阿里安全專家:單靠奪旗賽破解賽不能致遠 安全行業須打造“標尺”發展核心安全技術

Editor發表於2020-12-16

5G發展走入快車道,帶動IoT(物聯網)快速發展,將為消費、交通運輸、生產製造、教育、醫療等各方面的數字化改造提供資訊互聯的硬核技術支援。在數字經濟發展的機遇下,一邊是海量增加的的數字化基礎裝置,一方面是可能存在的應用風險,安全如何保障?


業內專家指出,在數字基建的安全保障方面,目前整個安全行業還沒有衡量安全技術能力的“尺子”。


昨日,阿里安全資深安全專家杭特在接受媒體採訪時提到,目前很多安全從業者專注於各類破解賽、奪旗賽、廠商漏洞貢獻排行榜等活動,這固然能衡量一些公司或個人的水平,但距離形成可沉澱的安全技術能力還不可相提並論,“這些比賽成績不能真正作為衡量核心安全技術能力的那把‘尺子’。”


杭特建議,整個安全行業須從源頭建立安全“標尺”,對核心安全技術進行定義和評級,讓核心技術能力可沉澱、可複製、可度量,尤其要發展那些高效自動化的核心安全技術,從源頭推動數字經濟整體安全水位的提升。


 

“人肉戰術”無法解決海量威脅


物聯網裝置數量將達到千億甚至萬億級,從x86的windows/linux/mac、arm的iOS/Android,再到各種體系結構的感測器及自研軟硬體系統,各類系統的差異性很大。諸多差異的物聯網裝置系統被成千上萬安全能力不高的開發者,依靠大量複用開源軟體供應鏈和少量自研軟體創造出來,面臨著潛在安全威脅。


一是開發過程的安全難以保障,再者系統差異性大,安全研究人員面對紛雜的系統,要想研究其安全,依靠手工分析,安全成本和運營成本都相當高。


杭特介紹,這些系統的安全短板並不在硬核的高技巧漏洞(10分),而是不起眼的低階漏洞(3-6分),但低階漏洞並不意味著能被快速、低成本發現。他與安全從業者交流時,常遇到有人說“我們團隊有XX個國際頂級白帽駭客,屢獲大獎的那種,搞定這些小漏洞還不是很輕鬆”,但把那些五花八門的物件列表和具體裝置推到對方面前,“比賽專家”卻屢屢陷入沉默。他們的心裡話一般是“這些以前沒弄過,學習需要成本,數量還那麼多”。而駭客卻能因運氣或者專一,順利突破這些系統。


不是安全人員挖不出有用的漏洞,而是人肉挖掘在規模化物件面前,天花板太低、成本太高。同樣,個人能力再強,面對海量的裝置,個人的力量仍是渺小的,這也是杭特強調當前奪旗賽、破解賽、漏洞貢獻排行榜並不能真正衡量安全技術能力,無法作為安全技術“標尺”,真正解決實際安全問題的原因。

 

因此,他建議,保障數字經濟的安全,迫切需要建立一套明晰的安全“標尺”,尤其要發展高效自動化的核心技術,應對海量安全威脅。

 

滴滴出行安全專家楊軍鋒對該建議表示認同。他指出,大部分企業面對的都是沒什麼技術含量的攻擊,高階攻擊佔比可能不到5%,低端威脅造成高昂的運營成本,自動化技術絕對是出路。

 

打造“標尺” 發展核心安全技術

 

要想建立安全技術的“標尺”,首先要解決的是對“核心安全技術”的定義。杭特曾心痛地揭開網路安全行業的“怪現象”:網路安全行業現在看起來欣欣向榮,但關鍵性技術能力積累卻不容樂觀,有的奉行拿來主義,有的靠人肉運維,有的靠蹭流行技術熱點,有的在產品上做面子工程。


如何評判出真正的核心安全技術?他提出,核心技術必須可沉澱、可複製、可度量。


因此,靈光一現的技術不算核心技術。這類技術只能算一種技巧,一旦公開會被迅速複製,缺乏競爭門檻。除非能在某個領域積累數十上百個的“發現”,且這些發現能被“保密”很久。


不能應用於廣泛目標的安全技術也不是核心技術。如果應用目標非常狹窄,一旦目標消失,則該技術將無用武之地。而且,要區分“技術領先”究竟是因為提前佔領了賽道,關注的人較少,還是真正具有技術含量。


不能規模化、自動化的技術不是核心技術。杭特提出,單純靠人力無法解決未來的海量威脅,攻防技術頂尖的“人才”,如果能把能力固化到“有你沒你區別不大”,那麼沉澱出來的技術才是核心技術。


不能數值化衡量的技術也不是核心技術。他認為,這代表著技術演進的方向和進度,是安全技術領域不能繁榮發展的根本原因。核心技術一般都需要大量資源和時間來積累,能力的提升需要在數值上看到與最終目標“差距的縮小”。


杭特建議,必須依靠產、學、研聯動,圈定方向,制定核心安全技術“尺子”。只有有了技術“尺子”,才可以明晰工業界核心技術的演進方向。很多核心技術是工業界的痛點,但這些痛點學界未必清楚。


透過“尺子”可以讓產學研在核心技術方向、相應的挑戰上達成共識,便於形成合力發展。“尺子”還可以統一產、學、研的溝通語言及交付標準。“尺子”即交付驗收的標準指標,避免合作過程中“雞同鴨講”,一方提業務指標,一方提技術指標。


阿里安全專家:單靠奪旗賽破解賽不能致遠  安全行業須打造“標尺”發展核心安全技術

圖示:以安全細分技術模糊測試Fuzzing的“尺子”為例,不同的列代表不同的技術層級,等級越高,難度越大。level1最簡單,level10最困難,不同行代表不同的細分技術挑戰。


今年3月,阿里釋出數字基建的新一代安全架構,核心理念就是從源頭構築安全,確保數字經濟實體在建設之初就執行在較高安全基線上。


數字經濟才剛剛開始,5G+萬物互聯時代可見的安全風險只是冰山一角,對安全技術的挑戰會越來越大。杭特認為,如果業界在安全核心技術上不夠清醒,對“可沉澱、可複製、可度量”的能力投入不夠,無論繼續主搞“人肉戰術”,未來無論是應對風險管控還是可能的網路戰,我們都無法交出令人滿意的答卷。


“當我們的尺子造好,核心技術發展好,安全新基建的原子能力將進一步放大,透過乘法效應將安全業務提升到更高的水位,真正保衛數字經濟。”他強調道。


相關文章