BCS2021技術峰會：攻與防的角力 經營安全推動網絡安全技術變革

8月28日，2021北京網絡安全大會（簡稱BCS2021）技術峰會正式召開。來自全球各地頂級的網絡安全技術專家，一同分享行業前沿最新的產品技術研究成果和實踐，從技術的角度為人們分析網絡安全技術的復雜與應用，共同探討未來安全技術研發方向思路，推動技術的革新與發展。

作為BCS2021三大峰會（戰略峰會、產業峰會、技術峰會）中的壓軸峰會，技術峰會吸引了全球網絡安全技術愛好者的熱切關注。在今年峰會上，Forrester副總裁、集團研究總監Laura Koetzle（勞拉·科茨勒），北京賽博英杰科技有限公司董事長譚曉生，Kryptos Logic 高級威脅情報分析師與惡意軟件研究員，WannaCry破解者Marcus Hutchins（馬庫斯·哈欽斯），復旦大學計算機科學技術學院副院長楊珉，美國俄克拉荷馬大學助理副校長、講席教授 David S. Ebert（大衛·伊爾伯特），北京大學大數據分析與應用技術國家工程實驗室常務副主任袁曉如，螞蟻集團副總裁韋韜，清華大學-奇安信集團聯合研究中心主任段海新等發表了主題演講。安全牛總編輯、國際信息系統審計協會（ISACA）中國專家委員會副主席陳偉作為主持人出席了技術峰會。

勒索病毒、供應鏈攻擊，威脅側的變化莫測

2021年似乎一開始就是不平靜的一年，在全球網絡安全領域也充滿了變化和挑戰。從去年年底SolarWinds供應鏈攻擊事件開始，有兩個關鍵詞一直充斥著人們的眼球，一個是供應鏈攻擊，另一個是勒索攻擊。值得關注的是，奇安信威脅情報中心已監測到多起安全公司被入侵造成的供應鏈攻擊事件。

甚至，這二者開始出現了結合。今年7月2日，企業管理軟件供應商Kaseya被曝出旗下產品KASEYA VSA軟件存在漏洞，已被REvil黑客勒索組織利用攻擊，并造成其大量客戶因此關閉服務。

“他們并不在乎黑進了哪家公司，他們只在乎能夠花費最少的代價獲取最多的收益。” 勞拉·科茨勒在演講中一語道出了供應鏈攻擊流行的原因，由于攻擊目標往往處于供應鏈的上游，因此通常具備“攻其一點，傷及一片”的特點，尤其是攻擊那些使用較為廣泛的軟硬件產品。

勞拉·科茨勒說，SolarWinds事件告訴我們，不要覺得供應鏈攻擊離你很遠，即便你不知名，但如果你有很多知名的客戶，你依然具備極高的攻擊價值。并且，攻擊者為了達成攻擊目標，通常會在目標中潛伏很長的時間，從而植入惡意代碼。為了應對這種攻擊方式，組織機構應該嘗試使用零信任架構，用于將每一次訪問的安全風險降至最低，同時應當建立軟件資產清單，便于清晰掌握軟件供應鏈所面臨的風險，即便發生攻擊，也能在最短時間內做出正確的響應。

但遺憾的是，大多數組織機構并沒有明確掌握他們所使用的軟件面臨的風險，尤其是在引入開源軟件的時候。由于開源軟件使用的廣泛性，給了大量攻擊者以可乘之機。

根據奇安信發布的《2021中國軟件供應鏈安全分析報告》顯示，在奇安信代碼安全實驗室分析的2557個國內企業軟件項目中，平均每個軟件項目存在66個已知開源軟件漏洞，最多的軟件項目存在1200個已知開源軟件漏洞。其中，存在已知開源軟件漏洞的項目占比高達89.2%；存在已知高危開源軟件漏洞的項目占比為80.6%；存在已知超危開源軟件漏洞的項目占比為70.5%。

“多項開源組件受到高危漏洞影響、松散的開源社區管理難以有效推動漏洞修復以及開源代碼的漏洞補丁部署狀況混亂，是造成開源代碼面臨的漏洞威脅巨大三個主要原因。”楊珉解釋到，“面對這些不足，我們希望通過挖掘開源組件漏洞、增強開源漏洞信息以及評估漏洞補丁狀態等方面的工作去解決，盡管在這個過程中我們遇到了漏洞挖掘效率低、漏洞庫信息不完整、補丁部署管理混亂等方面的困難。”

當然，飽受漏洞問題困擾的絕非只有普通的開源軟件或者其他商業軟件，互聯網核心協議的漏洞問題同樣不可小覷，由于使用更為廣泛，其危害性甚至更加巨大，2014年曝出的OpenSSL心臟滴血漏洞仿佛就在昨日。

