復旦大學陳平博士:網路攻擊猖獗,如何應對數據安全與內生安全挑戰?
近日,CCF上海分部聯合CCF CTO Club(上海)和星環科技舉辦了**「數據安全與流通技術」**閉門研討會。
研討會圍繞 「誰來保護數據安全」、「企業如何依法進行數據安全加固及創新」 以及 「數據經濟如何健康發展」 等熱點話題,邀請了來自知名高校、科技企業和律所等50多位業內專家們共同交流探討。CCF CTO Club(上海)成員、星環科技聯合創始人劉汪根主持了論壇。
復旦大學大數據研究院研究員陳平博士做了**「數據安全與內生安全」**的主題演講。(以下為演講速記整理,一切為現場資訊為準)
1.靜態防禦系統不能抵抗網路攻擊
近幾年來網路攻擊越來越猖獗,目標不僅是我們的個人電腦,也包括國家重要的網路基礎設施。例如2017年臭名昭著的 Wannacry 勒索蠕蟲攻擊,在短短的三天時間內,至少100多個國家和地區上百萬電腦設備遭受攻擊,並且造成全世界40億美元的損失。
今年5月,美國最重要的燃YouTube道運營商 Colonial Pipeline 受到了勒索病毒攻擊,導致 Colonial Pipeline 關閉其美國東部沿海各州供油的關鍵燃油網路,美國也因此宣布進入國家緊急狀態。
影響惡劣的還有著名的心臟滴血攻擊和震網攻擊。2014年,一個名為 「心臟滴血」 的 OpenSSL 漏洞,可能導致大量用戶名和密碼泄露。三年後2017年,依然有接近20萬個伺服器和設備依然籠罩在心臟滴血的恐怖之中。
作為世界上首個網路 「超級破壞性武器」,震網病毒Stuxnet 的電腦病毒已經感染了全球超過45000個網路,伊朗遭到的攻擊最為嚴重,60%的個人電腦感染了這種病毒。電腦安防專家認為,該病毒是有史以來最高端的 「蠕蟲」 病毒。
目前的安全防禦系統為什麼沒有能阻止這些攻擊的發生呢?傳統的靜態防禦系統不能抵抗網路攻擊。
資訊安全一直伴隨著資訊技術的發展而發展。安全人員為了防禦黑客的攻擊,採用很多安全措施,如設計防火牆阻止惡意連接,設計入侵檢測系統捕捉惡意行為;設計反病毒來防止系統被惡意軟體感染;下載修補程式修復漏洞等等。
但是這一切傳統防禦都是靜態的、被動的,針對的是一些已知的安全漏洞或者攻擊,一旦遇到未知的漏洞攻擊,傳統的方法體系就很快會被突破,因此傳統的靜態防禦系統不能抵抗網路攻擊。
2.如何化解數據安全管理面臨的挑戰?
那麼應該如何保護數據核心資產安全是擺在企業以及安全人員面前的一道難題。
我想先從數據安全管理的角度談一談對數據安全的認識。我認為,數據安全是以合規管理為驅動,數據資產管理為抓手,根據數據安全生命周期進行治理。
首先,核心抓手數據資產管理。
具體的,在數據資產管理中,需要知道數據資產是什麼,數據資產如何管理。這兩個問題引發4個子問題,即要解決敏感數據是什麼,在哪裡,誰負責以及要與誰共享。
對於 「重要敏感數據有哪些」 這一問題挑戰是如何用有限的人力,抓企業最關心的數據資產;對於 「數據在哪裡,誰負責,給誰用」,我們面臨的挑戰是企業業務發展、系統迭代,人員變遷,導致數據流動性大,人員管理成本高,管理覆蓋容易有遺漏。
為了應對挑戰,我們應該有一套系統自動化梳理的方法,來自動發現和管理數據資產,分別從系統側和大數據側進行數據資產的識別。
**在系統側,找出敏感數據與介面,並一一落到責任人。**具體的,應該從流量中檢測發現有哪些敏感數據,發現哪些後端介面流出了該敏感數據,定位到後端負責人;再發現哪些前端系統使用了這些後端敏感介面,定位系統負責人。
**在大數據側,則是找到敏感欄位與表,並在敏感欄位變化時保留最初的敏感標籤。**庫/表數據通過自動化識別+人工打標的方式進行分級分類管理,對於衍生表,可以通過大數據血緣管理,確保敏感欄位計算演化時不丟失敏感標籤。
為此,重點的治理方向是數據分級分類和敏感數據&介面識別。在分級分類中,需要各個部門共同梳理,包括共享數據分類、公開數據分類、業務數據分類,以及重要程度分級等。
其次,數據全生命周期管控。
在數據分級分類基礎上,要對數據安全生命周期管理,按照數據採集、傳輸、存儲、處理、共享以及銷毀來進行。
為此,重點的治理方向是許可權治理、終端管控、員工行為基準線分析以及安全意識培訓。
**在許可權方面,**不僅要提供許可權管理的系統和方法,而且也要增強人員參與時的安全意識,例如許可權過大的問題。因此需要業務部門共同參與;
**在終端DLP上,**安全牽頭落地,各業務部門、內審、法務、HR幫助持續運營;
**在員工行為分析和基準線上,**主動發現員工的敏感數據獲取異常行為;
**在安全意識培訓方面,**指定安全行為標準規範,多元化資訊安全培訓教育等。
3.發展自動化漏洞挖掘
除了數據安全管理面臨的問題,我們還面臨著未知漏洞威脅。自動化漏洞挖掘,可以幫助企業在一定程度上確保資訊資產的安全。
