邬江兴
网络安全威胁和风险日益突出,特别是国家关键信息基础设施面临较大风险隐患,难以有效应对国家级、有组织的高强度的网络空间,这对世界各国都是一个难题。
最本质的安全威胁
首先,我想谈谈网络安全不平衡现状的本原问题,或者是最本质的安全威胁问题。安全漏洞是在硬件、软件或协议等具体实现或系统安全策略上存在的危险,从而使攻击能够在未经授权下访问或破坏系统。但是无论是在理论上,还是实践上,漏洞都是不可避免的。令人担心的问题是未能检测的漏洞是多少?
与漏洞同样的词是后门,后门代码是留在信息系统、组件或者构建软硬件的代码中,供某位特殊使用者通过特殊方式绕过安全控制而获取程序和系统访问权的方法与途径,但是全球化环境下,后门是不可杜绝的。
2014年中国境内40000多个网站被植入后门,那么与漏洞的问题查不出的后门有多少?棱镜门事件披露的黑幕信息给世界带来了严重的影响。网络空间的后门和漏洞绝大部分都未知。更为糟糕的是迄今为止,人类尚未形成穷尽复杂信息系统漏洞与彻查后门的理论与方法。
那么从网络防御者的角度来看,基于未知漏洞和后门的未知攻击,是未知的安全威胁。不知道何处下手才能够实施有效针对性的防御。美国经济学家弗兰克·奈特说,已知的未知属于风险,风险可以用概率来表述,而未知的未知属于不确定性。现在有必要讨论现有防御体系之安全黑洞的问题,我们的精准防御是建立在已知风险,甚至是已知的未知风险的前提条件上。而且IT系统架构的方案体系都是静态的、相似的、确定的,这成为网络空间最大的安全黑洞。
更加致命的是可信性不能确保的运行环境上,软硬件存在未知的漏洞、未知的后门,从某种意义上说,现有的信息系统对不确定性基本不设防,除了加密认证外没有任何实施高效的措施。因为无法保证复杂信息系统或网络空间生态环境,无漏洞无后门,被动防御只能获得后天性免疫,不断亡羊补牢、不断地找漏洞、不断的打补丁。
生物拟态现象能为我们破解安全网络难题提供启示。生物体用拟态伪装造成捕食对象的认知困境,包括把不能伪装的定义为拟态防御,目的是内生而不是外在机理的主动防御。如同隐形飞行器,尽可能在对方雷达屏上隐匿踪迹和特征,如果我们能把潜在的漏洞和后门做拟态化,从而把攻击者认知困境大幅度降低,任何漏洞都可以归为对象物理或逻辑构造上存在的安全缺陷,也可以视为给定服务功能之外的不良寄生功能。
为了让攻击者难以利用,我们用两个公理体现,一个是给定功能,往往存在多种实现结构,第二个公理是不同结构,存在的功能缺陷往往不同。由此可以得到两个推论,一个是功能等价条件下,多种实现结构的显性或隐形缺陷往往不同,随机的选择这些实现结构,给定的功能不会改变,但是漏洞或后门会随机变化。
网络空间拟态防御
对攻击者来说,位置漏洞与后门被拟态化了,他变化,漏洞和后门也变化了,主体变了,他也变了,但是功能不变。那么拟态化的漏洞与后门,尽管我们并不知道是什么,在哪里和有什么影响。但是难以被攻击者利用是肯定的。因为不管漏洞和后门是什么,只要攻击者很难利用就达到我们的安全目的。
理论的进步先于技术的进步,网络空间拟态防御,我们的目标是要在后全球化时代、开源模式的时代中,进行安全可靠可信的服务。以不确定防御应对网络空间不确定安全威胁,这就是我们的目标。
从通用构件、专用构件来形成一个生态生存,包括服务体本能存在寄生的漏洞和后门,随着调动而改变。通过调动来实现服务体,通过输入、分配,把这些结果进行判别。于是不确定威胁通过这样的异构冗余架构转化为异构执行体同时出现完全或者多数相同性错误内容的判定问题,即未知的未知威胁转为已知的未知风险控制问题。
