[ BCS2021發布數(shù)據顯示,我國(guó)2020年(≥ nián)網絡安全産業(yè)規模超過1700億元,較2015年(nián₹↕σ)翻了(le)一(yī)番。 ]
随著(zhe)大(dà)數(shù)據的(de)爆發和(hé)企業(y™♦←è)雲部署的(de)加速,如(rú)何提高(gāo)網絡技(↓jì)術(shù)供應鏈的(de)安全性,是(shì)擺在全世界政÷¶®府和(hé)企業(yè)面前的(de)迫切問(wèn)題。
8月(yuè)28日(rì),2021北($®₽běi)京網絡安全大(dà)會(huì)(BCS2021)的(de '₹§)一(yī)場(chǎng)線上(shàng)技₹→ (jì)術(shù)峰會(huì)上(s×φ<hàng),來(lái)自(zì)全球的(de)頂尖網絡安全技(jì<★✘)術(shù)專家(jiā)就(jiù)網ε₩絡安全技(jì)術(shù)的(de)複雜(zá)性±∞α♣以及應用(yòng)展開(kāi)探討(t₽'★ǎo),并呼籲提高(gāo)網絡安全标準,完善包括開→×(kāi)源軟件(jiàn)在內(nèi)的(de)★<≈↑軟件(jiàn)供應鏈安全。
開(kāi)源軟件(jiàn)安全風(fēng)險大(dà)
“大(dà)多(duō)數(shù)組織機(j±λī)構并沒有(yǒu)明(míng)确掌握他(→λ±tā)們所使用(yòng)的(de)軟件(jiàn)面臨的(de) π風(fēng)險,尤其是(shì)在引入開(kāi)源軟件(jiàn)的(d↔§×<e)時(shí)候。”弗若斯特研究機(jī)構(For↕↕<∑rester)副總裁、集團研究總監勞拉・科(kē)茨勒(Lau§§ra Koetzle)表示。
科(kē)茨勒說(shuō)道(dào),2021年(nián)全 ¶球網絡安全領域充滿了(le)變化(huà)和(hé)挑戰。攻擊來(lái)自•ε(zì)兩方面,一(yī)個(gè)是(shì)供應鏈÷™★₹攻擊,另一(yī)個(gè)是(shì)勒索攻擊。
今年(nián)以來(lái),美(měi)σ £國(guó)先後發生(shēng)了(le)針對(du♦€ì)SolarWinds、Colonial Pipeδδβ←line、JBS和(hé)軟件(jiàn)公司Kase↑¶☆ya的(de)一(yī)系列網絡攻擊,令包括能(néng)源、食品在↑&內(nèi)的(de)多(duō)個(gè)行(xíng£"§)業(yè)損失慘重。“從(cóng)SolarWinds的(de)供應鏈攻ε±£擊開(kāi)始,黑(hēi)客就(jiù☆λ)鎖定了(le)攻擊價值較高(gāo)的(de)供應鏈上(shàng)遊,尤€✔σ其是(shì)攻擊那(nà)些(xiē)使用(yòng)較為(wèi)廣泛的(₽>εde)軟硬件(jiàn)産品,因此通(tōng)常具備‘攻≠δ÷✘其一(yī)點,傷及一(yī)片’的(de)特σπ✔♦點。”科(kē)茨勒表示。
科(kē)茨勒建議(yì),為(wèi)了(le)應對(duì)黑(h≥•×ēi)客在目标中潛伏很(hěn)長(cháng)時(≤"∞shí)間(jiān)并植入惡意代碼的(de)攻擊方式,組織機(jī)構應£₹該嘗試使用(yòng)零信任架構,将每一(yī>✘"$)次訪問(wèn)的(de)安全風(fēng)險降☆$&至最低(dī),同時(shí)應當建立軟件(jiàn)資産清單,便于清晰 ≤掌握軟件(jiàn)供應鏈所面臨的(de)風☆₽≠÷(fēng)險,即便發生(shēng)攻擊,也(y''↕ ě)能(néng)在最短(duǎn)時(shí)間(ji↑≤©ān)內(nèi)做(zuò)出正确的(de)響應。
開(kāi)源軟件(jiàn)使用(ε★yòng)的(de)廣泛性,給了(le)大(dà)量攻擊者以可(kě)乘φ ≠ 之機(jī)。數(shù)據顯示,開(kāi)λ¶$源軟件(jiàn)存在的(de)漏洞相(xiàng)對(duì♠♣)較多(duō),因此成為(wèi)網絡攻擊的(de)主要(yào)對(du≤ σ♦ì)象。根據奇安信發布的(de)《2021中國(guó)軟件(j ≠iàn)供應鏈安全分(fēn)析報(bào)告》,在奇安信代碼安全δ>•實驗室分(fēn)析的(de)2557個(gè ©∑)國(guó)內(nèi)企業(yè)軟件(jià'→÷n)項目中,平均每個(gè)軟件(jiàn)項目存在66個(✘&↕ gè)已知(zhī)開(kāi)源軟件(ji$≥≥àn)漏洞,最多(duō)的(de)軟件(>π♦&jiàn)項目存在1200個(gè)已知(zhī)開(kāiΩδ♦¶)源軟件(jiàn)漏洞。其中,存在已知(zhī)開(kāi)源軟件(jφ>iàn)漏洞的(de)項目占比近(jìn)90%;存在β×→已知(zhī)高(gāo)危開(kāi)源軟件(jià®®€≠n)漏洞的(de)項目占比超過80%;存→×在已知(zhī)超危開(kāi)源軟件(jiàn)漏洞的(de)項目占比超 ™過70%。
