盤點:2018年網路安全新技術新應用的發展特點
在數字經濟時代的背景下,網路安全問題已成為所有0前面的1。2018年,網路空間安全攻防局勢依然嚴峻,基於漏洞利用和網路攻擊的資料洩漏、關鍵基礎設施故障等網路安全事件頻發,引發各國政府及網路安全業內極大關注。這些現象的背後,不僅包含傳統網路安全技術的發展與應用,還呈現出網路新技術新應用在安全領域的發展特點及趨勢。其中,人工智慧、量子資訊科技、區塊鏈作為資訊科技行業中最重要的三大前沿基礎技術,可以預見前兩者技術的發展將伴隨出現網路安全雙刃劍效應,而區塊鏈在顯露網路防禦天然屬性的同時,基於區塊鏈的加密貨幣已在2018年引爆攻擊劫持事件。5G作為未來數字世界的使能者,應用落地在即,將成為各產業的資訊保安基石。而物聯網、雲端計算則由於自身安全性或技術融合、發展引發新型網路安全風險,成為業內關注的焦點。
一、人工智慧驅動全球網路安全能力提升,雙刃劍效應日益顯著
1956年,人工智慧的概念在美國達特茅斯會議中問世。六十餘年後,在2018年的全球資訊保安產業RSA大會上,人工智慧已成為各家網路安全公司的標配關鍵詞。RSA大會是全球網路安全行業的風向標,本屆會議充分體現了人工智慧在網路安全領域由理論探討階段步入落地實踐階段,凸顯2018年人工智慧成為驅動全球網路安全能力提升的新“引擎”,引領網路安全新時代。人工智慧逐漸走出實驗室、進入現實世界,一方面能夠利用逆向工程對高階惡意軟體進行檢測與溯源,另一方面可通過對網路安全系統中的異常資料進行快速分析與智慧關聯,對高階持續性威脅(APT)等複雜的黑客攻擊和安全問題進行快速預警、響應與有效預防,幫助系統識別安全漏洞並加以修復,在為人們解決網路安全防護、監測預警、檢測評估、應急處置等問題提供新思路。
2018年,越來越多的業內報告認為,人工智慧在吸引網路安全專家注意的同時,也受到惡意活動者的青睞。網路攻擊者開始嘗試利用人工智慧模擬正常使用者人聲、影像或行為模式,結合社會工程學實施更加精準的自動化魚叉式網路釣魚,或藉助“機器人水軍”在社交平臺實施網路政治干預,並利用人工智慧惡意軟體製造智慧化殭屍網路,對關鍵基礎設施實施高效能滲透與攻擊等,極大提高攻擊效率。2018年,美國、德國科學家已實現利用人工智慧技術製造極為逼真的奧巴馬、普京假演講視訊,谷歌人工智慧語音助手Duplex在商務預約領域通過圖靈測試,意味著人工智慧技術被惡意利用只是時間問題。業內預計,2019年,人工智慧將使網路安全對抗向自動化導向發展,基於人工智慧技術的惡意活動將進一步對資料隱私安全與社會秩序造成威脅。
二、量子資訊科技包含的利矛與堅盾為加密與安全通訊帶來顛覆性變革
量子資訊科技在現實應用方面主要包括量子計算、量子通訊與量子測量。其中,量子計算是能破解現有傳統加密技術的一把利矛;量子通訊則被認為是迄今為止唯一被嚴格證明是“無條件安全”的通訊方式,成為安全通訊領域的一面堅盾。
現代密碼學所採用的加密通常是利用數學演算法的複雜度來增加破譯難度。而量子計算作為一種與傳統計算完全不同的計算模型,在運算效率方面的潛力大大超過傳統計算方式,使利用量子計算機迅速破解傳統加密技術成為可能。2018年,在美國、歐盟國家、日本、澳大利亞的領跑下,各國就研製量子計算機以及能夠抵禦量子計算機攻擊的數學密碼展開如火如荼的競賽,期望早日掌握量子計算這把破解傳統加密技術的利矛並對量子解密攻擊做好防禦準備。美國一直走在量子計算研究領域的最前沿,並於2018年12月19日通過一項法案,以建立國家級量子專案,進一步加快美國在該領域的研究進展。2018年底,美國科技巨頭一直宣稱的“即將實現穩定執行的量子計算機”仍未問世,但其未來可能率先取得突破,引領新一輪科技進步和技術創新浪潮。
