從網(wǎng)絡(luò)攻防視角,重塑漏洞平臺(tái)的價(jià)值 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-11-12 瀏覽次數(shù): |
信息來(lái)源:4hou 伴隨人工智能、5G、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)的發(fā)展與應(yīng)用,全球互聯(lián)網(wǎng)迎“百年未有之”的蓬勃發(fā)展大局。與之對(duì)應(yīng),網(wǎng)絡(luò)安全也面臨著亙古未有的巨大威脅。尤其面對(duì)“網(wǎng)絡(luò)戰(zhàn)”硝煙四起的2019年,智庫(kù)認(rèn)為:網(wǎng)絡(luò)安全早已從傳統(tǒng)的“合規(guī)防御”形式演變成高級(jí)別的“攻防對(duì)抗”視角。在“攻防對(duì)抗”的安全本質(zhì)中,漏洞以“致命軍火武器”之姿成為其核心??梢哉f(shuō),要想迅速崛起成為網(wǎng)絡(luò)世界強(qiáng)國(guó),贏得第五維空間戰(zhàn)場(chǎng)的勝利,就必須擁有對(duì)這一“致命軍火”——高危漏洞的掌握能力。然而,以往事件型漏洞平臺(tái)已不能抵御新威脅,一場(chǎng)重塑漏洞平臺(tái)價(jià)值的改革呼之欲出,聚焦開源及通用組件高危及以上尚未被披露的漏洞平臺(tái)被推向時(shí)代浪潮的尖端。 見血封喉,高級(jí)黑客威脅不會(huì)給防御者反應(yīng)時(shí)間 在探討漏洞平臺(tái)前,我們先看看當(dāng)今,我們正處在一個(gè)什么樣的網(wǎng)絡(luò)環(huán)境中: 上個(gè)星期,印度庫(kù)丹庫(kù)拉姆核電站(Kudankulam)被官方證實(shí)已遭受朝鮮政府資助的拉撒路(Lazarus)小組(又名APT-C-26)的網(wǎng)絡(luò)攻擊;上個(gè)月伊朗煉油廠遭遇大火,疑似為美國(guó)對(duì)其發(fā)動(dòng)的秘密網(wǎng)絡(luò)攻擊;7月,微軟Outlook客戶端爆出高危漏洞,全部主流Outlook版本均被影響,危及全球使用者;5月,全球排名前三的安全廠商悉數(shù)被黑客組織Fxmsp攻破,源代碼遭到泄漏;3月,美國(guó)被指利用工控系統(tǒng)漏洞植入惡意軟件,向委內(nèi)瑞拉電力系統(tǒng)發(fā)動(dòng)攻擊,致使委全國(guó)遭遇“大斷電”至暗危機(jī)。 時(shí)間線再向前移,2017年,勒索軟件Wannacry攜“永恒之藍(lán)”席卷全球,這次黑客對(duì)微軟操作系統(tǒng)中高危漏洞的成功利用,創(chuàng)下“漏洞軍火”民用化的先例。而最為經(jīng)典的案例則是名噪天下的“震網(wǎng)病毒”的5個(gè)在野0day,它成功令伊朗驕傲的“核計(jì)劃”化為一紙空談。 國(guó)家級(jí)網(wǎng)絡(luò)攻擊頻繁打響,石油、電力、能源等關(guān)鍵基礎(chǔ)設(shè)施成為對(duì)手攻擊和滲透的主要目標(biāo);同時(shí),高危漏洞的爆出,讓網(wǎng)絡(luò)攻擊蠕蟲般地肆虐全球,讓人類網(wǎng)絡(luò)安全陷入“毀滅級(jí)”打擊的陰霾里。一旦網(wǎng)絡(luò)攻擊發(fā)起,便要見血封喉,從不會(huì)給防御者任何反應(yīng)時(shí)間。 而這,就是我們當(dāng)今所處的網(wǎng)絡(luò)空間時(shí)代。 