防不勝防也要防

當(dāng)前，全球新一輪科技革命和產(chǎn)業(yè)變革加速發(fā)展，5G作為新一代信息通信技術(shù)演進(jìn)升級(jí)的重要方向，是實(shí)現(xiàn)萬(wàn)物互聯(lián)的關(guān)鍵信息基礎(chǔ)設(shè)施、經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型的重要驅(qū)動(dòng)力量。但是，隨之而來(lái)的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)挑戰(zhàn)也日益嚴(yán)峻。一方面，信息安全事件頻發(fā)?！吨袊?guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2020年3月，我國(guó)有43.6%的網(wǎng)民在過(guò)去半年上網(wǎng)過(guò)程中遇到過(guò)網(wǎng)絡(luò)安全問(wèn)題，其中遭遇個(gè)人信息泄露問(wèn)題占比最高達(dá)23.3%。另一方面，境外安全攻擊日益猖獗。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的報(bào)告顯示，去年DDoS攻擊高發(fā)頻發(fā)且攻擊組織性與目的性更加凸顯，僅某黑客組織對(duì)我國(guó)300余家政府網(wǎng)站就發(fā)起1000多次攻擊，APT攻擊在重大活動(dòng)和敏感時(shí)期更加猖獗。毫無(wú)疑問(wèn)，如何堅(jiān)守5G時(shí)代漏洞防護(hù)區(qū)，已經(jīng)成為一個(gè)迫切的話題。

安全，是亙古不變的話題

我們知道，5G生態(tài)系統(tǒng)由各方參與者共同組成，包括移動(dòng)運(yùn)營(yíng)商、云提供商、托管安全服務(wù)提供商、企業(yè)和技術(shù)合作伙伴，通過(guò)競(jìng)爭(zhēng)與合作提供服務(wù)。這樣的鏈條下，安全自然是亙古不變的話題。

我們常說(shuō)，雖然移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的首要任務(wù)是提供5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心要素，但要實(shí)現(xiàn)真正的數(shù)字化轉(zhuǎn)型，則需要與5G用例價(jià)值鏈中的所有行業(yè)利益相關(guān)方建立合作關(guān)系。在將5G用例的愿景變?yōu)楝F(xiàn)實(shí)的過(guò)程中，商業(yè)和任務(wù)關(guān)鍵型行業(yè)的主要參與者、監(jiān)管機(jī)構(gòu)，以及國(guó)家和地方政府的決策者都將發(fā)揮各自的作用。

別忘了，在5G承諾的背后，我們的行業(yè)參與者也需時(shí)刻保持警惕。5G的采用讓整個(gè)服務(wù)提供商生態(tài)系統(tǒng)面臨更大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。隨著消費(fèi)者和企業(yè)越來(lái)越依賴數(shù)字化服務(wù)，在采用5G之前就需要考慮安全問(wèn)題。畢竟，5G網(wǎng)絡(luò)更依賴于云和邊緣計(jì)算，從而創(chuàng)建了跨多提供商和多云基礎(chǔ)設(shè)施的高度分布式環(huán)境。

與此同時(shí)，軟件由于開(kāi)發(fā)及設(shè)計(jì)等各方面的原因，存在漏洞在所難免。對(duì)安全研究人員來(lái)說(shuō)，通過(guò)對(duì)漏洞發(fā)展 趨勢(shì)的研究，可以在攻擊者利用漏洞造成危害之前，提出及時(shí)有效的修補(bǔ)方案，盡可能的減少攻擊事件的發(fā)生。對(duì)軟件開(kāi)發(fā)商來(lái)說(shuō)，通過(guò)對(duì)漏洞的研究，可以幫助開(kāi)發(fā)人員把更多的精力放在安全開(kāi)發(fā)過(guò)程中需要注意的關(guān)鍵技術(shù)上，開(kāi)發(fā)出高質(zhì)量的軟件。