量子通訊可將某資訊的量子態安全傳遞到另外一個地方從而實現資訊傳遞(量子隱形傳態),或利用“不可分割、不可複製”的量子作為金鑰實現點對點安全通訊(量子金鑰分發),為經典通訊增加一把量子密碼鎖,保障資訊保安傳遞。當前,量子隱形傳態仍處在理論探索和實驗驗證階段,是基礎科研領域熱點,離產業化還較為遙遠,而我國在技術層面走在世界前列;量子金鑰分發在提升保密通訊安全性方面的應用則已成功實現產業化,當前基於量子金鑰分發的資訊最遠安全傳輸距離紀錄由我國創造和保持。2018年,在歐洲、美國相繼提出建立量子通訊網際網路戰略規劃時,我國科學家已開始利用2016年升空的世界首顆量子通訊實驗衛星“墨子號”作為中繼,不斷擴大我國城際量子通訊網路覆蓋範圍,並計劃未來發射更多量子通訊衛星,形成一個龐大的量子衛星群,利用量子通訊這面堅盾維護我國資訊保安,引領網路安全新時代。
三、區塊鏈具有網路防禦天然屬性,基於區塊鏈的加密貨幣則引爆加密劫持
區塊鏈作為一種去中心化的分散式電子記賬系統,在網路安全領域功不可沒,主要體現在兩個方面:一是能有效提升加密、認證等保護機制的安全性。區塊鏈具有去中心化、匿名性、資料不可篡改等特性,基於區塊鏈2.0智慧合約應用的房產交易、電子投票、海關管理系統等2018年已在美國落地,北約、美國還利用區塊鏈保護金融資訊、供應和物流鏈資訊保安,開發能防禦黑客攻擊的資料傳輸系統等。未來相關應用將在全球得到推廣。二是具有追蹤黑客、防禦分散式拒絕服務(DDoS)攻擊的天然屬性。網路入侵者往往會通過清除許可權日誌,以隱藏其對未授權訪問裝置的訪問痕跡。基於區塊鏈的系統日誌被分散式儲存在多個裝置中,則可有效避免日誌被擦除,有助於對黑客進行溯源分析。此外,區塊鏈系統各節點使用者可出租自己的額外寬頻資源,並將頻寬訪問許可權提交至該系統其他分散式節點,當任一節點遭遇DDoS攻擊時,即可租用他人寬頻資源緩解DDoS攻擊。當前,區塊鏈這些天然網路安全屬性已引起網路安全業內關注並積極落地應用。
2018年,區塊鏈的主要應用仍集中在區塊鏈1.0加密貨幣領域,因此其在網路安全領域引發的問題也離不開加密貨幣。隨著基於區塊鏈的比特幣、以太坊、萊特幣等加密貨幣價值飆升,一方面使加密貨幣交易所持續成為黑客攻擊目標,另一方面導致出現一種以獲取加密貨幣為目的的新型網路攻擊——加密劫持,即利用惡意軟體感染受害者計算機從而借其算力進行加密貨幣挖掘活動,在2018年急劇爆發。俄羅斯網路安全公司卡巴斯基表示,2018年加密劫持案件數高達1300萬,比2017年的350萬增加了400%。歐洲刑警組織亦表示,2018年勒索軟體在威脅分類中久居首位,而加密挾持也正以飛速漸臨榜首。英國國家犯罪署(NCA)和國家網路安全中心(NCSC)聯合釋出的《英國商業網路威脅》報告分析,全球加密劫持者可能是黑客,也可能是一般網站的所有者,後者藉助網站訪問者的計算機算力挖掘加密貨幣,未來可能使加密劫持成為網站所有者的一項常規收入來源。
四、5G作為資訊保安基石,成為各國必爭技術高地
