8月12日，2020北京網(wǎng)絡(luò)安全大會(BCS 2020)技術(shù)峰會正式召開。來自中、美、以等全球頂級的網(wǎng)絡(luò)安全技術(shù)專家，共同分享了行業(yè)前沿最新的產(chǎn)品技術(shù)研究成果和實踐，并探討“內(nèi)生安全框架”對推動網(wǎng)絡(luò)安全技術(shù)體系升級的重要意義。

　　本次技術(shù)峰會重磅嘉賓云集，包括北京賽博英杰科技董事長譚曉生，美國Palo Alto Networks Field公司 CTO “零信任之父” John Kindervag，以色列特拉維夫大學(xué)網(wǎng)絡(luò)研究中心高級研究員Keren Elazari，ICANN首席技術(shù)官David Conrad，VMware中國區(qū)總經(jīng)理王冰峰，PeckShield創(chuàng)始人蔣旭憲，螞蟻集團副總裁韋韜，清華大學(xué)-奇安信集團聯(lián)合研究中心主任段海新等在內(nèi)的安全技術(shù)專家，均發(fā)表了真知灼見。

技術(shù)創(chuàng)新推動網(wǎng)絡(luò)安全加速發(fā)展

　　技術(shù)創(chuàng)新是網(wǎng)絡(luò)安全發(fā)展的核心驅(qū)動力，也是攻防兩端對抗的關(guān)鍵支撐。近年來，大量ICT技術(shù)持續(xù)在網(wǎng)絡(luò)安全領(lǐng)域大展拳腳。例如區(qū)塊鏈作為一個分布式的電子分類記賬方式，會被用于數(shù)據(jù)安全保護和追蹤溯源;量子技術(shù)的應(yīng)用帶來了量子加密，從而使得秘鑰的傳輸更加具備安全性;人工智能技術(shù)的應(yīng)用為大數(shù)據(jù)安全分析帶來了無限可能;零信任重塑了訪問主體與客體之間的信任關(guān)系……盡管這些新技術(shù)為網(wǎng)絡(luò)安全帶來了各種利好，但風(fēng)險與挑戰(zhàn)也悄然誕生。

　　“在一個組織中，唯一從信任中獲得價值的實體，是發(fā)起黑客行為的人?！?Palo Alto Networks Field CTO、“零信任之父” John Kindervag強調(diào)，“零信任從來不是產(chǎn)品，而是基于綜合產(chǎn)品解決方案的完整設(shè)計理念。這其中包括很多技術(shù)，比如身份認(rèn)證、XDR、安全編排等，所有技術(shù)整合在一起，才能為企業(yè)構(gòu)造零信任的環(huán)境?！?/span>

圖 Palo Alto Networks Field CTO、“零信任之父” John Kindervag

　　2017年，席卷全球的WannaCry勒索病毒讓人記憶猶新，根據(jù)黑客的要求，受害者必須要支付一定數(shù)量的比特幣才能解密被鎖死的文件;2020年，推特賬號被黑事件又進(jìn)入了人們的視野中，被黑賬號會大量發(fā)送欺詐信息，如果轉(zhuǎn)入1000美元的比特幣，就會收到2000美元的回報。盡管這兩起事件在攻擊手法、攻擊目標(biāo)等方面并沒有關(guān)聯(lián)，但它們都有一個共通之處：通過數(shù)字貨幣來獲利。

　　在PeckShield創(chuàng)始人蔣旭憲看來，區(qū)塊鏈技術(shù)帶來了全新的挑戰(zhàn)，尤其體現(xiàn)在反洗錢領(lǐng)域。據(jù)其初步的分析結(jié)果顯示，最近三年跨國的幣安轉(zhuǎn)賬，大部分都沒有處于監(jiān)管之下，這個數(shù)字超過394億美元。經(jīng)過長時間的技術(shù)探索，蔣旭憲發(fā)現(xiàn)，如果從技術(shù)上然后嘗試做交易地址的標(biāo)簽化，非常有助于增強交易所資產(chǎn)的透明化。

圖 PeckShield創(chuàng)始人蔣旭憲

特定場景下的網(wǎng)絡(luò)安全技術(shù)體系建設(shè)

　　需要注意的是，沒有任何一項誕生的新技術(shù)可以適用于所有場景。在特定場景下，選擇合適的技術(shù)組合往往會事半功倍。

　　今年的COVID-19疫情，使絕大多數(shù)人的工作生活方式發(fā)生了巨大的變化，原本并不主流的工作場景被“拉上了馬”，比如遠(yuǎn)程辦公與遠(yuǎn)程訪問場景，再比如利用疫情實施魚叉郵件攻擊和社會工程學(xué)攻擊等場景。

　　特拉維夫大學(xué)網(wǎng)絡(luò)研究中心高級研究員Keren Elazari在《疫情時代的網(wǎng)絡(luò)安全》主題演講中表示，疫情期間，數(shù)字企業(yè)的每一位員工都已經(jīng)工作在了網(wǎng)絡(luò)安全的第一線，他們每天都需要做出更好的安全決策。這場疫情是一個契機，數(shù)字化進(jìn)程已經(jīng)快馬加鞭，網(wǎng)絡(luò)安全需要改變、適應(yīng)和進(jìn)化。

