新闻中心

News Center

BCS2022郑晓峰:缓解互联网基础设施系统风险需要多方共同防御
发布日期:2022-07-21 作者:北京网络安全大会

  7月21日,在2022北京网络安全大会(BCS 2022)技术峰会正式开幕。大会邀请了来自多国知名信息安全专家、科学家、互联网巨头技术高管、专业教授、第三方行业等嘉宾分享行业前沿新技术和新方案。其中,奇安信集团网络安全实验室主任郑晓峰发表了《脆弱性依赖:互联网基础设施的系统性风险》的主题演讲,围绕互联网基础设施的脆弱性依赖和系统性风险问题展开详细分析。


  演讲伊始,郑晓峰通过全球网络空间稳定委员会(GCSC)的一份报告指出,“大国间25年的全球网络空间战略稳定与和平走到了历史终点,我们清晰地看到,当前社会背景为互联网基础设施安全带来了更多不确定性。”关于互联网基础设施,郑晓峰介绍到,与物理世界传统的基础设施相对应,GCSC的专家通过投票筛选出了认为至关重要的网络基础设施,包括路由和转发系统、域名和编址系统、公钥基础设施、软件等。进一步归纳分类,软件、域名和编址系统、公钥基础设施被认为是互联网公共核心。

  谈到互联网基础设施的脆弱性依赖,郑晓峰为大家举了一个直观的例子。以多米诺骨牌来比喻互联网基础设施的脆弱性,即引发的单点故障的问题,会像多米诺骨牌一样环环相扣,形成连锁反应。回顾近一年的网络安全事件,Log4j这个公认的、影响力很大的网络安全事件,一个日志组件可以影响成千上万的应用,也是软件供应链安全的标志性事件。

  郑晓峰分析:“当我们替换掉Log4j直接引用的组件,或许我们解决了直接引用脆弱性的相关问题,但所引用的其他组件或者替换的相应组件,也有可能间接引用了Log4j或其他的一些脆弱性组件。”当在软件供应链空间里对Log4j的相关依赖性进行分析后发现,这种依赖关系已经不再是单纯的树状结构,而是形成了复杂的图的关系。

  再进一步来看软件供应链的脆弱性引用问题,郑晓峰表示:“如果再加上平台的固化、碎片化等问题,就会变成一个放大器,相应的问题会放大,更加影响整个生态。”这就是级联依赖,平台的固化、碎片化会导致软件或软件供应链的脆弱性依赖问题更加难以解决、难以根除。同样,网络服务、DNS解析等跟软件供应链一样,也存在供应链脆弱性依赖的缺陷和问题。

  郑晓峰总结道:“网络基础设施的脆弱性依赖,让相应的防御不再是独立的单点问题,需要多方共同防御,共同采取相关措施才可能将整个生态里的脆弱性依赖关系带来的问题得到缓解。”可以说,互联网基础设施的脆弱性依赖问题是广泛存在的,并由供应链级联效应、平台固化、平台碎片化等问题放大其影响,它难以检测、难以根除,难以依靠单方防御力量缓解,总体可称之为系统风险。

  最后,郑晓峰表示,上述系统风险需要我们去适应网络结构带来的新变化,把这些互联网基础设施的脆弱性问题,通过协议规范,或通过检测机制的更新来增强治理,多方共同完成对互联网基础设施脆弱性依赖问题的缓解以及防御。


相关新闻
RSAC2023丨从RSAC2023看ChatGPT如何用于网络攻击
RSAC2023丨从RSAC2023看ChatGPT如何用于网络攻击
ChatGPT从诞生伊始就引起了网络安全界的高度关注:它是否能用于网络攻击或者防护?它的训练过程是否存在数据安全隐患?它本身是否会遭到网络攻击?目前对ChatGPT在网络安全领域的应用尚处于初级阶段,我们看看本届RSAC大会上专家如何解读ChatGPT在网络安全领域的应用。

2023-05-08

凝聚网安力量,助推产业发展——2023第八届安全创客汇专家研讨会在京成功举行
凝聚网安力量,助推产业发展——2023第八届安全创客汇专家研讨会在京成功举行
安全创客汇1月6日,由奇安信集团、北京网络安全大会(BCS)、全国网络信息安全创业投资服务联盟(筹)、奇安投资等机构联合主办的第八届安全创客汇举办2023年首次专家研讨会,回顾2022安全创客汇的亮点与问题,并针对2023安全创客汇的赛制形式、研判标准、奖项设置等内容进行专题研讨。安全创客汇评委会副主席、赛博英杰董事长、正奇学苑创办人谭晓生,安全创客汇评委会主任、奇安信集团副总裁陈华平,中电智慧基.

2023-01-07

2022中国计算机大会数据安全治理论坛成功举办
2022中国计算机大会数据安全治理论坛成功举办
数据安全治理论坛2022中国计算机大会(CNCC2022)12月8日,由中国计算机学会主办,CCF计算机安全专业委员会、奇安信集团承办的CNCC2022数据安全治理论坛在线上举行。论坛由CCF计算机安全专委会荣誉主任,公安部第一研究所、第三研究所原所长严明主持,邀请政府主管单位、科研院所、安全厂商、企业安全主管等嘉宾出席,围绕“开拓数据安全从体系化框架到建设实践之路”主题,聚焦数据安全现阶段的问题.

2022-12-09

距离大会开幕

2024.06.05-06.06

北京·国家会议中心