行業(yè)動態(tài)

從網絡攻防視角,重塑漏洞平臺的價值

來源:聚銘網絡    發(fā)布時間:2019-11-12    瀏覽次數:
 

信息來源:4hou

伴隨人工智能、5G、物聯網、大數據、云計算等技術的發(fā)展與應用,全球互聯網迎“百年未有之”的蓬勃發(fā)展大局。與之對應,網絡安全也面臨著亙古未有的巨大威脅。尤其面對“網絡戰(zhàn)”硝煙四起的2019年,智庫認為:網絡安全早已從傳統(tǒng)的“合規(guī)防御”形式演變成高級別的“攻防對抗”視角。在“攻防對抗”的安全本質中,漏洞以“致命軍火武器”之姿成為其核心??梢哉f,要想迅速崛起成為網絡世界強國,贏得第五維空間戰(zhàn)場的勝利,就必須擁有對這一“致命軍火”——高危漏洞的掌握能力。然而,以往事件型漏洞平臺已不能抵御新威脅,一場重塑漏洞平臺價值的改革呼之欲出,聚焦開源及通用組件高危及以上尚未被披露的漏洞平臺被推向時代浪潮的尖端。

見血封喉,高級黑客威脅不會給防御者反應時間

在探討漏洞平臺前,我們先看看當今,我們正處在一個什么樣的網絡環(huán)境中:

上個星期,印度庫丹庫拉姆核電站(Kudankulam)被官方證實已遭受朝鮮政府資助的拉撒路(Lazarus)小組(又名APT-C-26)的網絡攻擊;上個月伊朗煉油廠遭遇大火,疑似為美國對其發(fā)動的秘密網絡攻擊;7月,微軟Outlook客戶端爆出高危漏洞,全部主流Outlook版本均被影響,危及全球使用者;5月,全球排名前三的安全廠商悉數被黑客組織Fxmsp攻破,源代碼遭到泄漏;3月,美國被指利用工控系統(tǒng)漏洞植入惡意軟件,向委內瑞拉電力系統(tǒng)發(fā)動攻擊,致使委全國遭遇“大斷電”至暗危機。

時間線再向前移,2017年,勒索軟件Wannacry攜“永恒之藍”席卷全球,這次黑客對微軟操作系統(tǒng)中高危漏洞的成功利用,創(chuàng)下“漏洞軍火”民用化的先例。而最為經典的案例則是名噪天下的“震網病毒”的5個在野0day,它成功令伊朗驕傲的“核計劃”化為一紙空談。

國家級網絡攻擊頻繁打響,石油、電力、能源等關鍵基礎設施成為對手攻擊和滲透的主要目標;同時,高危漏洞的爆出,讓網絡攻擊蠕蟲般地肆虐全球,讓人類網絡安全陷入“毀滅級”打擊的陰霾里。一旦網絡攻擊發(fā)起,便要見血封喉,從不會給防御者任何反應時間。

而這,就是我們當今所處的網絡空間時代。

在這個“網絡空間時代里”交火看似風平浪靜,但確實發(fā)生在流動的代碼和字節(jié)中。它會以堪比核武器、生化武器的威力,對全球基礎設施和各國正常生產、生活造成嚴重破壞。所以,與傳統(tǒng)的網絡安全相比,新網絡空間時代的內涵和外延正不斷擴大,并向網絡空間安全全面升級。緊跟這種演進,我們也必須從更高的維度、更廣的視角來審視網絡安全問題。而這就需要從傳統(tǒng)的“合規(guī)防御”視角轉向高級別的“攻防對抗”上來。

