7月13日,2022北京網絡安全大會(BCS2022)正式啟幕。作為中國網絡安全高水平和前沿聲音,每年一度的BCS大會都匯聚了全球智庫學者、網絡安全行業領袖、頂級技術專家,共同探討最前沿的網絡安全問題,分享最新的技術動向和成果。北京賽博昆侖科技有限公司創始人兼CEO鄭文彬出席安全戰略峰會,以“數字安全的基礎設施用漏洞來驅動量化安全”為題,分享了自己對網絡安全新的觀點。
2021年1月,在全球網絡安全領域享有盛譽的“技術大神”鄭文彬(MJ),創立了北京賽博昆侖科技有限公司(以下簡稱“賽博昆侖”),開啟了自己的創業之路。今年,已經是鄭文彬創業后第二次出席BCS并發表演講。
在演講中,鄭文彬首先明確了“量化安全”的概念。他認為“量化”與“可測量”是人類在科學探索過程中一個非常重要的工具。具體到網絡安全領域,“量化安全”并非新概念,美國安全戰略公司MITRE在將近20年前,就已經提出“可測量安全”的概念,并提出了枚舉、語言、庫等用于量化和測量安全的工具。
鄭文彬認為,截至目前,“安全”仍然停留在“定性”的階段,而“定性”只是“定量”的前提,如何“定量”,目前仍然缺乏標準。這關系到在攻防演練、滲透測試,以及真實的黑客攻擊中,安全架構是否被攻破,能否被用于判斷其價值等實際問題。
鄭文彬表示,“安全”有點像打疫苗,在起到防范作用的同時,也會為廠商的性能、穩定性、兼容性等方面帶來問題。而如果沒有好的方式來評估安全能夠帶來多大的正向價值,也就無法以合理方式,消解“副作用”帶來的負面價值。
同時,定性安全還牽涉到責任問題。例如在很多0DAY漏洞攻擊事件中,一些高危漏洞及水下0DAY漏洞幾乎是無解的,防護再強或軟件安全做的再好也會被攻破,所以做防護是否還有意義?鄭文彬認為,這主要是由于更多從“定性”角度思考問題導致的,將“安全”變成了“非此即彼”的問題,體現了“定性思維”的弊端。
鄭文彬說,中國擁有頂級的安全攻防能力,但卻很難擁有與之匹配的安全產品,這就是由于定性結果無法轉換成定量的結果,而安全產品所需要的,事實是“定量”。從目前來看,網絡安全面臨的問題只剩下了0DAY漏洞,除此之外,其他問題已經解決好了,所以解決0DAY漏洞威脅就成了當務之急。國內雖擁有超強攻防能力,但技術能力只能轉換成“定性結果”,即只能做攻擊,缺乏定量的標準與具體落實。
鄭文彬表示,制定“定量標準”,首先要統一衡量尺度,要有很強的可比性,可輕易分辨哪個方法“更好”,或者“差多少”。在這個問題上,漏洞無疑是非常好的“一般等價物”,可用于評估基礎設施,作為標準化量化的衡量工具。漏洞是攻防的起點,也是貫穿整個攻擊鏈始終的核心突破點。同時,在漏洞攻防領域,本來已經擁有非常好的枚舉與描述,如CVE和CVSS等,經歷了幾十年的應用,發展已很成熟,但也同樣存在問題。
鄭文彬舉了一個2021年修復0DAY漏洞時的例子:雖然一些漏洞的CVSS號數字差不多,但真實的危險系數卻不盡相同。有些漏洞就很容易被利用,而有些同樣CVSS數列數很高的漏洞,卻很難被利用,威脅程度完全不一樣。目前來說,CVSS只關注修復覆蓋度,區間度太少,會導致忽略緩解和攻擊利用的問題。
對此,鄭文彬提出,應制定更科學的方法,評估漏洞和攻擊的量化標準,衡量整體安全效果。目前,業界已有一些廠家提出了類似觀點,并做出了一些嘗試。如Google Project Zero的 0DAY In the wild項目,會收集全球范圍內被使用的0DAY漏洞,通過深度分析,告訴大家如何評估安全程度。而ATT&CK,ATT&CK等公司,以及一些攻防演練如Pwn Games等,也在從“量化”角度衡量攻擊、防守的實踐效果。但是,目前的這些嘗試仍然存在局限性,如Project Zero更專注0DAY漏洞,而對于NDAY漏洞等其他安全威脅很難覆蓋。ATT&CK則更多關注攻擊后期,對于漏洞的起點和突破點比較忽視。而攻防演練和Pwn比賽,可歸類為實戰型驗證方式,對于推進安全生態幫助很大,但更多是短時間單側攻防,并不代表未來的長期狀態。安全,重在日常,很多高級攻擊往往會持續進行,業界仍然需要更加持久化、常態化評測的手段。
在演講的最后,鄭文彬表示,安全界需要“量化”標準,從技術角度來說,希望把技術實力轉化為更可量化的安全價值。他說,賽博昆侖和旗下的安全研究團隊“昆侖實驗室”正致力于把漏洞價值轉化為具體實踐,目前正在推“量化安全情報”、“實戰利用評估與緩解”,以及“量化安全情報門戶社區”。賽博昆侖希望與業界公司一道,打造更為普適性的測量標準,以綜合評估漏洞的利用難度、攻擊危害,提升整體網絡安全的效果。