这是我们拟态的防御功能,随着时间的变化,每一次选择不同的功能体形成一个服务集来服务,基于未知漏洞和后门的不确定威胁,被动态机构冗余的拟态架构强制转化为攻击效果不可预期的事件。攻击者被迫从相对容易单一静态目标攻击方式转变为成功概率极低的多元动态目标协同攻击方式。
于是我们对拟态防御有以下愿景。第一,首先我们能够应对拟态界未知漏洞或后门等导致的未知风险或不确定威胁。第二是防御有效性由架构内生防御机制决定,不依赖现有的防御手段或方法。第三,我们不以拟态界内构件,可信可控为前提,适应全球化开放生态环境。第四,融合现有任何安全防护技术,都可以获得非线性的防御效果。
也就是说用目标内生机制主动创建的实在结构不确定性,应对网络空间未知安全风险和不确定性威胁。在功能等价、开放多元产业生态环境中,将目标对象复杂的安全可信防护问题转化为创建信息系统架构内生特性主导的主导机制。
第一个漏洞打过去,还要正好打到第二个漏洞、第三个漏洞。我们可以看到,一次攻击同时集中M个不相同的漏洞,这属于极小概率事件,所以我们说攻击者必须挑战非配合条件下协同攻击难度。
所以拟态防御不是一个单纯的防御架构,他本质上是一个具有集约化属性的普适意义的信息系统架构,为已知的未知风险或未知的威胁具有内生的安全防护机制,是网络安全与信息化一体之两翼、双轮之驱动,具有重要的意义。
拟态防御需要付出代价,后全球化时代、开放、开源生态环境下拟态界内构件的异构冗余代价至多是线性增加,所获得的综合防御能力则是非线性提升,科技大大降低目标对象全生命周期安全防护代价。所以拟态攻击效果有三级,第一是攻击效果难以维持,第二是攻击效果难以复现,第三是攻击扫过无法确定。拟态防御也许不是网络空间未来最理想的安全防御技术,但肯定是实现当前网络空间安全再平衡的可靠抓手。
拟态防御的测试验证
工程实践效果怎么样,需要严格的测试验证。为了检验拟态的有效性,测试需要严格规定,不能对被测对象做增量式开发,排除一切传统安全措施,需要配合做白盒和灰盒测试。这些做法,就是看是否非线性增加了漏洞等。同时也是一样,所有的测试验证是要在保障目标对象服务功能和性能的前提下进行的,为了检验拟态架构的内生防御机理,我们提出了“三不”前提,即不安装任何杀毒灭马工具、不做任何漏洞、后门封堵,不使用防火墙之类传统防护手段。能否隐匿拟态界内的未知漏洞和后门,能否利用拟态界内未知漏洞注入未知病毒木马,能否允许拟态界内使用不可信不控制的软硬件构件,还有拟态界内运行环境能否允许有毒带菌。这都是我们需要验证的东西。结果怎么样呢?测试验证结果与理论预期完全吻合,原理具有普适性。
那么网络安全再平衡作为拟态防御的技术抓手,基于架构内生机制解决“开放环境”软硬构件不可控不可信的问题。产业与技术后全球化时代的发展趋势不再成为网络空间安全的主要威胁,也证明拟态防御消除贸易自由化在网络安全领域的壁垒,使后门工程和恶意利用漏洞的行动失去威胁和震慑的作用。更重要的是创造网信领域新需求,促进功能等价异构多元化市场的繁荣。
所以拟态防御内生机理可以从根本上改变网络空间攻防不对称,颠覆利用先有技术和卖方市场优势,实时网络安全领域信息单向透明战略的行动基础。各个层面具有普适性、立体化、集约化、渗透性的方法。所以我们可以支持产品技术的增量开发,我们相信在网络安全发展越来越好。
(本文根据其在“2016首届C3安全峰会”上的演讲整理而成,有部分删改,未经本人确认。)