文/杭特

零-背景

近代每个庚子年貌似都多灾多难。1840年鸦片战争开始,中国被迫签订庚子赔款;1900年八国联军侵华,北京沦陷;1960年自然灾害,粮食大量减产;2020年初,中国最先遭受新冠疫情,全国人民奋勇抗疫。

2020年,世界其他地区也不太平,席卷全球的森林大火,近似失控的世界疫情,规模扩大的种族纷争,全球经济也在贸易战、科技脱钩中经受痛苦。

一-经济发展机遇

俗话说,危机=危险+机遇,危中存机。把握机遇冲出重围,中国就有凤凰磐涅的可能,当前国内环境的几个“机会”,从方向上都指向了数字经济。

1.5G+IoT。从去年5G中国开始商业化,到今年r16标准定稿,5G的三大元素(高带宽、宽链接、短时延)均已具备,开始走入快车道。物联网概念之前长时间未爆发,重要原因是“互联”的根基没有打牢,而5G正好补上了这一短板,IoT作为物理世界到虚拟世界的桥梁,数字孪生将不再是一个概念。5G与IoT结合,将为消费、交通运输、生产制造、教育、医疗等方面的数字化改造提供信息互联的基础。

2.疫情下的社会生产/生活数字化与治理经验。疫情期间,为了尽快回复正常的生活生产秩序,很多行业(如在线办公、在线教育、在线医疗服务、在线政务……)主动或者被动的线上化,数字化比例逐渐提升。另外,大数据能力对疫情管控提供了有效的治理决策依据,加速了社会秩序的恢复,各行各业都尝到了数字化的甜头。

3.国家新基建的提出。作为5G、人工智能、工业互联网、物联网的“新型基础设施建设”,国家将在未来数年内进行大量投入,从政策和资金上对数字经济进行有力支持。

总结一下,未来数年,5G和万物互联网将成为新的信息基础设施,国内众多行业在数字化上都有巨大的想象空间。数字经济将是中国的重大机遇,数年内必将成为新的经济引擎,引领中国走向现代化。

二-网络安全的主要矛盾

一句话结论:海量的数字化基础设施与应用风险,与有限的安全能力之间存在矛盾,安全的底线难守住

如上文所述,未来在数字经济的需求及5G的加持下,IoT将迎来大爆发,相应的安全挑战会从量变引起质变,主要表现在:

  • 数量上,从PC的亿级,到移动的十亿级,再到物联网设备的千亿甚至万亿级;

  • 系统异构性上,从x86的windows/linux/mac,到arm的iOS/Android,再到各种体系结构的传感器及自研软硬件系统(各种设备固件-MCU控制器/wifi、蓝牙、5G基带/复杂系统……);

  • 后果上,从失去虚拟世界的数据/控制权,到现实世界的生产/生活停止甚至生命受到威胁;

  • 能力要求上,之前用工具/产品做到60分水平+剩下的人工可处理,到即使自动化水平85分+剩下的威胁仍无法人工运营;

Web/移动互联网时代,不安全的网站/App已对互联网造成了足够坏的影响,而万物互联时代,我们的生产/生活将被成千上万的软硬件系统所包围。这些异构的系统,被众多安全能力不高的开发者,依靠大量复用开源软件供应链和少量自研软件创造出来。问题来了,这些系统的安全的短板在哪儿?是不起眼的低级漏洞(3-6分),还是硬核对象的高技巧漏洞(10分)?笔者的判断是前者,但低级漏洞并不意味着你能快速低成本的找到。有人会说,我们团队有XX个国际顶级黑客,屡获大奖的那种,这些玩意儿还不是毛毛雨?但当你把那些五花八门的对象列表和具体设备推到对方面前,面对的往往却是沉默(心里话一般会是:这些以前没弄过,学习需要成本,数量还那么多)。而黑帽子却能因运气或者专一顺利突破这些系统。以刚结束的某国内实战演练活动(HVV)为例,第一天就有多个防守单位因特定软件存在严重漏洞(挖掘难小于5)失分严重,另外,国内最擅长搞硬核漏洞挖掘的某攻击联合团队,不仅没有获得头筹,还被多家防守单位溯源围观达数天之久。是这些人挖不出有用的漏洞么?当然不是,只是人肉挖掘在规模化对象面前天花板太低、成本太高罢了。一把狙击步枪,分量显然弱于兵工厂,更无法与航母与核弹相比。同样,个人能力再强,面对海量对象仍是渺小的,用传统的个人英雄主义来解决未来的海量威胁,显然不现实,迫切需要可高效自动化的核心技术

