賽博昆侖鄭文彬出席2022北京網(wǎng)絡(luò)安全大會 分享“量化安全”新思維

  • 人閱讀
  • 2022-07-14 17:51:00

  • 來源:頭條新聞網(wǎng)

  • 相關(guān)關(guān)鍵詞

圖片1.png

7月14日,2022北京網(wǎng)絡(luò)安全大會(以下簡稱“BCS”)在京召開。作為國內(nèi)頂尖的網(wǎng)絡(luò)安全領(lǐng)域會議,一年一度的BCS早已成為北京重要的戰(zhàn)略窗口與科技名片,每年都匯聚全球智庫學(xué)者、網(wǎng)絡(luò)安全行業(yè)領(lǐng)袖、頂級技術(shù)專家,共同探討最前沿的網(wǎng)絡(luò)安全問題,分享最新的技術(shù)動向和成果。今年的大會,采用XR直播形式在云端展開,北京賽博昆侖科技有限公司創(chuàng)始人兼CEO鄭文彬到場,以“數(shù)字安全的基礎(chǔ)設(shè)施用漏洞來驅(qū)動量化安全”為題,分享了自己對網(wǎng)絡(luò)安全新的觀點。

2021年1月,在全球網(wǎng)絡(luò)安全領(lǐng)域享有盛譽的“技術(shù)大神”鄭文彬(MJ),創(chuàng)立了北京賽博昆侖科技有限公司(以下簡稱“賽博昆侖”),開啟了自己的創(chuàng)業(yè)之路。今年,已經(jīng)是鄭文彬創(chuàng)業(yè)后第二次出席BCS并發(fā)表演講。

在演講中,鄭文彬首先明確了“量化安全”的概念。他認(rèn)為“量化”與“可測量”是人類在科學(xué)探索過程中一個非常重要的工具。具體到網(wǎng)絡(luò)安全領(lǐng)域,“量化安全”并非新概念,美國安全戰(zhàn)略公司MITRE在將近20年前,就已經(jīng)提出“可測量安全”的概念,并提出了枚舉、語言、庫等用于量化測量安全的工具。

圖片2.png

鄭文彬認(rèn)為,截至目前,“安全”仍然停留在“定性”的階段,而“定性”只是“定量”的前提,如何“定量”,目前仍然缺乏標(biāo)準(zhǔn)。這關(guān)系到在攻防演練、滲透測試,以及真實的黑客攻擊中,安全架構(gòu)是否被攻破,能否被用于判斷其價值等實際問題。

鄭文彬表示,“安全”有點像打疫苗,在起到防范作用的同時,也會為廠商的性能、穩(wěn)定性、兼容性等方面帶來問題。而如果沒有好的方式來評估安全能夠帶來多大的正向價值,也就無法以合理方式,消解“副作用”帶來的負(fù)面價值。

同時,定性安全還牽涉到責(zé)任問題。例如在很多0DAY漏洞攻擊事件中,一些高危漏洞及水下0DAY漏洞幾乎是無解的,防護再強或軟件安全做的再好也會被攻破,所以做防護是否還有意義?鄭文彬認(rèn)為,這主要是由于更多從“定性”角度思考問題導(dǎo)致的,將“安全”變成了“非此即彼”的問題,體現(xiàn)了“定性思維”的弊端。

鄭文彬說,中國擁有最頂級的安全攻防能力,但卻很難擁有與之匹配的安全產(chǎn)品,這就是由于定性結(jié)果無法轉(zhuǎn)換成定量的結(jié)果,而安全產(chǎn)品所需要的,事實是“定量”。從目前來看,網(wǎng)絡(luò)安全面臨的問題只剩下了0DAY漏洞,除此之外,其他問題已經(jīng)解決好了,所以解決0DAY漏洞威脅就成了當(dāng)務(wù)之急。國內(nèi)雖擁有超強攻防能力,但技術(shù)能力只能轉(zhuǎn)換成“定性結(jié)果”,即只能做攻擊,缺乏定量的標(biāo)準(zhǔn)與具體落實。

鄭文彬表示,制定“定量標(biāo)準(zhǔn)”,首先要統(tǒng)一衡量尺度,要有很強的可比性,可輕易分辨哪個方法“更好”,或者“差多少”。在這個問題上,漏洞無疑是非常好的“一般等價物”,可用于評估基礎(chǔ)設(shè)施,作為標(biāo)準(zhǔn)化量化的衡量工具。漏洞是攻防的起點,也是貫穿整個攻擊鏈?zhǔn)冀K的核心突破點。同時,在漏洞攻防領(lǐng)域,本來已經(jīng)擁有非常好的枚舉與描述,如CVE和CVSS等,經(jīng)歷了幾十年的應(yīng)用,發(fā)展已很成熟,但也同樣存在問題。例如,出于安全考慮,近年來大型廠商更愿意選擇不披露進一步的漏洞信息,其結(jié)果是通過CVSS或者廠商威脅報告,已經(jīng)很難從攻擊者視角下體現(xiàn)攻擊的真實威脅程度。

鄭文彬舉了一個2021年修復(fù)0DAY漏洞時的例子,雖然一些漏洞的CVSS號數(shù)字差不多,但真實的危險系數(shù)卻不盡相同。有些漏洞就很容易被利用,而有些同樣CVSS數(shù)列數(shù)很高的漏洞,卻很難被利用,威脅程度完全不一樣。目前來說,CVSS只關(guān)注修復(fù)覆蓋度,區(qū)間度太少,會導(dǎo)致忽略緩解和攻擊利用的問題。

對此,鄭文彬提出,應(yīng)制定更科學(xué)的方法,評估漏洞和攻擊的量化標(biāo)準(zhǔn),衡量整體安全效果。目前,業(yè)界已有一些廠家提出了類似觀點,并做出了一些嘗試。如Google Project Zero的 0DAY In the wild項目,會收集全球范圍內(nèi)被使用的0DAY漏洞,通過深度分析,告訴大家如何評估安全程度。而ATT&CK等公司,以及一些攻防演練如Pwn Games等,也在從“量化”角度衡量攻擊、防守的實踐效果。但是,目前的這些嘗試仍然存在局限性,如Project Zero更專注0DAY漏洞,而對于NDAY漏洞等其他安全威脅很難覆蓋。ATT&CK則更多關(guān)注攻擊后期,對于漏洞的起點和突破點比較忽視。而攻防演練和Pwn比賽,可歸類為實戰(zhàn)型驗證方式,對于推進安全生態(tài)幫助很大,但更多是短時間單側(cè)攻防,并不代表未來的長期狀態(tài)。安全,重在日常,很多高級攻擊往往會持續(xù)進行,業(yè)界仍然需要更加持久化、常態(tài)化評測的手段。

在演講的最后,鄭文彬表示,安全界需要“量化”標(biāo)準(zhǔn),從技術(shù)角度來說,希望把技術(shù)實力轉(zhuǎn)化為更可量化的安全價值。他說,賽博昆侖和旗下的安全研究團隊“昆侖實驗室”正致力于把漏洞價值轉(zhuǎn)化為具體實踐,目前正在推“量化安全情報”、“實戰(zhàn)利用評估與緩解”,以及“量化安全情報門戶社區(qū)”。賽博昆侖希望與業(yè)界公司一道,打造更為普適性的測量標(biāo)準(zhǔn),以綜合評估漏洞的利用難度、攻擊危害,提升整體網(wǎng)絡(luò)安全的效果。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )