2021年,網(wǎng)絡空間安全技術不斷更新發(fā)展,呈現(xiàn)出創(chuàng)新活躍的態(tài)勢。以零信任、人工智能、量子技術和太空技術等為代表的新興網(wǎng)絡安全技術在網(wǎng)絡安全領域的發(fā)展前景受到世人重點關注。數(shù)字時代下,基于邊界構建的傳統(tǒng)安全防護正被零信任所取代,零信任逐漸成為數(shù)字時代主流的網(wǎng)絡安全架構。人工智能賦能網(wǎng)絡攻擊催生出更多精準化、智能化、自主化的網(wǎng)絡安全威脅。
零信任將成為數(shù)字時代主流的網(wǎng)絡安全架構
數(shù)字時代下,云大物移等新興技術的融合與發(fā)展使得傳統(tǒng)邊界安全防護理念逐漸失效,而零信任安全建立以身份為中心進行動態(tài)訪問控制,必將成為數(shù)字時代下主流的網(wǎng)絡安全架構。零信任是面向數(shù)字時代的新型安全防護理念,是一種以資源保護為核心的網(wǎng)絡安全范式。
零信任安全簡要歸納和概況:1)網(wǎng)絡無時無刻不處于危險的環(huán)境中;2)網(wǎng)絡中自始至終都存在外部或內部威脅;3)網(wǎng)絡位置不足以決定網(wǎng)絡的可信程度;4)所有的設備、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權;5)安全策略必須是動態(tài)的,并基于盡可能多的數(shù)據(jù)源計算而來。因此零信任安全的核心思想是默認情況下企業(yè)內部和外部的所有人、事、物都是不可信的,需要基于認證和授權重構訪問控制的信任基礎。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的術語。經(jīng)過近十年的探索,零信任的理論及實踐不斷完善,逐漸從概念發(fā)展成為主流的網(wǎng)絡安全技術架構。
數(shù)字時代下,舊式邊界安全防護逐漸失效。傳統(tǒng)的安全防護是以邊界為核心的,基于邊界構建的網(wǎng)絡安全解決方案相當于為企業(yè)構建了一條護城河,通過防護墻、VPN、UTM 及入侵防御檢測等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外。這種建設方式一定程度上默認內網(wǎng)是安全的,而目前我國多數(shù)政企仍然是圍繞邊界來構建安全防護體系,對于內網(wǎng)安全常常是缺失的,在日益頻繁的網(wǎng)絡攻防對抗中也暴露出弊端。而云大物移智等新興技術的應用使得 IT 基礎架構發(fā)生根本性變化,可擴展的混合 IT 環(huán)境已成為主流的系統(tǒng)運行環(huán)境,平臺、業(yè)務、用戶、終端呈現(xiàn)多樣化趨勢,傳統(tǒng)的物理網(wǎng)絡安全邊界消失,并帶來了更多的安全風險,舊式的邊界安全防護效果有限。面對日益復雜的網(wǎng)絡安全態(tài)勢,零信任構建的新型網(wǎng)絡安全架構被認為是數(shù)字時代下提升信息化系統(tǒng)和網(wǎng)絡整體安全性的有效方式,逐漸得到關注并應用,呈現(xiàn)出蓬勃發(fā)展的態(tài)勢。
人工智能賦能網(wǎng)絡攻擊催生新型網(wǎng)絡空間安全威脅
隨著人工智能技術的發(fā)展,攻擊者傾向于針對惡意代碼攻擊鏈的各個攻擊環(huán)節(jié)進行賦能,增強攻擊的精準性,提升攻擊的效率與成功率,有效突破網(wǎng)絡安全防護體系,對防御方造成重大損失。在惡意代碼生成構建方面,深度學習賦能惡意代碼生成相較傳統(tǒng)的惡意代碼生成具有明顯優(yōu)勢,可大幅提升惡意代碼的免殺和生存能力。在惡意代碼攻擊釋放過程中,攻擊者可將深度學習模型作為實施攻擊的核心組件之一,利用深度學習中神經(jīng)網(wǎng)絡分類器的分類功能,對攻擊目標進行精準識別與打擊。在 2018 年美國黑帽大會上,國際商業(yè)機器公司(IBM)研究院展示了一種人工智能賦能的惡意代碼 DeepLocker,借助卷積神經(jīng)網(wǎng)絡(CNN)模型實現(xiàn)了對特定目標的精準定位與打擊,驗證了精準釋放惡意代碼威脅的技術可行性。目前,這類攻擊手法已被攻擊者應用于實際的高級持續(xù)性威脅攻擊,一旦繼續(xù)拓寬應用范圍,將難以實現(xiàn)對抗防范;如果將之與網(wǎng)絡攻擊武器結合,有可能提升戰(zhàn)斗力并造成嚴重威脅和破壞。
