2021年,網絡空間安全技術不斷更新發展,呈現出創新活躍的態勢。以零信任、人工智能、量子技術和太空技術等為代表的新興網絡安全技術在網絡安全領域的發展前景受到世人重點關注。數字時代下,基于邊界構建的傳統安全防護正被零信任所取代,零信任逐漸成為數字時代主流的網絡安全架構。人工智能賦能網絡攻擊催生出更多精準化、智能化、自主化的網絡安全威脅。
零信任將成為數字時代主流的網絡安全架構
數字時代下,云大物移等新興技術的融合與發展使得傳統邊界安全防護理念逐漸失效,而零信任安全建立以身份為中心進行動態訪問控制,必將成為數字時代下主流的網絡安全架構。零信任是面向數字時代的新型安全防護理念,是一種以資源保護為核心的網絡安全范式。
零信任安全簡要歸納和概況:1)網絡無時無刻不處于危險的環境中;2)網絡中自始至終都存在外部或內部威脅;3)網絡位置不足以決定網絡的可信程度;4)所有的設備、用戶和網絡流量都應當經過認證和授權;5)安全策略必須是動態的,并基于盡可能多的數據源計算而來。因此零信任安全的核心思想是默認情況下企業內部和外部的所有人、事、物都是不可信的,需要基于認證和授權重構訪問控制的信任基礎。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的術語。經過近十年的探索,零信任的理論及實踐不斷完善,逐漸從概念發展成為主流的網絡安全技術架構。
數字時代下,舊式邊界安全防護逐漸失效。傳統的安全防護是以邊界為核心的,基于邊界構建的網絡安全解決方案相當于為企業構建了一條護城河,通過防護墻、VPN、UTM 及入侵防御檢測等安全產品的組合將安全攻擊阻擋在邊界之外。這種建設方式一定程度上默認內網是安全的,而目前我國多數政企仍然是圍繞邊界來構建安全防護體系,對于內網安全常常是缺失的,在日益頻繁的網絡攻防對抗中也暴露出弊端。而云大物移智等新興技術的應用使得 IT 基礎架構發生根本性變化,可擴展的混合 IT 環境已成為主流的系統運行環境,平臺、業務、用戶、終端呈現多樣化趨勢,傳統的物理網絡安全邊界消失,并帶來了更多的安全風險,舊式的邊界安全防護效果有限。面對日益復雜的網絡安全態勢,零信任構建的新型網絡安全架構被認為是數字時代下提升信息化系統和網絡整體安全性的有效方式,逐漸得到關注并應用,呈現出蓬勃發展的態勢。
人工智能賦能網絡攻擊催生新型網絡空間安全威脅
隨著人工智能技術的發展,攻擊者傾向于針對惡意代碼攻擊鏈的各個攻擊環節進行賦能,增強攻擊的精準性,提升攻擊的效率與成功率,有效突破網絡安全防護體系,對防御方造成重大損失。在惡意代碼生成構建方面,深度學習賦能惡意代碼生成相較傳統的惡意代碼生成具有明顯優勢,可大幅提升惡意代碼的免殺和生存能力。在惡意代碼攻擊釋放過程中,攻擊者可將深度學習模型作為實施攻擊的核心組件之一,利用深度學習中神經網絡分類器的分類功能,對攻擊目標進行精準識別與打擊。在 2018 年美國黑帽大會上,國際商業機器公司(IBM)研究院展示了一種人工智能賦能的惡意代碼 DeepLocker,借助卷積神經網絡(CNN)模型實現了對特定目標的精準定位與打擊,驗證了精準釋放惡意代碼威脅的技術可行性。目前,這類攻擊手法已被攻擊者應用于實際的高級持續性威脅攻擊,一旦繼續拓寬應用范圍,將難以實現對抗防范;如果將之與網絡攻擊武器結合,有可能提升戰斗力并造成嚴重威脅和破壞。
另一方面,隨著物聯網(IoT)的逐步普及、工控系統的廣泛互聯,直接暴露在網絡空間的聯網設備數量大幅增加。2016年Mirai IoT 僵尸網絡分布式拒絕服務攻擊(DDoS)事件表明,攻擊者正在利用多種手段控制海量 IoT 設備,將這些受感染的 IoT 設備組成僵尸網絡,發動大規模 DDoS 攻擊并可造成網絡阻塞和癱瘓。除了呈現大規模攻擊的典型特點之外,網絡攻擊者越發注重將人工智能技術應用于僵尸網絡攻擊,據此進化出智能化、自主化特征。
2021年全球威脅態勢預測表明,人工智能技術未來將大量應用在類似的蜂群網絡中,可使用數百萬個互連的設備集群來同步識別并應對不同的攻擊媒介,進而利用自我學習能力,以前所未有的規模對脆弱系統實施自主攻擊。這種蜂巢僵尸集群可進行智能協同,根據群體情報自主決策采取行動,無需僵尸網絡的控制端來發出命令;無中心的自主智能協同技術,使得僵尸網絡規模可突破命令控制通道的限制而成倍增長,顯著擴大了同時攻擊多個目標的能力。人工智能賦能的規模化、自主化主動攻擊,向傳統的僵尸網絡對抗提出了全新挑戰,催生了新型網絡空間安全威脅。
量子技術為網絡空間安全技術的發展注入新動力