網絡“攻防對抗”大幕已開,事件型漏洞平臺難抵新威脅

可以說,在這個新網絡空間時代里,波瀾壯闊的“攻防對抗”早已拉開。高級網絡威脅,這把高懸的達摩克利斯之劍似乎隨時都會掉落下來。

網絡安全的本質是攻防對抗。而漏洞則以“致命軍火武器”之姿毫無懸念的成為這場攻防對抗的核心,成為攻防對抗中最為重要的戰(zhàn)略資源。

然而,未知攻,焉能知防。所以,面對這一“致命軍火武器”,漏洞收錄平臺顯得越發(fā)重要。它是與黑客爭分奪秒的“中樞神經”,它力爭趕在黑客利用漏洞發(fā)動攻擊之前,收錄它并將其制止在“罪惡的萌芽”里;它是防御外敵入侵的第一道屏障;也是國家重要的軍事儲備力量;它還能在國與國第五維空間戰(zhàn)場的復合博弈中,起到軍事威懾他國的重要作用。

然而,值得注意的是,漏洞平臺也有“天”、“壤”之分。智庫發(fā)現,目前市面上仍多為傳統(tǒng)的事件型漏洞響應平臺。而這些平臺有其固有的弊端:

01 漏洞影響僅局限于某范圍內,不具備通用型

顧名思義,事件型漏洞平臺收錄的是某一個具體網站或應用的漏洞。攻擊具有唯一性。但由于兩個網站的架構可能不同,對A網站的攻擊通常不適用于B網站,對B網站的攻擊也不能應用到A網站上。因此,對于漏洞平臺來講,即使接收了A漏洞,僅是為A網站做好了防御,但不代表B網站也變得安全。

02 接收漏洞良莠不齊,芝麻大小漏洞也被收錄

大多數事件型漏洞平臺,收錄的標準是某一“事件”,而不是根據漏洞攻擊力度與影響范圍來收錄,以至于像反射型 DOM-XSS、輕微信息泄露漏洞這等“芝麻大小的”漏洞也會被收錄在內,但它于國家級攻防對抗的高危漏洞而言簡直是輕如鵝毛。

03 追求漏洞數量,但數量不等于質量

仍以上面案例繼續(xù)展開,因為針對A網站與B網站的攻擊,不具有共通性,所以就被看作為兩個漏洞。但由于每一個漏洞的影響力僅局限在一個范圍內,攻擊范圍相對有限,再加上“芝麻大小”的漏洞也會被收錄,導致事件型漏洞平臺的數量看起來非常之多,但實際上并沒有什么用。

顯然,在今天日趨復雜的網絡攻防對抗面前,在網絡空間安全持續(xù)升維的當下,以“事件型”為代表的漏洞平臺,已不能應對高級威脅攻擊的持續(xù)加碼。同時,若再單純的以數量評定一個漏洞平臺的價值高低,也稍顯“淺薄”,漏洞平臺的數量不等于質量。所以,智庫認為重塑“漏洞平臺價值”也變得勢在必行。

重塑漏洞平臺價值,聚焦接收開源及通用組件漏洞

那么,重塑漏洞平臺價值的第一要義:就是告別傳統(tǒng)的以事件型漏洞收錄為主導,打破任何一個“芝麻大小”的漏洞也接收的“魚龍混雜”局面,而轉向更高級別漏洞的收錄,轉向能與國家級網絡攻防對抗相匹敵的漏洞。

因為針對開源軟件的攻擊利用,沒有哪一個國家或企業(yè)能獨善其身;也因為數量不等于質量,在野0day漏洞的爆發(fā)力足以撼動一個國家的根基。

所以,重塑漏洞平臺價值的核心就是要認清:聚焦接收開源及通用組件的漏洞響應平臺,即對0day漏洞和1day漏洞收錄的重要性。

01 針對開源通用型漏洞的收錄

據了解,全球十幾億的設備都安裝有開源軟件,它們可能是直接使用原生的開源軟件,也可能是基于開源軟件版本,本身進行二次開發(fā)的軟件,一旦某個通用型開源漏洞被利用來攻破網絡,頃刻間它能影響世界上數億萬設備。

