- 互联网安全的40个智慧洞见(2016)
- 360互联网安全中心
- 4912字
- 2021-01-04 16:36:54
战略篇
“网络安全再平衡战略”之抓手:拟态防御
邬江兴
国家数字交换系统工程技术研究中心(NDSC)主任/教授
信息时代给我们带来生活和工作乐趣的同时,网络安全问题像幽灵一般成为挥之不去的梦魇。网络空间“易攻难守”的不平衡或不对称现状,使得少数组织甚至个人就能挑战整个网络世界的安全秩序。
习近平主席在2016年“4·19讲话”中指出:“从世界范围看,网络安全威胁和风险日益突出……特别是国家关键信息基础设施面临较大风险隐患……难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。”
2011年12月,美国国家科学技术委员会在《可信网络空间:联邦网空安全研发战略规划》中也指出:“网络空间任何信息系统只要在设计链、生产链以及供应链等环节存在可信度或安全风险不受控的情形,就无法从根本上消除信息系统或网络基础设施的安全漏洞。”
一、网络安全不平衡现状的本源问题
网络安全不平衡现状的本源问题之一是安全漏洞。通常是指,在硬件、软件或协议等的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未经授权下访问或破坏系统。据来自中国国家信息安全漏洞库的资料,2015年检测到的浏览器漏洞数比2014年高出37%,操作系统漏洞数高出73%。令人担忧的问题是,未能检出的漏洞有多少?更为糟糕的是,人类现有的科技能力尚无法彻底避免漏洞。
网络安全不平衡现状的本源问题之二是软硬件后门。通常是指留在软硬件系统中的恶意代码,为特殊使用者通过特殊方式绕过安全控制环节而获得系统访问权的方法与途径。仅就2014年中国互联网网络安全报告的数据来看,2014年中国境内被篡改网站数量较2013年增长 53.8%。2014年我国境内4万多个网站被植入后门。其中政府网站就达1 500多个。与漏洞同样的问题是,查不出的后门有多少?更为严峻的是,供应链全球化时代,“你中有我,我中有你”是必然趋势。因而,在相当时期内,后门将是无法杜绝的。
“棱镜门”事件披露了大量的关于硬件后门的黑幕信息,严重打击了国际社会全球化的信心,给贸易自由化带来了长期的负面影响。即使网络安全与信息技术最发达的美国,在2017年国防授权法案中也提出了“如何保证来自全球化市场、商用等级、非可信源构件的可信性问题”。
网络安全不平衡现状的本源问题之三是,网络空间我们已知的漏洞和后门就如同浩瀚宇宙中的一点尘埃,绝大多数漏洞后门是未知的。实际上,迄今为止,人类尚未形成穷尽复杂信息系统漏洞和彻查后门的理论与方法。“设计缺陷与不可信开放式供应链”条件下,无论从技术或经济上都不可能彻底保证网络空间(包括核心信息装备或关键信息基础设施)构成环境内“无毒无菌”的安全性要求。
从网络防御者角度来看,基于未知漏洞或利用未知后门实施的未知攻击属于“未知的未知”安全威胁,也即不确定性威胁 ,这是网络安全领域最令人惊恐不安的威胁。因为我们永远无法知道攻击者在什么时候、用什么手段、经过何种途径进入目标对象,正在干什么,已经干了什么,未来可能干什么等一系列问题,更不知道从何处下手才能实施有针对性的防御。这也是网络安全不平衡态势主导因素之一。
美国经济学家佛兰克·奈特对风险和不确定威胁有段富有哲学和数学意味的描述,他说:“已知的未知属于风险,风险可以用概率来表述,而未知的未知属于不确定威胁,不确定性则是不知道概率的情形”。
二、网络安全再平衡的对象问题
网络空间现有的防御体系,是基于威胁特征感知的精确防御。建立在“已知风险”甚至可以是“已知的未知风险”前提条件上,必须获得攻击来源、攻击特征,攻击途径,攻击行为,攻击机制等先验知识才能实施有效防御。更为严峻的是,网络空间信息系统架构和防御体系本质上说都是静态、相似和确定的,体系架构透明脆弱、又缺乏多样性,缺陷持续暴露易于攻击,从而成为网络空间最大的安全黑洞。
