7月14日,2022北京網(wǎng)絡(luò)安全大會(huì)(以下簡稱“BCS”)在京召開。作為國內(nèi)頂尖的網(wǎng)絡(luò)安全領(lǐng)域會(huì)議,一年一度的BCS早已成為北京重要的戰(zhàn)略窗口與科技名片,每年都匯聚全球智庫學(xué)者、網(wǎng)絡(luò)安全行業(yè)領(lǐng)袖、頂級(jí)技術(shù)專家,共同探討最前沿的網(wǎng)絡(luò)安全問題,分享最新的技術(shù)動(dòng)向和成果。今年的大會(huì),采用XR直播形式在云端展開,北京賽博昆侖科技有限公司創(chuàng)始人兼CEO鄭文彬到場,以“數(shù)字安全的基礎(chǔ)設(shè)施用漏洞來驅(qū)動(dòng)量化安全”為題,分享了自己對(duì)網(wǎng)絡(luò)安全新的觀點(diǎn)。
2021年1月,在全球網(wǎng)絡(luò)安全領(lǐng)域享有盛譽(yù)的“技術(shù)大神”鄭文彬(MJ),創(chuàng)立了北京賽博昆侖科技有限公司(以下簡稱“賽博昆侖”),開啟了自己的創(chuàng)業(yè)之路。今年,已經(jīng)是鄭文彬創(chuàng)業(yè)后第二次出席BCS并發(fā)表演講。
在演講中,鄭文彬首先明確了“量化安全”的概念。他認(rèn)為“量化”與“可測(cè)量”是人類在科學(xué)探索過程中一個(gè)非常重要的工具。具體到網(wǎng)絡(luò)安全領(lǐng)域,“量化安全”并非新概念,美國安全戰(zhàn)略公司MITRE在將近20年前,就已經(jīng)提出“可測(cè)量安全”的概念,并提出了枚舉、語言、庫等用于量化測(cè)量安全的工具。
鄭文彬認(rèn)為,截至目前,“安全”仍然停留在“定性”的階段,而“定性”只是“定量”的前提,如何“定量”,目前仍然缺乏標(biāo)準(zhǔn)。這關(guān)系到在攻防演練、滲透測(cè)試,以及真實(shí)的黑客攻擊中,安全架構(gòu)是否被攻破,能否被用于判斷其價(jià)值等實(shí)際問題。
鄭文彬表示,“安全”有點(diǎn)像打疫苗,在起到防范作用的同時(shí),也會(huì)為廠商的性能、穩(wěn)定性、兼容性等方面帶來問題。而如果沒有好的方式來評(píng)估安全能夠帶來多大的正向價(jià)值,也就無法以合理方式,消解“副作用”帶來的負(fù)面價(jià)值。
同時(shí),定性安全還牽涉到責(zé)任問題。例如在很多0DAY漏洞攻擊事件中,一些高危漏洞及水下0DAY漏洞幾乎是無解的,防護(hù)再強(qiáng)或軟件安全做的再好也會(huì)被攻破,所以做防護(hù)是否還有意義?鄭文彬認(rèn)為,這主要是由于更多從“定性”角度思考問題導(dǎo)致的,將“安全”變成了“非此即彼”的問題,體現(xiàn)了“定性思維”的弊端。
鄭文彬說,中國擁有最頂級(jí)的安全攻防能力,但卻很難擁有與之匹配的安全產(chǎn)品,這就是由于定性結(jié)果無法轉(zhuǎn)換成定量的結(jié)果,而安全產(chǎn)品所需要的,事實(shí)是“定量”。從目前來看,網(wǎng)絡(luò)安全面臨的問題只剩下了0DAY漏洞,除此之外,其他問題已經(jīng)解決好了,所以解決0DAY漏洞威脅就成了當(dāng)務(wù)之急。國內(nèi)雖擁有超強(qiáng)攻防能力,但技術(shù)能力只能轉(zhuǎn)換成“定性結(jié)果”,即只能做攻擊,缺乏定量的標(biāo)準(zhǔn)與具體落實(shí)。