第五代移動通訊技術(5G)與前代技術4G相比,能滿足絕大部分的硬體互聯場景,作為萬物互聯的基礎設施具備巨大的產業生態價值,能帶動晶片、軟體等基礎產業的快速發展,推動新一輪產業創新浪潮,因此被譽為全球產業升級的顛覆性起點。5G將移動通訊變成了一項引領國家數字化轉型的通用技術,將起到全面構建數字時代關鍵基礎設施的重要作用,不僅能全面提升國家數字經濟發展,亦成為各國為保障自身在數字時代資訊保安的必爭技術高地。
2018年,5G發展迎來多個里程碑。一是多國合作初步完成5G全球標準制定。2018年6月14日,由歐日中韓美印組成的國際通訊行業標準化組織第三代合作伙伴計劃(3GPP)工作組正式批准5G標準獨立組網功能凍結,即未來不能有新的特性增加到現有版本的5G標準中,標誌著5G第一階段整體標準制定工作完成,正式進入全面衝刺產業化的新階段。二是5G商用服務競相落地。2018年,各國緊鑼密鼓進行5G商用服務部署工作,其中美國移動運營商Verizon率先推出全球首個5G家庭網際網路服務;韓國三大移動運營商SK電訊、韓國電信及LG U+則集體推出5G服務,使韓國成為全球第一個進入5G時代的國家;我國將“加快5G商用步伐”列為2019年二十項重點工作之一,中國電信、中國移動、中國聯通三大運營商密集開展5G網路試驗成果不斷。三是5G終端蓄勢待發。2018年,以高通、華為、三星、英特爾為代表的4G終端晶片平臺廠商陸續釋出5G商用晶片或相關基帶、調變解調器,部分廠商產品已支援某些應用場景下的小規模5G終端商用,標誌著產業界的5G終端佈局已經完成,終端產品即將落地。
2019年,5G發展將進入主建設期,5G商用服務逐漸普及、終端集中上市,殺手級應用能否出現備受世人矚目。值得注意的是,隨著我國企業在5G研發與應用領域話語權越來越重,美國及其盟國開始以網路安全、國家安全為藉口向中國企業關閉其5G市場,為5G的技術和產業競爭蒙上濃厚的政治色彩。
五、物聯網安全成為全球網路安全工作重中之重
2018年,亞馬遜推出“AWSIoT”服務以幫助工廠機器、汽車、醫療器械、家電等裝置通過亞馬遜全球領先的雲端計算服務實現互聯,微軟宣佈在未來四年內將投入50億美元支援物聯網創新,谷歌正式釋出物聯網作業系統Android Things 1.0,我國阿里巴巴、百度、騰訊等融合人工智慧、雲端計算推進我國物聯網應用落地,科技巨頭紛紛入場物聯網,開啟全球萬物互聯新時代。物聯網的應用正從個人層面的智慧家居、汽車系統、健康監測,逐步延伸至智慧城市、工業物聯網等社會層面。美國高德納諮詢公司(Gartner)預測,到2020年將有260億臺物聯網裝置,市場價值將達3000億美元,未來有望達到萬億美元級別。
在物聯網落地應用不斷提速的背景下,網路安全業內卻發現,當前物聯網安全的發展仍處於起步階段,基於物聯網裝置安全漏洞利用的攻擊是物聯網面臨的主要威脅。與此同時,物聯網廠商為節約成本並使產品儘快上市而忽略構建物聯網裝置安全效能,使用者往往使用初始密碼、不及時進行軟體更新,物聯網安全意識淡薄等因素,也成為物聯網安全的重要隱患。隨著企業與消費者越來越多地採用物聯網裝置,網路攻擊者也開始關注當前物聯網缺乏安全性所帶來的經濟利益,導致2018年Wicked、OMG Mirai、ADB.Miner、DoubleDoor、Hide'N Seek以及針對金融業的Mirai-Variant IoT等殭屍網路層出不窮,針對物聯網的大規模攻擊屢出新意,物聯網安全成為全球網路安全問題的重要組成部分。此外,隨著物聯網裝置數量增長為雲端計算資料傳輸、計算帶來越來越大的壓力,邊緣計算、霧計算等因能在靠近裝置端資料來源頭進行實時計算而受到廣泛關注,但在滿足物聯網計算需求的同時,也為物聯網帶來易被不受信任的終端或移動邊緣應用開發者非法接入等安全問題。
