论文部分内容阅读
当前,全球新一轮科技革命和产业变革加速发展,5G作为新一代信息通信技术演进升级的重要方向,是实现万物互联的关键信息基础设施、经济社会数字化转型的重要驱动力量。但是,随之而来的网络信息安全风险挑战也日益严峻。一方面,信息安全事件频发。《中国互联网络发展状况统计报告》显示,截至2020年3月,我国有43.6%的网民在过去半年上网过程中遇到过网络安全问题,其中遭遇个人信息泄露问题占比最高达23.3%。另一方面,境外安全攻击日益猖獗。据国家计算机网络应急技术处理协调中心发布的报告显示,去年DDoS攻击高发频发且攻击组织性与目的性更加凸显,仅某黑客组织对我国300余家政府网站就发起1000多次攻击,APT攻击在重大活动和敏感时期更加猖獗。毫无疑问,如何坚守5G时代漏洞防护区,已经成为一个迫切的话题。
安全,是亘古不变的话题
我们知道,5G生态系统由各方参与者共同组成,包括移动运营商、云提供商、托管安全服务提供商、企业和技术合作伙伴,通过竞争与合作提供服务。这样的链条下,安全自然是亘古不变的话题。
我们常说,虽然移动网络运营商的首要任务是提供5G网络基础设施的核心要素,但要实现真正的数字化转型,则需要与5G用例价值链中的所有行业利益相关方建立合作关系。在将5G用例的愿景变为现实的过程中,商业和任务关键型行业的主要参与者、监管机构,以及国家和地方政府的决策者都将发挥各自的作用。
别忘了,在5G承诺的背后,我们的行业参与者也需时刻保持警惕。5G的采用让整个服务提供商生态系统面临更大的网络攻击风险。随着消费者和企业越来越依赖数字化服务,在采用5G之前就需要考虑安全问题。毕竟,5G网络更依赖于云和边缘计算,从而创建了跨多提供商和多云基础设施的高度分布式环境。
与此同时,软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件的发生。对软件开发商来说,通过对漏洞的研究,可以帮助开发人员把更多的精力放在安全开发过程中需要注意的关键技术上,开发出高质量的软件。
更为重要的是,随着企业的数字化转型,来自云端的威胁与攻击正持续升级。在影视及传媒资讯、电商零售和政府机构等互联网及近年来加速上云的信息密集型行业,有越来越多的敏感数据、关键业务暴露在互联网中,被黑产团队以恶意爬虫、API攻击等方式获取,因信息泄露导致的诈骗案件数量呈爆发式增长。更为明显的表现还在于,随着5G、IPv6、人工智能和物联网等新技术的发展与普及,业务安全问题更难识别与防御,为网络安全防护带来全新的挑战。
如前文所说,随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。
5G环境下的安全漏洞思考
接上一章节的话题。世界很多国家都把5G作为经济发展、技术创新的重点,将5G作为谋求竞争新优势的战略方向。根据全球移动供应商协会统计,截至2019年底,全球119个国家或地区的348家电信运营商开展了5G投资,其中,61家电信运营商已经推出5G商用服务。那么,在5G环境下的安全漏洞思考就变得尤其必要了。在此,5G网络安全的话题主要分为两类:
一类是如5G核心网、边缘计算、人工智能推理引擎等新型基础设施的自身漏洞,这部分漏洞如被利用,可能会造成整个系统出现灾难性的后果;另一类是基于新型基础设施之上的第三方应用的业务漏洞,如边缘计算支撑的智能交通、智慧医疗应用的漏洞,而这类漏洞则会影响到具体应用的安全性,也可能会造成严重影响,关系到人身安全、生产安全、社会安定等。
实际上,虚拟化、云计算、云原生以及边缘计算等这些创新的技术和应用都是发轫于开源。开源软件具有开放、免费、功能灵活等特点,得到了越来越广泛的应用,但是安全问题仍然普遍存在。公开的利用代码在短时间内被集成到成熟的攻击框架或木马程序中,进一步降低了漏洞利用的门槛,而从漏洞公布到被攻击者大规模利用的时间窗口也在进一步缩短,给安全厂商防护能力带来了更大的挑战。
