专题·漏洞治理 | 网络攻防对抗下的漏洞治理探索与实践
文 | 广州大学网络空间安全学院/网络空间先进技术研究院 鲁辉 王乐 孙彦斌 苏申 陈星池 田志宏
当前,网络空间安全已经成为国家安全的重要组成部分。筑牢国家网络安全屏障,切实维护网络空间安全,是关系我国发展全局的重大战略任务。根据中国网络空间安全协会发布的《2023 年网络安全态势研判分析年度综合报告》,2023 年针对我国的高级持续性威胁(APT)攻击超过 1200 起。漏洞作为网络攻防对抗的核心,是网络空间安全重要战略资源。因此,探索攻防对抗下漏洞治理的新模式,加强漏洞的有效治理意义重大、势在必行。
一、传统漏洞治理方案面临的挑战
美国在漏洞治理领域的研究起步较早。美国国土安全部(DHS)及其下属的网络安全和基础设施安全局(CISA)提出了相对完善的漏洞治理体系,其中包括漏洞的发现收集、验证评估、修复消控、协同披露和跟踪等关键步骤。
通过政策与技术双管齐下的方式,我国漏洞治理工作取得明显成效。在技术方面,我国国家级漏洞库迅速发展,结合大数据、人工智能等新兴技术实现海量漏洞资源汇聚;在政策方面,我国积极探索颁布漏洞管理相关政策,重点明确漏洞利益相关主体的法律责任。然而,国内重要政企单位仍频现遭遇 APT 攻击的安全事件。APT 攻击展示了一种高级攻防对抗的形式,攻击者和防御者之间的较量不断升级,这对漏洞治理内涵提出了新的挑战。在攻防对抗的环境下,漏洞治理主要面临以下挑战。
(一)漏洞收集发现:智能化程度不高
自 2016 年开始,我国每年都开展实网攻防演练行动,由政府牵头组织评估企事业单位的网络安全情况。这些演练通过红蓝对抗的方式挖掘并修复漏洞,旨在提升政企网络系统的安全能力。经过多年攻防演练与防御手段的升级,政企单位诸如弱口令、敏感信息泄露等“简单”漏洞的数量已经显著减少。然而,网络安全的本质是一个对抗平衡过程,没有任何一套防御策略可以一劳永逸。回顾我国遭受的 APT 攻击事件,APT 组织往往能利用多条件触发的“棘手”漏洞绕过安全防御。因此,需要进一步收集和挖掘这类多条件触发的“棘手”漏洞。目前针对此类型漏洞挖掘的自动化程度较低,仍然高度依赖安全人员的经验。漏洞的收集和发现是漏洞治理的基础,而挖掘“棘手”漏洞则需要从“自动化”向“智能化”迈进。
(二)漏洞协同披露:需提高政治警觉性
高价值漏洞相当于安全领域中的“黄金”。关于高价值漏洞的“是否披露”“何时披露”以及“向谁披露”的决策会对国家社会安全产生深远影响。在攻防对抗的环境下,漏洞披露者的政治警觉性有待提高。例如,近几年发生的 Log4j2 漏洞安全事件,Log4j2 是 Web 服务器软件阿帕奇(Apache)下的开源日志组件,由于该组件广泛使用、利用门槛低以及危害极大,被称为“核弹级”漏洞。在这次安全事件中,Log4j2 漏洞的发现者第一时间将漏洞信息报送给了 Apache 开源社区,但未及时向工信部汇报。Apache 时隔 17 天后才对公众发布补丁,在此期间如果黑客对我国发动网络攻击渗透,将造成重大损失,这显示出漏洞发现者尚未意识到问题的严重性。漏洞协同披露是漏洞治理的核心环节,需要加强网络安全人才队伍的思政教育,提高他们对法律法规的理解和执行能力,最大程度降低零日漏洞的风险。
(三)漏洞跟踪:覆盖面不广
