[ BCS2021发布数据显示,我国2020年网络安全产业规模超过1700亿元,较2015年翻了一番。 ]
随着大数据的爆发和企业云部署的加速,如何提高网络技术供应链的安全性,是摆在全世界政府和企业面前的迫切问题。
8月28日,2021北京网络安全大会(BCS2021)的一场线上技术峰会上,来自全球的顶尖网络安全技术专家就网络安全技术的复杂性以及应用展开探讨,并呼吁提高网络安全标准,完善包括开源软件在内的软件供应链安全。
开源软件安全风险大
“大多数组织机构并没有明确掌握他们所使用的软件面临的风险,尤其是在引入开源软件的时候。”弗若斯特研究机构(Forrester)副总裁、集团研究总监劳拉・科茨勒(Laura Koetzle)表示。
科茨勒说道,2021年全球网络安全领域充满了变化和挑战。攻击来自两方面,一个是供应链攻击,另一个是勒索攻击。
今年以来,美国先后发生了针对SolarWinds、Colonial Pipeline、JBS和软件公司Kaseya的一系列网络攻击,令包括能源、食品在内的多个行业损失惨重。“从SolarWinds的供应链攻击开始,黑客就锁定了攻击价值较高的供应链上游,尤其是攻击那些使用较为广泛的软硬件产品,因此通常具备‘攻其一点,伤及一片’的特点。”科茨勒表示。
科茨勒建议,为了应对黑客在目标中潜伏很长时间并植入恶意代码的攻击方式,组织机构应该尝试使用零信任架构,将每一次访问的安全风险降至最低,同时应当建立软件资产清单,便于清晰掌握软件供应链所面临的风险,即便发生攻击,也能在最短时间内做出正确的响应。
开源软件使用的广泛性,给了大量攻击者以可乘之机。数据显示,开源软件存在的漏洞相对较多,因此成为网络攻击的主要对象。根据奇安信发布的《2021中国软件供应链安全分析报告》,在奇安信代码安全实验室分析的2557个国内企业软件项目中,平均每个软件项目存在66个已知开源软件漏洞,最多的软件项目存在1200个已知开源软件漏洞。其中,存在已知开源软件漏洞的项目占比近90%;存在已知高危开源软件漏洞的项目占比超过80%;存在已知超危开源软件漏洞的项目占比超过70%。
“多项开源组件受到高危漏洞影响、松散的开源社区管理难以有效推动漏洞修复以及开源代码的漏洞补丁部署状况混乱,是造成开源代码面临漏洞威胁巨大的三个主要原因。”复旦大学计算机科学技术学院副院长杨珉教授表示,“面对这些不足,我们希望通过挖掘开源组件漏洞、增强开源漏洞信息以及评估漏洞补丁状态等方面的工作来解决。”但他表示,这个过程中仍然遇到了漏洞挖掘效率低、漏洞库信息不完整、补丁部署管理混乱等方面的困难。
除了开源软件之外,互联网核心协议的漏洞问题同样不可小觑。清华大学?奇安信集团联合研究中心主任段海新警告称,互联网基础协议的小问题却有可能酿成互联网安全问题的大隐患。
段海新说道:“经过长期的研究和攻防实践,我们发现了互联网基础协议漏洞的一些显著特征,基础协议的漏洞影响范围很广,但想要运用自动化的方法来挖掘或者寻找漏洞却十分困难。并且,这些互联网协议漏洞绝大多数都是逻辑漏洞,甚至许多漏洞是多个系统组合在一起才出现的,需要多个系统组合在一起才能发现。”
勒索病毒也是近年来黑客攻击的主要方式之一。近年来,勒索软件的攻击对象也发生了变化,似乎不再侵扰消费者系统,而是企图感染整个企业网络。
勒索软件WannaCry破解者马库斯・哈钦斯(Marcus Hutchins)关注到了这一变化趋势。他表示:“这主要是因为感染一家企业,要比同时感染数十万台设备容易得多,并且相对个人消费者而言,企业支付赎金的意愿更强。”
哈钦斯强调,勒索病毒的防范不仅仅是一个技术问题,仅靠提高安全性、增加安全预算是无法解决的,需要在金融、法律以及网络安全等领域开展多方合作。
海量数据带来治理难题
随着数字经济的发展,我国在网络安全方面的投入也不断加大。本次BCS2021发布数据显示,我国2020年网络安全产业规模超过1700亿元,较2015年翻了一番,年均增速超过15%,远高于9%的全球平均的水平。
另据工信部今年编制的《网络安全产业高质量发展三年行动计(2021-2023年)》征求意见稿,到2023年,我国网络安全产业规模超过2500亿元;电信等重点行业网络安全投入占信息化投入比例不低于10%。
