8月12日，2020北京網(wǎng)絡(luò)安全大會(huì)(BCS 2020)技術(shù)峰會(huì)正式召開。來(lái)自中、美、以等全球頂級(jí)的網(wǎng)絡(luò)安全技術(shù)專家，共同分享了行業(yè)前沿最新的產(chǎn)品技術(shù)研究成果和實(shí)踐，并探討“內(nèi)生安全框架”對(duì)推動(dòng)網(wǎng)絡(luò)安全技術(shù)體系升級(jí)的重要意義。

　　本次技術(shù)峰會(huì)重磅嘉賓云集，包括北京賽博英杰科技董事長(zhǎng)譚曉生，美國(guó)Palo Alto Networks Field公司 CTO “零信任之父” John Kindervag，以色列特拉維夫大學(xué)網(wǎng)絡(luò)研究中心高級(jí)研究員Keren Elazari，ICANN首席技術(shù)官David Conrad，VMware中國(guó)區(qū)總經(jīng)理王冰峰，PeckShield創(chuàng)始人蔣旭憲，螞蟻集團(tuán)副總裁韋韜，清華大學(xué)-奇安信集團(tuán)聯(lián)合研究中心主任段海新等在內(nèi)的安全技術(shù)專家，均發(fā)表了真知灼見。

技術(shù)創(chuàng)新推動(dòng)網(wǎng)絡(luò)安全加速發(fā)展

　　技術(shù)創(chuàng)新是網(wǎng)絡(luò)安全發(fā)展的核心驅(qū)動(dòng)力，也是攻防兩端對(duì)抗的關(guān)鍵支撐。近年來(lái)，大量ICT技術(shù)持續(xù)在網(wǎng)絡(luò)安全領(lǐng)域大展拳腳。例如區(qū)塊鏈作為一個(gè)分布式的電子分類記賬方式，會(huì)被用于數(shù)據(jù)安全保護(hù)和追蹤溯源;量子技術(shù)的應(yīng)用帶來(lái)了量子加密，從而使得秘鑰的傳輸更加具備安全性;人工智能技術(shù)的應(yīng)用為大數(shù)據(jù)安全分析帶來(lái)了無(wú)限可能;零信任重塑了訪問(wèn)主體與客體之間的信任關(guān)系……盡管這些新技術(shù)為網(wǎng)絡(luò)安全帶來(lái)了各種利好，但風(fēng)險(xiǎn)與挑戰(zhàn)也悄然誕生。

　　“在一個(gè)組織中，唯一從信任中獲得價(jià)值的實(shí)體，是發(fā)起黑客行為的人?！?Palo Alto Networks Field CTO、“零信任之父” John Kindervag強(qiáng)調(diào)，“零信任從來(lái)不是產(chǎn)品，而是基于綜合產(chǎn)品解決方案的完整設(shè)計(jì)理念。這其中包括很多技術(shù)，比如身份認(rèn)證、XDR、安全編排等，所有技術(shù)整合在一起，才能為企業(yè)構(gòu)造零信任的環(huán)境?！?/span>

圖 Palo Alto Networks Field CTO、“零信任之父” John Kindervag

　　2017年，席卷全球的WannaCry勒索病毒讓人記憶猶新，根據(jù)黑客的要求，受害者必須要支付一定數(shù)量的比特幣才能解密被鎖死的文件;2020年，推特賬號(hào)被黑事件又進(jìn)入了人們的視野中，被黑賬號(hào)會(huì)大量發(fā)送欺詐信息，如果轉(zhuǎn)入1000美元的比特幣，就會(huì)收到2000美元的回報(bào)。盡管這兩起事件在攻擊手法、攻擊目標(biāo)等方面并沒(méi)有關(guān)聯(lián)，但它們都有一個(gè)共通之處：通過(guò)數(shù)字貨幣來(lái)獲利。

　　在PeckShield創(chuàng)始人蔣旭憲看來(lái)，區(qū)塊鏈技術(shù)帶來(lái)了全新的挑戰(zhàn)，尤其體現(xiàn)在反洗錢領(lǐng)域。據(jù)其初步的分析結(jié)果顯示，最近三年跨國(guó)的幣安轉(zhuǎn)賬，大部分都沒(méi)有處于監(jiān)管之下，這個(gè)數(shù)字超過(guò)394億美元。經(jīng)過(guò)長(zhǎng)時(shí)間的技術(shù)探索，蔣旭憲發(fā)現(xiàn)，如果從技術(shù)上然后嘗試做交易地址的標(biāo)簽化，非常有助于增強(qiáng)交易所資產(chǎn)的透明化。

圖 PeckShield創(chuàng)始人蔣旭憲

特定場(chǎng)景下的網(wǎng)絡(luò)安全技術(shù)體系建設(shè)

　　需要注意的是，沒(méi)有任何一項(xiàng)誕生的新技術(shù)可以適用于所有場(chǎng)景。在特定場(chǎng)景下，選擇合適的技術(shù)組合往往會(huì)事半功倍。

　　今年的COVID-19疫情，使絕大多數(shù)人的工作生活方式發(fā)生了巨大的變化，原本并不主流的工作場(chǎng)景被“拉上了馬”，比如遠(yuǎn)程辦公與遠(yuǎn)程訪問(wèn)場(chǎng)景，再比如利用疫情實(shí)施魚叉郵件攻擊和社會(huì)工程學(xué)攻擊等場(chǎng)景。

　　特拉維夫大學(xué)網(wǎng)絡(luò)研究中心高級(jí)研究員Keren Elazari在《疫情時(shí)代的網(wǎng)絡(luò)安全》主題演講中表示，疫情期間，數(shù)字企業(yè)的每一位員工都已經(jīng)工作在了網(wǎng)絡(luò)安全的第一線，他們每天都需要做出更好的安全決策。這場(chǎng)疫情是一個(gè)契機(jī)，數(shù)字化進(jìn)程已經(jīng)快馬加鞭，網(wǎng)絡(luò)安全需要改變、適應(yīng)和進(jìn)化。

圖 特拉維夫大學(xué)網(wǎng)絡(luò)研究中心高級(jí)研究員Keren Elazari

　　ICANN首席技術(shù)官David Conrad重點(diǎn)介紹了DNS生態(tài)系統(tǒng)的安全。眾所周知，ICANN作為全球知名的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)是一個(gè)非營(yíng)利性的國(guó)際組織，長(zhǎng)期致力于維護(hù)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的穩(wěn)定性與安全性。

　　DNS作為一項(xiàng)重要的互聯(lián)網(wǎng)設(shè)施，其重要性不言而喻，但一旦受到攻擊或者劫持，其影響范圍是巨大的。2016年，美國(guó)東海岸斷網(wǎng)事件便是由于DNS提供商DYN遭受大流量的DDoS攻擊而癱瘓。

　　“DNS由多個(gè)生態(tài)系統(tǒng)構(gòu)成，每個(gè)生態(tài)系統(tǒng)的脆弱性都會(huì)影響到DNS的整體安全。” David Conrad強(qiáng)調(diào)，“DNS的這種關(guān)鍵性和普遍性與一個(gè)巨大的攻擊面相結(jié)合，形成了DNS生態(tài)系統(tǒng)。

　　需要注意的是，DNS漏洞的修復(fù)需要生態(tài)系統(tǒng)中所有參與者的參與，從注冊(cè)者到注冊(cè)中心，從運(yùn)營(yíng)商和到軟件開發(fā)商，再到用戶和監(jiān)管部門，他們都在發(fā)揮作用?！?/span>

圖 ICANN首席技術(shù)官David Conrad

新技術(shù)環(huán)境下的“內(nèi)生安全框架”

　　“無(wú)論技術(shù)有多高，我們的防御體系還是會(huì)失效?！痹贐CS2020開幕首日，奇安信集團(tuán)董事長(zhǎng)齊向東強(qiáng)調(diào)。

　　隨著5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施建設(shè)的加快推進(jìn)，技術(shù)環(huán)境與攻防對(duì)抗形勢(shì)愈加復(fù)雜，這就需要產(chǎn)品、技術(shù)、服務(wù)和管理相互聯(lián)系、相互作用，從而提供源源不斷的安全能力。