在攻防对抗的环境下,企业的防御安全意识已显著提高。在很多情况下,攻击者可能没有权限访问目标软件或系统的源代码,意味着他们不能通过代码审查直接发现漏洞。这迫使攻击者必须使用黑盒测试方法,这通常比白盒测试更难发现深层次的漏洞。尽管代码闭源可以在一定程度上保护企业系统的安全性,然而,这并不利于安全人员检查系统内漏洞被利用的情况。因此,漏洞跟踪成为漏洞治理的关键环节,尤其是需要跟踪已公布的漏洞,提高漏洞跟踪的覆盖面,及时消除系统的已知风险隐患。
综上所述,漏洞治理不应只关注漏洞的形成机理本身,还应关注漏洞从诞生到消亡的完整管理流程。基于攻防对抗的角度全面审视漏洞,汇聚漏洞并挖掘漏洞的衍生价值,以维护我国网络空间安全。
二、攻防对抗背景下的漏洞治理实践与探索
为更好服务构建国家网络安全新格局,广州大学引进了方滨兴院士团队,并成立了网络空间安全学院/网络空间先进技术研究院。以方滨兴院士“以攻促防、主动防御、战略威慑”的理念为核心,学院致力于攻克网络安全关键技术。同时,学院创立了“方滨兴院士实验班(方班)”,将教育与实践相融合,以安全人才为发展根基,有效推动在对抗背景下的漏洞治理。
(一)探索攻防对抗下的漏洞治理新模式:智能化漏洞挖掘与利用
广州大学网络空间安全学院/网络空间先进技术研究院(以下简称“学院”)拥有长期从事漏洞挖掘工作的智能攻防团队(以下简称“团队”)。面对攻防对抗下漏洞治理的挑战,该团队提出了智能化漏洞挖掘方案,通过收集漏洞及其影响因素,实现漏洞的智能汇聚、分析和自动化利用,以提升漏洞治理效率。该方案主要包括大规模体系化的自动网络攻防知识图谱构建技术研究、基于知识图谱的一体化自动攻击关键技术研究与贴近真实攻防场景的自动化攻防对抗验证平台构建技术研究。
**一是网络攻防知识图谱智能化构建技术。**漏洞有效治理的前提是全面认识漏洞特征。针对漏洞收集和发现存在的问题,需要从攻防对抗角度考虑,挖掘漏洞的“新”特征。团队开展网络攻防知识图谱智能化构建技术研究,旨在覆盖网络攻防对抗过程中的设备指纹、设备状态、漏洞、攻击代码、口令库、社工信息、防御策略等全面的攻防信息,为指导智能化漏洞挖掘与利用过程提供全面、详实的信息支撑。
**二是基于知识图谱的一体化自动攻击关键技术。**漏洞有效治理的关键是定位漏洞。针对漏洞跟踪中的问题,团队提出基于知识图谱的一体化自动攻击关键技术研究,该技术以漏洞自动挖掘、漏洞自动利用等关键技术为点,以基于知识图谱的利用链为线,将各个环节串联起来,形成一体化的智能攻击技术,实现针对指定目标攻击的过程自动化构建。通过研究自动化攻击,可快速、有效地挖掘系统中已知的漏洞,并发掘潜在的未知漏洞。
**三是贴近真实攻防场景的智能攻防对抗验证平台构建技术。**漏洞有效治理的重要步骤之一是漏洞影响评估。鉴于漏洞挖掘与利用技术的敏感性,智能攻防对抗技术在真实网络环境下的实施和验证存在困难,导致安全人员无法准确评估漏洞的真实影响。为解决这一难题,团队提出贴近真实攻防场景的智能攻防对抗验证平台构建技术研究。该平台具备可配置和可扩展的特点。基于知识图谱的一体化自动攻击关键技术可作为独立的攻防工具,也可与常用的攻防方法有机组合,形成完整的攻防体系。通过合理的配置和组合,针对不同的攻防场景,利用有限资源展开智能攻防验证,从而真实评估漏洞的影响。
(二)攻防对抗下漏洞治理之基:创新人才培养模式