更為重要的是，隨著企業(yè)的數(shù)字化轉(zhuǎn)型，來(lái)自云端的威脅與攻擊正持續(xù)升級(jí)。在影視及傳媒資訊、電商零售和政府機(jī)構(gòu)等互聯(lián)網(wǎng)及近年來(lái)加速上云的信息密集型行業(yè)，有越來(lái)越多的敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)暴露在互聯(lián)網(wǎng)中，被黑產(chǎn)團(tuán)隊(duì)以惡意爬蟲(chóng)、API攻擊等方式獲取，因信息泄露導(dǎo)致的詐騙案件數(shù)量呈爆發(fā)式增長(zhǎng)。更為明顯的表現(xiàn)還在于，隨著5G、IPv6、人工智能和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展與普及，業(yè)務(wù)安全問(wèn)題更難識(shí)別與防御，為網(wǎng)絡(luò)安全防護(hù)帶來(lái)全新的挑戰(zhàn)。

如前文所說(shuō)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，全球互聯(lián)網(wǎng)體量急速膨脹，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，國(guó)家政治、經(jīng)濟(jì)、 文化、社會(huì)及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴(yán)峻挑戰(zhàn)。近些年來(lái)安全漏洞數(shù)量呈現(xiàn)遞增趨勢(shì)，基于漏洞的網(wǎng)絡(luò)安全事件層出不窮，為我們敲響了信息安全攻防戰(zhàn)的警鐘。

5G環(huán)境下的安全漏洞思考

接上一章節(jié)的話題。世界很多國(guó)家都把5G作為經(jīng)濟(jì)發(fā)展、技術(shù)創(chuàng)新的重點(diǎn)，將5G作為謀求競(jìng)爭(zhēng)新優(yōu)勢(shì)的戰(zhàn)略方向。根據(jù)全球移動(dòng)供應(yīng)商協(xié)會(huì)統(tǒng)計(jì)，截至2019年底，全球119個(gè)國(guó)家或地區(qū)的348家電信運(yùn)營(yíng)商開(kāi)展了5G投資，其中，61家電信運(yùn)營(yíng)商已經(jīng)推出5G商用服務(wù)。那么，在5G環(huán)境下的安全漏洞思考就變得尤其必要了。在此，5G網(wǎng)絡(luò)安全的話題主要分為兩類：

一類是如5G核心網(wǎng)、邊緣計(jì)算、人工智能推理引擎等新型基礎(chǔ)設(shè)施的自身漏洞，這部分漏洞如被利用，可能會(huì)造成整個(gè)系統(tǒng)出現(xiàn)災(zāi)難性的后果;另一類是基于新型基礎(chǔ)設(shè)施之上的第三方應(yīng)用的業(yè)務(wù)漏洞，如邊緣計(jì)算支撐的智能交通、智慧醫(yī)療應(yīng)用的漏洞，而這類漏洞則會(huì)影響到具體應(yīng)用的安全性，也可能會(huì)造成嚴(yán)重影響，關(guān)系到人身安全、生產(chǎn)安全、社會(huì)安定等。

實(shí)際上，虛擬化、云計(jì)算、云原生以及邊緣計(jì)算等這些創(chuàng)新的技術(shù)和應(yīng)用都是發(fā)軔于開(kāi)源。開(kāi)源軟件具有開(kāi)放、免費(fèi)、功能靈活等特點(diǎn)，得到了越來(lái)越廣泛的應(yīng)用，但是安全問(wèn)題仍然普遍存在。公開(kāi)的利用代碼在短時(shí)間內(nèi)被集成到成熟的攻擊框架或木馬程序中，進(jìn)一步降低了漏洞利用的門檻，而從漏洞公布到被攻擊者大規(guī)模利用的時(shí)間窗口也在進(jìn)一步縮短，給安全廠商防護(hù)能力帶來(lái)了更大的挑戰(zhàn)。

除此之外，軟件及其系統(tǒng)中的漏洞也是導(dǎo)致信息安全問(wèn)題的根源所在，如何減少安全漏洞已經(jīng)成為了信息安全業(yè)內(nèi)的熱門話題。