在這個(gè)“網(wǎng)絡(luò)空間時(shí)代里”交火看似風(fēng)平浪靜,但確實(shí)發(fā)生在流動(dòng)的代碼和字節(jié)中。它會(huì)以堪比核武器、生化武器的威力,對(duì)全球基礎(chǔ)設(shè)施和各國(guó)正常生產(chǎn)、生活造成嚴(yán)重破壞。所以,與傳統(tǒng)的網(wǎng)絡(luò)安全相比,新網(wǎng)絡(luò)空間時(shí)代的內(nèi)涵和外延正不斷擴(kuò)大,并向網(wǎng)絡(luò)空間安全全面升級(jí)。緊跟這種演進(jìn),我們也必須從更高的維度、更廣的視角來(lái)審視網(wǎng)絡(luò)安全問題。而這就需要從傳統(tǒng)的“合規(guī)防御”視角轉(zhuǎn)向高級(jí)別的“攻防對(duì)抗”上來(lái)。 網(wǎng)絡(luò)“攻防對(duì)抗”大幕已開,事件型漏洞平臺(tái)難抵新威脅 可以說(shuō),在這個(gè)新網(wǎng)絡(luò)空間時(shí)代里,波瀾壯闊的“攻防對(duì)抗”早已拉開。高級(jí)網(wǎng)絡(luò)威脅,這把高懸的達(dá)摩克利斯之劍似乎隨時(shí)都會(huì)掉落下來(lái)。 網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗。而漏洞則以“致命軍火武器”之姿毫無(wú)懸念的成為這場(chǎng)攻防對(duì)抗的核心,成為攻防對(duì)抗中最為重要的戰(zhàn)略資源。 然而,未知攻,焉能知防。所以,面對(duì)這一“致命軍火武器”,漏洞收錄平臺(tái)顯得越發(fā)重要。它是與黑客爭(zhēng)分奪秒的“中樞神經(jīng)”,它力爭(zhēng)趕在黑客利用漏洞發(fā)動(dòng)攻擊之前,收錄它并將其制止在“罪惡的萌芽”里;它是防御外敵入侵的第一道屏障;也是國(guó)家重要的軍事儲(chǔ)備力量;它還能在國(guó)與國(guó)第五維空間戰(zhàn)場(chǎng)的復(fù)合博弈中,起到軍事威懾他國(guó)的重要作用。 然而,值得注意的是,漏洞平臺(tái)也有“天”、“壤”之分。智庫(kù)發(fā)現(xiàn),目前市面上仍多為傳統(tǒng)的事件型漏洞響應(yīng)平臺(tái)。而這些平臺(tái)有其固有的弊端: 01 漏洞影響僅局限于某范圍內(nèi),不具備通用型 顧名思義,事件型漏洞平臺(tái)收錄的是某一個(gè)具體網(wǎng)站或應(yīng)用的漏洞。攻擊具有唯一性。但由于兩個(gè)網(wǎng)站的架構(gòu)可能不同,對(duì)A網(wǎng)站的攻擊通常不適用于B網(wǎng)站,對(duì)B網(wǎng)站的攻擊也不能應(yīng)用到A網(wǎng)站上。因此,對(duì)于漏洞平臺(tái)來(lái)講,即使接收了A漏洞,僅是為A網(wǎng)站做好了防御,但不代表B網(wǎng)站也變得安全。 02 接收漏洞良莠不齊,芝麻大小漏洞也被收錄 大多數(shù)事件型漏洞平臺(tái),收錄的標(biāo)準(zhǔn)是某一“事件”,而不是根據(jù)漏洞攻擊力度與影響范圍來(lái)收錄,以至于像反射型 DOM-XSS、輕微信息泄露漏洞這等“芝麻大小的”漏洞也會(huì)被收錄在內(nèi),但它于國(guó)家級(jí)攻防對(duì)抗的高危漏洞而言簡(jiǎn)直是輕如鵝毛。 