2.2 网络服务安全挑战的特点和原因
网络服务面临严峻的安全挑战,需要对其特点和原因进行进一步探讨,首先对相关的术语进行回顾。
2.2.1 安全的几个术语及其相互关系
“漏洞”“威胁”“风险”“暴露”等词经常被混用。首先理解每个术语的定义,以及它们所代表的概念之间的关系。
(1)漏洞(Loophole)是系统中的弱点,外部威胁可以利用这个弱点来损害安全。它可以是一个能被利用的软件、硬件、程序或人的弱点。漏洞可能是运行在服务器上的服务、存在配置缺陷的应用程序或操作系统、无线接入点、防火墙上的开放端口、糟糕的物理安全性等。利用(Exploit)是用技术方法实现对漏洞的恶意使用,有漏洞不一定就有利用,但有利用就肯定有漏洞。
(2)威胁(Threat)是与利用漏洞有关的任何潜在危险。如果威胁是某人将识别特定的漏洞并对公司或个人利用,那么利用漏洞的实体被称为威胁代理。一个威胁代理可能是通过一个防火墙上的端口,以违反安全策略的方式访问数据的进程,或者员工规避控制以便将文件复制到可能暴露机密信息的介质中。
(3)风险(Risk)是威胁源利用漏洞和相应的业务影响的可能性。如果防火墙打开了多个端口,那么入侵者通过某个端口访问未经授权的网络资源的可能性会增大。如果用户没有接受关于流程和程序的教育,那么更有可能在无意中犯下破坏数据的错误。如果网络中没有部署入侵检测系统(IDS),那么攻击很可能会被忽略,等发现时已经晚了。风险将漏洞、威胁和发生的可能性与由此产生的业务影响联系起来。
(4)暴露(Exposure)是一个漏洞或薄弱点使一个组织面临可能的损害。如果密码管理松懈,密码规则不被执行,公司将面临用户密码被破坏和以未经授权的方式使用的可能性。如果一家公司没有检查其电线,也没有采取积极的防火措施,它就会面临潜在的毁灭性火灾。为了减轻(减少)潜在风险,需要实施控制措施。
(5)控制措施(Countermeasure)可以是通过优化软件配置、硬件设备消除漏洞,降低威胁代理能够利用漏洞的可能性的过程。常见的控制措施包括密码管理、防火墙、安全防范、访问控制机制、加密和安全意识培训等。
安全术语关系如图2-1所示。威胁代理作为相对的实体可以产生威胁,威胁会利用漏洞进一步产生风险,风险则能对受保护的资产产生损害,导致暴露或敞口,而暴露或敞口可以通过控制措施加以防护,这种防护可以对威胁产生直接的影响。
图2-1 安全术语关系
2.2.2 安全挑战的特点
从安全事件中可以发现,网络服务的安全挑战具备系统性、动态性、非均衡性和隐蔽性4个特点。
1. 系统性
网络安全挑战是系统性的、整体性的、不可分割的。我们可以对网络安全事件进行分类,但很多网络安全事件是攻击者采用多种技术,通过计算、网络、应用等不同层次进行的攻击。有些攻击既包括病毒、木马植入等传统手段,也包括SQL注入、零日(0day)漏洞、软件后门、操作系统缺陷等,甚至结合社会工程学、心理学等线下手段实施攻击。随着物联网和工业控制网络的互联网化,攻击行为甚至加速向物理空间渗透与融合,我们无法用孤立的点来理解和思考网络安全挑战,而是需要系统性的思考。
2. 动态性
网络安全事件在不同阶段会有不同的攻击手段和方法,并不是静态一成不变的,这给传统的“马奇诺防线”式的静态边界安全防御带来非常大的挑战。
3. 非均衡性