詳細(xì)來(lái)說(shuō)，在目前許多網(wǎng)絡(luò)建設(shè)項(xiàng)目開(kāi)發(fā)中，大部分都是先進(jìn)行生產(chǎn)功能的實(shí)現(xiàn)，測(cè)試生產(chǎn)功能沒(méi)有問(wèn)題后，直接上線或者再考慮一些邊界安全問(wèn)題。這樣做，雖然可以通過(guò)對(duì)程序的輸入進(jìn)行嚴(yán)格的校驗(yàn)而避免攻擊的發(fā)生，但在程序內(nèi)部中的一些邏輯問(wèn)題及潛在的安全問(wèn)題都沒(méi)有機(jī)會(huì)被發(fā)現(xiàn)，一旦被外部攻擊者或用戶有意或無(wú)意的觸發(fā)，造成非常明顯的安全影響。要避免這個(gè)情況，只有將安全作為軟件的固有功能和屬性從設(shè)計(jì)之初就加以考慮的話，可以部分避免安全漏洞的出現(xiàn)。

畢竟，漏洞數(shù)量呈現(xiàn)顯著增長(zhǎng)的總體趨勢(shì)是不變的，而更出乎人們預(yù)料的是，十年以上高齡漏洞在攻擊事件中占比仍然高。

瀏覽器（尤其是移動(dòng)端瀏覽器，比如手機(jī)里的瀏覽器APP）作為網(wǎng)絡(luò)攻擊的入口，漏洞種類復(fù)雜多樣;利用文件格式漏洞的魚(yú)叉式釣魚(yú)攻擊已成為網(wǎng)絡(luò)安全的主要威脅之一，此類漏洞利用穩(wěn)定性高，在APT攻擊事件中屢見(jiàn)不鮮;Flash漏洞作為曾經(jīng)的研究焦點(diǎn)，今后一段時(shí)間內(nèi)，F(xiàn)lash漏洞并不會(huì)徹底消亡，還需繼續(xù)關(guān)注。

與此同時(shí)，隨著開(kāi)源軟件開(kāi)發(fā)模式的興起，針對(duì)軟件供應(yīng)鏈的攻擊成為面向軟件開(kāi)發(fā)人員和供應(yīng)商的一種新興威脅;近些年來(lái)社會(huì)各界對(duì)移動(dòng)應(yīng)用的漏洞關(guān)注度逐漸提高;物聯(lián)網(wǎng)設(shè)備數(shù)量增長(zhǎng)迅速，設(shè)備廠商應(yīng)該重視并加強(qiáng)自身產(chǎn)品的安全。

物聯(lián)網(wǎng)也是重點(diǎn)關(guān)照區(qū)域

繼續(xù)接著上文的話題。目前，物聯(lián)網(wǎng)的爆炸式增長(zhǎng)以及工作負(fù)載逐漸向云過(guò)渡加劇了這種復(fù)雜性。根據(jù)Gartner 2019年的一份報(bào)告，到2019年底，預(yù)計(jì)已有48億臺(tái)物聯(lián)網(wǎng)終端設(shè)備投入使用，比2018年增長(zhǎng)了21.5%。物聯(lián)網(wǎng)為各行各業(yè)打開(kāi)了創(chuàng)新和服務(wù)的大門，但同時(shí)也帶來(lái)了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。有報(bào)告顯示，物聯(lián)網(wǎng)設(shè)備的總體安全狀況正在下滑，企業(yè)容易受到針對(duì)物聯(lián)網(wǎng)的新型惡意軟件以及早已被IT團(tuán)隊(duì)遺忘的老舊技術(shù)的攻擊。

攻擊者引進(jìn)和更新攻擊工具，使用自動(dòng)化、漏洞利用工具包和云技術(shù)來(lái)攻擊移動(dòng)運(yùn)營(yíng)商的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用和服務(wù)，以及運(yùn)營(yíng)商的客戶/最終用戶（消費(fèi)者和企業(yè)）。風(fēng)險(xiǎn)和潛在傷害不僅與電信行業(yè)相關(guān)，而且與和電信行業(yè)緊密聯(lián)系并相互依存的所有行業(yè)相關(guān)，包括能源、金融、醫(yī)療、交通、IT、政府、制造和零售。隨著5G網(wǎng)絡(luò)規(guī)模的擴(kuò)大，這種風(fēng)險(xiǎn)將呈指數(shù)級(jí)增長(zhǎng)。

