从国际攻防对抗视角，重塑漏洞平台的价值

2019-11-05 12:25:16
我要分享


微信扫码分享

【导读】伴随人工智能、5G、物联网、大数据、云计算等技术的发展与应用，全球互联网迎“百年未有之”的蓬勃发展大局。与之对应，网络安全也面临着亘古未有的巨大威胁。尤其面对“网络攻防”硝烟四起的2019年，智库认为：网络安全早已从传统的“合规防御”形式演变成高级别的“攻防对抗”视角。在“攻防对抗”的安全本质中，漏洞以“致命军火武器”之姿成为其核心。可以说，要想迅速崛起成为网络世界强国，赢得第五维空间战场的胜利，就必须拥有对这一“致命军火”——高危漏洞的掌握能力。然而，以往事件型漏洞平台已不能抵御新威胁，一场重塑漏洞平台价值的改革呼之欲出，聚焦开源及通用组件高危及以上尚未被披露的漏洞的平台被推向时代浪潮的尖端。

见血封喉

高级黑客威胁不会给防御者反应

在探讨漏洞平台前，我们先看看当今，我们正处在一个什么样的网络环境中：

上个星期，印度库丹库拉姆核电站（Kudankulam）被官方证实已遭受朝鲜政府资助的拉撒路（Lazarus）小组（又名APT-C-26）的网络攻击；上个月伊朗炼油厂遭遇大火，疑似为美国对其发动的秘密网络攻击；7月，微软Outlook客户端爆出高危漏洞，全部主流Outlook版本均被影响，危及全球使用者；5月，全球排名前三的安全厂商悉数被黑客组织Fxmsp攻破，源代码遭到泄漏；3月，美国被指利用工控系统漏洞植入恶意软件，向委内瑞拉电力系统发动攻击，致使委全国遭遇“大断电”至暗危机。

时间线在向前移，2017年，勒索软件Wannacry携“永恒之蓝”席卷全球，这次黑客对微软操作系统中的高危漏洞成功利用，创下“漏洞军火”民用化的先例。而最为经典的案例则是名噪天下的“震网病毒”的5个在野0day，它成功令伊朗骄傲的“核计划”化为一纸空谈。

国家级网络攻击频繁打响，石油、电力、能源等关键基础设施成为对手攻击和渗透的主要目标；同时，高危漏洞的爆出，让网络攻击蠕虫般地肆虐全球，让人类网络安全陷入“毁灭级”打击的阴霾里。一旦网络攻击发起，便要见血封喉，从不会给防御者任何反应时间。而这，就是我们当今所处的网络空间时代。

在这个“网络空间时代里”交火看似风平浪静，但确实发生在流动的代码和字节中。它会以堪比核武器、生化武器的威力，对全球基础设施和各国正常生产、生活造成严重破坏。所以，与传统的网络安全相比，新网络空间时代的内涵和外延正不断扩大，并向网络空间安全全面升级。紧跟这种演进，我们也必须从更高的维度、更广的视角来审视网络安全问题。而这就需要从传统的“合规防御”视角转向高级别的“攻防对抗”上来。

网络“攻防对抗”大幕已开

事件型漏洞平台难抵新威胁

可以说，在这个新网络空间时代里，波澜壮阔的“攻防对抗”早已拉开。高级网络威胁，这把高悬的达摩克利斯之剑似乎随时都会掉落下来。

网络安全的本质是攻防对抗。而漏洞则以“致命军火武器”之姿毫无悬念的成为这场攻防对抗的核心，成为攻防对抗中最为重要的战略资源。

然而，未知攻，焉能知防。所以，面对这一“致命军火武器”，漏洞收录平台显得越发重要。它是与黑客争分夺秒的“中枢神经”，它力争赶在黑客利用漏洞发动攻击之前，收录它并将其制止在“罪恶的萌芽”里；它是防御外敌入侵的第一道屏障；也是国家重要的军事储备力量；它还能在国与国第五维空间战场的复合博弈中，起到军事威慑他国的重要作用。

然而，值得注意的是，漏洞平台也有“天”、“壤”之分。智库发现，目前市面上仍多为传统的事件型漏洞响应平台。而这些平台有其固有的弊端：

01 漏洞影响仅局限于某范围内，不具备通用型

顾名思义，事件型漏洞平台收录的是某一个具体网站或应用的漏洞。攻击具有唯一性。但由于两个网站的架构可能不同，对A网站的攻击通常不适用于B网站，对B网站的攻击也不能应用到A网站上。因此，对于漏洞平台来讲，即使接收了A漏洞，仅是为A网站做好了防御，但不代表B网站也变得安全。

02 接收漏洞良莠不齐，芝麻大小漏洞也被收录

大多数事件型漏洞平台，收录的标准是某一“事件”，而不是根据漏洞攻击力度与影响范围来收录，以至于像反射型 DOM-XSS、轻微信息泄露漏洞这等“芝麻大小的”漏洞也会被收录在内，但它于国家级攻防对抗的高危漏洞而言简直是轻如鹅毛。

