5G时代的网络安全风险趋势与产业应对思考

  作者:安天科技集团 肖新光 潘宣辰

  计算的分散化是信息技术的核心特征,而将分散的计算连接则是网络的本质。从上世纪六七十年代的大型机作为主导,到上世纪八十年代的个人计算革命,再到随着互联网的终端和智能终端所兴起的各种网络应用,以及今天大量的各种物联网终端、工业物联网终端和智能传感器,我们正在看到一个计算无所不在、网络链接万物的场景。5G技术以更快速、更大规模、更大带宽的链接能力,必然成为计算分散化的加速器。

  与此同时,我们可以看到网络安全威胁跟随计算分散化而泛化扩散是一种必然。上世纪70年代,面向大型机系统,就已经出现了比较原始的网络攻击,包括越权访问、原型蠕虫和人为破坏等等。上世纪80年代的个人计算革命,也使安全对抗从操作对抗进入到代码对抗时代。IBM PC架构成为主流,感染式病毒成为最早泛滥起来的恶意代码类型,并伴随磁盘数据交换而传播,成为了安全威胁的主角,杀毒软件也对应产生。2000年前后,随着全球信息高速公路的建成和互联网应用的快速发展,操作系统能够承载更丰富多样的应用程序,支持更多开放服务,大量计算终端不再是数据孤岛,而成为连接在网络上、特别是连接在互联网上的终端节点,针对PC节点的网络蠕虫和木马先后成为恶意代码的主流类型。而到2010年前后,智能手机开始兴起,恶意代码和各种威胁的重点目标逐渐从PC侧转移到移动侧。同时,安全威胁逐渐蔓延到各种新兴场景中。2015年,安天安全研究与应急处理中心(Antiy CERT)提出安全威胁演进的一个重要趋势是“泛化”,并开始每年绘制当年的威胁泛化图谱,揭示出在过去数年威胁泛化的不断加速的趋势。

  网络安全威胁正在加速泛化

  安全威胁以暴露面和脆弱性为攻击入口。基于检索国家信息安全漏洞库平台,我们可以看到过去六年间通讯设备的相关漏洞持续处在高位;移动互联网相关的漏洞持续处在高位;而智能设备的漏洞呈现出持续快速增长的趋势。特别值得我们警惕和关注的是,由于智能设备市场有大量小众产品品类和品牌,竞争和发展呈现出“长尾”特点,目前并没有成为安全研究和漏洞发现的主力领域,因此还有更多威胁潜伏在水面之下。尤其是一些严重的开源漏洞,继承传导到大量智能设备的系统中,但并不为用户所知。尽管国内多家机构都在进行相关方面的研究,取得了一定成果,但目前还没有形成覆盖率足够的成分关系关联视图和全面的跟进响应机制。

近五年5G相关领域漏洞增长趋势

  在这种发展趋势下,如果没有有效的应对方略,势必会出现一个悲观的未来:关键信息基础设施整体的智能神经末梢整体性缺乏安全基因,形成大量新增的外围设备暴露面和可攻击入口,进而导致能源电力体系更容易因网络攻击而中断,交通运输等公共基础设施遭遇网络攻击干扰发生中断瘫痪的风险概率大大提升,大量个人与家庭的智能设备可能随时停摆,心脏起搏器乃至一些远程医疗设备遭遇攻击后,人身安全也会遭遇重大威胁。

  威胁可达之处就是防御构建之处,而防御构建的本质是安全与IT的耦合。安天防御能力框架中定义了网络安全五个基础能力级别,即识别、防护、检测、响应、塑造。这五个能力集合的或者源起自IT场景的变化,或者源起自新的安全威胁挑战,它们与IT系统的耦合范式也各不相同。

网络安全五个基础能力

  从上世纪八十年代,随着计算机在更大范围使用,特别是PC革命带来的计算普及,政企侧小型局域网络也开始构建,安全运营与IT管理实现了流程耦合,达成了信息资产初始的识别和故障运营能力。上世纪九十年代开始,伴随着DOS系统不断成熟的反病毒软件广泛安装在被防护的主机之上,实现了防护能力与被保护目标的耦合,这是占用被保护主机资源算力来达成安全的耦合方式,早期的病毒扫描+TSR(内存驻留)中断监控,在后续以Windows为主的系统环境下,逐渐完善出病毒检测查杀、实时行为防护、介质管控、主机流量监测和连接拒止等能力。2000年前后,安全威胁跟随网络发展的快速流转扩散,单纯端点侧的“个体安全能力+集中管理”的方式缺少足够的防御纵深,流量侧的安全检测能力与独立的载体设备相结合,采用直路或旁路接入与网络结构进行耦合的方式来构建网络侧的统一入口检测能力。2010年左右,用户发现仅靠实时的检测与防护依然不足以有效对抗更深度的安全威胁,特别是像APT攻击这种长周期、高度定向性的安全威胁,需要构建异步分析检测-响应环,从而耦合出安全响应流程。从2020年开始,更多的安全管理者开始认识到,随着大量的智能终端设备、传感器、互联网设备的接入;以及数据和业务和资产价值更多的向云中分布,用户的原有的安全部署能力、响应干预能力都被严重削弱,更需要安全基因在源头开始沉浸,实现与信息产品深度耦合来支撑安全环境的塑造。

