公益慈善北京中科在行动 http://hunan.ifeng.com/a/20180327/6461888_0.shtml
鞭牛士BiaNews消息:5G发展走入快车道,带动IoT(物联网)快速发展,将为消费、交通运输、生产制造、教育、医疗等各方面的数字化改造提供信息互联的硬核技术支持。在数字经济发展的机遇下,一边是海量增加的的数字化基础设备,一方面是可能存在的应用风险,安全如何保障?
业内专家指出,在数字基建的安全保障方面,目前整个安全行业还没有衡量安全技术能力的“尺子”。
昨日,阿里安全资深安全专家杭特在接受媒体采访时提到,目前很多安全从业者专注于各类破解赛、夺旗赛、厂商漏洞贡献排行榜等活动,这固然能衡量一些公司或个人的水平,但距离形成可沉淀的安全技术能力还不可相提并论,“这些比赛成绩不能真正作为衡量核心安全技术能力的那把‘尺子’。”
杭特建议,整个安全行业须从源头建立安全“标尺”,对核心安全技术进行定义和评级,让核心技术能力可沉淀、可复制、可度量,尤其要发展那些高效自动化的核心安全技术,从源头推动数字经济整体安全水位的提升。
“人肉战术”无法解决海量威胁
物联网设备数量将达到千亿甚至万亿级,从x86的windows/linux/mac、arm的iOS/Android,再到各种体系结构的传感器及自研软硬件系统,各类系统的差异性很大。诸多差异的物联网设备系统被成千上万安全能力不高的开发者,依靠大量复用开源软件供应链和少量自研软件创造出来,面临着潜在安全威胁。
一是开发过程的安全难以保障,再者系统差异性大,安全研究人员面对纷杂的系统,要想研究其安全,依靠手工分析,安全成本和运营成本都相当高。
杭特介绍,这些系统的安全短板并不在硬核的高技巧漏洞(10分),而是不起眼的低级漏洞(3-6分),但低级漏洞并不意味着能被快速、低成本发现。
他与安全从业者交流时,常遇到有人说“我们团队有XX个国际顶级白帽黑客,屡获大奖的那种,搞定这些小漏洞还不是很轻松”,但把那些五花八门的对象列表和具体设备推到对方面前,“比赛专家”却屡屡陷入沉默。他们的心里话一般是“这些以前没弄过,学习需要成本,数量还那么多”。而黑客却能因运气或者专一,顺利突破这些系统。
不是安全人员挖不出有用的漏洞,而是人肉挖掘在规模化对象面前,天花板太低、成本太高。同样,个人能力再强,面对海量的设备,个人的力量仍是渺小的,这也是杭特强调当前夺旗赛、破解赛、漏洞贡献排行榜并不能真正衡量安全技术能力,无法作为安全技术“标尺”,真正解决实际安全问题的原因。
因此,他建议,保障数字经济的安全,迫切需要建立一套明晰的安全“标尺”,尤其要发展高效自动化的核心技术,应对海量安全威胁。
滴滴出行安全专家杨军锋对该建议表示认同。他指出,大部分企业面对的都是没什么技术含量的攻击,高级攻击占比可能不到5%,低端威胁造成高昂的运营成本,自动化技术绝对是出路。
打造“标尺”发展核心安全技术
要想建立安全技术的“标尺”,首先要解决的是对“核心安全技术”的定义。杭特曾心痛地揭开网络安全行业的“怪现象”:网络安全行业现在看起来欣欣向荣,但关键性技术能力积累却不容乐观,有的奉行拿来主义,有的靠人肉运维,有的靠蹭流行技术热点,有的在产品上做面子工程。
如何评判出真正的核心安全技术?他提出,核心技术必须可沉淀、可复制、可度量。
因此,灵光一现的技术不算核心技术。这类技术只能算一种技巧,一旦公开会被迅速复制,缺乏竞争门槛。除非能在某个领域积累数十上百个的“发现”,且这些发现能被“保密”很久。
不能应用于广泛目标的安全技术也不是核心技术。如果应用目标非常狭窄,一旦目标消失,则该技术将无用武之地。而且,要区分“技术领先”究竟是因为提前占领了赛道,
转载请注明地址:http://www.1xbbk.net/jwbys/8354.html
