数字经济下的 “安全基建”从何做起?

原标题:数字经济下的 “安全基建”从何做起?

  解放双手的自动驾驶汽车、网速超快的5G网络、智能化的人脸识别安防系统……这些已经来到我们身边的各种“新基建”成果,正在一步步地改变着大众的生活,但是在这些“新基建”的背后,除了让“新基建”行业迎来风口的同时,也同样面临网络安全的挑战。今年全国两会期间,多位全国政协委员、院士和安全行业的专家在多个场合提出,数字基建就是“新基建”,安全是发展“新基建”的重中之重,应加强“安全基建”建设,让数字基建的每一块砖,从建立之初都安全可溯源。

  据南方日报记者从日前举行的GeekPwn2020新基建安全大赛上了解到,5G、云计算、车联网、智慧农业、智慧园区等新基建热点领域都面临着不同程度的安全威胁,而“安全基建”理念已成为安全行业的共识。

  新技术带来新安全隐患将更加严峻

  仅凭一个口罩,白帽黑客假扮他人瞒过AI摄像头。在日前举办的GeekPwn2020 CAAD AI变脸口罩挑战赛上,AFMask战队利用AI生成图像的口罩成功假扮成指定人员,骗过AI摄像头,最终在30秒内分别完成售货机掉货、ATM机吐钱的挑战任务。据南方日报记者了解到,参赛队伍利用算法缺陷,分别对自动售货机和自动ATM机的人脸识别摄像头展开白盒和黑盒攻击。而本次大赛还原了AI对抗样本在真实环境下的挑战,揭示了人脸识别技术应用的盲点与弱点,可引发隐私泄露、财产损失等后果。

  据南方日报记者从大会现场了解到,AI摄像头面临的安全威胁仅仅是众多新基建项目中的其中一个,安全研究人员利用未知安全漏洞以云端接入的方式,对正在作业的植保无人机发起攻击,成功获取了植保无人机的最高使用权限,使其偏离原定航道;白帽黑客成功利用特定技术对正在行驶中的低速汽车进行攻击,使得汽车突然停止;白帽黑客利用自制的雷达干扰枪设备使自动驾驶汽车“致盲”,径直撞向前方障碍物;腾讯安全玄武实验室高级研究员李冠成、戴戈利用5G通信协议的设计问题,黑客可以“劫持”同一个基站覆盖下的任意一台手机的TCP通信,包括各类短信收发、App和服务端的通信均有可能被劫持。这意味着用户收到一条显示为“955**”的银行短信或者App消息推送有可能来自未知的恶意用户。黑产团伙可以利用这个漏洞实施多种形式的攻击,例如伪造银行向受害者发送短信告知异常交易,引导受害者去点击一个链接,实际上这个链接被植入木马,可以窃取受害者银行卡信息;也有可能伪造受害者的手机号向其家人发短信,提出转账或者其他要求;甚至劫持任意HTTP访问,造成用户账号密码等敏感信息泄露……

  从种种针对新基建的安全演示案例可以看出,相对于传统概念的网络安全威胁,“新基建”之下,网络安全所造成的后果和影响将更为严重和深远,也让网络安全摆在了发展“新基建”的首位。

  据国家计算机网络应急技术处理协调中心发布的报告显示,2019年DDoS攻击高发频发且攻击组织性与目的性更加凸显,仅某黑客组织对我国300余家政府网站就发起1000多次攻击;APT攻击在重大活动和敏感时期更加猖獗;移动恶意应用程序大量出现等。

  值得留意的是,在“新基建”风口下,新技术应用带来新安全隐患将更加严峻。中国工程院院士方滨兴此前就曾表示,网络安全取决于新技术带来的新的安全问题,“新基建”带来新技术,就必然伴生新的安全问题,数字基建下的网络安全问题影响范围将更加广泛。

  安全思维从“事后补”变为“事前防”

  “四五十年前的安全问题可以后打补丁,‘新基建’下行不通了。”在今年8月举办的“新基建”安全大赛启动会上,邬贺铨院士提出了“新基建”安全相比传统安全的不同,网络安全不再是事后应对的问题,仅靠原来的卖盒子、防火墙的方法论,显然无法解决“新基建”带来的新挑战,要将网络安全措施与“新基建”同步部署,而不是出了问题再打补丁。

  实际上,数字时代的安全威胁一旦发生,其危害相对于传统安全是指数级增长,而且具有典型的产业链属性,破坏性极大。

  “目前大多数企业对网络安全的防护习惯于采取‘事后补救’措施,安全厂商也习惯于用‘治病救人’的方法,就是出了事再采取安全措施。‘事后补救’和‘治病救人’的措施,往往是‘头痛医头、脚痛医脚’的,是局部的、针对单点的,而不是彻底的和全面的,也无法满足新型工业互联网的安全需求。”奇安信技术专家在接受南方日报记者采访时就表示,网络安全厂商要推动整个行业,主动改变传统网络安全思维,变“事后补救”为“事前防控”型建设思路,网络安全不仅要“治病救人”,还要做到“可防可控”。这一思路的转变,将对各大重要信息化系统,全面提升安全能力,有效应对网络安全威胁,奠定坚实的基础。

  全国政协委员、中国科学院信息工程研究所所长孟丹就指出,未来的网络安全公司也不能仅从攻防的视角来考虑网络安全问题,需要从甲方视角出发,重新构建新一代安全架构和安全基建标准。

  “传统网络安全关注的重心大多在安全技术和产品方面,解决单点的问题,而真正的安全能力是在具体业务的场景中千锤百炼成长出来的,会运用多种技术的组合去解决业务问题。”阿里巴巴数字基建新一代安全架构阿里安全首席架构师钱磊在接受采访时就认为,不同业态和数字技术结合所带来的全新化学反应,也要求新一代的安全架构要立足甲方视角,以解决不同场景下的实际问题为目标。

  据了解,今年3月底,阿里巴巴发布了数字基建新一代安全架构,提出“安全基建”概念,关注各类App和网站等数字经济实体在搭建过程中建立标准化流程、引入关键技术,构建“安全施工标准”,确保数字经济实体在建设之初就运行在较高安全基线上。“‘安全基建’概念的提出,关注在数字经济实体的搭建过程中建立标准化流程、引入关键技术,解决的就是数字经济实体搭建的‘安全施工标准’问题。”钱磊介绍说,这一标准涵盖软件供应链安全、技术和业务漏洞检测、隐私与内容风险检测、应用可信等多个维度,要从建设之初就要开始打造免疫力,真正让每一块砖头都安全可溯源。

  南方日报记者 叶丹