03 追求漏洞數(shù)量,但數(shù)量不等于質(zhì)量 仍以上面案例繼續(xù)展開,因?yàn)獒槍?duì)A網(wǎng)站與B網(wǎng)站的攻擊,不具有共通性,所以就被看作為兩個(gè)漏洞。但由于每一個(gè)漏洞的影響力僅局限在一個(gè)范圍內(nèi),攻擊范圍相對(duì)有限,再加上“芝麻大小”的漏洞也會(huì)被收錄,導(dǎo)致事件型漏洞平臺(tái)的數(shù)量看起來(lái)非常之多,但實(shí)際上并沒有什么用。 顯然,在今天日趨復(fù)雜的網(wǎng)絡(luò)攻防對(duì)抗面前,在網(wǎng)絡(luò)空間安全持續(xù)升維的當(dāng)下,以“事件型”為代表的漏洞平臺(tái),已不能應(yīng)對(duì)高級(jí)威脅攻擊的持續(xù)加碼。同時(shí),若再單純的以數(shù)量評(píng)定一個(gè)漏洞平臺(tái)的價(jià)值高低,也稍顯“淺薄”,漏洞平臺(tái)的數(shù)量不等于質(zhì)量。所以,智庫(kù)認(rèn)為重塑“漏洞平臺(tái)價(jià)值”也變得勢(shì)在必行。 重塑漏洞平臺(tái)價(jià)值,聚焦接收開源及通用組件漏洞 那么,重塑漏洞平臺(tái)價(jià)值的第一要義:就是告別傳統(tǒng)的以事件型漏洞收錄為主導(dǎo),打破任何一個(gè)“芝麻大小”的漏洞也接收的“魚龍混雜”局面,而轉(zhuǎn)向更高級(jí)別漏洞的收錄,轉(zhuǎn)向能與國(guó)家級(jí)網(wǎng)絡(luò)攻防對(duì)抗相匹敵的漏洞。 因?yàn)獒槍?duì)開源軟件的攻擊利用,沒有哪一個(gè)國(guó)家或企業(yè)能獨(dú)善其身;也因?yàn)閿?shù)量不等于質(zhì)量,在野0day漏洞的爆發(fā)力足以撼動(dòng)一個(gè)國(guó)家的根基。 所以,重塑漏洞平臺(tái)價(jià)值的核心就是要認(rèn)清:聚焦接收開源及通用組件的漏洞響應(yīng)平臺(tái),即對(duì)0day漏洞和1day漏洞收錄的重要性。 01 針對(duì)開源通用型漏洞的收錄 據(jù)了解,全球十幾億的設(shè)備都安裝有開源軟件,它們可能是直接使用原生的開源軟件,也可能是基于開源軟件版本,本身進(jìn)行二次開發(fā)的軟件,一旦某個(gè)通用型開源漏洞被利用來(lái)攻破網(wǎng)絡(luò),頃刻間它能影響世界上數(shù)億萬(wàn)設(shè)備。 這里有個(gè)典型的案例:2014年4月,“心臟滴血”漏洞橫空出世,并在互聯(lián)網(wǎng)界引發(fā)了腥風(fēng)血雨。這個(gè)漏洞被曝光的黑客命名為“heartbleed”,意思是“心臟滴血”——代表著最致命的內(nèi)傷。這是一個(gè)加密程序庫(kù)OpenSSL的安全漏洞。其中,OpenSSL 里存在的致命漏洞——SSL加密是通過開源方式實(shí)現(xiàn)的。由于OpenSSL被廣泛使用在Web服務(wù)器、郵件協(xié)議、通訊協(xié)議中,所以一時(shí)間受影響的用戶數(shù)量難以估計(jì)。同時(shí),利用該漏洞,黑客坐在自家電腦前,就可以實(shí)時(shí)獲取到約30%https開頭網(wǎng)址的用戶登錄賬號(hào)密碼,包括大批網(wǎng)銀、購(gòu)物網(wǎng)站、電子郵件等。據(jù)報(bào)道,該漏洞致使全球1/3網(wǎng)站核心數(shù)據(jù)被隨意掠奪。 不止于這個(gè)案例,可以說(shuō),每一個(gè)開源通用型漏洞都足以直接造成批量信息泄露,或直接威脅主機(jī)安全。 