更加致命的是,因为软硬构件中存在未知的漏洞或未发现的后门,信息系统和防御体系只能构建在可信性不能确保的运行环境上。从某种意义上说,现有信息系统或防御体系对不确定性威胁基本上是不设防的,或者说是除了加密认证外几乎没有任何实时高效的应对措施。事实上,如何确保加密认证装置工程实现上的可信性,本身就存在不小的挑战。
因为无法保证复杂信息系统或网络空间生态环境“无漏洞无后门”或者“无毒无菌”,现有的安全防护只能期待“后天获得性免疫”。通过不断地亡羊补牢,不断地挖掘漏洞和发现后门,不停地打补丁、杀毒灭马、封门堵漏等被动的跟随博弈方式来自我完善。所以说“易攻难守”不对称现状是被动防御体系基因缺陷所致,因此被动防御对于不确定威胁如同数学上求解缺维方程组,理论上无确定解。如果说,网络安全严重失衡现状是传统安全防御理论和技术体系基因缺陷所致,也并非言过其实。
三、生物学拟态现象的启示
一种生物在色彩、纹理和形状等特征上模拟另一种生物或环境,从而使一方或双方受益的生态适应现象,称为拟态现象。按防御行为分类可将其列入基于内生机理的主动防御范畴,可以称为“拟态伪装”。
拟态现象在生物界其实很普遍,林林总总,光怪陆离。
生物体如果不仅在色彩、纹理和形状上,而且在行为和形态上也能模拟另一种生物或环境的拟态伪装,我们称之为“拟态防御”。
被称为拟态章鱼的条纹章鱼,也许是生物界的拟态防御大师。据研究,它可以至少模拟15种以上海洋生物,可以在珊瑚礁环境和沙质海底完全隐身。能在本征功能不变条件下,以不确定的色彩、纹理、形状和行为变化给攻击者造成目标认知困境,极大地削弱攻击的有效性与可靠性。
“拟态防御”在军事领域的典型应用就是隐形飞行器或舰船,目的就是要尽可能地在对方雷达屏幕上隐匿自己的踪迹和特征。
四、在网络安全领域导入拟态防御
2008年,中国科学家就尝试着将生物界的拟态防御理念导入到网络安全领域,期望能破解基于未知漏洞和后门等不确定威胁难题。
基本目标是要在后全球化时代、开放式的产业生态环境中,基于“有毒带菌”不可信、不可控的软硬构件,搭建基于创新的动态异构冗余体制的信息系统,并能提供不依赖但不排斥传统防御方法的安全可信可靠的信息服务。以不确定性防御应对网络空间不确定性安全威胁,试图改变目前攻防不对称的游戏规则。图1是网络空间拟态防御模型。
图1 CMD架构模型示意图
系统从构件池获取功能构件,并经多维重构和策略调度形成服务集k的异构冗余执行体,由动态生成的服务集k提供系统当前的服务。期望在给定功能或性能不变条件下,拟态界内的异构冗余执行体可以在时间、空间两个维度上作实现结构上的相异性和冗余性改变,包括对寄生其上的未知漏洞、后门等的改变。其基本工作流程是,输入序列由输入代理分发给服务集k的各执行体,他们的输出经过归一化处理再实施多模表决,多数相同的结果被选择输出。显然,除非服务集k的各异构执行体中的未知漏洞能被相同激励触发并产生完全相同的错误输出,否则,即使各执行体中都存在未知的安全问题也无法瓦解拟态防御。于是,不确定性威胁通过异构冗余架构转化为“异构执行体同时出现完全或多数相同性错误内容的判定问题”,即“未知的未知威胁”被物理机制转化为“已知的未知风险”控制问题,成为可用概率等数学方法或工具分析和描述的问题。
需要强调指出的是,由于基于未知漏洞后门等的不确定威胁被拟态防御架构的动态性、异构性、冗余性和多模裁决机制强制转化为攻击行动不可规划、攻击效果不可预期的不确定性事件,攻击者被迫从相对容易单一静态目标攻击方式转变为成功概率极低的“非配合条件下”多元动态目标的协同攻击方式。
网络空间拟态防御的愿景是,能够应对拟态界内未知漏洞或后门等导致的未知风险或不确定威胁;拟态防御的有效性由架构内生防御机制决定而不是依赖现有的防御手段或方法;不以拟态界内软硬构件的“可信可控”为前提,适应全球化开放生态环境;能够融合现有的任何安全防护技术并可以非线性的放大防御效果;期望用目标对象内生环境主动创建的视在不确定性,应对网络空间未知安全风险和不确定性威胁;在功能等价、开放多元产业生态环境中,将目标对象复杂的安全可信防护问题转化为创建信息系统内生机理主导的积极防御态势。用系统架构技术的颠覆性创新,支撑网络安全再平衡战略的实现。
