8月28日,2021北京网络安全大会(简称BCS2021)技术峰会正式召开。来自全球各地顶级的网络安全技术专家,一同分享行业前沿最新的产品技术研究成果和实践,从技术的角度为人们分析网络安全技术的复杂与应用,共同探讨未来安全技术研发方向思路,推动技术的革新与发展。
 

作为BCS2021三大峰会(战略峰会、产业峰会、技术峰会)中的压轴峰会,技术峰会吸引了全球网络安全技术爱好者的热切关注。在今年峰会上,Forrester副总裁、集团研究总监Laura Koetzle(劳拉·科茨勒),北京赛博英杰科技有限公司董事长谭晓生,Kryptos Logic 高级威胁情报分析师与恶意软件研究员,WannaCry破解者Marcus Hutchins(马库斯·哈钦斯),复旦大学计算机科学技术学院副院长杨珉,美国俄克拉荷马大学助理副校长、讲席教授 David S. Ebert(大卫·伊尔伯特),北京大学大数据分析与应用技术国家工程实验室常务副主任袁晓如,蚂蚁集团副总裁韦韬,清华大学-奇安信集团联合研究中心主任段海新等发表了主题演讲。安全牛总编辑、国际信息系统审计协会(ISACA)中国专家委员会副主席陈伟作为主持人出席了技术峰会。

勒索病毒、供应链攻击,威胁侧的变化莫测

2021年似乎一开始就是不平静的一年,在全球网络安全领域也充满了变化和挑战。从去年年底SolarWinds供应链攻击事件开始,有两个关键词一直充斥着人们的眼球,一个是供应链攻击,另一个是勒索攻击。值得关注的是,奇安信威胁情报中心已监测到多起安全公司被入侵造成的供应链攻击事件。

甚至,这二者开始出现了结合。今年7月2日,企业管理软件供应商Kaseya被曝出旗下产品KASEYA VSA软件存在漏洞,已被REvil黑客勒索组织利用攻击,并造成其大量客户因此关闭服务。

“他们并不在乎黑进了哪家公司,他们只在乎能够花费最少的代价获取最多的收益。” 劳拉·科茨勒在演讲中一语道出了供应链攻击流行的原因,由于攻击目标往往处于供应链的上游,因此通常具备“攻其一点,伤及一片”的特点,尤其是攻击那些使用较为广泛的软硬件产品。

劳拉·科茨勒说,SolarWinds事件告诉我们,不要觉得供应链攻击离你很远,即便你不知名,但如果你有很多知名的客户,你依然具备极高的攻击价值。并且,攻击者为了达成攻击目标,通常会在目标中潜伏很长的时间,从而植入恶意代码。为了应对这种攻击方式,组织机构应该尝试使用零信任架构,用于将每一次访问的安全风险降至最低,同时应当建立软件资产清单,便于清晰掌握软件供应链所面临的风险,即便发生攻击,也能在最短时间内做出正确的响应。

但遗憾的是,大多数组织机构并没有明确掌握他们所使用的软件面临的风险,尤其是在引入开源软件的时候。由于开源软件使用的广泛性,给了大量攻击者以可乘之机。

根据奇安信发布的《2021中国软件供应链安全分析报告》显示,在奇安信代码安全实验室分析的2557个国内企业软件项目中,平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。其中,存在已知开源软件漏洞的项目占比高达89.2%;存在已知高危开源软件漏洞的项目占比为80.6%;存在已知超危开源软件漏洞的项目占比为70.5%。

“多项开源组件受到高危漏洞影响、松散的开源社区管理难以有效推动漏洞修复以及开源代码的漏洞补丁部署状况混乱,是造成开源代码面临的漏洞威胁巨大三个主要原因。”杨珉解释到,“面对这些不足,我们希望通过挖掘开源组件漏洞、增强开源漏洞信息以及评估漏洞补丁状态等方面的工作去解决,尽管在这个过程中我们遇到了漏洞挖掘效率低、漏洞库信息不完整、补丁部署管理混乱等方面的困难。”

当然,饱受漏洞问题困扰的绝非只有普通的开源软件或者其他商业软件,互联网核心协议的漏洞问题同样不可小觑,由于使用更为广泛,其危害性甚至更加巨大,2014年曝出的OpenSSL心脏滴血漏洞仿佛就在昨日。

“互联网基础协议的小问题常是互联网的大问题。” 清华大学–奇安信集团联合研究中心主任段海新强调,作为互联网基础协议领域的安全专家,段海新又一次在技术峰会上,分享了他在该领域的最新研究成果。他说:“经过长期的研究和攻防实践,我们发现了互联网基础协议漏洞的一些显著特征,基础协议的漏洞影响范围很广,但想要运用自动化的方法来挖掘或者寻找漏洞却十分困难。并且,这些互联网协议漏洞绝大多数都是逻辑漏洞,甚至许多漏洞是多个系统组合在一起才出现的,需要多个系统组合在一起才能发现。”

与此同时,作为近年来威胁侧的另外一个“明星”,勒索病毒也一直保持着很高的活跃度,甚至是触发企业应急响应流程的最主要威胁。“勒索软件通常不再侵扰消费者系统,而是企图感染整个企业网络。”马库斯·哈钦斯介绍了近年来勒索病毒攻击的变化趋势。这主要是因为感染一家企业,要比同时感染数十万台设备要容易得多,并且相对个人消费者而言,企业支付赎金的意愿更强。马库斯·哈钦斯强调,勒索病毒的防范不仅仅是一个技术问题,仅靠提高安全性、增加安全预算是无法解决的,需要在金融、法律以及网络安全等领域开展多方合作。

AI可视化与平行切面,防护侧的技术变革

魔高一尺,道高一丈。奇安信集团董事长齐向东在26日战略峰会上谈到,只有煞费苦心地经营安全系统,才能保障经营活动安全运转。经营安全是对网络安全的动态掌控,只有让安全能力动起来,不断循环升级,才能破解复杂难题。

对于网络安全技术的发展趋势,谭晓生针对端点安全、网络安全、应用安全等网络安全所有技术领域,展开了非常深入细致的分析。从防火墙到下一代防火墙、从IPDS到NTA和NDR、从SD-WAN再到SASE,以及安全管理和安全服务,推动了整个网络安全防护水平向前发展。