03 追求漏洞数量，但数量不等于质量

仍以上面案例继续展开，因为针对A网站与B网站的攻击，不具有共通性，所以就被看作为两个漏洞。但由于每一个漏洞的影响力仅局限在一个范围内，攻击范围相对有限，再加上“芝麻大小”的漏洞也会被收录，导致事件型漏洞平台的数量看起来非常之多，但实际上并没有什么用。

显然，在今天日趋复杂的网络攻防对抗面前，在网络空间安全持续升维当下，以“事件型”为代表的漏洞平台，已不能应对高级威胁攻击的持续加码。同时，若在单纯的以数量评定一个漏洞平台的价值高低，也稍显“浅薄”，漏洞平台的数量不等于质量。所以，智库认为重塑“漏洞平台价值”也变得势在必行。

重塑漏洞平台价值

聚焦接收开源及通用组件漏洞

那么，重塑漏洞平台价值的第一要义：就是告别传统的以事件型漏洞收录，打破任何一个“芝麻大小”的漏洞也接收的“鱼龙混杂”局面。而转向更高级别漏洞的收录，转向能与国家级网络攻防对抗相匹敌的漏洞。因为针对开源软件的攻击利用，没有哪一个国家或企业能独善其身；也因为数量不等于质量，在野0day漏洞的爆发力足以撼动一个国家的根基。

所以，重塑漏洞平台价值的核心就是要认清：聚焦接收开源及通用组件的漏洞响应平台，即对0day漏洞和1day漏洞的收录的重要性。

01 针对开源通用型漏洞的收录

据了解，全球十几亿的设备都安装有开源软件，它们可能是直接使用原生的开源软件也可能是基于开源软件版本，本身进行二次开发的软件，一旦某个通用型开源漏洞被利用来攻破网络，顷刻间它能影响世界上数亿万设备。

这里有个典型的案例：2014年4月，“心脏滴血”漏洞横空出世，并在互联网界引发了腥风血雨。这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏滴血”——代表着最致命的内伤。这是一个加密程序库OpenSSL的安全漏洞。其中，OpenSSL 里存在的致命漏洞——SSL加密是通过开源方式实现的。由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中，所以一时间受影响的用户数量将难以估计。同时，利用该漏洞，黑客坐在自家电脑前，就可以实时获取到约30%https开头网址的用户登录账号密码，包括大批网银、购物网站、电子邮件等。据报道，该漏洞致使全球1/3网站核心数据被随意掠夺。

不止于这个案例，可以说，每一个开源通用型漏洞都足以直接造成批量信息泄露，或直接威胁主机安全。

02 针对0day、1day漏洞的收录

而提到0day漏洞的认知，这里就不得不再次提起名噪天下的“震网病毒”的5个在野0day。那一年，“震网”设计者精心构置了微软操作系统中4个在野0day漏洞，并和工控系统的在野0day漏洞进行组合，以实现精准打击、定向破坏。如此险恶又精密的源代码设计，令“震网”拥有了与生俱来的极端毒性与破坏力。小小0day漏洞轻而易举的摧毁了威力无比的“核”武器。

此外，这两组案例也再次从攻击广度（漏洞影响范围），以及攻击深度（漏洞打击力度），两个层面完美的演绎了高价值漏洞给一个国家甚至全球带来的破坏力与威慑力。

而纵观国际上那些领跑行业的漏洞平台如Zerodium，智库发现它们聚焦在对开源通用型漏洞的收录上，即0day漏洞或者1day漏洞的收录。

国内首家开源漏洞响应平台

360BugCloud严守攻防对抗的核心

回首国内，智库发现，近期国内也上线了一家聚焦接收开源及通用组件的漏洞响应平台——360BugCloud。

作为全国第一家开源漏洞响应平台，该平台致力于维护开源通用软件安全，力争打造以技术为驱动、以安全专家为核心，针对开源通用型高危漏洞进行安全研究及应急响应的组织与平台。

据报道，仅上线第一周，平台就收到来自全球超300个开源高危漏洞。每一个漏洞都足以直接造成批量信息泄露，或直接威胁主机安全。仅初步统计，这批漏洞的提交成功守护了上千万终端，其中包括建站系统类511万，框架插件类322万，客户端软件201万等，涉及政府、企、事业等上百余家单位，覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域，挽救了全球数亿的价值损失，共同维护了开源软件及社区平台的安全。

在这个“攻防对抗战”早已打响的时代下，要想迅速崛起成为网络世界强国，赢得第五维空间战场的胜利，就必须拥有对这一“致命军火”——高危漏洞的掌握能力。这已是近年来诸多国家级网络对抗中最为直观的事实。

所以，智库今天主张重塑漏洞平台价值，就是希望引发网络安全从业者对开源通用型漏洞，以及0day、1day漏洞的高度重视。此外，智库也期望与全球的安全专家携手共建网络安全新生态，共创21世纪第五维战略空间新纪元，真正实现“协作无界，让世界走在威胁之前”。

本文为国际安全智库作品（微信公众号：guoji-anquanzhiku）

如需转载，请标注文章来源于：国际安全智库

从国际攻防对抗视角，重塑漏洞平台的价值

热点排行

关注我们