2021年,網路空間安全技術不斷更新發展,呈現出創新活躍的態勢。以零信任、人工智慧、量子技術和太空技術等為代表的新興網路安全技術在網路安全領域的發展前景受到世人重點關注。數字時代下,基於邊界構建的傳統安全防護正被零信任所取代,零信任逐漸成為數字時代主流的網路安全架構。人工智慧賦能網路攻擊催生出更多精準化、智慧化、自主化的網路安全威脅。
零信任將成為數字時代主流的網路安全架構
數字時代下,雲大物移等新興技術的融合與發展使得傳統邊界安全防護理念逐漸失效,而零信任安全建立以身份為中心進行動態訪問控制,必將成為數字時代下主流的網路安全架構。零信任是面向數字時代的新型安全防護理念,是一種以資源保護為核心的網路安全正規化。
零信任安全簡要歸納和概況:1)網路無時無刻不處於危險的環境中;2)網路中自始至終都存在外部或內部威脅;3)網路位置不足以決定網路的可信程度;4)所有的裝置、使用者和網路流量都應當經過認證和授權;5)安全策略必須是動態的,並基於儘可能多的資料來源計算而來。因此零信任安全的核心思想是預設情況下企業內部和外部的所有人、事、物都是不可信的,需要基於認證和授權重構訪問控制的信任基礎。零信任的雛形最早源於 2004 年耶利哥論壇提出的去邊界化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的術語。經過近十年的探索,零信任的理論及實踐不斷完善,逐漸從概念發展成為主流的網路安全技術架構。
數字時代下,舊式邊界安全防護逐漸失效。傳統的安全防護是以邊界為核心的,基於邊界構建的網路安全解決方案相當於為企業構建了一條護城河,透過防護牆、VPN、UTM 及入侵防禦檢測等安全產品的組合將安全攻擊阻擋在邊界之外。這種建設方式一定程度上預設內網是安全的,而目前我國多數政企仍然是圍繞邊界來構建安全防護體系,對於內網安全常常是缺失的,在日益頻繁的網路攻防對抗中也暴露出弊端。而云大物移智等新興技術的應用使得 IT 基礎架構發生根本性變化,可擴充套件的混合 IT 環境已成為主流的系統執行環境,平臺、業務、使用者、終端呈現多樣化趨勢,傳統的物理網路安全邊界消失,並帶來了更多的安全風險,舊式的邊界安全防護效果有限。面對日益複雜的網路安全態勢,零信任構建的新型網路安全架構被認為是數字時代下提升資訊化系統和網路整體安全性的有效方式,逐漸得到關注並應用,呈現出蓬勃發展的態勢。
人工智慧賦能網路攻擊催生新型網路空間安全威脅
隨著人工智慧技術的發展,攻擊者傾向於針對惡意程式碼攻擊鏈的各個攻擊環節進行賦能,增強攻擊的精準性,提升攻擊的效率與成功率,有效突破網路安全防護體系,對防禦方造成重大損失。在惡意程式碼生成構建方面,深度學習賦能惡意程式碼生成相較傳統的惡意程式碼生成具有明顯優勢,可大幅提升惡意程式碼的免殺和生存能力。在惡意程式碼攻擊釋放過程中,攻擊者可將深度學習模型作為實施攻擊的核心元件之一,利用深度學習中神經網路分類器的分類功能,對攻擊目標進行精準識別與打擊。在 2018 年美國黑帽大會上,國際商業機器公司(IBM)研究院展示了一種人工智慧賦能的惡意程式碼 DeepLocker,藉助卷積神經網路(CNN)模型實現了對特定目標的精準定位與打擊,驗證了精準釋放惡意程式碼威脅的技術可行性。目前,這類攻擊手法已被攻擊者應用於實際的高階持續性威脅攻擊,一旦繼續拓寬應用範圍,將難以實現對抗防範;如果將之與網路攻擊武器結合,有可能提升戰鬥力並造成嚴重威脅和破壞。
另一方面,隨著物聯網(IoT)的逐步普及、工控系統的廣泛互聯,直接暴露在網路空間的聯網裝置數量大幅增加。2016年Mirai IoT 殭屍網路分散式拒絕服務攻擊(DDoS)事件表明,攻擊者正在利用多種手段控制海量 IoT 裝置,將這些受感染的 IoT 裝置組成殭屍網路,發動大規模 DDoS 攻擊並可造成網路阻塞和癱瘓。除了呈現大規模攻擊的典型特點之外,網路攻擊者越發注重將人工智慧技術應用於殭屍網路攻擊,據此進化出智慧化、自主化特徵。