要保障整个网络的安全就需要有高成本的投入,任何解决方案都是相对的。在相对成本的情况下,如何尽可能让它安全,是一个需要平衡的问题。从网络服务提供商和消费者的角度来说,如果买卖双方中任意一方掌握的信息多于另一方,就会导致信息更少的一方在交易中做出次优选择。此类逆向选择同样存在于信息安全市场。影响用户购买软硬件的因素有价格、便利性、安全性及所提供服务的价值。用户通常难以验证厂商对产品的宣传是否真实,因而不愿意购买安全性能更好但价格更高的产品。而对于网络的攻击者和防御者来说,原先网络攻击的主要目标一般是网络基础设施,以瘫痪对方的网络连接为主。但是随着攻击技术的发展和攻击者角色的变化,网络攻击的目标开始向电网、水网、交通网络、油气网络、金融终端等关键基础设施转移。攻击行为对这些设施的影响巨大——停电给受攻击一方造成的经济损失常常数以亿计,而攻击方所付出的成本却微乎其微。
4. 隐蔽性
类似高级持续性威胁(Advanced Persistent Threat,APT)的攻击一般会以各种方式巧妙绕过已有的入侵防御系统进入目标网络。为了在目标内部长时间获取信息,通常会尽可能减少明显的攻击行为及留下的痕迹,隐秘嗅探和窃取所需信息。这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,它们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的攻击者往往不是为了在短时间获利或破坏系统,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握目标人、事、物的相关信息,所以这种APT攻击模式,实质上是一种“恶意商业间谍威胁”。
2.2.3 安全挑战的原因
产生网络服务安全挑战的原因可以采用PEST模型来分析,即政策及法律因素、商业因素、社会因素、技术因素。
1. 政策及法律因素
政策和法律方面,相关的监管要求持续提升:首先是2014年我国成立国家安全委员会和中共中央网络安全和信息化领导小组,确立了我国网络信息安全的重要领导与决策机构。随后,国家陆续颁布系列关于维护国家网络信息安全的政策,以《中华人民共和国网络安全法》为重要分水岭,其中《中华人民共和国网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。在此基础之上,2019年5月13日,网络安全等级保护技术2.0版本(以下简称等保2.0)正式公开发布,等保2.0增加了对云计算、大数据、移动互联网、工业自动化控制、物联网等方面的安全扩展性要求,丰富了防护内容,为落实信息系统安全工作提供了方向和依据。在此形势下企业和个人在相关政策和法律框架下需要进一步了解和保护合法权益,履行相关义务。
2. 商业因素
一方面,目前业界普遍采用开源软件(Open Source Software,开放源代码软件)向社会公开软件源代码。源代码也称为源程序,是指未编译的按照一定的程序设计语言规范书写的文本文件,是一系列人类可读的计算机语言指令。开源软件由于其功能基本能满足要求、成本低、开放性等应用十分广泛,从PC软件到个人智能设备,从办公软件到工业控制系统,从政府机构到大型商业公司,从物联网到航天和军事系统都有涉及。但是开源软件也存在很多问题,如可以进行基于源代码的白盒分析和攻击、版本众多安全维护复杂、对安全漏洞的响应可能不及时、漏洞数量多且影响大等。我国开源软件应用广泛但是原创不足,对开源软件缺乏架构和技术把控,这也是导致网络安全事件层出不穷的原因之一。
另一方面,安全受市场外部性的影响,外部性是指市场交易的结果对买卖双方之外的第三方产生的影响,而这部分影响并没有体现在市价中。软件市场相对而言全球化程度更高、竞争更激烈,因此企业为保持竞争力主要关注诸如开发、市场等内部成本,减少“不必要”的其他开支,往往不会考虑安全建设成本。另外,服务商能够在发布或销售后再修补漏洞,在缺乏国家、行业或市场监管的环境中,服务商倾向于尽量缩短进入市场的时间,而非注重软件质量和安全性。当然,部署不安全的产品和系统也会产生严重的社会影响,如直接的经济损失、数据保护问题、隐私和声誉受损等,种种外部性对漏洞披露有直接影响。