三-核心技术的“四不”标准

直到华为被制裁,人们才幡然醒悟——我国竟然没有高端芯片的制造能力。基础材料、工艺到高端光刻机等一系列“卡脖子”技术,都在平时看似繁荣的大环境中被忽视了,毕竟拿来主义/市场经济更符合时代潮流,只有当浪潮褪去我们才知道谁在裸泳。

同样,网络安全行业现在看起来欣欣向荣,但关键性技术能力却不容乐观,有的奉行拿来主义,有的靠人肉运维,有的靠蹭流行技术热点,有的靠创造新名词忽悠,还有的在产品上做面子工程。行业里拿得出手的核心技术又有多少呢?

很多人会说自己在搞核心技术,先看是否符合“四不”标准

  • 灵光一闪的发现不是核心技术。此类技术发现一点就破,充其量算一个技巧,一旦公开会被迅速复制,缺乏竞争性门槛。除非能在某个领域积累数十上百个,且这些发现能“保密”很久。另外,科学发现不属于此类范畴。

  • 不能将目标泛化的技术不是核心技术。如果应用对象非常狭窄,且相关技术无法迁移,一旦对象消失则技术将无用武之地。另外,技术暂时领先的原因通常是提前占领了赛道,或者关注的人较少,因此竞争门槛同样不高。

  • 不能规模化、自动化的技术不是核心技术。这一条最重要,是匠人与现代化工厂的根本区别,单纯靠人力无法解决未来的海量威胁。那些在攻防技术顶尖的所谓“人才”,如果能把能力固化到“有你没你区别不大”,那么沉淀出来的技术就是核心技术。否则,人才可以算核心人才,但技术不算,成果更不算。

  • 不能数值化衡量的技术不是核心技术。这一条代表着技术演进的方向和进度,是安全技术领域不能繁荣发展的根本原因。核心技术一般都需要大量资源和时间来积累,能力的提升需要在数值上看到与最终目标“差距的缩小”。

总结一下,核心技术需要具备能力可沉淀、可复制、可度量

四-核心技术发展的“三步走”

核心技术,要从实际的需求和客观条件出发,进行系统性的梳理,并根据对现在和未来的预判,确定要重点投入的方向。可惜的是,目前行业对哪些是核心技术并没有达成一致,甚至并未大规模讨论。若能选定方向,后续应采用以终为始的方法,明确未来的技术挑战列表与相应阶段性指标,并给出指标的测试集。之后,通过测试集和阶段性指标的“共识”,产学研一起推动技术的进步,并逐步应用到产品和解决方案中。概括起来就是:圈定方向、做好尺子、产学研合作

圈定方向

网络空间安全在“工学”上已经是一级学科,子方向众多,且互相交叉,其中“可沉淀、可复制、可度量”的核心技术方向有不少。笔者并无能力列全所有的方向,仅仅举几个例子供大家借鉴。

  • 系统安全-漏洞挖掘-模糊测试技术。该技术通过引入异常输入,对程序/代码进行极限测试,尝试引发其行为异常,近年来发展迅速,出现了大量的理论方法和工具。

  • 系统安全-程序分析-CVE漏洞精确扫描技术。该技术是安全开发与测试的基础性技术,目前常通过静态版本或者动态特征扫描,精度较低,且在iot场景下由于编译器、架构的多样性导致现有能力严重不足。

  • 系统安全-程序分析-硬件仿真与执行技术。数字经济带来软硬件系统的增多,而分析人员缺乏动态运行和调试的能力,只能被动的静态分析,或在真实硬件上通过可能的接口进行调试,效率低下。因此,行业迫切需要一种通用硬件的仿真环境,可供分析人员对目标对象进行无障碍的动态分析。

  • 数据安全-密码学-数据安全共享技术。数字经济下,数据将成为资产,有流动和共享的强烈需求。但由于数据的可复制性,如何实现“数据可用不可见”,即在保证数据机密的同时又能进行计算,充分发掘数据的价值,需要各种基于密码学的核心技术。

  • ……

做好尺子(benchmark)

方向有了,接下来再看如何“日进一步”。我们以最近大热的人工智能图像算法为例,其发展有一个关键节点,就是ImageNet的诞生。ImageNet相当于视觉目标识别的一把“尺子”,把当前行业的能力水平“量”的清清楚楚,所有的人处于相同的起跑线。后续的挑战赛ILSVRC则成为催化剂,使得近十年来相关技术突飞猛进,很多方面超过了人类水平。同样,SPEC也是计算机系统评测的标准“尺子”,每当有新的体系/系统/应用问世或者更新,都会被这把“尺子”仔细的量一量。那么,问题来了,安全技术的“尺子”有哪些?答案是,基本没有!