2021年全球威脅態勢預測表明,人工智慧技術未來將大量應用在類似的蜂群網路中,可使用數百萬個互連的裝置叢集來同步識別並應對不同的攻擊媒介,進而利用自我學習能力,以前所未有的規模對脆弱系統實施自主攻擊。這種蜂巢殭屍叢集可進行智慧協同,根據群體情報自主決策採取行動,無需殭屍網路的控制端來發出命令;無中心的自主智慧協同技術,使得殭屍網路規模可突破命令控制通道的限制而成倍增長,顯著擴大了同時攻擊多個目標的能力。人工智慧賦能的規模化、自主化主動攻擊,向傳統的殭屍網路對抗提出了全新挑戰,催生了新型網路空間安全威脅。
量子技術為網路空間安全技術的發展注入新動力
目前,應對量子威脅的方法主要集中在發展量子密碼和後量子密碼這兩方面。量子密碼為提升資訊保安保障能力提供了新思路。量子計算對傳統加密措施的影響源於其獨特的量子特性,如果發揮其正面功能,將這些特性用於構造資訊加密演算法,量子計算所帶來的威脅或許能輕鬆應對,這種基於量子力學原理保障資訊保安的技術便是量子密碼(Quantum Cryptography)。1984 年 Charles Bennett 和 Gilles Brassard 提出了一個金鑰分發協議(BB84 協議),該協議為解決密碼學中的金鑰協商問題提供了一種全新的思路,其安全性建立在這樣的量子理論上:量子位元在傳輸過程中無法被準確複製,並且對傳送量子態和接收量子態的比較,可以發現傳輸過程中是否存在的擷取―測量等竊聽行為,進而能夠實現所謂的資訊理論意義上的安全。量子金鑰分發(QKD)作為量子密碼技術中目前最接近產業應用的一個方向,備受各方關注。在產品開發方面,瑞士 ID Quantique,東芝歐洲研究院,以及我國的國科量子、科大國盾、安徽問天等公司已有量子金鑰分發的相關產品問市。在戰略層面,2019 年 7月歐盟 10 國簽署量子通訊基礎設施(QCI)宣告,探討未來十年在歐洲範圍內將量子資訊科技整合到傳統通訊基礎設施中,以確保加密通訊系統免受網路安全威脅。2020 年 6 月,以色列成立量子通訊聯盟,重點研發改進量子密碼技術,並降低實現成本。2021年,日、韓等國也相應公佈了戰略檔案,並在 ITU-T 等標準開發平臺上開展標準化工作。
另一方面,後量子密碼是緩解量子威脅的重要手段。對於後量子密碼(PQC)演算法,是指那些在大規模量子計算機出現後仍保持計算安全的密碼演算法。這些演算法的構造沒有采用量子力學的物理特性,而是延續傳統主流的計算上的可證安全研究方法。目前,後量子演算法的研究重點是構造解決公鑰加密(金鑰建立)和簽名問題的非對稱演算法,主要包括基於格、編碼、多變數多項式以及 Hash 函式等相關困難問題構造的密碼演算法。這些問題已在傳統密碼學領域發展多年,其抵抗量子攻擊的複雜度假設是支撐後量子演算法安全的基礎。目前還未出現兼顧安全性和效率的 PQC 演算法,但是由於形式上 PQC 的部署主要涉及演算法模組的替換,相比 QKD 技術更為簡單實用,這種解決方案目前承載著更多期望。不過,PQC 的侷限性也很突出。例如,PQC 演算法模組仍不可避免地存在側通道洩露問題;其次,由於無法排除未來出現的量子攻擊演算法能進一步削弱基礎數學問題的困難性,導致 PQC 無法實現長期安全目標,不便用於特殊的保密場合。這點對對稱演算法仍然適用。通常認為根據 Grover 演算法的搜尋複雜性將金鑰長度增加一倍即可抵抗量子攻擊,但這種理解不一定正確。儘管理論上不存在超越平方加速的非結構化搜尋演算法,但不排除後續仍會出現更好的根據對稱演算法結構性缺陷的量子破解演算法。因此,增大金鑰長度實現分組演算法安全性的做法只能是權宜之計。在實際應用中選擇結合後量子演算法和 QKD 技術來實現長期安全目標的做法比較可取,這點與歐洲標準組織ETSI 的策略一致。