圖 特拉維夫大學(xué)網(wǎng)絡(luò)研究中心高級研究員Keren Elazari

　　ICANN首席技術(shù)官David Conrad重點介紹了DNS生態(tài)系統(tǒng)的安全。眾所周知，ICANN作為全球知名的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)是一個非營利性的國際組織，長期致力于維護互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的穩(wěn)定性與安全性。

　　DNS作為一項重要的互聯(lián)網(wǎng)設(shè)施，其重要性不言而喻，但一旦受到攻擊或者劫持，其影響范圍是巨大的。2016年，美國東海岸斷網(wǎng)事件便是由于DNS提供商DYN遭受大流量的DDoS攻擊而癱瘓。

　　“DNS由多個生態(tài)系統(tǒng)構(gòu)成，每個生態(tài)系統(tǒng)的脆弱性都會影響到DNS的整體安全。” David Conrad強調(diào)，“DNS的這種關(guān)鍵性和普遍性與一個巨大的攻擊面相結(jié)合，形成了DNS生態(tài)系統(tǒng)。

　　需要注意的是，DNS漏洞的修復(fù)需要生態(tài)系統(tǒng)中所有參與者的參與，從注冊者到注冊中心，從運營商和到軟件開發(fā)商，再到用戶和監(jiān)管部門，他們都在發(fā)揮作用?！?/span>

圖 ICANN首席技術(shù)官David Conrad

新技術(shù)環(huán)境下的“內(nèi)生安全框架”

　　“無論技術(shù)有多高，我們的防御體系還是會失效?！痹贐CS2020開幕首日，奇安信集團董事長齊向東強調(diào)。

　　隨著5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施建設(shè)的加快推進(jìn)，技術(shù)環(huán)境與攻防對抗形勢愈加復(fù)雜，這就需要產(chǎn)品、技術(shù)、服務(wù)和管理相互聯(lián)系、相互作用，從而提供源源不斷的安全能力。

　　“網(wǎng)絡(luò)安全不應(yīng)該是一個技術(shù)的討論，應(yīng)該是一個社會、道德、法律，甚至普通人都可以參與的討論。” VMware中國區(qū)總經(jīng)理王冰峰也持類似的觀點，顯然技術(shù)并不是解決一切網(wǎng)絡(luò)安全威脅的“金鑰匙”。他認(rèn)為：

　　首先，安全建設(shè)需要從外掛到內(nèi)置，利用已有的技術(shù)架構(gòu)及相關(guān)應(yīng)用和數(shù)據(jù)，將計算、網(wǎng)絡(luò)、存儲、終端等各組件有機結(jié)合起來；

　　其次，無論是安全技術(shù)還是業(yè)務(wù)、管理等其他方面，都要從孤立走向統(tǒng)一；

　　再次，安全體系建設(shè)需要從以威脅為中心，轉(zhuǎn)換到以場景和內(nèi)容為中心，追蹤應(yīng)用的運行方式和數(shù)據(jù)的流向等。

圖 VMware中國區(qū)總經(jīng)理王冰峰

　　王冰峰的觀點與奇安信推出的內(nèi)生安全框架有異曲同工之妙。據(jù)了解，該框架以系統(tǒng)工程的方法論結(jié)合“內(nèi)生安全”理念，改變了以往“局部整改”和產(chǎn)品堆疊為主的安全規(guī)劃及建設(shè)模式，按照系統(tǒng)工程的思想，將安全能力組件化，由規(guī)劃方法、工具集、模型、架構(gòu)和項目綱要構(gòu)成，能夠讓安全產(chǎn)品和服務(wù)相互聯(lián)系、相互作用，在整體上具備單個產(chǎn)品和服務(wù)所沒有的功能，從而保障復(fù)雜系統(tǒng)的安全。

　　而在實際的網(wǎng)絡(luò)安全能力建設(shè)過程中，企業(yè)面臨的挑戰(zhàn)是非常巨大的，尤其是與企業(yè)日常業(yè)務(wù)的沖突。

　　螞蟻集團副總裁韋韜在《安全切面 安全防御的平行空間》演講中，表達(dá)了一個希望：“假設(shè)網(wǎng)絡(luò)空間有一個平行空間，我們就能夠把業(yè)務(wù)空間和安全空間既交織在一起，安全工程師能夠是隨時、跨維度深入到業(yè)務(wù)邏輯來開展工作，同時由于它是平行空間，所以它們可以獨立的高速發(fā)展。”

圖 螞蟻集團副總裁韋韜

　　“網(wǎng)絡(luò)安全新基建，你準(zhǔn)備好了嗎?”在演講的一開始，清華大學(xué)-奇安信集團聯(lián)合研究中心主任段海新就拋出了一個發(fā)人深省的問題。據(jù)奇安信技術(shù)研究院的研究發(fā)現(xiàn)，目前DNS、HTTPS、CA證書、CDN等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施仍然面臨著太多的安全挑戰(zhàn)，例如DDoS攻擊、中間人攻擊等。

　　段海新強調(diào)，盡管我國互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全狀態(tài)比以前有所改善，但是仍落后于國際先進(jìn)水平，尤其是在新技術(shù)的防護方面，仍存在較大差距。

圖 清華大學(xué)-奇安信集團聯(lián)合研究中心主任段海新

　　BCS 2020是由中國電子信息產(chǎn)業(yè)集團有限公司指導(dǎo)，中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會、中國通信學(xué)會、中國友誼促進(jìn)會和奇安信集團主辦的安全行業(yè)國際級峰會。（來源：奇安信集團）