這里有個典型的案例:2014年4月,“心臟滴血”漏洞橫空出世,并在互聯網界引發(fā)了腥風血雨。這個漏洞被曝光的黑客命名為“heartbleed”,意思是“心臟滴血”——代表著最致命的內傷。這是一個加密程序庫OpenSSL的安全漏洞。其中,OpenSSL 里存在的致命漏洞——SSL加密是通過開源方式實現的。由于OpenSSL被廣泛使用在Web服務器、郵件協議、通訊協議中,所以一時間受影響的用戶數量難以估計。同時,利用該漏洞,黑客坐在自家電腦前,就可以實時獲取到約30%https開頭網址的用戶登錄賬號密碼,包括大批網銀、購物網站、電子郵件等。據報道,該漏洞致使全球1/3網站核心數據被隨意掠奪。

不止于這個案例,可以說,每一個開源通用型漏洞都足以直接造成批量信息泄露,或直接威脅主機安全。

02 針對0day、1day漏洞的收錄

而提到0day漏洞的認知,這里就不得不再次提起名噪天下的“震網病毒”的5個在野0day。那一年,“震網”設計者精心構置了微軟操作系統(tǒng)中4個在野0day漏洞,并和工控系統(tǒng)的在野0day漏洞進行組合,以實現精準打擊、定向破壞。如此險惡又精密的源代碼設計,令“震網”擁有了與生俱來的極端毒性與破壞力。小小0day漏洞輕而易舉的摧毀了威力無比的“核”武器。

此外,這兩組案例也再次從攻擊廣度(漏洞影響范圍),以及攻擊深度(漏洞打擊力度)兩個層面完美的演繹了高價值漏洞給一個國家甚至全球帶來的破壞力與威懾力。

而縱觀國際上那些領跑行業(yè)的漏洞平臺如Zerodium,智庫發(fā)現它們聚焦在對開源通用型漏洞的收錄上,即0day漏洞或者1day漏洞的收錄。

國內首家開源漏洞響應平臺,360BugCloud嚴守攻防對抗的核心

回首國內,智庫發(fā)現,近期國內也上線了一家聚焦接收開源及通用組件的漏洞響應平臺——360BugCloud。

作為全國第一家開源漏洞響應平臺,該平臺致力于維護開源通用軟件安全,力爭打造以技術為驅動、以安全專家為核心,針對開源通用型高危漏洞進行安全研究及應急響應的組織與平臺。

據報道,僅上線第一周,平臺就收到來自全球超300個開源高危漏洞。每一個漏洞都足以直接造成批量信息泄露,或直接威脅主機安全。據初步統(tǒng)計,這批漏洞的提交成功守護了上千萬終端,其中包括建站系統(tǒng)類511萬,框架插件類322萬,客戶端軟件201萬等,涉及政府、企、事業(yè)等上百余家單位,覆蓋能源、金融、交通、醫(yī)療、電信、教育眾多關鍵行業(yè)領域,挽救了全球數億的價值損失,共同維護了開源軟件及社區(qū)平臺的安全。

在這個“攻防對抗戰(zhàn)”早已打響的時代下,要想迅速崛起成為網絡世界強國,贏得第五維空間戰(zhàn)場的勝利,就必須擁有對這一“致命軍火”——高危漏洞的掌握能力。這已是近年來諸多國家級網絡對抗中最為直觀的事實。

所以,智庫今天主張重塑漏洞平臺價值,就是希望引發(fā)網絡安全從業(yè)者對開源通用型漏洞,以及0day、1day漏洞的高度重視。此外,智庫也期望與全球的安全專家攜手共建網絡安全新生態(tài),共創(chuàng)21世紀第五維戰(zhàn)略空間新紀元,真正實現“協作無界,讓世界走在威脅之前”。

 
 

上一篇:2020年信息安全 AI在系統(tǒng)中廣泛涌現

下一篇:數據庫安全能力:安全威脅TOP5