专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

阿里安全专家:安全行业须打造“标尺”发展核心安全技术
2020-12-24 17:24:41 来源:网络 作者:【
关键词:阿里安全
 
5G发展走入快车道,带动IoT(物联网)快速发展,将为消费、交通运输、生产制造、教育、医疗等各方面的数字化改造提供信息互联的硬核技术支持。在数字经济发展的机遇下,一边是海量增加的的数字化基础设备,一方面是可能存在的应用风险,安全如何保障

  5G发展走入快车道,带动IoT(物联网)快速发展,将为消费、交通运输、生产制造、教育、医疗等各方面的数字化改造提供信息互联的硬核技术支持。在数字经济发展的机遇下,一边是海量增加的的数字化基础设备,一方面是可能存在的应用风险,安全如何保障?

  业内专家指出,在数字基建的安全保障方面,目前整个安全行业还没有衡量安全技术能力的“尺子”。

  昨日,阿里安全资深安全专家杭特在接受媒体采访时提到,目前很多安全从业者专注于各类破解赛、夺旗赛、厂商漏洞贡献排行榜等活动,这固然能衡量一些公司或个人的水平,但距离形成可沉淀的安全技术能力还不可相提并论,“这些比赛成绩不能真正作为衡量核心安全技术能力的那把‘尺子’。”

  杭特建议,整个安全行业须从源头建立安全“标尺”,对核心安全技术进行定义和评级,让核心技术能力可沉淀、可复制、可度量,尤其要发展那些高效自动化的核心安全技术,从源头推动数字经济整体安全水位的提升。

  “人肉战术”无法解决海量威胁

  物联网设备数量将达到千亿甚至万亿级,从x86的windows/linux/mac、arm的iOS/Android,再到各种体系结构的传感器及自研软硬件系统,各类系统的差异性很大。诸多差异的物联网设备系统被成千上万安全能力不高的开发者,依靠大量复用开源软件供应链和少量自研软件创造出来,面临着潜在安全威胁。

  一是开发过程的安全难以保障,再者系统差异性大,安全研究人员面对纷杂的系统,要想研究其安全,依靠手工分析,安全成本和运营成本都相当高。

  杭特介绍,这些系统的安全短板并不在硬核的高技巧漏洞(10分),而是不起眼的低级漏洞(3-6分),但低级漏洞并不意味着能被快速、低成本发现。他与安全从业者交流时,常遇到有人说“我们团队有XX个国际顶级白帽黑客,屡获大奖的那种,搞定这些小漏洞还不是很轻松”,但把那些五花八门的对象列表和具体设备推到对方面前,“比赛专家”却屡屡陷入沉默。他们的心里话一般是“这些以前没弄过,学习需要成本,数量还那么多”。而黑客却能因运气或者专一,顺利突破这些系统。

不是安全人员挖不出有用的漏洞,而是人肉挖掘在规模化对象面前,天花板太低、成本太高。同样,个人能力再强,面对海量的设备,个人的力量仍是渺小的,这也是杭特强调当前夺旗赛、破解赛、漏洞贡献排行榜并不能真正衡量安全技术能力,无法作为安全技术“标尺”,真正解决实际安全问题的原因。

  因此,他建议,保障数字经济的安全,迫切需要建立一套明晰的安全“标尺”,尤其要发展高效自动化的核心技术,应对海量安全威胁。

  滴滴出行安全专家杨军锋对该建议表示认同。他指出,大部分企业面对的都是没什么技术含量的攻击,高级攻击占比可能不到5%,低端威胁造成高昂的运营成本,自动化技术绝对是出路。

  打造“标尺” 发展核心安全技术

  要想建立安全技术的“标尺”,首先要解决的是对“核心安全技术”的定义。杭特曾心痛地揭开网络安全行业的“怪现象”:网络安全行业现在看起来欣欣向荣,但关键性技术能力积累却不容乐观,有的奉行拿来主义,有的靠人肉运维,有的靠蹭流行技术热点,有的在产品上做面子工程。

  如何评判出真正的核心安全技术?他提出,核心技术必须可沉淀、可复制、可度量。

  因此,灵光一现的技术不算核心技术。这类技术只能算一种技巧,一旦公开会被迅速复制,缺乏竞争门槛。除非能在某个领域积累数十上百个的“发现”,且这些发现能被“保密”很久。

  不能应用于广泛目标的安全技术也不是核心技术。如果应用目标非常狭窄,一旦目标消失,则该技术将无用武之地。而且,要区分“技术领先”究竟是因为提前占领了赛道,关注的人较少,还是真正具有技术含量。

  不能规模化、自动化的技术不是核心技术。杭特提出,单纯靠人力无法解决未来的海量威胁,攻防技术顶尖的“人才”,如果能把能力固化到“有你没你区别不大”,那么沉淀出来的技术才是核心技术。

不能数值化衡量的技术也不是核心技术。他认为,这代表着技术演进的方向和进度,是安全技术领域不能繁荣发展的根本原因。核心技术一般都需要大量资源和时间来积累,能力的提升需要在数值上看到与最终目标“差距的缩小”。

  杭特建议,必须依靠产、学、研联动,圈定方向,制定核心安全技术“尺子”。只有有了技术“尺子”,才可以明晰工业界核心技术的演进方向。很多核心技术是工业界的痛点,但这些痛点学界未必清楚。

  通过“尺子”可以让产学研在核心技术方向、相应的挑战上达成共识,便于形成合力发展。“尺子”还可以统一产、学、研的沟通语言及交付标准。“尺子”即交付验收的标准指标,避免合作过程中“鸡同鸭讲”,一方提业务指标,一方提技术指标。

  图示:以安全细分技术模糊测试Fuzzing的“尺子”为例,不同的列代表不同的技术层级,等级越高,难度越大。level1最简单,level10最困难,不同行代表不同的细分技术挑战。

  今年3月,阿里发布数字基建的新一代安全架构,核心理念就是从源头构筑安全,确保数字经济实体在建设之初就运行在较高安全基线上。

  数字经济才刚刚开始,5G+万物互联时代可见的安全风险只是冰山一角,对安全技术的挑战会越来越大。杭特认为,如果业界在安全核心技术上不够清醒,对“可沉淀、可复制、可度量”的能力投入不够,无论继续主搞“人肉战术”,未来无论是应对风险管控还是可能的网络战,我们都无法交出令人满意的答卷。

  “当我们的尺子造好,核心技术发展好,安全新基建的原子能力将进一步放大,通过乘法效应将安全业务提升到更高的水位,真正保卫数字经济。”他强调道。

      

责任编辑:admin

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇没有了
下一篇派拓网络预测2021年网络安全:个..

热门文章

图片主题

最新文章

相关文章

广告位


Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
  全国服务电话:010-69397252
  京ICP备05067673号-1 京公网安1101111101259