8月28日上午,2021北京网络安全大会技术峰会举行,清华大学 – 奇安信集团联合研究中心主任段海新出席活动,并发表了题为《互联网基础协议的漏洞发现:从端到端到云计算》的主题演讲,演讲中,段海新从互联网基础协议问题、协议安全漏洞的含义及原因等维度对主题进行了阐释。
在万物互联的时代,各式各样的终端之所以能够相互通信,是因为他们都实现了共同的通信标准——协议。“互联网基础协议的小问题常是互联网的大问题,”段海新说,“目前各厂商普遍使用开源软件或第三方软件,但对于这些软件的安全性重视程度不够,一旦基础协议出现安全问题,就很可能影响到所有的厂商,所有的产品。”
段海新表示,互联网基础协议的漏洞主要是协议设计上的安全缺陷。如果被攻击者利用,可以在协议设计者预期的条件下,实现超出预期的攻击效果,主要包括:假冒攻击,破坏通信实体的真实性;信息窃取,破坏传输数据的保密性;数据篡改,破坏传输数据的完整性;拒绝服务,破坏通信服务的可用性。
当然,即便是经过国际标准化组织论证的协议依然会存在漏洞,一是因为网络协议涉及并发、分布的多个实体,本身逻辑复杂;二是互联网的许多协议标准没有经过严格的安全性验证;三是互联网体系结构,从最初的端到端发展到今天的云计算,经过了很多的变化,面临新技术带来的新威胁。特别是在云计算的时代,我们的业务、数据存储在云端,物联网设备、移动设备也分散在很多地方,从前靠企业防火墙等传统设备构造的企业内网或安全边界消失了。随着攻击面日趋扩大,我们的产品和服务更加需要端到端的安全防护机制。现在看来,互联网先驱者们提出的端到端的概念,和我们现在流行的内生安全、零信任,从本质上是一致的。
段海新强调,无论是过去、现在还是未来,互联网的基础协议仍可能存在着安全漏洞,并且随着网络结构的变化和新技术的应用,攻击面可能在增大。这些基础协议的漏洞,可以影响几乎所有的用户、所有产品,因为这些协议使用在所有产品当中。这些漏洞大多数是逻辑漏洞,很难用自动化的方法来做大规模的发现,因此在目前阶段,漏洞的挖掘与验证仍然离不开深耕互联网协议领域的安全专家。
并且,解决这些协议的安全问题从来都不是一个简单的事情,通常情况下,基础软件和基础协议的安全漏洞修复的代价非常高,而且周期非常漫长。段海新表示,这主要是由于供应链非常长非常复杂,所以要想解决基础软件、基础协议甚至是安全软件的安全问题,需要多个不同的组织联合行动。
据悉,2021北京网络安全大会由奇安信集团会同中国电子信息产业集团有限公司、中国互联网协会、中国网络空间安全协会、中国密码学会、全国工商联大数据运维(网络安全)委员会、中国通信学会、中国友谊促进会主办。大会将充分发挥北京资源优势,注重打通战略、产业、技术界限,对接需要与供给两侧,打造政、产、企、智、学、用多方参与的交流合作平台,发出代表中国网络安全高水平的前沿声音。