另一方面,隨著物聯(lián)網(wǎng)(IoT)的逐步普及、工控系統(tǒng)的廣泛互聯(lián),直接暴露在網(wǎng)絡空間的聯(lián)網(wǎng)設備數(shù)量大幅增加。2016年Mirai IoT 僵尸網(wǎng)絡分布式拒絕服務攻擊(DDoS)事件表明,攻擊者正在利用多種手段控制海量 IoT 設備,將這些受感染的 IoT 設備組成僵尸網(wǎng)絡,發(fā)動大規(guī)模 DDoS 攻擊并可造成網(wǎng)絡阻塞和癱瘓。除了呈現(xiàn)大規(guī)模攻擊的典型特點之外,網(wǎng)絡攻擊者越發(fā)注重將人工智能技術應用于僵尸網(wǎng)絡攻擊,據(jù)此進化出智能化、自主化特征。
2021年全球威脅態(tài)勢預測表明,人工智能技術未來將大量應用在類似的蜂群網(wǎng)絡中,可使用數(shù)百萬個互連的設備集群來同步識別并應對不同的攻擊媒介,進而利用自我學習能力,以前所未有的規(guī)模對脆弱系統(tǒng)實施自主攻擊。這種蜂巢僵尸集群可進行智能協(xié)同,根據(jù)群體情報自主決策采取行動,無需僵尸網(wǎng)絡的控制端來發(fā)出命令;無中心的自主智能協(xié)同技術,使得僵尸網(wǎng)絡規(guī)模可突破命令控制通道的限制而成倍增長,顯著擴大了同時攻擊多個目標的能力。人工智能賦能的規(guī)模化、自主化主動攻擊,向傳統(tǒng)的僵尸網(wǎng)絡對抗提出了全新挑戰(zhàn),催生了新型網(wǎng)絡空間安全威脅。
量子技術為網(wǎng)絡空間安全技術的發(fā)展注入新動力
目前,應對量子威脅的方法主要集中在發(fā)展量子密碼和后量子密碼這兩方面。量子密碼為提升信息安全保障能力提供了新思路。量子計算對傳統(tǒng)加密措施的影響源于其獨特的量子特性,如果發(fā)揮其正面功能,將這些特性用于構造信息加密算法,量子計算所帶來的威脅或許能輕松應對,這種基于量子力學原理保障信息安全的技術便是量子密碼(Quantum Cryptography)。1984 年 Charles Bennett 和 Gilles Brassard 提出了一個密鑰分發(fā)協(xié)議(BB84 協(xié)議),該協(xié)議為解決密碼學中的密鑰協(xié)商問題提供了一種全新的思路,其安全性建立在這樣的量子理論上:量子比特在傳輸過程中無法被準確復制,并且對發(fā)送量子態(tài)和接收量子態(tài)的比較,可以發(fā)現(xiàn)傳輸過程中是否存在的截取―測量等竊聽行為,進而能夠實現(xiàn)所謂的信息論意義上的安全。量子密鑰分發(fā)(QKD)作為量子密碼技術中目前最接近產(chǎn)業(yè)應用的一個方向,備受各方關注。在產(chǎn)品開發(fā)方面,瑞士 ID Quantique,東芝歐洲研究院,以及我國的國科量子、科大國盾、安徽問天等公司已有量子密鑰分發(fā)的相關產(chǎn)品問市。在戰(zhàn)略層面,2019 年 7月歐盟 10 國簽署量子通信基礎設施(QCI)聲明,探討未來十年在歐洲范圍內將量子信息技術整合到傳統(tǒng)通信基礎設施中,以確保加密通信系統(tǒng)免受網(wǎng)絡安全威脅。2020 年 6 月,以色列成立量子通信聯(lián)盟,重點研發(fā)改進量子密碼技術,并降低實現(xiàn)成本。2021年,日、韓等國也相應公布了戰(zhàn)略文件,并在 ITU-T 等標準開發(fā)平臺上開展標準化工作。