  这种原生融合的安全能力,是构建5G时代新安全体系的基础。同时我们也要看到,安全能力对算力和资源有较高需求。而所有新的IT场景革命事实上都是从一个低算力起点重新开始。无论是上世纪80年代初,中型机、大型机与刚刚出现的个人计算机,还是在本世纪初把PC机与刚刚登上历史舞台不久的智能手机进行配置对比,都可以看到这种新场景的“算力降级”特点。而对于攻防对抗来说,防御是一个体系,攻击则从单点入口开始,因此在新的低算力场景,安全能力构建在资源上处于相对被动和局促之中。因此,也需要关注安全算力和形态的演进趋势。端点系统安全场景随着大量智能终端、甚至传感器的加入,端点安全算力形态的重要趋势是原生化,即深度耦合到终端系统中;而传统的网络流量监测设备,随着流量场景重心成为云平台场景,流量监测算力形态演进趋势则是云化,即成为云端的安全资源池;从安全管控角度,从SIME、SOC到SOAR,在持续尝试建构统一化平台的努力中,很多用户反而发现,随着网络资产规模的日趋扩大,仅靠一个统一的管理中心,很难同时实现宏观的管理运营全面覆盖、又能敏捷达成微观对抗的战术指挥。因此,安全管理的算力形态的演进趋势是走向统一管理和自治可恢复弹性的结合,当前一些用户提出双SIEM/SOC模式,把支撑威胁对抗的XDR平台,从大型SOC或SIEM中独立出来,都是这种趋势的体现。因此如果把安全的算力需求分布和IT的算力需求分布叠加,就会发现安全算力和应用算力并不是均质分布的,一方面实时化检测防御算力跟随IT算力同步分散化,而异步的检测、分析算力,包括管理算力资源则呈现全局或局部集中化部署特点。

  通过前面的总结,我们就可以看到在5G+IoT时代安全能力融合相对于传统安全面临着一系列困难。

5G+IoT时代安全能力融合的困难

  ●从场景一致性来看,传统安全总体上存在着相对统一的几种主流操作系统、硬件结构和指令体系,设备基本上都按照统一的TCP/IP网络体系进行连接,因此虽然设备品牌众多,但安全防护产品可以实现相对的标准化和模块化。而物联网和智能终端设备处于非常明显的场景碎片化状态,同时有大量小众的私有协议,构建了一个高度差异化的长尾。

  ●从安全基因能力上来看,传统IT体系经历了相对比较高的规划起点(如IBM-PC架构)的初始统一架构设计和近几十年的演进,安全性已经是传统IT系统的重要考量因素,操作系统、应用软件等都已经形成了较为成体系的安全规格体系和统一的安全规范约束。而在整个的物联网设备体系下,目前还没有整体统一的安全要求,现有的初步安全规范也很难覆盖到大量碎片化的场景。

  ●从资源运用上来看,在传统安全体系中已经形成了为安全运行供给相关算力的范式基础,安全资源运行能够基本满足算力要求。新兴场景大量物联网设备的算力资源非常有限,无法支撑安全机制运行需求。

  ●从安全机制与场景的耦合方式上来看,类似安天等主流安全厂商,无论是和麒麟、统信等国产的操作系统,还是和微软都有非常明确的合作协议,来确保安全机制能够在底层驱动支撑下有效加载,来保证系统引导链安全,面向威胁实现以逸待劳的防护。而对于泛在物联的时代,目前安全耦合尚处在原始和自发的阶段。

  ●从部署能力上来看,传统场景安全能力部署灵活,既可以出厂预装,也可以由安全管理人员进行安装部署。而在新兴场景的智能物联网设备中,几乎没有管理人员进行能力部署的入口和机会,或者部署后无法实现底层的防护能力,只能采用原生融合的预置方式。