物聯網安全規範趕不上應用速度的現狀引起英美監管機構重視。2018年10月,英國數字、文化、媒體和體育部(DCMS)正式推出《消費者物聯網安全實踐守則》,列出消費類裝置製造商在設計物聯網產品時可選擇自願遵循的13項行為準則,以確保家用集線器、智慧家居裝置、安全攝像頭、可穿戴裝置和連網玩具等裝置免受外部攻擊和資料洩露。美國加利福尼亞州則更進一步,2018年9月通過《SB-327資訊隱私:裝置連線》法案(SB-327 Information Privacy: Connected Devices),計劃於2020年1月1日起正式實施,成為全球首部針對物聯網裝置安全及使用者隱私保護的法規。值得注意的是,屆時由包括我國等任何國家企業出口的物聯網裝置在銷往加州時,均需確保其網路安全效能符合加州這一物聯網網路安全法案的要求。業內人士認為,該法規雖然抓住了物聯網裝置目前面臨的比較突出的安全性問題,但存在較多模糊性條文,在一些具體規定上過於簡單粗暴、不符合實際。當前,英美對物聯網安全的監管手段尚不完善,但在其帶動下,預計2019年關於物聯網安全的政府標準化工作將大幅增多,引發物聯網安全監管大提速,成為全球網路安全工作的重中之重。
六、雲端計算的融合與發展帶來網路安全新問題
2018年,雲端計算在技術方面逐漸走向成熟,開始進入產業發展的繁榮期。亞馬遜、微軟、谷歌等美國網際網路企業實力依然領跑全球,我國阿里雲則以國內市場份額第一的身份躋身頂級雲提供商行列,我國國內雲端計算企業與國際巨頭的整體差距不斷縮小。隨著雲端資料體量不斷增長,全球因惡意攻擊活動、雲平臺漏洞被利用或雲賬戶配置錯誤造成的資料洩漏事件時有發生,涉及個人健康資訊、財務資訊、個人身份資訊、智慧財產權乃至商業機密等大量非公開資料,成為當前雲端計算為人們所帶來的主要網路安全風險。
隨著由第三方提供雲端計算服務的公有云、企業自行開發雲服務的私有云以及公有云和私有云配合使用的混合雲不斷髮展,企業使用者對雲端計算的需求亦越來越多樣化,衍生出利用多個雲端計算平臺服務的多雲、雲端計算+人工智慧、雲端計算+物聯網等多種雲服務模式,成為2019年雲計算髮展的主打方向。網路技術協同融合意味著安全風險的交織與演變,例如雲計算+物聯網在有效提升萬物互聯時代資訊處理效率的同時,物聯網裝置端安全漏洞亦成為黑客反向攻擊雲平臺進行資料竊取與破壞的突破口。與此同時,雲端計算的進步帶動無伺服器計算髮展,亦將引發新的網路安全問題。無伺服器計算作為一種原生於公共雲的架構,允許企業使用雲服務商提供的雲伺服器,無需承擔常規繁重的雲架構設計和伺服器管理工作,從而節約成本、提高全球伺服器資源利用率,是雲計算髮展演化的必然結果。但無伺服器計算的配置更具有定製性屬性,導致其出現配置錯誤的概率較高,相較一般雲端計算具有更高的資料洩漏風險;使用者利用無伺服器架構開發的應用程式亦很難視覺化和被監控,因此攻擊者更容易借無伺服器計算隱藏活動蹤跡製造網路威脅。這些都成為雲計算髮展過程中帶來的網路安全新威脅。(穆琳 )
(本文刊登於《中國資訊保安》雜誌2019年第1期)
宣告:本文來自中國資訊保安,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。