除此之外,软件及其系统中的漏洞也是导致信息安全问题的根源所在,如何減少安全漏洞已经成为了信息安全业内的热门话题。
详细来说,在目前许多网络建设项目开发中,大部分都是先进行生产功能的实现,测试生产功能没有问题后,直接上线或者再考虑一些边界安全问题。这样做,虽然可以通过对程序的输入进行严格的校验而避免攻击的发生,但在程序内部中的一些逻辑问题及潜在的安全问题都没有机会被发现,一旦被外部攻击者或用户有意或无意的触发,造成非常明显的安全影响。要避免这个情况,只有将安全作为软件的固有功能和属性从设计之初就加以考虑的话,可以部分避免安全漏洞的出现。
毕竟,漏洞数量呈现显著增长的总体趋势是不变的,而更出乎人们预料的是,十年以上高龄漏洞在攻击事件中占比仍然高。
浏览器(尤其是移动端浏览器,比如手机里的浏览器APP)作为网络攻击的入口,漏洞种类复杂多样;利用文件格式漏洞的鱼叉式钓鱼攻击已成为网络安全的主要威胁之一,此类漏洞利用稳定性高,在APT攻击事件中屡见不鲜;Flash漏洞作为曾经的研究焦点,今后一段时间内,Flash漏洞并不会彻底消亡,还需继续关注。
与此同时,随着开源软件开发模式的兴起,针对软件供应链的攻击成为面向软件开发人员和供应商的一种新兴威胁;近些年来社会各界对移动应用的漏洞关注度逐渐提高;物联网设备数量增长迅速,设备厂商应该重视并加强自身产品的安全。
物联网也是重点关照区域
继续接着上文的话题。目前,物联网的爆炸式增长以及工作负载逐渐向云过渡加剧了这种复杂性。根据Gartner 2019年的一份报告,到2019年底,预计已有48亿台物联网终端设备投入使用,比2018年增长了21.5%。物联网为各行各业打开了创新和服务的大门,但同时也带来了新的网络安全风险。有报告显示,物联网设备的总体安全状况正在下滑,企业容易受到针对物联网的新型恶意软件以及早已被IT团队遗忘的老旧技术的攻击。 攻击者引进和更新攻击工具,使用自动化、漏洞利用工具包和云技术来攻击移动运营商的网络基础设施、应用和服务,以及运营商的客户/最终用户(消费者和企业)。风险和潜在伤害不仅与电信行业相关,而且与和电信行业紧密联系并相互依存的所有行业相关,包括能源、金融、医疗、交通、IT、政府、制造和零售。随着5G网络规模的扩大,这种风险将呈指数级增长。
换句话说,尽管未来可能会涌现大量新服务,但高度互联的环境将带来更多新的安全漏洞和威胁载体。这将增加潜在入侵点的数量,并给服务提供商、企业和消费者带来更大的安全风险。企业将寻求专注于安全設计的5G网络,以便能够放心地部署新的应用和物联网服务,从而实现5G商业价值的最大化。尽管数字化转型进展顺利,解决安全问题仍迫在眉睫。
我们之前说过,5G网络能够大幅提高网络容量和速度,让更多设备能够使用高速连接服务,实现前所未有的移动服务规模。但是,这也为攻击创造了更多机会。此外,任何新出现的威胁都将对整个生态系统构成威胁,包括关键基础设施或服务,例如通过5G连接的电力、制造、公用事业和其他行业部门。简而言之,5G网络上的应用和服务与网络基础设施本身一样,其安全性都至关重要。
同时,在云化和SaaS化在多云环境下,将面临多方面的风险。首先云化以后的云原生就会带来大量第三方的代码的风险,此外跨云的管理还会面临错误配置错误的风险危险,为网络攻击者带来攻击便利。况且,随着私有云、行业云的大量部署,如果云上的安全管理不到位,会造成大量的当大量云服务器被攻破后,将会变成免费的挖矿机器,成为挖矿病毒传播的土壤。
因而,网络安全态势变得越来越复杂,数据泄露、APT攻击、勒索病毒等事件愈演愈烈,国家政策日益完善并逐步落地,全行业用户对网络安全技术、产品、服务的需求也逐渐显现。而新基建在5G等领域的落地,在带动数字化经济快速发展的同时,更凸显了网络安全的基础性意义。为此,盯住云网安全也是处理好物联网安全的一个关键节点。
后记
