阿里安全专家：安全行业须打造“标尺”发展核心安全技术 - 新闻

TOP

阿里安全专家：安全行业须打造“标尺”发展核心安全技术

2020-12-24 17:24:41 来源:网络作者:【大中小】
关键词：阿里安全

5G发展走入快车道，带动IoT（物联网）快速发展，将为消费、交通运输、生产制造、教育、医疗等各方面的数字化改造提供信息互联的硬核技术支持。在数字经济发展的机遇下，一边是海量增加的的数字化基础设备，一方面是可能存在的应用风险，安全如何保障

　　5G发展走入快车道，带动IoT（物联网）快速发展，将为消费、交通运输、生产制造、教育、医疗等各方面的数字化改造提供信息互联的硬核技术支持。在数字经济发展的机遇下，一边是海量增加的的数字化基础设备，一方面是可能存在的应用风险，安全如何保障？

　　业内专家指出，在数字基建的安全保障方面，目前整个安全行业还没有衡量安全技术能力的“尺子”。

　　昨日，阿里安全资深安全专家杭特在接受媒体采访时提到，目前很多安全从业者专注于各类破解赛、夺旗赛、厂商漏洞贡献排行榜等活动，这固然能衡量一些公司或个人的水平，但距离形成可沉淀的安全技术能力还不可相提并论，“这些比赛成绩不能真正作为衡量核心安全技术能力的那把‘尺子’。”

　　杭特建议，整个安全行业须从源头建立安全“标尺”，对核心安全技术进行定义和评级，让核心技术能力可沉淀、可复制、可度量，尤其要发展那些高效自动化的核心安全技术，从源头推动数字经济整体安全水位的提升。

　　“人肉战术”无法解决海量威胁

　　物联网设备数量将达到千亿甚至万亿级，从x86的windows/linux/mac、arm的iOS/Android，再到各种体系结构的传感器及自研软硬件系统，各类系统的差异性很大。诸多差异的物联网设备系统被成千上万安全能力不高的开发者，依靠大量复用开源软件供应链和少量自研软件创造出来，面临着潜在安全威胁。

　　一是开发过程的安全难以保障，再者系统差异性大，安全研究人员面对纷杂的系统，要想研究其安全，依靠手工分析，安全成本和运营成本都相当高。

　　杭特介绍，这些系统的安全短板并不在硬核的高技巧漏洞（10分），而是不起眼的低级漏洞（3-6分），但低级漏洞并不意味着能被快速、低成本发现。他与安全从业者交流时，常遇到有人说“我们团队有XX个国际顶级白帽黑客，屡获大奖的那种，搞定这些小漏洞还不是很轻松”，但把那些五花八门的对象列表和具体设备推到对方面前，“比赛专家”却屡屡陷入沉默。他们的心里话一般是“这些以前没弄过，学习需要成本，数量还那么多”。而黑客却能因运气或者专一，顺利突破这些系统。

不是安全人员挖不出有用的漏洞，而是人肉挖掘在规模化对象面前，天花板太低、成本太高。同样，个人能力再强，面对海量的设备，个人的力量仍是渺小的，这也是杭特强调当前夺旗赛、破解赛、漏洞贡献排行榜并不能真正衡量安全技术能力，无法作为安全技术“标尺”，真正解决实际安全问题的原因。

　　因此，他建议，保障数字经济的安全，迫切需要建立一套明晰的安全“标尺”，尤其要发展高效自动化的核心技术，应对海量安全威胁。

　　滴滴出行安全专家杨军锋对该建议表示认同。他指出，大部分企业面对的都是没什么技术含量的攻击，高级攻击占比可能不到5%，低端威胁造成高昂的运营成本，自动化技术绝对是出路。

　　打造“标尺” 发展核心安全技术

　　要想建立安全技术的“标尺”，首先要解决的是对“核心安全技术”的定义。杭特曾心痛地揭开网络安全行业的“怪现象”：网络安全行业现在看起来欣欣向荣，但关键性技术能力积累却不容乐观，有的奉行拿来主义，有的靠人肉运维，有的靠蹭流行技术热点，有的在产品上做面子工程。

　　如何评判出真正的核心安全技术？他提出，核心技术必须可沉淀、可复制、可度量。

　　因此，灵光一现的技术不算核心技术。这类技术只能算一种技巧，一旦公开会被迅速复制，缺乏竞争门槛。除非能在某个领域积累数十上百个的“发现”，且这些发现能被“保密”很久。

　　不能应用于广泛目标的安全技术也不是核心技术。如果应用目标非常狭窄，一旦目标消失，则该技术将无用武之地。而且，要区分“技术领先”究竟是因为提前占领了赛道，关注的人较少，还是真正具有技术含量。

　　不能规模化、自动化的技术不是核心技术。杭特提出，单纯靠人力无法解决未来的海量威胁，攻防技术顶尖的“人才”，如果能把能力固化到“有你没你区别不大”，那么沉淀出来的技术才是核心技术。

不能数值化衡量的技术也不是核心技术。他认为，这代表着技术演进的方向和进度，是安全技术领域不能繁荣发展的根本原因。核心技术一般都需要大量资源和时间来积累，能力的提升需要在数值上看到与最终目标“差距的缩小”。

　　杭特建议，必须依靠产、学、研联动，圈定方向，制定核心安全技术“尺子”。只有有了技术“尺子”，才可以明晰工业界核心技术的演进方向。很多核心技术是工业界的痛点，但这些痛点学界未必清楚。

　　通过“尺子”可以让产学研在核心技术方向、相应的挑战上达成共识，便于形成合力发展。“尺子”还可以统一产、学、研的沟通语言及交付标准。“尺子”即交付验收的标准指标，避免合作过程中“鸡同鸭讲”，一方提业务指标，一方提技术指标。

　　图示：以安全细分技术模糊测试Fuzzing的“尺子”为例，不同的列代表不同的技术层级，等级越高，难度越大。level1最简单，level10最困难，不同行代表不同的细分技术挑战。

　　今年3月，阿里发布数字基建的新一代安全架构，核心理念就是从源头构筑安全，确保数字经济实体在建设之初就运行在较高安全基线上。

　　数字经济才刚刚开始，5G+万物互联时代可见的安全风险只是冰山一角，对安全技术的挑战会越来越大。杭特认为，如果业界在安全核心技术上不够清醒，对“可沉淀、可复制、可度量”的能力投入不够，无论继续主搞“人肉战术”，未来无论是应对风险管控还是可能的网络战，我们都无法交出令人满意的答卷。

　　“当我们的尺子造好，核心技术发展好，安全新基建的原子能力将进一步放大，通过乘法效应将安全业务提升到更高的水位，真正保卫数字经济。”他强调道。

责任编辑：admin

免责声明：以上内容转载互联网平台或企业单位自行提供，对内容的真实性、准确性和合法性不负责，Voipchina网对此不承担任何法律责任。

【大中小】【打印】【繁体】【投稿】【收藏】【推荐】【举报】【评论】【关闭】【返回顶部】

上一篇：亚信安全发布《2021年度网络安全..

下一篇：派拓网络预测2021年网络安全：个..

资料索取

网友评论