鄭文彬表示,制定“定量標(biāo)準(zhǔn)”,首先要統(tǒng)一衡量尺度,要有很強(qiáng)的可比性,可輕易分辨哪個(gè)方法“更好”,或者“差多少”。在這個(gè)問題上,漏洞無疑是非常好的“一般等價(jià)物”,可用于評(píng)估基礎(chǔ)設(shè)施,作為標(biāo)準(zhǔn)化量化的衡量工具。漏洞是攻防的起點(diǎn),也是貫穿整個(gè)攻擊鏈?zhǔn)冀K的核心突破點(diǎn)。同時(shí),在漏洞攻防領(lǐng)域,本來已經(jīng)擁有非常好的枚舉與描述,如CVE和CVSS等,經(jīng)歷了幾十年的應(yīng)用,發(fā)展已很成熟,但也同樣存在問題。例如,出于安全考慮,近年來大型廠商更愿意選擇不披露進(jìn)一步的漏洞信息,其結(jié)果是通過CVSS或者廠商威脅報(bào)告,已經(jīng)很難從攻擊者視角下體現(xiàn)攻擊的真實(shí)威脅程度。
鄭文彬舉了一個(gè)2021年修復(fù)0DAY漏洞時(shí)的例子,雖然一些漏洞的CVSS號(hào)數(shù)字差不多,但真實(shí)的危險(xiǎn)系數(shù)卻不盡相同。有些漏洞就很容易被利用,而有些同樣CVSS數(shù)列數(shù)很高的漏洞,卻很難被利用,威脅程度完全不一樣。目前來說,CVSS只關(guān)注修復(fù)覆蓋度,區(qū)間度太少,會(huì)導(dǎo)致忽略緩解和攻擊利用的問題。
對(duì)此,鄭文彬提出,應(yīng)制定更科學(xué)的方法,評(píng)估漏洞和攻擊的量化標(biāo)準(zhǔn),衡量整體安全效果。目前,業(yè)界已有一些廠家提出了類似觀點(diǎn),并做出了一些嘗試。如Google Project Zero的 0DAY In the wild項(xiàng)目,會(huì)收集全球范圍內(nèi)被使用的0DAY漏洞,通過深度分析,告訴大家如何評(píng)估安全程度。而ATT&CK等公司,以及一些攻防演練如Pwn Games等,也在從“量化”角度衡量攻擊、防守的實(shí)踐效果。但是,目前的這些嘗試仍然存在局限性,如Project Zero更專注0DAY漏洞,而對(duì)于NDAY漏洞等其他安全威脅很難覆蓋。ATT&CK則更多關(guān)注攻擊后期,對(duì)于漏洞的起點(diǎn)和突破點(diǎn)比較忽視。而攻防演練和Pwn比賽,可歸類為實(shí)戰(zhàn)型驗(yàn)證方式,對(duì)于推進(jìn)安全生態(tài)幫助很大,但更多是短時(shí)間單側(cè)攻防,并不代表未來的長期狀態(tài)。安全,重在日常,很多高級(jí)攻擊往往會(huì)持續(xù)進(jìn)行,業(yè)界仍然需要更加持久化、常態(tài)化評(píng)測(cè)的手段。
在演講的最后,鄭文彬表示,安全界需要“量化”標(biāo)準(zhǔn),從技術(shù)角度來說,希望把技術(shù)實(shí)力轉(zhuǎn)化為更可量化的安全價(jià)值。他說,賽博昆侖和旗下的安全研究團(tuán)隊(duì)“昆侖實(shí)驗(yàn)室”正致力于把漏洞價(jià)值轉(zhuǎn)化為具體實(shí)踐,目前正在推“量化安全情報(bào)”、“實(shí)戰(zhàn)利用評(píng)估與緩解”,以及“量化安全情報(bào)門戶社區(qū)”。賽博昆侖希望與業(yè)界公司一道,打造更為普適性的測(cè)量標(biāo)準(zhǔn),以綜合評(píng)估漏洞的利用難度、攻擊危害,提升整體網(wǎng)絡(luò)安全的效果。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )