【導讀】伴隨人工智慧、5G、物聯網、大資料、雲端計算等技術的發展與應用,全球網際網路迎“百年未有之”的蓬勃發展大局。與之對應,網路安全也面臨著亙古未有的巨大威脅。尤其面對“網路戰”硝煙四起的2019年,智庫認為:網路安全早已從傳統的“合規防禦”形式演變成高階別的“攻防對抗”視角。在“攻防對抗”的安全本質中,漏洞以“致命軍火武器”之姿成為其核心。可以說,要想迅速崛起成為網路世界強國,贏得第五維空間戰場的勝利,就必須擁有對這一“致命軍火”——高危漏洞的掌握能力。然而,以往事件型漏洞平臺已不能抵禦新威脅,一場重塑漏洞平臺價值的改革呼之欲出,聚焦開源及通用元件高危及以上尚未被披露的漏洞平臺被推向時代浪潮的尖端。
見血封喉,高階黑客威脅不會給防禦者反應時間
在探討漏洞平臺前,我們先看看當今,我們正處在一個什麼樣的網路環境中:
上個星期,印度庫丹庫拉姆核電站(Kudankulam)被官方證實已遭受朝鮮政府資助的拉撒路(Lazarus)小組(又名APT-C-26)的網路攻擊;上個月伊朗煉油廠遭遇大火,疑似為美國對其發動的祕密網路攻擊;7月,微軟Outlook客戶端爆出高危漏洞,全部主流Outlook版本均被影響,危及全球使用者;5月,全球排名前三的安全廠商悉數被黑客組織Fxmsp攻破,原始碼遭到洩漏;3月,美國被指利用工控系統漏洞植入惡意軟體,向委內瑞拉電力系統發動攻擊,致使委全國遭遇“大斷電”至暗危機。時間線再向前移,2017年,勒索軟體Wannacry攜“永恆之藍”席捲全球,這次黑客對微軟作業系統中高危漏洞的成功利用,創下“漏洞軍火”民用化的先例。而最為經典的案例則是名噪天下的“震網病毒”的5個在野0day,它成功令伊朗驕傲的“核計劃”化為一紙空談。國家級網路攻擊頻繁打響,石油、電力、能源等關鍵基礎設施成為對手攻擊和滲透的主要目標;同時,高危漏洞的爆出,讓網路攻擊蠕蟲般地肆虐全球,讓人類網路安全陷入“毀滅級”打擊的陰霾裡。一旦網路攻擊發起,便要見血封喉,從不會給防禦者任何反應時間。
而這,就是我們當今所處的網路空間時代。
在這個“網路空間時代裡”交火看似風平浪靜,但確實發生在流動的程式碼和位元組中。它會以堪比核武器、生化武器的威力,對全球基礎設施和各國正常生產、生活造成嚴重破壞。所以,與傳統的網路安全相比,新網路空間時代的內涵和外延正不斷擴大,並向網路空間安全全面升級。緊跟這種演進,我們也必須從更高的維度、更廣的視角來審視網路安全問題。而這就需要從傳統的“合規防禦”視角轉向高階別的“攻防對抗”上來。
網路“攻防對抗”大幕已開,事件型漏洞平臺難抵新威脅
可以說,在這個新網路空間時代裡,波瀾壯闊的“攻防對抗”早已拉開。高階網路威脅,這把高懸的達摩克利斯之劍似乎隨時都會掉落下來。網路安全的本質是攻防對抗。而漏洞則以“致命軍火武器”之姿毫無懸念的成為這場攻防對抗的核心,成為攻防對抗中最為重要的戰略資源。然而,未知攻,焉能知防。所以,面對這一“致命軍火武器”,漏洞收錄平臺顯得越發重要。它是與黑客爭分奪秒的“中樞神經”,它力爭趕在黑客利用漏洞發動攻擊之前,收錄它並將其制止在“罪惡的萌芽”裡;它是防禦外敵入侵的第一道屏障;也是國家重要的軍事儲備力量;它還能在國與國第五維空間戰場的複合博弈中,起到軍事威懾他國的重要作用。
然而,值得注意的是,漏洞平臺也有“天”、“壤”之分。智庫發現,目前市面上仍多為傳統的事件型漏洞響應平臺。而這些平臺有其固有的弊端:
01 漏洞影響僅侷限於某範圍內,不具備通用型
顧名思義,事件型漏洞平臺收錄的是某一個具體網站或應用的漏洞。攻擊具有唯一性。但由於兩個網站的架構可能不同,對A網站的攻擊通常不適用於B網站,對B網站的攻擊也不能應用到A網站上。因此,對於漏洞平臺來講,即使接收了A漏洞,僅是為A網站做好了防禦,但不代表B網站也變得安全。
02 接收漏洞良莠不齊,芝麻大小漏洞也被收錄
大多數事件型漏洞平臺,收錄的標準是某一“事件”,而不是根據漏洞攻擊力度與影響範圍來收錄,以至於像反射型 DOM-XSS、輕微資訊洩露漏洞這等“芝麻大小的”漏洞也會被收錄在內,但它於國家級攻防對抗的高危漏洞而言簡直是輕如鵝毛。
03 追求漏洞數量,但數量不等於質量
仍以上面案例繼續展開,因為針對A網站與B網站的攻擊,不具有共通性,所以就被看作為兩個漏洞。但由於每一個漏洞的影響力僅侷限在一個範圍內,攻擊範圍相對有限,再加上“芝麻大小”的漏洞也會被收錄,導致事件型漏洞平臺的數量看起來非常之多,但實際上並沒有什麼用。