換句話說(shuō)，盡管未來(lái)可能會(huì)涌現(xiàn)大量新服務(wù)，但高度互聯(lián)的環(huán)境將帶來(lái)更多新的安全漏洞和威脅載體。這將增加潛在入侵點(diǎn)的數(shù)量，并給服務(wù)提供商、企業(yè)和消費(fèi)者帶來(lái)更大的安全風(fēng)險(xiǎn)。企業(yè)將尋求專注于安全設(shè)計(jì)的5G網(wǎng)絡(luò)，以便能夠放心地部署新的應(yīng)用和物聯(lián)網(wǎng)服務(wù)，從而實(shí)現(xiàn)5G商業(yè)價(jià)值的最大化。盡管數(shù)字化轉(zhuǎn)型進(jìn)展順利，解決安全問(wèn)題仍迫在眉睫。

我們之前說(shuō)過(guò)，5G網(wǎng)絡(luò)能夠大幅提高網(wǎng)絡(luò)容量和速度，讓更多設(shè)備能夠使用高速連接服務(wù)，實(shí)現(xiàn)前所未有的移動(dòng)服務(wù)規(guī)模。但是，這也為攻擊創(chuàng)造了更多機(jī)會(huì)。此外，任何新出現(xiàn)的威脅都將對(duì)整個(gè)生態(tài)系統(tǒng)構(gòu)成威脅，包括關(guān)鍵基礎(chǔ)設(shè)施或服務(wù)，例如通過(guò)5G連接的電力、制造、公用事業(yè)和其他行業(yè)部門。簡(jiǎn)而言之，5G網(wǎng)絡(luò)上的應(yīng)用和服務(wù)與網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身一樣，其安全性都至關(guān)重要。

同時(shí)，在云化和SaaS化在多云環(huán)境下，將面臨多方面的風(fēng)險(xiǎn)。首先云化以后的云原生就會(huì)帶來(lái)大量第三方的代碼的風(fēng)險(xiǎn)，此外跨云的管理還會(huì)面臨錯(cuò)誤配置錯(cuò)誤的風(fēng)險(xiǎn)危險(xiǎn)，為網(wǎng)絡(luò)攻擊者帶來(lái)攻擊便利。況且，隨著私有云、行業(yè)云的大量部署，如果云上的安全管理不到位，會(huì)造成大量的當(dāng)大量云服務(wù)器被攻破后，將會(huì)變成免費(fèi)的挖礦機(jī)器，成為挖礦病毒傳播的土壤。

因而，網(wǎng)絡(luò)安全態(tài)勢(shì)變得越來(lái)越復(fù)雜，數(shù)據(jù)泄露、APT攻擊、勒索病毒等事件愈演愈烈，國(guó)家政策日益完善并逐步落地，全行業(yè)用戶對(duì)網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品、服務(wù)的需求也逐漸顯現(xiàn)。而新基建在5G等領(lǐng)域的落地，在帶動(dòng)數(shù)字化經(jīng)濟(jì)快速發(fā)展的同時(shí)，更凸顯了網(wǎng)絡(luò)安全的基礎(chǔ)性意義。為此，盯住云網(wǎng)安全也是處理好物聯(lián)網(wǎng)安全的一個(gè)關(guān)鍵節(jié)點(diǎn)。

后記

業(yè)內(nèi)早有共識(shí)，網(wǎng)絡(luò)安全是新基建的重要內(nèi)涵，也是數(shù)字經(jīng)濟(jì)發(fā)展的重要基石。今年以來(lái)，國(guó)家層面屢次提及新基建，加快發(fā)展新基建已成為社會(huì)共識(shí)下，更需做好 5G、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的安全防護(hù)工作。即使沒(méi)有今天這篇，我們之前在多篇關(guān)于5G互聯(lián)網(wǎng)環(huán)境下的安全問(wèn)題討論中也都明確提到，“網(wǎng)絡(luò)發(fā)展突飛猛進(jìn)，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻”。況且，在新基建大潮下，亟需夯實(shí)網(wǎng)絡(luò)安全根基，筑牢網(wǎng)絡(luò)安全屏障，更是重中之重。