Board logo

标题: 邬江兴院士:试用拟态防御解决网络安全攻防不对称问题 [打印本页]

作者: linda    时间: 2016-11-14 10:25     标题: 邬江兴院士:试用拟态防御解决网络安全攻防不对称问题

网络安全不平衡现状是很少人可以肆无忌惮的挑衅整个安全问题,习近平主席最近指出网络安全威胁和风险日益推出,特别是国家关键信息基础设施面临较大风险隐患,难以有效应对国家级、有组织的高强度的网络空间,这对世界各国都有一个难题,我们当然也不例外。
首先,我想谈谈网络安全不平衡现状的本原问题,或者是最本质的安全威胁问题。安全漏洞这个词在网络安全界是一个出现频率极高的词,是指在硬件、软件或协议等具体实现或系统安全策略上存在的危险,从而使攻击能够在未经授权下访问或破坏系统。但是在理论和实践上,漏洞都是不可避免的。
令人担心的问题是能被检测的漏洞是多少?那么与漏洞相似的词是后门。后门代码是留在信息系统、组件或者构建软硬件的代码中,供某位特殊使用者通过特殊方式绕过安全控制而获取程序和系统访问权的方法与途径。但是在全球化环境下,后门是不可杜绝的。
2014年,中国境内40000多个网站被植入后门,那么与漏洞问题相似的查不出的后门又有多少?棱镜门事件披露的黑幕信息给世界带来了严重的影响。我们实在难以回答未披露的后门有多少,网络空间已知的后门和漏洞绝大部分都是未知。更为糟糕的是,迄今为止,人类尚未形成穷尽复杂信息系统漏洞与彻查后门的理论与方法。这就有一个难题,就是别人的设计缺陷,我们的安全困境。
那么从网络防御者的角度来看,基于未知漏洞和后门的未知攻击,是未知的安全威胁,我们不知道从何处下手才能够实施有效的、有针对性的防御。美国经济学家弗兰克·奈特说,已知的未知属于风险,风险可以用概率来表述,而未知的未知属于不确定性。现在有必要讨论现有防御体系之安全黑洞的问题,左边的同心圆显示的是我们威胁特征感知的精准防御,建立在已知风险,甚至是已知的未知风险的前提条件上。而且IT系统架构的方案体系都是静态、相似、确定的,(这就)成为网络空间最大的安全黑洞。
更加致命的是可行性不能确保的运行环境上,软硬件存在未知的漏洞、未知的后门,从某种意义上说,现有的信息系统对不确定性基本不设防,除了加密认证外没有任何更加高效的实施措施。因为无法保证复杂信息系统或网络空间生态环境无漏洞无后门,被动防御只能获得后天性免疫,不断亡羊补牢、不断地找漏洞、不断地打补丁。
生物拟态现象能为我们破解安全网络难题提供启示,一种生物在形态、行为上特征上模拟另一种生物或环境,从而使一方获得双方受益的生态适应现象称为拟态现象。尤其是大家看看生物界的拟态大师,条文章鱼,它可以模拟15种海洋生物,可以做到完全隐身。它在本特征不变条件下,以不确定的色彩、纹理、形状和行为变化给攻击者造成目标认知困境。那么这就是生物体以视在效果造成捕食对象的认知困境,以此获得生存的拟态现象。
生物体用拟态伪装造成捕食对象的认知困境,包括把不能伪装定义为拟态防御,目的是内生而不是外在机理的主动防御。如同这些隐形飞行器,尽可能在对方雷达屏上隐匿踪迹和特征。如果我们能把潜在的漏洞和后门做拟态化,攻击者而把认知困境大幅度降低,任何漏洞都可以归为对象物理或逻辑构造上存在的安全缺陷,也可以视为给定服务功能之外的不良寄生功能,为了让攻击者难以利用,我们必须用到两个公理。一个公理是给定功能,往往存在多种实现结构;第二种公理是不同结构,存在的功能缺陷往往不同。
我们可以得到两个推论,一个是功能等价条件下,多种实现结构的显性或隐性缺陷往往不同,随机的选择这些实现结构,给定的功能不会改变,但漏洞或后门会随机变化。
对攻击者来说,未知漏洞与后门被拟态化了,它变化,漏洞和后门也变化了,主体变了,它也变了,但是功能不变。那么拟态化的漏洞与后门,尽管我们并不知道它是什么,在哪里和有什么影响,但是难以被攻击者利用是肯定的。因为不管漏洞和后门是什么,只要很难被攻击者利用,就达到我们的安全目的了。
    理论的进步先于技术的进步。网络空间拟态防御,我们的目标是要在后全球化时代、开源模式的时代中,进行安全可靠可信的服务。以不确定防御应对网络空间不确定安全威胁,这就是我们的目标。这个是我们提出的拟态架构的模型,看起来比较抽象,那么我们增加动画。从通用构件、专用构件来形成一个生态生存。包括服务体本能存在寄生的漏洞和后门,这些随着这样的调动而改变。我们用一个可视化的系统来表示。右边是我们的异构池,通过这个调动来实现了它的服务体,通过他的输入、分配,把这些结果进行判别。于是不确定威胁通过这样的异构冗余架构转化为异构执行体,同时出现完全或者多数相同性错误内容的判定问题,即未知的未知威胁为转为为已知的未知风险控制问题。
