芯片弥补物联网设备本身通用算力不足的问题。
2、基因沉浸:无论是物联网和智能传感器等设备,包括物联网基础设施体系建设,无论是在电气/电子层面、还是软件层面,都需要在整个规划、研发、运营阶段内持续融入安全基因。
3、原生融合:安全能力要与生产制造过程深入融合,形成出厂预置的安全能力和高水平的初始安全基线,而不单纯依赖于二次部署。
而与此同时,主管部门和行业也必须为安全能力前置部署建立安全行为规范,避免假借安全之名,过量采集用户隐私、精准用户对位画像、违规运营用户数据等的违规行为。避免互联网时代的乱流,在物联网时代更加泛滥。
在未来,安天将继续推动网络安全的“关口前移”,也将继续坚定执行安全厂商的自我行为约束规范。当前安天的安全引擎或安全内核已经覆盖近百家移动互联网、智能终端设备与重要移动应用开发厂商,11家网络安全的同行企业和信通设备企业,7家主要的信创产品厂商,5家重要的云厂商,形成了一套围绕威胁检测和场景防护能力展开的协作机制。我们将全面强化合作,建构一个良性的安全赋能生态。
人无远虑、必有近忧。我们还需要思考未来更长远的安全和挑战。今天5G所连接的已经是一个庞大智慧的物联网体系,并且还在不断发展和膨胀。在未来,我们可能会面临两种重大的风险:一是随着传感采集的无所不在,我们面临的DeepFake风险已经远不是视频、声音的伪造,而是具有独立虚拟人格或目标近似等效人格的“数字化构造体”;二是未来时点,脑机接口等技术有可能取得重大突破。当物联网变成了真实的“人联网”和人与具有“人格”的数字构造体之间的联网时,我们将面临更大的挑战。在未来,终将有一天,随着元宇宙、脑机接口等技术的发展与深化,以及深度行为画像、DeepFake等对抗性技术的发展,网络安全威胁对人的认知和实体空间的影响会从间接影响转化为直接影响,网络风险将向认知风险快速转化,包括转化为对人身安全的直接威胁。而在这样的风险到来之前,我们更需未雨绸缪。
唯有坚持“关口前移,防患于未然”,才能为不确定的未来构建确定性的保障。
(感谢赵超、张登峰、李琦、侯方勇等同志对本文观点和素材的大力支持)
参考资料
[1] 新华网:习近平:自主创新推进网络强国建设
http://www.xinhuanet.com/politics/2018-04/21/c_1122719810.htm[2] 人民网:2014:威胁“泛化”的年代漏洞频发
http://theory.people.com.cn/n/2015/0226/c386965-26600996.html[3] 安天:回眸2014,网络安全那一瞬——2014年网络安全年度简报
https://www.antiy.com/response/2014report.html[4] 安天:2021年网络安全威胁的回顾与展望
https://www.antiy.cn/research/notice&report/research_report/2021_AnnualReport.html[5] 2021年第18届中国网络安全年会:[安天技术报告]复合杀伤链与防御矩阵
http://www.xinhuanet.com/info/20211105/1c9f31d952ac4badb7394e852de11482/c.html[6] RSA:New Paradigms for the Next Era of Security
https://www.rsaconference.com/library/webcast/35-new-paradigms-for-the-next-era-of-security本文媒体刊发报道地址
[1] 光明网:5G时代的网络安全风险趋势与产业应对思考
https://share.gmw.cn/wlaq/2022-08/12/content_35950525.htm[2] 新华社:专家:坚持“关口前移” 提升5G时代网络安全防御能力
http://hlj.news.cn/klj/2022-08/12/c_1310651849.htm[3] 科技日报:5G时代的网络安全风险趋势与产业应对思考
http://www.stdaily.com/index/kejixinwen/202208/4d93c44b17534fad8398d5bcbefca63f.shtml[4] 中国青年网:5G时代的网络安全风险趋势与产业应对思考
http://news.youth.cn/gn/202208/t20220813_13917309.htm《5G时代的网络安全风险趋势与产业应对思考》PDF版下载地址:https://www.antiy.cn/download/RiskResponse.pdf
扫码即可下载