漏洞治理体系的建设离不开人才的培养,需要依托国家战略型人才和创新实践型人才培养目标,培养和挖掘一批具有战略视野、跨领域、创新思维、技能过硬的网络安全人才,形成人才培养战略规划。广州大学方班提出“654321”网络安全人才培养新模式,从人才培养具体实施角度出发,面向对抗背景下的漏洞治理体系建设以及应用需求,探索将攻防对抗漏洞治理体系与网络安全人才培养相结合。该模式将思辨能力和实践能力纳入人才培养目标,培育具有独立思考和技能过硬的创新实践型网络人才,推动攻防对抗漏洞治理体系的不断进步。例如,“方班研讨厅”机制采用“学生讲、师生问、专家评”的深度翻转课堂形式。通过这种方式,锻炼学生掌握求源方法、熵减方法、实践动手方法和思辨方法,从而培养创新和思辨能力。同时,探索人才培养与业务需求深度结合机制,确保人才培养真正服务于安全防护需求,建立需求单位和人才之间的供需协调机制。例如,“方班演武堂”机制通过组织学生参与大型活动的网络安全保障任务,培养学生快速掌握“分析、验证、工程”方法,锻炼他们的实战实践能力。
(三)漏洞治理方案的实践价值
随着人工智能技术的飞速发展,漏洞发现技术也将被不断赋能,这为漏洞治理提供了机遇,同时也提出了新的挑战。一方面,需要持续探索在攻防对抗环境下的漏洞治理最佳模式。另一方面,也需要通过社会实践检验智能化漏洞挖掘方案的有效性。学院积极组织学生参与第 24 届北京冬奥会、杭州亚运会、成都大运会、第 127-135 届广交会、教育部多次攻防演练、第 16-17 届深圳文博会等重大活动的安全测试和防护保障工作,以及“护车行动”智能汽车网络安全竞技大赛、“全国分布式靶场平台攻防演练”等活动。通过参与这些活动,学院累计发现并向国家相关部门提交了重要信息系统未知漏洞 200 余个。学院的智能攻防团队设计开发了“零封安全-智能化网络漏洞挖掘利用系统”,通过理论模型构建、创新技术突破和示范应用推广三方面,同步推进漏洞挖掘和利用等治理方案。相关研究成果荣获中国网络空间安全协会“2021 年人工智能安全典型实践案例”和首届武汉网络安全创新论坛“网络安全优秀创新成果”奖。
最近,学院的多个安全团队正在结合漏洞资源进行新方向探索——基于“护卫模式”的网络安全新型主动防御机制,并形成了以蜜点、蜜庭、蜜阵、蜜洞为核心的“四蜜”探查体系。在这些体系中,漏洞资源发挥了溯源制导的重要作用,助力反制对手,有效应对 APT 攻击。多次重大活动的网络安全保障案例表明,“四蜜”威胁感知体系在主动发现安全威胁、提高系统安全性方面发挥了重要作用。
三、总结与展望
漏洞治理作为网络安全战略的重要组成部分,在维护网络安全和保障数据安全的过程中扮演着关键角色。学院提供的智能化挖掘方案提高了未知漏洞收集发现、已知漏洞跟踪等漏洞治理环节中的工作效率,并积极向国家漏洞库上报漏洞信息。此外,学院创新了漏洞治理的人才培养模式,培养和挖掘一批具有战略视野、跨领域、创新思维、技能过硬的漏洞治理人才。
随着软件开发周期缩短,其快速迭代要求漏洞安全检测能够跟上开发速度,为开发人员提供即时反馈。当前正处于大语言模型蓬勃发展阶段,研究者们正在积极开展大模型及其在各领域应用的研究工作。在漏洞治理方面,大语言模型的兴起为漏洞检测带来了新的机遇,未来,广州大学网络空间安全学院/网络空间先进技术研究院将深入探索大语言模型在漏洞治理领域的应用,通过结合大语言模型出色的信息理解与推理能力,进一步提高漏洞检测的自动化程度和扩大覆盖范围,挖掘漏洞“新”价值,切实助力构建国家漏洞资源大循环体系。
(本文刊登于《中国信息安全》杂志2024年第5期)