事实上,拟态防御架构本质上是一种具有集约化属性和普适性意义的信息系统架构技术,能够“四位一体”的提供主被动防御,服务提供,高可靠与高安全功能。正如三角形具有几何意义上的稳定性内涵一样,拟态防御架构对“已知的未知风险”或“未知的未知威胁”具有内生的防御效果,能够为网络安全与信息化领域融合式发展战略提供可信赖的技术抓手。
五、拟态防御有效性验证测试
拟态防御架构的有效性尽管在理论上已经可以证明,但工程实践效果如何仍需要严格的测试验证和分析评估。
2016年1月,国家科技部委托上海市科委组织:中国科学院信息工程研究所、国家信息技术安全研究中心、中国信息通信研究院、军委装备发展部第61研究所、上海交通大学、浙江大学、北京奇虎科技有限公司、启明星辰信息安全技术有限公司、安天科技股份有限公司等业界权威检测单位,组成联合众测团队,历时5个月,分原理研讨与验证测试方案制定、规范标准对比测试、互联网渗透测试和验证测试总结分析四个阶段开展测试验证工作。
测评对象为两种拟态应用场景:一个是属于信息通信网络基础设施范畴的拟态路由器原理验证系统;另一个是属于网络信息服务范畴的拟态Web服务器原理验证系统,并且测评对象的所有软硬构件都是“来自全球化市场、商用等级、非可信源产品”。共完成13类,113项,204例验证测试。
采取了包括使用黑盒测试、白盒测试、渗透测试、对比测试等在内的多种测试方法和手段,也包括直接设置后门或配合注入木马病毒代码等极端方式。是目前网络安全业界最为严苛,也是开放程度最高的测试验证。
为了检验拟态系统的内生防御机理,测试程序规定评测对象,不得安装任何杀毒灭马等防护工具;测试过程中不能进行任何形式的漏洞修补或后门封堵等增量开发;也不能使用诸如防护墙、加密认证等安全加固手段。需要测试验证拟态系统能否隐匿拟态界内的未知漏洞和后门;攻击者能否利用拟态界内未知漏洞注入未知病毒木马;防御方能否有效抑制拟态界内基于未知因素的协同攻击;能否允许拟态界内使用“不可信不可控”的软硬构件;拟态界内运行环境能否允许“有毒带菌”等5个方面的问题。所有测试验证是在保证目标对象服务功能和性能前提下进行。验证测试和分析评估结果表明,与理论预期完全吻合,原理具有普适性。同时,也验证了“拟态系统安全性与软硬构件的未知缺陷,包括后门及木马病毒等基本无关”的推论。其内生防御机理可以有效解决“全球化环境”下,拟态界内软硬构件不可控不可信问题,也就是即使拟态界内存在未知的漏洞后门,或“有毒带菌”也不会影响信息系统的功能和性能。使得“网络安全再平衡战略”的实现成为可能。
六、拟态防御的技术和产业意义
拟态防御技术可以在“软硬构件供应链不可控不可信”的前提下:支撑全球化时代,开放共赢合作模式下,网络安全与信息化“一体两翼,双轮驱动”发展目标的实现;有助于消除全球自由贸易中的有形或无形壁垒,促进信息共享和全球化的深度发展;使得基于未知漏洞或后门等的攻击失去威胁和震慑作用或极大的增加攻击者代价,终结“易攻难守”的现状,遏制网络恐怖主义的泛滥;创造网络安全与信息化领域的新需求,促进功能等价异构多元、多样化市场的繁荣。
理论和实践上都已经证明,拟态防御技术不仅能从根本上改变“网络空间攻防不对称”的现状,颠覆利用“先发技术和卖方市场优势”实施网络空间“单向透明”战略的行动基础,而且能为重建网络空间新秩序提供不可或缺的技术支撑。
更具有战略意义的是,拟态防御原理可以促使网络安全与信息化领域实现真正意义上的一体化、融合式、同步式发展,适用于从软硬构件、组件、部件、装置、系统、平台、网络等各层面以及信息领域的各个方面,能够产生很强的普适性、渗透性以及立体化、集约化的转基因效果。例如可以创造拟态CPU、拟态操作系统、拟态服务器、拟态云平台、拟态存储、拟态化设计工具等系列化的新兴产品技术或技术产品,能为网信融合发展释放出“改变游戏规则”的爆炸性活力。
总之,网络空间拟态防御为“网络安全再平衡战略”提供了可以依赖的理论和技术抓手。