另一方面,后量子密碼是緩解量子威脅的重要手段。對于后量子密碼(PQC)算法,是指那些在大規(guī)模量子計算機出現(xiàn)后仍保持計算安全的密碼算法。這些算法的構造沒有采用量子力學的物理特性,而是延續(xù)傳統(tǒng)主流的計算上的可證安全研究方法。目前,后量子算法的研究重點是構造解決公鑰加密(密鑰建立)和簽名問題的非對稱算法,主要包括基于格、編碼、多變量多項式以及 Hash 函數(shù)等相關困難問題構造的密碼算法。這些問題已在傳統(tǒng)密碼學領域發(fā)展多年,其抵抗量子攻擊的復雜度假設是支撐后量子算法安全的基礎。目前還未出現(xiàn)兼顧安全性和效率的 PQC 算法,但是由于形式上 PQC 的部署主要涉及算法模塊的替換,相比 QKD 技術更為簡單實用,這種解決方案目前承載著更多期望。不過,PQC 的局限性也很突出。例如,PQC 算法模塊仍不可避免地存在側信道泄露問題;其次,由于無法排除未來出現(xiàn)的量子攻擊算法能進一步削弱基礎數(shù)學問題的困難性,導致 PQC 無法實現(xiàn)長期安全目標,不便用于特殊的保密場合。這點對對稱算法仍然適用。通常認為根據(jù) Grover 算法的搜索復雜性將密鑰長度增加一倍即可抵抗量子攻擊,但這種理解不一定正確。盡管理論上不存在超越平方加速的非結構化搜索算法,但不排除后續(xù)仍會出現(xiàn)更好的根據(jù)對稱算法結構性缺陷的量子破解算法。因此,增大密鑰長度實現(xiàn)分組算法安全性的做法只能是權宜之計。在實際應用中選擇結合后量子算法和 QKD 技術來實現(xiàn)長期安全目標的做法比較可取,這點與歐洲標準組織ETSI 的策略一致。
“彈性太空”引領太空技術發(fā)展方向
美國軍方和智庫一致認為,美軍當前幾乎所有的作戰(zhàn)系統(tǒng)(包括:定位、導航、授時、偵察監(jiān)視、測繪遙感、通信傳輸?shù)龋┒几叨纫蕾囂召Y源的關鍵支撐,隨著中俄不斷發(fā)展激光、地基、在軌、電子與網(wǎng)絡等反衛(wèi)星武器,現(xiàn)有太空體系高度脆弱并面臨關鍵威脅和嚴峻挑戰(zhàn),亟需發(fā)展致命性、彈性、有威懾力又低成本的軍事太空能力。“彈性太空”概念隨著美國太空戰(zhàn)略調整不斷豐富完善。2019年7月,美國太空發(fā)展局發(fā)布《下一代太空體系架構》,認為在大國競爭時代,“彈性、靈活性、敏捷性”是美國太空軍事化的發(fā)展趨勢,彈性太空是一個新方向。2021年4月,美國智庫“大西洋委員會”與斯考克羅夫特戰(zhàn)略與安全中心共同發(fā)布《太空安全的未來:未來30的美國戰(zhàn)略》研究報告,報告建議美國優(yōu)先發(fā)展“作戰(zhàn)響應空間技術群、在軌服務技術群、新興防御技術群”等能夠提升未來太空體系彈性的關鍵技術。
“彈性太空”是美國太空戰(zhàn)略發(fā)展的新方向,其內涵隨著美國太空戰(zhàn)略調整而不斷豐富,具體體現(xiàn)為:分散式、擴散式、多樣化部署;體系能夠隨時分解、重組、重構、重建與自我修復;威脅全面感知與快速溯源反擊;高風險條件下持續(xù)支援其他域聯(lián)合作戰(zhàn)。在“彈性太空”思想指導下,美國提出了下一代彈性太空七層體系架構;重點研究抗干擾、強機動、軟件定義的彈性衛(wèi)星技術;探索“航天母艦”平臺X-37B空天飛機、太空攻防武器、天基互聯(lián)網(wǎng)等太空戰(zhàn)關鍵技術的軍事應用;始終引領著世界太空技術的發(fā)展。
免責聲明:本文轉自“信息安全與通信保密雜志社”,原作者Cismag。文章內容系原作者個人觀點,本公眾號轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯(lián)系轉載公眾號“信息安全與通信保密雜志社”。