这是我们拟态的防御功能,随着时间的变化,每一次选择不同的功能体形成一个服务集来服务,基于未知漏洞和后门的不确定威胁,被动态机构冗余的拟态架构强制转化为攻击效果不可预期的事件。攻击者被迫从相对容易、单一静态的目标攻击方式转变为成功概率极低的多元动态目标协同攻击方式。
于是我们对拟态防御有以下愿景。第一,首先我们能够应对拟态界未知漏洞或后门等导致的未知风险或不确定威胁。第二是防御有效性由架构内生防御机制决定,不依赖现有的防御手段或方法。第三,我们以拟态界内构件可信可控为前提,适应全球化开放生态环境。第四,融合现有任意安全防护技术,都可以获得非线性的防御效果。
也就是说我们用目标内生机制主动创建的视在结构不确定性,应对网络空间未知安全风险和不确定性威胁。在功能等价、开放多元产业生态环境中,将目标对象复杂的安全可信防护问题转化为创建信息系统架构内生特性主导的主导机制。这是我们的一个动画,第一个漏洞打过去,还要正好打到第二个、第三个漏洞,我们可以看到,一次攻击同时集中M个不相同的漏洞,这属于极小概率事件,所以我们说攻击者必须挑战非配合条件下协同攻击难度。
所以我们说其实拟态防御不是一个单纯的防御架构,他本质上是一个具有集约化属性的普适意义的信息系统架构,为已知的未知风险或未知的威胁具有内生的安全防护机制。网络安全与信息化一体之两翼、双轮之驱动具有重要的意义。
拟态防御需要付出代价,后全球化时代、开放、开源生态环境下拟态界内构件的异构冗余代价至多是线性增加,所获得的综合防御能力则是非线性提升,可极大降低目标对象全生命周期安全防护代价。所以拟态攻击效果有三级,第一是攻击效果难以维持,第二是攻击效果难以复现,第三是攻击效果无法确定。
当然拟态防御不可能一直解决、协议、算法功能定义缺陷等问题,也会涉及拟态界外问题,还是实施场景的受限、社会工程学协同攻击的问题,跨越联合或共同作弊等方法或方式。拟态防御也许不是网络空间未来最理想的安全防御技术,但肯定是实现当前网络空间安全再平衡的可靠抓手。
但是工程实践效果怎么样,需要严格的测试验证。今年1月份由国家科技部组织了国家信息安全研究中心,9家权威检测单位,对路由交换系统和web服务系统进行测试。所有的软硬构件是市场商化产品,我们共完成了13个113项,204项测试认证,我们所用的测试方法是能够采用的各种传统和非传统的验证测试方法,也是迄今开放程度最高的验证测试。
为了检验拟态的有效性,测试需要严格规定,不能对被测对象做增量式开发,排除一切传统安全措施,需要配合做白盒和灰盒测试。这些做法,就是看是否非线性的增加了漏洞等。同时也是一样,所有的测试验证是要在保障目标对象服务功能和性能的前提下进行的,为了检验拟态架构的内生防御机理,我们提出了三个前提,不安装任何杀毒灭马工具,不做任何漏洞、后门封堵,不使用防火墙之类的传统防护手段。能否隐匿拟态界内的未知漏洞和后门,能否利用拟态界内未知漏洞注入未知病毒木马,能否允许拟态界内使用不可信不控制的软硬件构件,还有拟态界内运行环境能否允许有毒带菌等,都是我们需要验证的东西。结果怎么样呢?测试验证结果与理论预期完全吻合,原理具有普适性。
那么网络安全再平衡作为拟态防御的技术抓手,基于架构内生机制解决“开放环境”软硬构件不可控不可信的问题。产业与技术后全球化时代的发展趋势不再成为网络空间安全的主要威胁,也证明了拟态防御消除贸易自由化在网络安全领域的壁垒,使后门工程和恶意利用漏洞的行动失去威胁和震慑的作用。更重要的是创造了网信领域新需求,促进功能等价异构多元化市场的繁荣。
所以拟态防御内生机理可以从根本上改变网络空间攻防不对称,颠覆利用现有技术和卖方市场优势,是网络安全领域信息单向透明战略的行动基础,是在各个层面具有普适性、立体化、集约化、渗透性的方法。



原文:http://www.shangusec.net/sitesources/webs/page_pc/xwzx/zcfg/articlede0bb1969cd04754838f50e30a0df4de.html




欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0