“彈性太空”引領太空技術發展方向
美國軍方和智庫一致認為,美軍當前幾乎所有的作戰系統(包括:定位、導航、授時、偵察監視、測繪遙感、通訊傳輸等)都高度依賴太空資源的關鍵支撐,隨著中俄不斷髮展鐳射、地基、在軌、電子與網路等反衛星武器,現有太空體系高度脆弱並面臨關鍵威脅和嚴峻挑戰,亟需發展致命性、彈性、有威懾力又低成本的軍事太空能力。“彈性太空”概念隨著美國太空戰略調整不斷豐富完善。2019年7月,美國太空發展局釋出《下一代太空體系架構》,認為在大國競爭時代,“彈性、靈活性、敏捷性”是美國太空軍事化的發展趨勢,彈性太空是一個新方向。2021年4月,美國智庫“大西洋委員會”與斯考克羅夫特戰略與安全中心共同釋出《太空安全的未來:未來30的美國戰略》研究報告,報告建議美國優先發展“作戰響應空間技術群、在軌服務技術群、新興防禦技術群”等能夠提升未來太空體系彈性的關鍵技術。
“彈性太空”是美國太空戰略發展的新方向,其內涵隨著美國太空戰略調整而不斷豐富,具體體現為:分散式、擴散式、多樣化部署;體系能夠隨時分解、重組、重構、重建與自我修復;威脅全面感知與快速溯源反擊;高風險條件下持續支援其他域聯合作戰。在“彈性太空”思想指導下,美國提出了下一代彈性太空七層體系架構;重點研究抗干擾、強機動、軟體定義的彈性衛星技術;探索“航天母艦”平臺X-37B空天飛機、太空攻防武器、天基網際網路等太空戰關鍵技術的軍事應用;始終引領著世界太空技術的發展。
免責宣告:本文轉自“資訊保安與通訊保密雜誌社”,原作者Cismag。文章內容系原作者個人觀點,本公眾號轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯絡轉載公眾號“資訊保安與通訊保密雜誌社”。
推薦閱讀
2021年世界前沿科技發展態勢及2022年趨勢展望——綜述篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——資訊篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——生物篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——能源篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——海洋篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——航空篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——航天篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——新材料篇
2021年世界前沿科技發展態勢總結及2022年趨勢展望——先進製造篇
轉自丨資訊保安與通訊保密雜誌社
作者丨Cismag
編輯丨鄭實
研究所簡介
國際技術經濟研究所(IITE)成立於1985年11月,是隸屬於國務院發展研究中心的非營利性研究機構,主要職能是研究我國經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題,跟蹤和分析世界科技、經濟發展態勢,為中央和有關部委提供決策諮詢服務。“全球技術地圖”為國際技術經濟研究所官方微信賬號,致力於向公眾傳遞前沿技術資訊和科技創新洞見。
地址:北京市海淀區小南莊20號樓A座
電話:010-82635522
微信:iite_er