目前,應對量子威脅的方法主要集中在發展量子密碼和后量子密碼這兩方面。量子密碼為提升信息安全保障能力提供了新思路。量子計算對傳統加密措施的影響源于其獨特的量子特性,如果發揮其正面功能,將這些特性用于構造信息加密算法,量子計算所帶來的威脅或許能輕松應對,這種基于量子力學原理保障信息安全的技術便是量子密碼(Quantum Cryptography)。1984 年 Charles Bennett 和 Gilles Brassard 提出了一個密鑰分發協議(BB84 協議),該協議為解決密碼學中的密鑰協商問題提供了一種全新的思路,其安全性建立在這樣的量子理論上:量子比特在傳輸過程中無法被準確復制,并且對發送量子態和接收量子態的比較,可以發現傳輸過程中是否存在的截取―測量等竊聽行為,進而能夠實現所謂的信息論意義上的安全。量子密鑰分發(QKD)作為量子密碼技術中目前最接近產業應用的一個方向,備受各方關注。在產品開發方面,瑞士 ID Quantique,東芝歐洲研究院,以及我國的國科量子、科大國盾、安徽問天等公司已有量子密鑰分發的相關產品問市。在戰略層面,2019 年 7月歐盟 10 國簽署量子通信基礎設施(QCI)聲明,探討未來十年在歐洲范圍內將量子信息技術整合到傳統通信基礎設施中,以確保加密通信系統免受網絡安全威脅。2020 年 6 月,以色列成立量子通信聯盟,重點研發改進量子密碼技術,并降低實現成本。2021年,日、韓等國也相應公布了戰略文件,并在 ITU-T 等標準開發平臺上開展標準化工作。
另一方面,后量子密碼是緩解量子威脅的重要手段。對于后量子密碼(PQC)算法,是指那些在大規模量子計算機出現后仍保持計算安全的密碼算法。這些算法的構造沒有采用量子力學的物理特性,而是延續傳統主流的計算上的可證安全研究方法。目前,后量子算法的研究重點是構造解決公鑰加密(密鑰建立)和簽名問題的非對稱算法,主要包括基于格、編碼、多變量多項式以及 Hash 函數等相關困難問題構造的密碼算法。這些問題已在傳統密碼學領域發展多年,其抵抗量子攻擊的復雜度假設是支撐后量子算法安全的基礎。目前還未出現兼顧安全性和效率的 PQC 算法,但是由于形式上 PQC 的部署主要涉及算法模塊的替換,相比 QKD 技術更為簡單實用,這種解決方案目前承載著更多期望。不過,PQC 的局限性也很突出。例如,PQC 算法模塊仍不可避免地存在側信道泄露問題;其次,由于無法排除未來出現的量子攻擊算法能進一步削弱基礎數學問題的困難性,導致 PQC 無法實現長期安全目標,不便用于特殊的保密場合。這點對對稱算法仍然適用。通常認為根據 Grover 算法的搜索復雜性將密鑰長度增加一倍即可抵抗量子攻擊,但這種理解不一定正確。盡管理論上不存在超越平方加速的非結構化搜索算法,但不排除后續仍會出現更好的根據對稱算法結構性缺陷的量子破解算法。因此,增大密鑰長度實現分組算法安全性的做法只能是權宜之計。在實際應用中選擇結合后量子算法和 QKD 技術來實現長期安全目標的做法比較可取,這點與歐洲標準組織ETSI 的策略一致。
“彈性太空”引領太空技術發展方向
美國軍方和智庫一致認為,美軍當前幾乎所有的作戰系統(包括:定位、導航、授時、偵察監視、測繪遙感、通信傳輸等)都高度依賴太空資源的關鍵支撐,隨著中俄不斷發展激光、地基、在軌、電子與網絡等反衛星武器,現有太空體系高度脆弱并面臨關鍵威脅和嚴峻挑戰,亟需發展致命性、彈性、有威懾力又低成本的軍事太空能力。“彈性太空”概念隨著美國太空戰略調整不斷豐富完善。2019年7月,美國太空發展局發布《下一代太空體系架構》,認為在大國競爭時代,“彈性、靈活性、敏捷性”是美國太空軍事化的發展趨勢,彈性太空是一個新方向。2021年4月,美國智庫“大西洋委員會”與斯考克羅夫特戰略與安全中心共同發布《太空安全的未來:未來30的美國戰略》研究報告,報告建議美國優先發展“作戰響應空間技術群、在軌服務技術群、新興防御技術群”等能夠提升未來太空體系彈性的關鍵技術。
“彈性太空”是美國太空戰略發展的新方向,其內涵隨著美國太空戰略調整而不斷豐富,具體體現為:分散式、擴散式、多樣化部署;體系能夠隨時分解、重組、重構、重建與自我修復;威脅全面感知與快速溯源反擊;高風險條件下持續支援其他域聯合作戰。在“彈性太空”思想指導下,美國提出了下一代彈性太空七層體系架構;重點研究抗干擾、強機動、軟件定義的彈性衛星技術;探索“航天母艦”平臺X-37B空天飛機、太空攻防武器、天基互聯網等太空戰關鍵技術的軍事應用;始終引領著世界太空技術的發展。
免責聲明:本文轉自“信息安全與通信保密雜志社”,原作者Cismag。文章內容系原作者個人觀點,本公眾號轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯系轉載公眾號“信息安全與通信保密雜志社”。