02 針對(duì)0day、1day漏洞的收錄 而提到0day漏洞的認(rèn)知,這里就不得不再次提起名噪天下的“震網(wǎng)病毒”的5個(gè)在野0day。那一年,“震網(wǎng)”設(shè)計(jì)者精心構(gòu)置了微軟操作系統(tǒng)中4個(gè)在野0day漏洞,并和工控系統(tǒng)的在野0day漏洞進(jìn)行組合,以實(shí)現(xiàn)精準(zhǔn)打擊、定向破壞。如此險(xiǎn)惡又精密的源代碼設(shè)計(jì),令“震網(wǎng)”擁有了與生俱來(lái)的極端毒性與破壞力。小小0day漏洞輕而易舉的摧毀了威力無(wú)比的“核”武器。 此外,這兩組案例也再次從攻擊廣度(漏洞影響范圍),以及攻擊深度(漏洞打擊力度)兩個(gè)層面完美的演繹了高價(jià)值漏洞給一個(gè)國(guó)家甚至全球帶來(lái)的破壞力與威懾力。 而縱觀國(guó)際上那些領(lǐng)跑行業(yè)的漏洞平臺(tái)如Zerodium,智庫(kù)發(fā)現(xiàn)它們聚焦在對(duì)開源通用型漏洞的收錄上,即0day漏洞或者1day漏洞的收錄。 國(guó)內(nèi)首家開源漏洞響應(yīng)平臺(tái),360BugCloud嚴(yán)守攻防對(duì)抗的核心 回首國(guó)內(nèi),智庫(kù)發(fā)現(xiàn),近期國(guó)內(nèi)也上線了一家聚焦接收開源及通用組件的漏洞響應(yīng)平臺(tái)——360BugCloud。
作為全國(guó)第一家開源漏洞響應(yīng)平臺(tái),該平臺(tái)致力于維護(hù)開源通用軟件安全,力爭(zhēng)打造以技術(shù)為驅(qū)動(dòng)、以安全專家為核心,針對(duì)開源通用型高危漏洞進(jìn)行安全研究及應(yīng)急響應(yīng)的組織與平臺(tái)。 據(jù)報(bào)道,僅上線第一周,平臺(tái)就收到來(lái)自全球超300個(gè)開源高危漏洞。每一個(gè)漏洞都足以直接造成批量信息泄露,或直接威脅主機(jī)安全。據(jù)初步統(tǒng)計(jì),這批漏洞的提交成功守護(hù)了上千萬(wàn)終端,其中包括建站系統(tǒng)類511萬(wàn),框架插件類322萬(wàn),客戶端軟件201萬(wàn)等,涉及政府、企、事業(yè)等上百余家單位,覆蓋能源、金融、交通、醫(yī)療、電信、教育眾多關(guān)鍵行業(yè)領(lǐng)域,挽救了全球數(shù)億的價(jià)值損失,共同維護(hù)了開源軟件及社區(qū)平臺(tái)的安全。 在這個(gè)“攻防對(duì)抗戰(zhàn)”早已打響的時(shí)代下,要想迅速崛起成為網(wǎng)絡(luò)世界強(qiáng)國(guó),贏得第五維空間戰(zhàn)場(chǎng)的勝利,就必須擁有對(duì)這一“致命軍火”——高危漏洞的掌握能力。這已是近年來(lái)諸多國(guó)家級(jí)網(wǎng)絡(luò)對(duì)抗中最為直觀的事實(shí)。 所以,智庫(kù)今天主張重塑漏洞平臺(tái)價(jià)值,就是希望引發(fā)網(wǎng)絡(luò)安全從業(yè)者對(duì)開源通用型漏洞,以及0day、1day漏洞的高度重視。此外,智庫(kù)也期望與全球的安全專家攜手共建網(wǎng)絡(luò)安全新生態(tài),共創(chuàng)21世紀(jì)第五維戰(zhàn)略空間新紀(jì)元,真正實(shí)現(xiàn)“協(xié)作無(wú)界,讓世界走在威脅之前”。 |