8月12日，2020北京網(wǎng)絡安全大會(BCS 2020)技術峰會正式召開。來自中、美、以等全球頂級的網(wǎng)絡安全技術專家，共同分享了行業(yè)前沿最新的產(chǎn)品技術研究成果和實踐，并探討“內(nèi)生安全框架”對推動網(wǎng)絡安全技術體系升級的重要意義。

　　本次技術峰會重磅嘉賓云集，包括北京賽博英杰科技董事長譚曉生，美國Palo Alto Networks Field公司 CTO “零信任之父” John Kindervag，以色列特拉維夫大學網(wǎng)絡研究中心高級研究員Keren Elazari，ICANN首席技術官David Conrad，VMware中國區(qū)總經(jīng)理王冰峰，PeckShield創(chuàng)始人蔣旭憲，螞蟻集團副總裁韋韜，清華大學-奇安信集團聯(lián)合研究中心主任段海新等在內(nèi)的安全技術專家，均發(fā)表了真知灼見。

技術創(chuàng)新推動網(wǎng)絡安全加速發(fā)展

　　技術創(chuàng)新是網(wǎng)絡安全發(fā)展的核心驅動力，也是攻防兩端對抗的關鍵支撐。近年來，大量ICT技術持續(xù)在網(wǎng)絡安全領域大展拳腳。例如區(qū)塊鏈作為一個分布式的電子分類記賬方式，會被用于數(shù)據(jù)安全保護和追蹤溯源;量子技術的應用帶來了量子加密，從而使得秘鑰的傳輸更加具備安全性;人工智能技術的應用為大數(shù)據(jù)安全分析帶來了無限可能;零信任重塑了訪問主體與客體之間的信任關系……盡管這些新技術為網(wǎng)絡安全帶來了各種利好，但風險與挑戰(zhàn)也悄然誕生。

　　“在一個組織中，唯一從信任中獲得價值的實體，是發(fā)起黑客行為的人?！?Palo Alto Networks Field CTO、“零信任之父” John Kindervag強調(diào)，“零信任從來不是產(chǎn)品，而是基于綜合產(chǎn)品解決方案的完整設計理念。這其中包括很多技術，比如身份認證、XDR、安全編排等，所有技術整合在一起，才能為企業(yè)構造零信任的環(huán)境?！?/span>

圖 Palo Alto Networks Field CTO、“零信任之父” John Kindervag

　　2017年，席卷全球的WannaCry勒索病毒讓人記憶猶新，根據(jù)黑客的要求，受害者必須要支付一定數(shù)量的比特幣才能解密被鎖死的文件;2020年，推特賬號被黑事件又進入了人們的視野中，被黑賬號會大量發(fā)送欺詐信息，如果轉入1000美元的比特幣，就會收到2000美元的回報。盡管這兩起事件在攻擊手法、攻擊目標等方面并沒有關聯(lián)，但它們都有一個共通之處：通過數(shù)字貨幣來獲利。

　　在PeckShield創(chuàng)始人蔣旭憲看來，區(qū)塊鏈技術帶來了全新的挑戰(zhàn)，尤其體現(xiàn)在反洗錢領域。據(jù)其初步的分析結果顯示，最近三年跨國的幣安轉賬，大部分都沒有處于監(jiān)管之下，這個數(shù)字超過394億美元。經(jīng)過長時間的技術探索，蔣旭憲發(fā)現(xiàn)，如果從技術上然后嘗試做交易地址的標簽化，非常有助于增強交易所資產(chǎn)的透明化。

圖 PeckShield創(chuàng)始人蔣旭憲

特定場景下的網(wǎng)絡安全技術體系建設

　　需要注意的是，沒有任何一項誕生的新技術可以適用于所有場景。在特定場景下，選擇合適的技術組合往往會事半功倍。

　　今年的COVID-19疫情，使絕大多數(shù)人的工作生活方式發(fā)生了巨大的變化，原本并不主流的工作場景被“拉上了馬”，比如遠程辦公與遠程訪問場景，再比如利用疫情實施魚叉郵件攻擊和社會工程學攻擊等場景。

　　特拉維夫大學網(wǎng)絡研究中心高級研究員Keren Elazari在《疫情時代的網(wǎng)絡安全》主題演講中表示，疫情期間，數(shù)字企業(yè)的每一位員工都已經(jīng)工作在了網(wǎng)絡安全的第一線，他們每天都需要做出更好的安全決策。這場疫情是一個契機，數(shù)字化進程已經(jīng)快馬加鞭，網(wǎng)絡安全需要改變、適應和進化。

圖 特拉維夫大學網(wǎng)絡研究中心高級研究員Keren Elazari

　　ICANN首席技術官David Conrad重點介紹了DNS生態(tài)系統(tǒng)的安全。眾所周知，ICANN作為全球知名的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構是一個非營利性的國際組織，長期致力于維護互聯(lián)網(wǎng)基礎設施的穩(wěn)定性與安全性。

