7月21日,在2022北京网络安全大会(BCS 2022)技术峰会正式开幕。大会邀请了来自多国知名信息安全专家、科学家、互联网巨头技术高管、专业教授、第三方行业等嘉宾分享行业前沿新技术和新方案。其中,奇安信集团网络安全实验室主任郑晓峰发表了《脆弱性依赖:互联网基础设施的系统性风险》的主题演讲,围绕互联网基础设施的脆弱性依赖和系统性风险问题展开详细分析。
演讲伊始,郑晓峰通过全球网络空间稳定委员会(GCSC)的一份报告指出,“大国间25年的全球网络空间战略稳定与和平走到了历史终点,我们清晰地看到,当前社会背景为互联网基础设施安全带来了更多不确定性。”关于互联网基础设施,郑晓峰介绍到,与物理世界传统的基础设施相对应,GCSC的专家通过投票筛选出了认为至关重要的网络基础设施,包括路由和转发系统、域名和编址系统、公钥基础设施、软件等。进一步归纳分类,软件、域名和编址系统、公钥基础设施被认为是互联网公共核心。
谈到互联网基础设施的脆弱性依赖,郑晓峰为大家举了一个直观的例子。以多米诺骨牌来比喻互联网基础设施的脆弱性,即引发的单点故障的问题,会像多米诺骨牌一样环环相扣,形成连锁反应。回顾近一年的网络安全事件,Log4j这个公认的、影响力很大的网络安全事件,一个日志组件可以影响成千上万的应用,也是软件供应链安全的标志性事件。
郑晓峰分析:“当我们替换掉Log4j直接引用的组件,或许我们解决了直接引用脆弱性的相关问题,但所引用的其他组件或者替换的相应组件,也有可能间接引用了Log4j或其他的一些脆弱性组件。”当在软件供应链空间里对Log4j的相关依赖性进行分析后发现,这种依赖关系已经不再是单纯的树状结构,而是形成了复杂的图的关系。
再进一步来看软件供应链的脆弱性引用问题,郑晓峰表示:“如果再加上平台的固化、碎片化等问题,就会变成一个放大器,相应的问题会放大,更加影响整个生态。”这就是级联依赖,平台的固化、碎片化会导致软件或软件供应链的脆弱性依赖问题更加难以解决、难以根除。同样,网络服务、DNS解析等跟软件供应链一样,也存在供应链脆弱性依赖的缺陷和问题。
郑晓峰总结道:“网络基础设施的脆弱性依赖,让相应的防御不再是独立的单点问题,需要多方共同防御,共同采取相关措施才可能将整个生态里的脆弱性依赖关系带来的问题得到缓解。”可以说,互联网基础设施的脆弱性依赖问题是广泛存在的,并由供应链级联效应、平台固化、平台碎片化等问题放大其影响,它难以检测、难以根除,难以依靠单方防御力量缓解,总体可称之为系统风险。
最后,郑晓峰表示,上述系统风险需要我们去适应网络结构带来的新变化,把这些互联网基础设施的脆弱性问题,通过协议规范,或通过检测机制的更新来增强治理,多方共同完成对互联网基础设施脆弱性依赖问题的缓解以及防御。