“多(duō)項開(kāi)源組件(jiàn)受到(dào)高(g♥∞āo)危漏洞影(yǐng)響、松散的(de)開(kāi)源社區(qū)管理(l∞≥εǐ)難以有(yǒu)效推動漏洞修複以及開(φ•δ♥kāi)源代碼的(de)漏洞補丁部署狀況混亂,是(shì)造成★β開(kāi)源代碼面臨漏洞威脅巨大(dà)的↕↓≤≤(de)三個(gè)主要(yào)原因。”複旦大(dà$™)學計(jì)算(suàn)機(jī)科(kē)學技(jì)©∑φ術(shù)學院副院長(cháng)楊珉教授表示,“面對(duìδ✘↔)這(zhè)些(xiē)不(bù)足,我們希望通(tōng)過挖掘開∏¥(kāi)源組件(jiàn)漏洞、增強開(kāi)¶©✔÷源漏洞信息以及評估漏洞補丁狀态等方面的(de)工(₩§gōng)作(zuò)來(lái)解決。”但(dà↑÷n)他(tā)表示,這(zhè)個(gè£ ₩)過程中仍然遇到(dào)了(le)漏洞挖掘效率↕€低(dī)、漏洞庫信息不(bù)完整、補丁部φ 署管理(lǐ)混亂等方面的(de)困難。
除了(le)開(kāi)源軟件(ji€₹àn)之外(wài),互聯網核心協議(yì)的(de)漏洞問(wèn)題£φ同樣不(bù)可(kě)小(xiǎo)觑。清華大(dà)學?奇安信集團聯合$↕研究中心主任段海(hǎi)新警告稱,互聯網基礎協議(yì≥↕)的(de)小(xiǎo)問(wèn)題卻有(yǒu)可(kě)能(nén₹✘g)釀成互聯網安全問(wèn)題的(de)大(σ<dà)隐患。
段海(hǎi)新說(shuō)道(dào):“經過長(cháng)φ±€'期的(de)研究和(hé)攻防實踐,我們發現(xiàn)♣γ了(le)互聯網基礎協議(yì)漏洞的(de)一(↔ &yī)些(xiē)顯著特征,基礎協議(yì)的(de)漏 §♦洞影(yǐng)響範圍很(hěn)廣,但(dàn)想要(yào)運用(yò←♠∞¥ng)自(zì)動化(huà)的(de)方法®§ 來(lái)挖掘或者尋找漏洞卻十分(fēn)困難。并且,這(z≈≥→&hè)些(xiē)互聯網協議(yì)漏洞絕大(dà)多( ←duō)數(shù)都(dōu)是(shì)邏輯漏洞,甚至許多(duō↑ ✔)漏洞是(shì)多(duō)個(gè)系統組合在一(↓☆↕yī)起才出現(xiàn)的(de),需♥™要(yào)多(duō)個(gè)系統組合在一(yī)起才能(néng)發♦♣Ω<現(xiàn)。”
勒索病毒也(yě)是(shì)近(jìn)年(nián)✔•α₹來(lái)黑(hēi)客攻擊的(de)主要(yào)方≥★式之一(yī)。近(jìn)年(nián)來(lái),勒索軟件(j σ≤iàn)的(de)攻擊對(duì)象也(yě)發生(shēng)了(le)變 化(huà),似乎不(bù)再侵擾消費(fèi)者系統,而是(s✔δhì)企圖感染整個(gè)企業(yè)網絡。
勒索軟件(jiàn)WannaCry破解者馬庫斯・哈欽斯(®∑↕Marcus Hutchins)關注到(dào)了λ (le)這(zhè)一(yī)變化(huà)趨勢。他(tā)表示:“<¶♦'這(zhè)主要(yào)是(shì)因為(wèi)感染一(ε÷yī)家(jiā)企業(yè),要(yào)比同時(shí)感染數(s₹♣hù)十萬台設備容易得(de)多(duō),并且相(xiàng)對(du↓₩€ ì)個(gè)人(rén)消費(fèi)者而言,企業(yè)支付贖金(jα§īn)的(de)意願更強。”
哈欽斯強調,勒索病毒的(de)防範不(bù)僅僅φ↑¥是(shì)一(yī)個(gè)技(jì)術(shù∑π§)問(wèn)題,僅靠提高(gāo)安全性、 ∞增加安全預算(suàn)是(shì)無法解決的(de),需要(yào)在金(®≠&λjīn)融、法律以及網絡安全等領域開(kāi)←φ∞γ展多(duō)方合作(zuò)。
海(hǎi)量數(shù)據帶來(lái)治理(lǐ)難題✔↔$<
随著(zhe)數(shù)字經濟的(de♦∞§☆)發展,我國(guó)在網絡安全方面的(de)γ∏σ投入也(yě)不(bù)斷加大(dà)。本次BCS2021發布數(s±Ω₹hù)據顯示,我國(guó)2020年(nián)網絡↑α£α安全産業(yè)規模超過1700億元,較2015年(nián)♦©→×翻了(le)一(yī)番,年(nián)均增速超過15%,遠(yuǎn)高(☆÷πgāo)于9%的(de)全球平均的(de)ε♣水(shuǐ)平。
另據工(gōng)信部今年(nián)編制(zhì)的(de)《網絡安全産φ₩×業(yè)高(gāo)質量發展三年(nián™✘&)行(xíng)動計(jì)(2021-2§>→023年(nián))》征求意見(jiàn)稿,到(dào)202 "∑3年(nián),我國(guó)網絡安全産β×業(yè)規模超過2500億元;電(diàn)¥★∏信等重點行(xíng)業(yè)網絡安全投入占信息化₽<(huà)投入比例不(bù)低(dī)于10%。