有些人可能会反驳,每年都有黑客破解大赛,各种夺旗赛,微软的排行榜,这些不都是“尺子”么?笔者认为,这些排行,衡量的是人工劳动产出的结果,而不是可沉淀能力的高低,不能作为核心技术的“尺子”。正确的“尺子”测试的是持续的能力,应保持相对稳定,不受参与者的干扰。举个例子:张三设计了一套算法,通过尺子得到的评分是A,即使张三临时换成李四,结果仍应该是A,但前面各种比赛参与者和对象换一批,比赛排名还能保持不变么?

我们就以前文提到的模糊测试Fuzzing技术作为例子,来看看“尺子”应该怎么设计。

  • 不同的列代表不同的技术层级,等级越高,难度越大。level1最简单,level10最困难;

  • 不同的行代表不同的细分技术挑战,目标之间相对正交。如:支持的架构,从最常见到最不常见;性能的损耗,从最大到最小;支持的规模,从单CPU到分布式;各种覆盖率支持,从不统计到更高的覆盖率……

  • 每一个单元格,后面都有一堆的测试集,专门针对某些测试项进行数值化测试。如:对于100个包含校验的测试对象,有多少可以成功完成后续的模糊测试,按照成绩依次对应level4-level10。

总结一下,只有把尺子造好,技术的“核心”属性才能在一步一步推进中,体现护城河的价值。

产学研合作

接下来再解释一下有尺子的好处:

  • 明晰工业界核心技术的演进方向。很多核心技术是工业界的痛点,但这些痛点学术界未必清楚。通过尺子可以让产学研在核心技术方向、相应的挑战点上达到共识,便于形成发展的合力。例如:模糊测试覆盖率的技术需要更进一步细化为边覆盖率、基本块覆盖率、状态覆盖率……

  • 统一了产、学、研的沟通语言及交付标准。benchmark即交付验收的标准指标,避免合作过程中鸡同鸭讲,一方提业务指标,一方提技术指标。例如:合作点就是如何用各种方法实现level5到level6的提升。

  • 抢占全球学术界方向的头部位置。制定科学有效的尺子,有助于把控技术发展的方向,甚至成为规则引领者。现在世界上安全技术相关的尺子并不多,因此是我国少有的机会。例如:引导世界的学者聚焦到相关的技术突破上,且测试用的是我们指定的benchmark。

  • 便于相关人才的培养与流动。对于人才判定,也可以根据其在技术进步上发挥的作用进行衡量,降低培养和招聘的消耗。例如:能实现level2到level3的人才属于合格人才,能实现level4到level5的属于高级人才。

  • 解决行业内部的自说自话。如果有相关中立的第三方测评机构,可直接用这些尺子对行业玩家进行分级,避免很多公司通过PR或者产品包装来虚假宣传。与传统的标准不同,技术指标与技术路线无关,因此较少会有屁股决定脑袋的问题。

  • 推动安全行业的整体进步。把安全上真正困难的问题“显性化”,吸引更多聪明的人才来参与,而不是碰到不可名状的困难就绕过去,然后用高大上名词炒作新的概念或者产品。

五-倡议

数字经济才刚刚开始,5G+万物互联时代可见的安全风险只是冰山一角,对安全技术的挑战会越来越大。中美科技战在短期不会有缓和的迹象,而美国在2016年就开始大搞全自动化攻防比赛CGC(笔者相信这才是未来的方向),如果我们在安全核心技术上不够清醒,对“可沉淀、可复制、可度量”的能力投入不够,无论继续主搞人肉战术,还是用各种包装和概念来忽悠社会,未来无论是国内风险管控还是面对可能的网络战,我们都无法交出令人满意的答卷。你我都坐在一条船上,只有整个安全水位都上去了,大家才是安全的,衷心希望行业少点喧嚣和浮躁,多干点实事。不如我们先迈出第一步,把哪些方向需要尺子,尺子该长什么样子理清楚?

声明:本文来自Q君一言堂,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。