业内早有共识,网络安全是新基建的重要内涵,也是数字经济发展的重要基石。今年以来,国家层面屡次提及新基建,加快发展新基建已成为社会共识下,更需做好 5G、人工智能、工业互联网、物联网的安全防护工作。即使没有今天这篇,我们之前在多篇关于5G互联网环境下的安全问题讨论中也都明确提到,“网络发展突飞猛进,网络安全形势严峻”。况且,在新基建大潮下,亟需夯实网络安全根基,筑牢网络安全屏障,更是重中之重。
安全,是亘古不变的话题
我们知道,5G生态系统由各方参与者共同组成,包括移动运营商、云提供商、托管安全服务提供商、企业和技术合作伙伴,通过竞争与合作提供服务。这样的链条下,安全自然是亘古不变的话题。
我们常说,虽然移动网络运营商的首要任务是提供5G网络基础设施的核心要素,但要实现真正的数字化转型,则需要与5G用例价值链中的所有行业利益相关方建立合作关系。在将5G用例的愿景变为现实的过程中,商业和任务关键型行业的主要参与者、监管机构,以及国家和地方政府的决策者都将发挥各自的作用。
别忘了,在5G承诺的背后,我们的行业参与者也需时刻保持警惕。5G的采用让整个服务提供商生态系统面临更大的网络攻击风险。随着消费者和企业越来越依赖数字化服务,在采用5G之前就需要考虑安全问题。毕竟,5G网络更依赖于云和边缘计算,从而创建了跨多提供商和多云基础设施的高度分布式环境。
与此同时,软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件的发生。对软件开发商来说,通过对漏洞的研究,可以帮助开发人员把更多的精力放在安全开发过程中需要注意的关键技术上,开发出高质量的软件。
更为重要的是,随着企业的数字化转型,来自云端的威胁与攻击正持续升级。在影视及传媒资讯、电商零售和政府机构等互联网及近年来加速上云的信息密集型行业,有越来越多的敏感数据、关键业务暴露在互联网中,被黑产团队以恶意爬虫、API攻击等方式获取,因信息泄露导致的诈骗案件数量呈爆发式增长。更为明显的表现还在于,随着5G、IPv6、人工智能和物联网等新技术的发展与普及,业务安全问题更难识别与防御,为网络安全防护带来全新的挑战。
如前文所说,随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。
5G环境下的安全漏洞思考
接上一章节的话题。世界很多国家都把5G作为经济发展、技术创新的重点,将5G作为谋求竞争新优势的战略方向。根据全球移动供应商协会统计,截至2019年底,全球119个国家或地区的348家电信运营商开展了5G投资,其中,61家电信运营商已经推出5G商用服务。那么,在5G环境下的安全漏洞思考就变得尤其必要了。在此,5G网络安全的话题主要分为两类:
一类是如5G核心网、边缘计算、人工智能推理引擎等新型基础设施的自身漏洞,这部分漏洞如被利用,可能会造成整个系统出现灾难性的后果;另一类是基于新型基础设施之上的第三方应用的业务漏洞,如边缘计算支撑的智能交通、智慧医疗应用的漏洞,而这类漏洞则会影响到具体应用的安全性,也可能会造成严重影响,关系到人身安全、生产安全、社会安定等。
实际上,虚拟化、云计算、云原生以及边缘计算等这些创新的技术和应用都是发轫于开源。开源软件具有开放、免费、功能灵活等特点,得到了越来越广泛的应用,但是安全问题仍然普遍存在。公开的利用代码在短时间内被集成到成熟的攻击框架或木马程序中,进一步降低了漏洞利用的门槛,而从漏洞公布到被攻击者大规模利用的时间窗口也在进一步缩短,给安全厂商防护能力带来了更大的挑战。
除此之外,软件及其系统中的漏洞也是导致信息安全问题的根源所在,如何減少安全漏洞已经成为了信息安全业内的热门话题。
详细来说,在目前许多网络建设项目开发中,大部分都是先进行生产功能的实现,测试生产功能没有问题后,直接上线或者再考虑一些边界安全问题。这样做,虽然可以通过对程序的输入进行严格的校验而避免攻击的发生,但在程序内部中的一些逻辑问题及潜在的安全问题都没有机会被发现,一旦被外部攻击者或用户有意或无意的触发,造成非常明显的安全影响。要避免这个情况,只有将安全作为软件的固有功能和属性从设计之初就加以考虑的话,可以部分避免安全漏洞的出现。