  因此,如果我们没有对5G+IoT安全的有效的因应之道,有可能应用发展就是一匹脱缰野马,向安全性崩盘的悬崖飞奔而去。

  而安天在智能手机时代所走过的安全线路,或许能为解决上面的问题提供一些启示。安天在智能手机场景实现了非常有效的能力落地,安天的AVL SDK反病毒引擎和AVL Inside安全内核已经累计为全球超过30亿部手机为主的智能终端提供安全防护,总体上覆盖了2018年后出品的全部主流品牌国产手机,2019年后出品的几乎全部的国产智能POS机。安天以下一代威胁检测引擎技术为核心能力,在智能手机场景中使安全能力在底层与系统硬件芯片的能力相结合,而在顶层依托安全内核扩展相关的场景保护能力,包括病毒检测与防护、网络攻击防护、漏洞利用防护、Wi-Fi接入防护、支付安全防护、短信安全防护、彩信安全防护等等。同时我们通过系统安全层面防护能力的增强,进一步强化了手机的身份认证和相关的数据加密执行保护。

  安天为智能终端构建底层安全能力

  这个过程,是伴随着移动智能产业演进成长的一个真实需求的跟进。从2010年到2015年左右的时间里,在当时的情况下,手机行业面临的是以安卓为主的基础第三方操作系统的初步集成,对安全成熟度要求较低,手机厂商更多考虑的是按照配置更高、运行速度更快、拍照效果更好、屏幕更大且色彩更艳丽来打造有客户吸引力的产品,对安全相对考虑较少。直到2014-2015年,多数手机厂商才开始考虑自建安全团队,同时引入第三方安全供应商。而在2014-2015年,由于手机初始对于安全的忽视,就带来了非常严重的问题。

  我们以2014年“xx神器”手机病毒快速感染扩散速度为例,就可以看到当时手机安全防护较为糟糕的情况。这仅仅是一个学生编写的技术水平并不高的病毒,其实就是利用了安卓系统手机存在安全策略缺陷,点击URL下载APK后会自动执行,之后病毒获取通讯录,并群发短信,形成信任链传播。2014年前后,恶意代码对手机用户已经成为了显性可感的严重安全威胁。

  2014年“xx神器病毒”的感染扩散监测情况

  在这个背景下,能不能保证手机用户的基本安全,保证手机不会轻易被病毒感染,就已经初步成为了手机厂商市场竞争力的一部分。在这种情况下,安天积极跟进了手机厂商的安全需求,提供杀毒防护、应用管控等相关机制。2016-2018年,从市场竞争层面已经开始倒逼手机厂商提供全面的相关安全体验,而在这个时候手机侧又面临着更进一步的一些安全的压力和需求,那就是随着手机设备产业体系的规模成型,应用服务商、APP开发商呈井喷增长,安全威胁也开始复杂化和小众化,手机成为黑灰产牟利的重灾区。在这种情况下,各个手机厂商也都在强化以场景安全为核心的安全能力。在过去的几年间,如果一个手机厂商不考虑安全的原生优势和竞争力,已经到了难以获得持续的创新和发展的地步,这个时候安全性已经成为了手机用户的一个市场品牌和产品竞争力的核心要素。

  安天跟随了移动智能产业持续演进和安全重心的迁移

  网络安全在智能终端时代已经出现了重大的变化。如果说在信息化时代中,网络安全是信息化的外挂部分,到了智能终端产业中,它已经成为了一个内生部分。如果我们从产品生命周期来看待智能终端,就可以看到安全在整个生命周期的过程中是以不同的模式进行耦合,而且具有非持续的特点。手机厂商是一个高度依赖供应链体系的产品场景,手机厂商必须构建高质量供给的供应链生态才能保证手机品质,选择技术能力强、坚守安全厂商行为底线的第三方安全厂商也是供应链建设的关键环节。产品的初始规划阶段,更多是考虑产品对用户可用、可见、可感的场景侧、应用侧价值特性,不会在最开始重点考虑安全价值,因此也需要由高水平的能长期稳定合作的第三方安全团队参与进来,进行安全的思维和方法框架的柔性赋能;而在产品的生产体系中,则需要来自于相对可控的、确定性的能力供给,部分来自于自主研发,部分来自于第三方安全厂商的模块或中间件供给。智能手机到达用户手中后,作为一种开放式使用的设备,有频繁的用户交互使用、有高频的通讯连接需求、有大量的APP安装应用,在这个过程中就进入到了与安全威胁开放对抗的阶段。在未来的复杂局面下,安全生命周期不断延展,供应链的可靠性和安全性,包括上游开发生产场景的安全已经成为了新的安全风险点,需要对所有供应商都提出网络安全的规范要求。而在客户使用场景中,由于智能手机已经成为日常生活的中枢节点、智能家居的总控设备、办公网络的接入点和公务信息的快捷处理节点,又使它在最终的运行中几乎关乎所有人和所有机构的利益。

  安全是数字产业持续发展的内生部分,且有非连续的特点

  安天根据智能手机产品生命周期的瀑布模型,在每一个阶段提供不同的支持。在产品规划体系中,我们持续协助手机厂商的专家完成安全规划,帮助他们确定安全技术供应的分工和生态体系,协助手机厂商建立对上游供应商和APP开发者的安全规范。在生产过程中,我们依托TrustZone等内置安全芯片和移动操作系统的安全接口和特性来供应相关内核级能力模块,实现在生产制造过程中的直接ROM层面的融合。而进入到客户安全运营过程中,我们协助手机厂商实现对手机用户面对威胁态势的检测、及时发现响应安全威胁、升级检测规则和能力模块。因此,我们所实现的并不单纯只是把安全的引擎和防护内核内置到手机当中,而是依托“安天赛博超脑”威胁检测运营体系和分析团队,为检测引擎和安全内核模块提供持续的规则、情报推送,安全策略模板调整和其他提升威胁对抗能力的运营支持。我们认为安天的这些工作经验,为在5G+IoT时代做好安全能力的同步跟进提供了一种重要的路径参考。

  同时安天也在深入思考,随着数字化转型的加速,智能产品在敏捷能力生成的导向下,在SecDevOps的文化与方法的变革下,必然打破经典的瀑布式的输出链路,进一步地进入到一个基于数信融合、物信融合的弹性生成的体系中。而此时安全的耦合模式和赋能方式也需要因应而变。但最关键的是,在攻击时空泛化的背景下,“关口前移”就是防御能力的时空扩展。在5G+IoT时代,想构建一个安全的未来,就更要坚持网络安全的关口前移,将网络安全防御的基础能力和防御边界延伸至每一个物联网终端设备,并将其作为网络安全弹性防线的有机组成部分,而为了保障和支撑安全的关口前移,则要做到:

  ●算力前置:在智能物联网设备的架构设计之初,应为安全功能预留算力成本。与此同时,也可以考虑使用安全的专用算力芯片弥补物联网设备本身通用算力不足的问题。

  ●基因沉浸:无论是物联网和智能传感器等设备,包括物联网基础设施体系建设,无论是在电气/电子层面、还是软件层面,都需要在整个规划、研发、运营阶段内持续融入安全基因。

  ●原生融合:安全能力要与生产制造过程深入融合,形成出厂预置的安全能力和高水平的初始安全基线,而不单纯依赖于二次部署。

  而与此同时,主管部门和行业也必须为安全能力部署建立安全行为规范,避免假借安全之名,过量采集用户隐私、精准用户对位画像、违规运营用户数据等的违规行为。避免互联网时代的乱流,在物联网时代更加泛滥。

  因此在未来,安天将继续推动网络安全的“关口前移”,也将继续坚定执行安全厂商的自我行为约束规范。当前安天的安全引擎或安全内核已经覆盖近百家移动互联网与智能终端设备,与重要移动应用开发厂商,11家网络安全的同行企业,7家主要的信创产品厂商,5家重要的云厂商,形成了一套围绕威胁检测和场景防护能力展开的协作机制。我们将全面强化合作,建构一个良性的安全赋能生态。

  人无远虑、必有近忧。我们还需要思考未来更长远的安全和挑战。今天5G所连接的已经是一个庞大智慧的物联网体系,并且还在迭代发展。在未来,我们可能会面临两种重大的风险:其一是随着传感采集的无所不在,我们面临的DeepFake风险已经远不是视频、声音的伪造,而是具有独立人格或目标等效人格的“数字化构造体”;其二是未来时点,脑机接口等技术有可能取得重大突破。当物联网变成了真实的“人联网”、包括人与具有“人格”的数字构造体之间的联网时,我们将面临着更大的挑战。在未来,终将有一天,随着元宇宙、脑机接口等技术的发展与深化,以及深度行为画像、DeepFake等对抗性技术的发展,网络安全威胁对人的认知和实体空间的的影响会从间接影响转化为直接影响,网络风险将向认知风险快速转化,包括直接转化为对人身安全的直接威胁。而在这样一种风险到来之前,我们更需未雨绸缪。

  唯有坚持“关口前移,防患于未然”,才能为不确定的未来构建确定性的保障。

  (感谢赵超、张登峰、李琦、侯方勇等对本文观点和素材的大力支持)

来源:光明网