顯然,在今天日趨複雜的網路攻防對抗面前,在網路空間安全持續升維的當下,以“事件型”為代表的漏洞平臺,已不能應對高階威脅攻擊的持續加碼。同時,若再單純的以數量評定一個漏洞平臺的價值高低,也稍顯“淺薄”,漏洞平臺的數量不等於質量。所以,智庫認為重塑“漏洞平臺價值”也變得勢在必行。
重塑漏洞平臺價值,聚焦接收開源及通用元件漏洞
那麼,重塑漏洞平臺價值的第一要義:就是告別傳統的以事件型漏洞收錄為主導,打破任何一個“芝麻大小”的漏洞也接收的“魚龍混雜”局面,而轉向更高階別漏洞的收錄,轉向能與國家級網路攻防對抗相匹敵的漏洞。因為針對開源軟體的攻擊利用,沒有哪一個國家或企業能獨善其身;也因為數量不等於質量,在野0day漏洞的爆發力足以撼動一個國家的根基。所以,重塑漏洞平臺價值的核心就是要認清:聚焦接收開源及通用元件的漏洞響應平臺,即對0day漏洞和1day漏洞收錄的重要性。
01 針對開源通用型漏洞的收錄
據瞭解,全球十幾億的裝置都安裝有開源軟體,它們可能是直接使用原生的開源軟體,也可能是基於開源軟體版本,本身進行二次開發的軟體,一旦某個通用型開源漏洞被利用來攻破網路,頃刻間它能影響世界上數億萬裝置。
這裡有個典型的案例:2014年4月,“心臟滴血”漏洞橫空出世,並在網際網路界引發了腥風血雨。這個漏洞被曝光的黑客命名為“heartbleed”,意思是“心臟滴血”——代表著最致命的內傷。這是一個加密程式庫OpenSSL的安全漏洞。其中,OpenSSL 裡存在的致命漏洞——SSL加密是通過開源方式實現的。由於OpenSSL被廣泛使用在Web伺服器、郵件協議、通訊協議中,所以一時間受影響的使用者數量難以估計。同時,利用該漏洞,黑客坐在自家電腦前,就可以實時獲取到約30%https開頭網址的使用者登入賬號密碼,包括大批網銀、購物網站、電子郵件等。據報導,該漏洞致使全球1/3網站核心資料被隨意掠奪。
不止於這個案例,可以說,每一個開源通用型漏洞都足以直接造成批量資訊洩露,或直接威脅主機安全。
02 針對0day、1day漏洞的收錄
而提到0day漏洞的認知,這裡就不得不再次提起名噪天下的“震網病毒”的5個在野0day。那一年,“震網”設計者精心構置了微軟作業系統中4個在野0day漏洞,並和工控系統的在野0day漏洞進行組合,以實現精準打擊、定向破壞。如此險惡又精密的原始碼設計,令“震網”擁有了與生俱來的極端毒性與破壞力。小小0day漏洞輕而易舉的摧毀了威力無比的“核”武器。
此外,這兩組案例也再次從攻擊廣度(漏洞影響範圍),以及攻擊深度(漏洞打擊力度)兩個層面完美的演繹了高價值漏洞給一個國家甚至全球帶來的破壞力與威懾力。
而縱觀國際上那些領跑行業的漏洞平臺如Zerodium,智庫發現它們聚焦在對開源通用型漏洞的收錄上,即0day漏洞或者1day漏洞的收錄。
國內首家開源漏洞響應平臺,360BugCloud嚴守攻防對抗的核心
回首國內,智庫發現,近期國內也上線了一家聚焦接收開源及通用元件的漏洞響應平臺——360BugCloud。
作為全國第一家開源漏洞響應平臺,該平臺致力於維護開源通用軟體安全,力爭打造以技術為驅動、以安全專家為核心,針對開源通用型高危漏洞進行安全研究及應急響應的組織與平臺。
據報導,僅上線第一週,平臺就收到來自全球超300個開源高危漏洞。每一個漏洞都足以直接造成批量資訊洩露,或直接威脅主機安全。據初步統計,這批漏洞的提交成功守護了上千萬終端,其中包括建站系統類511萬,框架外掛類322萬,客戶端軟體201萬等,涉及政府、企、事業等上百餘家單位,覆蓋能源、金融、交通、醫療、電信、教育眾多關鍵行業領域,挽救了全球數億的價值損失,共同維護了開源軟體及社群平臺的安全。
在這個“攻防對抗戰”早已打響的時代下,要想迅速崛起成為網路世界強國,贏得第五維空間戰場的勝利,就必須擁有對這一“致命軍火”——高危漏洞的掌握能力。這已是近年來諸多國家級網路對抗中最為直觀的事實。
所以,智庫今天主張重塑漏洞平臺價值,就是希望引發網路安全從業者對開源通用型漏洞,以及0day、1day漏洞的高度重視。此外,智庫也期望與全球的安全專家攜手共建網路安全新生態,共創21世紀第五維戰略空間新紀元,真正實現“協作無界,讓世界走在威脅之前”。
本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)
如需轉載,請標註文章來源於:國際安全智庫