阿里安全专家:单靠夺旗赛破解赛不能致远 安全行业须打造“标尺”发展核心安全技术

2020-12-16 15:26:00

5G发展走入快车道,带动IoT(物联网)快速发展,将为消费、交通运输、生产制造、教育、医疗等各方面的数字化改造提供信息互联的硬核技术支持。在数字经济发展的机遇下,一边是海量增加的的数字化基础设备,一方面是可能存在的应用风险,安全如何保障?

业内专家指出,在数字基建的安全保障方面,目前整个安全行业还没有衡量安全技术能力的“尺子”。

昨日,阿里安全资深安全专家杭特在接受媒体采访时提到,目前很多安全从业者专注于各类破解赛、夺旗赛、厂商漏洞贡献排行榜等活动,这固然能衡量一些公司或个人的水平,但距离形成可沉淀的安全技术能力还不可相提并论,“这些比赛成绩不能真正作为衡量核心安全技术能力的那把‘尺子’。”

杭特建议,整个安全行业须从源头建立安全“标尺”,对核心安全技术进行定义和评级,让核心技术能力可沉淀、可复制、可度量,尤其要发展那些高效自动化的核心安全技术,从源头推动数字经济整体安全水位的提升。

“人肉战术”无法解决海量威胁

物联网设备数量将达到千亿甚至万亿级,从x86的windows/linux/mac、arm的iOS/Android,再到各种体系结构的传感器及自研软硬件系统,各类系统的差异性很大。诸多差异的物联网设备系统被成千上万安全能力不高的开发者,依靠大量复用开源软件供应链和少量自研软件创造出来,面临着潜在安全威胁。

一是开发过程的安全难以保障,再者系统差异性大,安全研究人员面对纷杂的系统,要想研究其安全,依靠手工分析,安全成本和运营成本都相当高。

杭特介绍,这些系统的安全短板并不在硬核的高技巧漏洞(10分),而是不起眼的低级漏洞(3-6分),但低级漏洞并不意味着能被快速、低成本发现。他与安全从业者交流时,常遇到有人说“我们团队有XX个国际顶级白帽黑客,屡获大奖的那种,搞定这些小漏洞还不是很轻松”,但把那些五花八门的对象列表和具体设备推到对方面前,“比赛专家”却屡屡陷入沉默。他们的心里话一般是“这些以前没弄过,学习需要成本,数量还那么多”。而黑客却能因运气或者专一,顺利突破这些系统。

不是安全人员挖不出有用的漏洞,而是人肉挖掘在规模化对象面前,天花板太低、成本太高。同样,个人能力再强,面对海量的设备,个人的力量仍是渺小的,这也是杭特强调当前夺旗赛、破解赛、漏洞贡献排行榜并不能真正衡量安全技术能力,无法作为安全技术“标尺”,真正解决实际安全问题的原因。

因此,他建议,保障数字经济的安全,迫切需要建立一套明晰的安全“标尺”,尤其要发展高效自动化的核心技术,应对海量安全威胁。

滴滴出行安全专家杨军锋对该建议表示认同。他指出,大部分企业面对的都是没什么技术含量的攻击,高级攻击占比可能不到5%,低端威胁造成高昂的运营成本,自动化技术绝对是出路。

打造“标尺” 发展核心安全技术

要想建立安全技术的“标尺”,首先要解决的是对“核心安全技术”的定义。杭特曾心痛地揭开网络安全行业的“怪现象”:网络安全行业现在看起来欣欣向荣,但关键性技术能力积累却不容乐观,有的奉行拿来主义,有的靠人肉运维,有的靠蹭流行技术热点,有的在产品上做面子工程。

如何评判出真正的核心安全技术?他提出,核心技术必须可沉淀、可复制、可度量。

因此,灵光一现的技术不算核心技术。这类技术只能算一种技巧,一旦公开会被迅速复制,缺乏竞争门槛。除非能在某个领域积累数十上百个的“发现”,且这些发现能被“保密”很久。

不能应用于广泛目标的安全技术也不是核心技术。如果应用目标非常狭窄,一旦目标消失,则该技术将无用武之地。而且,要区分“技术领先”究竟是因为提前占领了赛道,关注的人较少,还是真正具有技术含量。

不能规模化、自动化的技术不是核心技术。杭特提出,单纯靠人力无法解决未来的海量威胁,攻防技术顶尖的“人才”,如果能把能力固化到“有你没你区别不大”,那么沉淀出来的技术才是核心技术。

不能数值化衡量的技术也不是核心技术。他认为,这代表着技术演进的方向和进度,是安全技术领域不能繁荣发展的根本原因。核心技术一般都需要大量资源和时间来积累,能力的提升需要在数值上看到与最终目标“差距的缩小”。

杭特建议,必须依靠产、学、研联动,圈定方向,制定核心安全技术“尺子”。只有有了技术“尺子”,才可以明晰工业界核心技术的演进方向。很多核心技术是工业界的痛点,但这些痛点学界未必清楚。

通过“尺子”可以让产学研在核心技术方向、相应的挑战上达成共识,便于形成合力发展。“尺子”还可以统一产、学、研的沟通语言及交付标准。“尺子”即交付验收的标准指标,避免合作过程中“鸡同鸭讲”,一方提业务指标,一方提技术指标。

图示:以安全细分技术模糊测试Fuzzing的“尺子”为例,不同的列代表不同的技术层级,等级越高,难度越大。level1最简单,level10最困难,不同行代表不同的细分技术挑战。

今年3月,阿里发布数字基建的新一代安全架构,核心理念就是从源头构筑安全,确保数字经济实体在建设之初就运行在较高安全基线上。

数字经济才刚刚开始,5G+万物互联时代可见的安全风险只是冰山一角,对安全技术的挑战会越来越大。杭特认为,如果业界在安全核心技术上不够清醒,对“可沉淀、可复制、可度量”的能力       投入不够,无论继续主搞“人肉战术”,未来无论是应对风险管控还是可能的网络战,我们都无法交出令人满意的答卷。

“当我们的尺子造好,核心技术发展好,安全新基建的原子能力将进一步放大,通过乘法效应将安全业务提升到更高的水位,真正保卫数字经济。”他强调道。

关闭