　　DNS作為一項重要的互聯(lián)網(wǎng)設施，其重要性不言而喻，但一旦受到攻擊或者劫持，其影響范圍是巨大的。2016年，美國東海岸斷網(wǎng)事件便是由于DNS提供商DYN遭受大流量的DDoS攻擊而癱瘓。

　　“DNS由多個生態(tài)系統(tǒng)構成，每個生態(tài)系統(tǒng)的脆弱性都會影響到DNS的整體安全。” David Conrad強調(diào)，“DNS的這種關鍵性和普遍性與一個巨大的攻擊面相結合，形成了DNS生態(tài)系統(tǒng)。

　　需要注意的是，DNS漏洞的修復需要生態(tài)系統(tǒng)中所有參與者的參與，從注冊者到注冊中心，從運營商和到軟件開發(fā)商，再到用戶和監(jiān)管部門，他們都在發(fā)揮作用?！?/span>

圖 ICANN首席技術官David Conrad

新技術環(huán)境下的“內(nèi)生安全框架”

　　“無論技術有多高，我們的防御體系還是會失效?！痹贐CS2020開幕首日，奇安信集團董事長齊向東強調(diào)。

　　隨著5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等信息基礎設施建設的加快推進，技術環(huán)境與攻防對抗形勢愈加復雜，這就需要產(chǎn)品、技術、服務和管理相互聯(lián)系、相互作用，從而提供源源不斷的安全能力。

　　“網(wǎng)絡安全不應該是一個技術的討論，應該是一個社會、道德、法律，甚至普通人都可以參與的討論?！? VMware中國區(qū)總經(jīng)理王冰峰也持類似的觀點，顯然技術并不是解決一切網(wǎng)絡安全威脅的“金鑰匙”。他認為：

　　首先，安全建設需要從外掛到內(nèi)置，利用已有的技術架構及相關應用和數(shù)據(jù)，將計算、網(wǎng)絡、存儲、終端等各組件有機結合起來；

　　其次，無論是安全技術還是業(yè)務、管理等其他方面，都要從孤立走向統(tǒng)一；

　　再次，安全體系建設需要從以威脅為中心，轉換到以場景和內(nèi)容為中心，追蹤應用的運行方式和數(shù)據(jù)的流向等。

圖 VMware中國區(qū)總經(jīng)理王冰峰

　　王冰峰的觀點與奇安信推出的內(nèi)生安全框架有異曲同工之妙。據(jù)了解，該框架以系統(tǒng)工程的方法論結合“內(nèi)生安全”理念，改變了以往“局部整改”和產(chǎn)品堆疊為主的安全規(guī)劃及建設模式，按照系統(tǒng)工程的思想，將安全能力組件化，由規(guī)劃方法、工具集、模型、架構和項目綱要構成，能夠讓安全產(chǎn)品和服務相互聯(lián)系、相互作用，在整體上具備單個產(chǎn)品和服務所沒有的功能，從而保障復雜系統(tǒng)的安全。

　　而在實際的網(wǎng)絡安全能力建設過程中，企業(yè)面臨的挑戰(zhàn)是非常巨大的，尤其是與企業(yè)日常業(yè)務的沖突。

　　螞蟻集團副總裁韋韜在《安全切面 安全防御的平行空間》演講中，表達了一個希望：“假設網(wǎng)絡空間有一個平行空間，我們就能夠把業(yè)務空間和安全空間既交織在一起，安全工程師能夠是隨時、跨維度深入到業(yè)務邏輯來開展工作，同時由于它是平行空間，所以它們可以獨立的高速發(fā)展。”

圖 螞蟻集團副總裁韋韜

　　“網(wǎng)絡安全新基建，你準備好了嗎?”在演講的一開始，清華大學-奇安信集團聯(lián)合研究中心主任段海新就拋出了一個發(fā)人深省的問題。據(jù)奇安信技術研究院的研究發(fā)現(xiàn)，目前DNS、HTTPS、CA證書、CDN等互聯(lián)網(wǎng)基礎設施仍然面臨著太多的安全挑戰(zhàn)，例如DDoS攻擊、中間人攻擊等。

　　段海新強調(diào)，盡管我國互聯(lián)網(wǎng)基礎設施的安全狀態(tài)比以前有所改善，但是仍落后于國際先進水平，尤其是在新技術的防護方面，仍存在較大差距。

圖 清華大學-奇安信集團聯(lián)合研究中心主任段海新

　　BCS 2020是由中國電子信息產(chǎn)業(yè)集團有限公司指導，中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡空間安全協(xié)會、中國通信學會、中國友誼促進會和奇安信集團主辦的安全行業(yè)國際級峰會。（來源：奇安信集團）