3. 社会因素
首先,网络安全意识缺乏。普通民众对网络主权、网络边疆和网络安全的认识不深,认识不到“网络安全人人有责”,危机意识、紧迫意识、参与意识不强。
其次,网络安全专业人才结构有待优化、数量有待提高。与日益增长的网络安全需求相比,我国网络安全的人才储备较为稀缺。根据2019年中国信息安全测评中心的安全从业人员调研报告,我国信息安全人才队伍建设还存在以下几个问题:一是信息安全从业人员全方位短缺;二是信息安全职业化尚处于初级阶段;三是人员能力提升需求难以得到满足;四是信息安全人才体制机制存在障碍。其中,最为紧缺的工作角色主要包括“安全建设”类中的分析设计(35.9%)和开发与集成(30.5%)两个子类,“规划管理”类中的策略规划(27.6%)和组织管理(33.5%)两个子类,以及“监管治理”类中的战略与法规制定(25.3%)和信息安全执法监管(24.6%)两个子类。
4. 技术因素
在互联网高速发展的时代,技术原因对安全挑战的影响相对更大,首先是新技术层出不穷,进入ABCD(人工智能、区块链、云计算、大数据)时代,企业、个人均与外部资源有更多的交互、共享和融合,攻击方也采用新技术提升攻击效果,在新技术带来极大便利的同时也带来了更高的网络安全风险。
(1)人工智能对攻击的影响。
① 攻击者可以通过模拟用户行为定制大规模攻击。主要的方法包括能够通过分析电子邮件和社交媒体传播,来学习个人行为和语言细节形成数据和知识,进而使用这些知识模拟用户的写作风格,仿制以假乱真的消息,即使是最有网络安全意识的计算机用户也会受到攻击。
② 复杂的攻击者利用人工智能学习主导的通信信道和最佳的端口和协议,伪装自己并伺机攻击更多的系统。
(2)大数据对攻击的影响。攻击者可以利用大数据分析,快速识别哪些数据集是有价值的,这将为攻击者节省大量的时间和精力。攻击者利用大数据结合人工智能将能实现规模更大、更为复杂的攻击。
(3)云计算对网络攻击的影响。
① 云的可见性和控制力下降。当将资产/运营迁移到云时,消费者对这些资产/运营的可见性和控制力会下降。使用外部云服务时,某些策略和基础设施的责任移交给了云服务提供商(Cloud Service Provider,CSP)。实际的责任转移取决于所使用的云服务模型,上云的单位无法采用传统方法对运行在云上的应用程序、服务、数据进行监视和分析。
② 按需自助服务更容易导致未经授权使用云服务。云的按需自助服务能力可以在没有IT部门批准的情况下从云服务提供商获得资源和服务。在未获得组织IT部门批准的情况下使用的IT系统通常称为影子IT。由于云计算中PaaS和SaaS产品成本较低且易于实施,使得未经授权使用云服务的可能性增加了。但是,在IT部门不了解的情况下提供或使用的服务会给组织带来风险。由于组织无法保护自己不了解的资源,因此使用未经授权的云服务可能会导致恶意软件感染或数据泄露增加。
③ 可以访问Internet的管理API。云服务提供商为了方便用户使用系统,通常会公开一组管理云服务(也称为云管平台)并公开与之交互的应用程序编程接口(API)。组织使用这些API来提供、管理、协调和监视其名下的资产和用户。这些API可能包含与操作系统及数据库API相同的软件漏洞。与用于本地计算的管理API不同,云服务提供商API可通过Internet访问,从而使它们更广泛地受到潜在的利用。攻击者在管理API中寻找、利用相关漏洞,进而攻击破坏组织相关云资产。此外,攻击者可以使用组织资产对云服务商的其他客户进行进一步的攻击。
虽然防御方能通过新技术提升能力,也有“主场优势”,但是一般来说攻击方利用新技术肯定早于防御方。此外,攻击方发现和利用由于技术迭代造成的漏洞一般也早于防御方。