“互聯網基礎協議的小問題常是互聯網的大問題。” 清華大學–奇安信集團聯合研究中心主任段海新強調，作為互聯網基礎協議領域的安全專家，段海新又一次在技術峰會上，分享了他在該領域的最新研究成果。他說：“經過長期的研究和攻防實踐，我們發現了互聯網基礎協議漏洞的一些顯著特征，基礎協議的漏洞影響范圍很廣，但想要運用自動化的方法來挖掘或者尋找漏洞卻十分困難。并且，這些互聯網協議漏洞絕大多數都是邏輯漏洞，甚至許多漏洞是多個系統組合在一起才出現的，需要多個系統組合在一起才能發現。”

與此同時，作為近年來威脅側的另外一個“明星”，勒索病毒也一直保持著很高的活躍度，甚至是觸發企業應急響應流程的最主要威脅。“勒索軟件通常不再侵擾消費者系統，而是企圖感染整個企業網絡。”馬庫斯·哈欽斯介紹了近年來勒索病毒攻擊的變化趨勢。這主要是因為感染一家企業，要比同時感染數十萬臺設備要容易得多，并且相對個人消費者而言，企業支付贖金的意愿更強。馬庫斯·哈欽斯強調，勒索病毒的防范不僅僅是一個技術問題，僅靠提高安全性、增加安全預算是無法解決的，需要在金融、法律以及網絡安全等領域開展多方合作。

AI可視化與平行切面，防護側的技術變革

魔高一尺，道高一丈。奇安信集團董事長齊向東在26日戰略峰會上談到，只有煞費苦心地經營安全系統，才能保障經營活動安全運轉。經營安全是對網絡安全的動態掌控，只有讓安全能力動起來，不斷循環升級，才能破解復雜難題。

對于網絡安全技術的發展趨勢，譚曉生針對端點安全、網絡安全、應用安全等網絡安全所有技術領域，展開了非常深入細致的分析。從防火墻到下一代防火墻、從IPDS到NTA和NDR、從SD-WAN再到SASE，以及安全管理和安全服務，推動了整個網絡安全防護水平向前發展。

在所有用于網絡安全的技術中，機器學習、可視化與平行切面等技術的應用，逐漸走進了大眾的視野。

大衛·伊爾伯特表示，盡管深度學習已經在很多領域取得了成功，但它不是萬能的靈丹妙藥，目前也還沒能最大化發揮它的價值，因此很多人都認為深度學習遠比現在大有可為。他說，人們需要創造可視分析、可視化和人機協同決策環境，來幫助大眾充分利用現有的所有數據源，并且把垂直領域的知識整合到可視分析系統中，改進分析流程，并且基于數據和先進分析，做出更高效的決策。

袁曉如也表達了這樣的觀點。他認為，智能新時代的可視分析是溝通數據、人與社會的橋梁。雖然機器初步具有分析、預測能力，但人類在復雜事物認知、常識和創意的能力機器不能匹敵。他通過情報文本報告、輿情傳播以及與奇安信團隊合作的媒體新聞轉載分析等可視化案例，指出通過設計有針對性的可視化界面，把人和機器結合起來，可以大大提高人類的知識認知能力。安全領域面臨復雜的博弈，可視分析可以更好地幫助決策者理解復雜的數據場景，作出相應的對策。大數據、人工智能和計算能力是計算機科學拉動社會前進的三架馬車，可視化可以幫助人類更好的駕馭計算和數據。

同樣是與數據打交道，數據治理在擁有海量數據的今天顯得更加重要。隨著網絡安全與數據安全逐漸深入到業務本身，數據安全治理與日常業務的開展經常會出現沖突。如果有一個平行空間，能夠讓業務部署維度與安全部署維度做到正交融合——兩者既能融合為一體，又能獨立解耦，各自獨立發展，對于安全行業的發展來說將會是一個重要變革。

“安全平行切面體系（安全切面）是一個安全基礎設施，通過嵌入在端管云內部的各層次切點使得安全管控與業務邏輯解耦，并通過標準化的接口為安全業務提供內視和干預能力。”韋韜給出了安全切面的概念。能夠預見的是，在數據爆炸的DT時代，安全平行切面體系的引入，能夠有效推動數據感知覆蓋、數據鏈路血緣高精度分析上產生新的突破，以解決數據治理面臨的精確度、覆蓋度、保鮮度等深水區的嚴峻挑戰，并且在App隱私管控、數據分類分級、數據主體確權以及數據輸出防泄露等數據治理關鍵工作中起到重要作用。

BCS2021由奇安信集團會同中國電子信息產業集團有限公司、中國互聯網協會、中國網絡空間安全協會、中國密碼學會、全國工商聯大數據運維(網絡安全)委員會、中國通信學會、中國友誼促進會主辦，注重打通戰略、產業、技術界限，對接需要與供給兩側，打造政、產、企、智、學、用多方參與的交流合作平臺。經過數屆的成功舉辦，BCS大會已成為立足北京、輻射全球的國際交流平臺，代表了中國網絡安全高水平和前沿聲音，每年提出最新觀點成為產業發展的風向標。