新闻中心

News Center

郑文彬MJ出席BCS2022 呼吁安全界需要“量化”标准
发布日期:2022-07-14 作者:北京网络安全大会

  7月13日,2022北京网络安全大会(BCS2022)正式启幕。作为中国网络安全高水平和前沿声音,每年一度的BCS大会都汇聚了全球智库学者、网络安全行业领袖、顶级技术专家,共同探讨最前沿的网络安全问题,分享最新的技术动向和成果。北京赛博昆仑科技有限公司创始人兼CEO郑文彬出席安全战略峰会,以“数字安全的基础设施用漏洞来驱动量化安全”为题,分享了自己对网络安全新的观点。


  2021年1月,在全球网络安全领域享有盛誉的“技术大神”郑文彬(MJ),创立了北京赛博昆仑科技有限公司(以下简称“赛博昆仑”),开启了自己的创业之路。今年,已经是郑文彬创业后第二次出席BCS并发表演讲。

  在演讲中,郑文彬首先明确了“量化安全”的概念。他认为“量化”与“可测量”是人类在科学探索过程中一个非常重要的工具。具体到网络安全领域,“量化安全”并非新概念,美国安全战略公司MITRE在将近20年前,就已经提出“可测量安全”的概念,并提出了枚举、语言、库等用于量化和测量安全的工具。

  郑文彬认为,截至目前,“安全”仍然停留在“定性”的阶段,而“定性”只是“定量”的前提,如何“定量”,目前仍然缺乏标准。这关系到在攻防演练、渗透测试,以及真实的黑客攻击中,安全架构是否被攻破,能否被用于判断其价值等实际问题。

  郑文彬表示,“安全”有点像打疫苗,在起到防范作用的同时,也会为厂商的性能、稳定性、兼容性等方面带来问题。而如果没有好的方式来评估安全能够带来多大的正向价值,也就无法以合理方式,消解“副作用”带来的负面价值。

  同时,定性安全还牵涉到责任问题。例如在很多0DAY漏洞攻击事件中,一些高危漏洞及水下0DAY漏洞几乎是无解的,防护再强或软件安全做的再好也会被攻破,所以做防护是否还有意义?郑文彬认为,这主要是由于更多从“定性”角度思考问题导致的,将“安全”变成了“非此即彼”的问题,体现了“定性思维”的弊端。

  郑文彬说,中国拥有顶级的安全攻防能力,但却很难拥有与之匹配的安全产品,这就是由于定性结果无法转换成定量的结果,而安全产品所需要的,事实是“定量”。从目前来看,网络安全面临的问题只剩下了0DAY漏洞,除此之外,其他问题已经解决好了,所以解决0DAY漏洞威胁就成了当务之急。国内虽拥有超强攻防能力,但技术能力只能转换成“定性结果”,即只能做攻击,缺乏定量的标准与具体落实。

  郑文彬表示,制定“定量标准”,首先要统一衡量尺度,要有很强的可比性,可轻易分辨哪个方法“更好”,或者“差多少”。在这个问题上,漏洞无疑是非常好的“一般等价物”,可用于评估基础设施,作为标准化量化的衡量工具。漏洞是攻防的起点,也是贯穿整个攻击链始终的核心突破点。同时,在漏洞攻防领域,本来已经拥有非常好的枚举与描述,如CVE和CVSS等,经历了几十年的应用,发展已很成熟,但也同样存在问题。

  郑文彬举了一个2021年修复0DAY漏洞时的例子:虽然一些漏洞的CVSS号数字差不多,但真实的危险系数却不尽相同。有些漏洞就很容易被利用,而有些同样CVSS数列数很高的漏洞,却很难被利用,威胁程度完全不一样。目前来说,CVSS只关注修复覆盖度,区间度太少,会导致忽略缓解和攻击利用的问题。

  对此,郑文彬提出,应制定更科学的方法,评估漏洞和攻击的量化标准,衡量整体安全效果。目前,业界已有一些厂家提出了类似观点,并做出了一些尝试。如Google Project Zero的 0DAY In the wild项目,会收集全球范围内被使用的0DAY漏洞,通过深度分析,告诉大家如何评估安全程度。而ATT&CK,ATT&CK等公司,以及一些攻防演练如Pwn Games等,也在从“量化”角度衡量攻击、防守的实践效果。但是,目前的这些尝试仍然存在局限性,如Project Zero更专注0DAY漏洞,而对于NDAY漏洞等其他安全威胁很难覆盖。ATT&CK则更多关注攻击后期,对于漏洞的起点和突破点比较忽视。而攻防演练和Pwn比赛,可归类为实战型验证方式,对于推进安全生态帮助很大,但更多是短时间单侧攻防,并不代表未来的长期状态。安全,重在日常,很多高级攻击往往会持续进行,业界仍然需要更加持久化、常态化评测的手段。

  在演讲的最后,郑文彬表示,安全界需要“量化”标准,从技术角度来说,希望把技术实力转化为更可量化的安全价值。他说,赛博昆仑和旗下的安全研究团队“昆仑实验室”正致力于把漏洞价值转化为具体实践,目前正在推“量化安全情报”、“实战利用评估与缓解”,以及“量化安全情报门户社区”。赛博昆仑希望与业界公司一道,打造更为普适性的测量标准,以综合评估漏洞的利用难度、攻击危害,提升整体网络安全的效果。


__________________________

相关新闻
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。经过裁判组的审核,现公布最终获奖名单。一、决赛战队获奖名单二、指导教师获奖名单点击“阅读原文”,登陆大赛官网,了解更多详情,颁奖典礼时间将另行通知第六届蓝帽杯组委会2022年10月10日.

2022-10-10

实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。待裁判组审核WP(解题思路)后,将公布最终获奖名单。上午9时,中国人民公安大学团委副书记郑重宣布比赛开始。总决赛首次采取线上AWDP赛制,综合考核参赛战队的漏洞发现、漏洞挖掘、漏洞修复以及即时策略的能力。成功利用漏.

2022-09-22

第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
各参赛单位:第六届“蓝帽杯”全国大学生网络安全技能大赛决赛将于9月21日9:00-17:00以线上方式举行具体安排如下:1大赛宗旨以习近平新时代中国特色社会主义思想为指导,全面贯彻落实习近平总书记关于国家安全、网络安全、公安工作、教育工作、人才工作等系列重要论述精神,深入推进落实网络强国战略重大决策部署,开辟网络安全高校实践教学新途径,促进网络安全教学单位与实战部门之间的合作共建,持续为培养、选拔.

2022-09-07

距离大会开幕

2022.5.24-5.26

北京·国家会议中心