　　“網(wǎng)絡(luò)安全不應(yīng)該是一個(gè)技術(shù)的討論，應(yīng)該是一個(gè)社會(huì)、道德、法律，甚至普通人都可以參與的討論。” VMware中國(guó)區(qū)總經(jīng)理王冰峰也持類似的觀點(diǎn)，顯然技術(shù)并不是解決一切網(wǎng)絡(luò)安全威脅的“金鑰匙”。他認(rèn)為：

　　首先，安全建設(shè)需要從外掛到內(nèi)置，利用已有的技術(shù)架構(gòu)及相關(guān)應(yīng)用和數(shù)據(jù)，將計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、終端等各組件有機(jī)結(jié)合起來(lái)；

　　其次，無(wú)論是安全技術(shù)還是業(yè)務(wù)、管理等其他方面，都要從孤立走向統(tǒng)一；

　　再次，安全體系建設(shè)需要從以威脅為中心，轉(zhuǎn)換到以場(chǎng)景和內(nèi)容為中心，追蹤應(yīng)用的運(yùn)行方式和數(shù)據(jù)的流向等。

圖 VMware中國(guó)區(qū)總經(jīng)理王冰峰

　　王冰峰的觀點(diǎn)與奇安信推出的內(nèi)生安全框架有異曲同工之妙。據(jù)了解，該框架以系統(tǒng)工程的方法論結(jié)合“內(nèi)生安全”理念，改變了以往“局部整改”和產(chǎn)品堆疊為主的安全規(guī)劃及建設(shè)模式，按照系統(tǒng)工程的思想，將安全能力組件化，由規(guī)劃方法、工具集、模型、架構(gòu)和項(xiàng)目綱要構(gòu)成，能夠讓安全產(chǎn)品和服務(wù)相互聯(lián)系、相互作用，在整體上具備單個(gè)產(chǎn)品和服務(wù)所沒(méi)有的功能，從而保障復(fù)雜系統(tǒng)的安全。

　　而在實(shí)際的網(wǎng)絡(luò)安全能力建設(shè)過(guò)程中，企業(yè)面臨的挑戰(zhàn)是非常巨大的，尤其是與企業(yè)日常業(yè)務(wù)的沖突。

　　螞蟻集團(tuán)副總裁韋韜在《安全切面 安全防御的平行空間》演講中，表達(dá)了一個(gè)希望：“假設(shè)網(wǎng)絡(luò)空間有一個(gè)平行空間，我們就能夠把業(yè)務(wù)空間和安全空間既交織在一起，安全工程師能夠是隨時(shí)、跨維度深入到業(yè)務(wù)邏輯來(lái)開展工作，同時(shí)由于它是平行空間，所以它們可以獨(dú)立的高速發(fā)展?！?/span>

圖 螞蟻集團(tuán)副總裁韋韜

　　“網(wǎng)絡(luò)安全新基建，你準(zhǔn)備好了嗎?”在演講的一開始，清華大學(xué)-奇安信集團(tuán)聯(lián)合研究中心主任段海新就拋出了一個(gè)發(fā)人深省的問(wèn)題。據(jù)奇安信技術(shù)研究院的研究發(fā)現(xiàn)，目前DNS、HTTPS、CA證書、CDN等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施仍然面臨著太多的安全挑戰(zhàn)，例如DDoS攻擊、中間人攻擊等。

　　段海新強(qiáng)調(diào)，盡管我國(guó)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全狀態(tài)比以前有所改善，但是仍落后于國(guó)際先進(jìn)水平，尤其是在新技術(shù)的防護(hù)方面，仍存在較大差距。

圖 清華大學(xué)-奇安信集團(tuán)聯(lián)合研究中心主任段海新

　　BCS 2020是由中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司指導(dǎo)，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)、中國(guó)通信學(xué)會(huì)、中國(guó)友誼促進(jìn)會(huì)和奇安信集團(tuán)主辦的安全行業(yè)國(guó)際級(jí)峰會(huì)。（來(lái)源：奇安信集團(tuán)）