毕竟,漏洞数量呈现显著增长的总体趋势是不变的,而更出乎人们预料的是,十年以上高龄漏洞在攻击事件中占比仍然高。
浏览器(尤其是移动端浏览器,比如手机里的浏览器APP)作为网络攻击的入口,漏洞种类复杂多样;利用文件格式漏洞的鱼叉式钓鱼攻击已成为网络安全的主要威胁之一,此类漏洞利用稳定性高,在APT攻击事件中屡见不鲜;Flash漏洞作为曾经的研究焦点,今后一段时间内,Flash漏洞并不会彻底消亡,还需继续关注。
与此同时,随着开源软件开发模式的兴起,针对软件供应链的攻击成为面向软件开发人员和供应商的一种新兴威胁;近些年来社会各界对移动应用的漏洞关注度逐渐提高;物联网设备数量增长迅速,设备厂商应该重视并加强自身产品的安全。
物联网也是重点关照区域
继续接着上文的话题。目前,物联网的爆炸式增长以及工作负载逐渐向云过渡加剧了这种复杂性。根据Gartner 2019年的一份报告,到2019年底,预计已有48亿台物联网终端设备投入使用,比2018年增长了21.5%。物联网为各行各业打开了创新和服务的大门,但同时也带来了新的网络安全风险。有报告显示,物联网设备的总体安全状况正在下滑,企业容易受到针对物联网的新型恶意软件以及早已被IT团队遗忘的老旧技术的攻击。 攻击者引进和更新攻击工具,使用自动化、漏洞利用工具包和云技术来攻击移动运营商的网络基础设施、应用和服务,以及运营商的客户/最终用户(消费者和企业)。风险和潜在伤害不仅与电信行业相关,而且与和电信行业紧密联系并相互依存的所有行业相关,包括能源、金融、医疗、交通、IT、政府、制造和零售。随着5G网络规模的扩大,这种风险将呈指数级增长。
换句话说,尽管未来可能会涌现大量新服务,但高度互联的环境将带来更多新的安全漏洞和威胁载体。这将增加潜在入侵点的数量,并给服务提供商、企业和消费者带来更大的安全风险。企业将寻求专注于安全設计的5G网络,以便能够放心地部署新的应用和物联网服务,从而实现5G商业价值的最大化。尽管数字化转型进展顺利,解决安全问题仍迫在眉睫。
我们之前说过,5G网络能够大幅提高网络容量和速度,让更多设备能够使用高速连接服务,实现前所未有的移动服务规模。但是,这也为攻击创造了更多机会。此外,任何新出现的威胁都将对整个生态系统构成威胁,包括关键基础设施或服务,例如通过5G连接的电力、制造、公用事业和其他行业部门。简而言之,5G网络上的应用和服务与网络基础设施本身一样,其安全性都至关重要。
同时,在云化和SaaS化在多云环境下,将面临多方面的风险。首先云化以后的云原生就会带来大量第三方的代码的风险,此外跨云的管理还会面临错误配置错误的风险危险,为网络攻击者带来攻击便利。况且,随着私有云、行业云的大量部署,如果云上的安全管理不到位,会造成大量的当大量云服务器被攻破后,将会变成免费的挖矿机器,成为挖矿病毒传播的土壤。
因而,网络安全态势变得越来越复杂,数据泄露、APT攻击、勒索病毒等事件愈演愈烈,国家政策日益完善并逐步落地,全行业用户对网络安全技术、产品、服务的需求也逐渐显现。而新基建在5G等领域的落地,在带动数字化经济快速发展的同时,更凸显了网络安全的基础性意义。为此,盯住云网安全也是处理好物联网安全的一个关键节点。
后记
业内早有共识,网络安全是新基建的重要内涵,也是数字经济发展的重要基石。今年以来,国家层面屡次提及新基建,加快发展新基建已成为社会共识下,更需做好 5G、人工智能、工业互联网、物联网的安全防护工作。即使没有今天这篇,我们之前在多篇关于5G互联网环境下的安全问题讨论中也都明确提到,“网络发展突飞猛进,网络安全形势严峻”。况且,在新基建大潮下,亟需夯实网络安全根基,筑牢网络安全屏障,更是重中之重。