**首先是檢測漏洞的挑戰。**一般來說,程式是一個有向圖,我們稱之為控制流圖。在控制流圖上,奔潰點是一個節點,任何一個函數調用都是連接一對節點的箭頭。程式存在漏洞,會在某種條件輸入下奔潰,並終止於 Crash 點。在自動化測試時候,我們要考慮所有的可能執行路徑。而路徑的數目是指數爆炸的,因此,自動化漏洞檢測的挑戰是如何有效地構造輸入觸發程式Crash。
經過對自動化漏洞挖掘十多年的研究,設計出一套針對源程式碼/二進位的漏洞挖掘框架,包括程式碼適配、漏洞挖掘以及漏洞定位。
程式碼適配是指,給定一個程式,通過語言適配器將其轉化為中間語言,在中間語言基礎上進行插樁。所謂插樁是指在程式中插入檢測程式碼。在程式插樁後,通過模糊測試工具結合符號執行進行輸入構造,觸發漏洞。當程式奔潰時,再通過漏洞定位分析,找到漏洞點。
**在程式插樁方面,**提出了一種輕量級的系統的靜態插樁工具。該文章發表在JCS、TIFS 上。該插樁工具與現有插樁工具不同,避免了插樁引起的額外跳轉開銷,以及利用虛擬機化執行的開銷。
其次,我們設計了一種輕量級的中間語言,該中間語言是對底層指令的封裝,支援 Address+Link、Definition-Use 分析。
程式插樁提供兩個功能:一是路徑覆蓋的計算;二是程序漏洞檢測的程式碼。
接著,我們在程式轉換和分析基礎上,構建混合測試。與傳統的 Fuzzer 不同,我們的 Fuzzer 採用符號執行技術指導 Fuzzing 的輸入構造,加快 Fuzzing 的效率,增加 Fuzzing 的覆蓋。
傳統的 Fuzzer 採用經驗假設或者隨機的路徑探索,而我們的方法基於符號執行的結合不同的漏洞特徵來進行輸入求解,指導 Fuzzer 的路徑探索,減少不必要的探索,效率提升44.3%。
我們的混合測試屬於 Code Coverage Driven Hybrid testing,在 Fuzzer 輸入探索路徑時,通過符號執行找到新的路徑分支。
**基於 Coredump 的漏洞定位。**在漏洞被觸發後,我們進一步的進行漏洞定位,在我們的方法出現以前,漏洞定位仍然停留在人工定位漏洞的階段,非常耗時。針對人工定位漏洞非常耗時的問題,我們研究了基於 Coredump 的漏洞定位,這一過程是自動化的。較以往人工方法,不僅效率從數天提升到數分鐘,而且準確率達到100%,漏報率16%。漏洞定位範圍平均30行程式碼以內。
**基於PT和逆向執行的漏洞定位技術。**為了支援二進位程式漏洞定位,並且提升漏洞定位的性能和準確性,我們利用 Intel CPU 的新特性——Intel PT 技術,可以在微小開銷記錄程式動態執行的控制流,並在軟體奔潰時集成至Core Dump 中。
我們採用的是逆向執行來恢復程式數據流。從奔潰點開始,我們逆向執行每一條語句,並以此重構程式的數據流。通過對兩個方法的比較,可以看到,使用硬體加速的方法效率明顯得到提升。
4. 擬態防禦應對內生安全挑戰
**鄔江興院士提出了內生安全的概念。內生安全是指事物都是兩面性的。有功能就有缺陷,未知的漏洞後門是不可避免的。鄔院士指出傳統的安全包括入侵防禦和漏洞挖掘,都是封門堵路的方式,不能從根本上解決網路安全問題。**即使現有的一些熱點方法,如可信計算、主動防禦、零信任等,也存在其自身的漏洞後門問題。
如大數據內生安全問題,分析結論的不可解釋性;人工智慧內生安全問題,分析結果的不可解釋性、不可判識性、不可推理性;5G網路內生安全問題,雲和邊緣計算支撐等平台中的漏洞後門、病毒木馬等;動態/主動防禦內生安全問題,無法防護基於調度環節宿主環境內的漏洞後門攻擊等。
內生安全有很多安全共性問題,如何才能證明這種疊羅漢式的附加安全防護是安全可信的?如何才能證明疊上去的每一個羅漢其自身是安全可信的?由於內生安全問題的存在,所有的安全技術怎樣才能自證清白?能否在聯網條件下避免觸發或隔離內生安全共性問題?
無論採用外掛式還是內嵌(Embedded)或內置(Built-in)式的安全部署方案,也不論使用何種動態防禦或主動免疫或認證加密等技術,都無法徹底擺脫內生安全共性問題帶來的恐怖夢魘。
到目前為止,沒有任何商家敢保證 「自主可控產品」 不存在安全漏洞;沒有任何安檢機構敢為送檢設備/裝置做無漏洞安全擔保。因此我們亟待軟硬體架構技術與數據安全發展範式的根本轉變。
為此,**鄔院士提出了擬態防禦,利用了動態異構冗餘,即動態的變化系統的構造,使得系統每一時刻的狀態都在變化,達到動態異構的效果。**這個變化是通過控制器進行的,再通過冗餘的方法確保系統的彈性。
鄔院士在其著作中介紹,基於內生安全理論的擬態防禦核心機理,將網路攻擊問題轉化為動態異構冗餘(OER)環境內應對廣義差模/共模干擾的問題,使得網路安全可以借鑒成熟的可靠性理論和方法來設計與度量,使Safety & Security問題能夠用一體化方法處理。
