7月21日，2022北京網(wǎng)絡(luò)安全大會(huì)（BCS2022）技術(shù)日開(kāi)啟。作為本次大會(huì)的第二個(gè)主題日活動(dòng)，2022北京網(wǎng)絡(luò)安全大會(huì)技術(shù)峰會(huì)成功舉辦。來(lái)自全球多個(gè)國(guó)家、頂尖網(wǎng)絡(luò)安全平臺(tái)的信息安全專家、技術(shù)高管、專業(yè)教授等嘉賓，就高對(duì)抗環(huán)境下的新技術(shù)與新方案，高對(duì)抗的現(xiàn)實(shí)和未來(lái)場(chǎng)景及其面臨的經(jīng)典挑戰(zhàn)等議題展開(kāi)分享。

9位網(wǎng)絡(luò)安全專家的分享，讓我們看到當(dāng)前全球正面臨更嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，正在研發(fā)更前沿的網(wǎng)絡(luò)安全技術(shù)，也讓我們期待更安全的網(wǎng)絡(luò)發(fā)展未來(lái)。

高對(duì)抗：更嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)

個(gè)人信息保護(hù)、供應(yīng)鏈安全、物聯(lián)網(wǎng)安全……在2022北京網(wǎng)絡(luò)安全大會(huì)技術(shù)峰會(huì)上，網(wǎng)絡(luò)安全專家們認(rèn)為，我們已經(jīng)進(jìn)入了網(wǎng)絡(luò)安全的高對(duì)抗時(shí)代。網(wǎng)絡(luò)安全問(wèn)題已經(jīng)不再局限于針對(duì)個(gè)人，面向基礎(chǔ)設(shè)施、數(shù)據(jù)管理等領(lǐng)域的網(wǎng)絡(luò)安全問(wèn)題不僅關(guān)乎個(gè)人信息的安全，更關(guān)乎國(guó)家的信息化建設(shè)與發(fā)展。

“供應(yīng)鏈的安全問(wèn)題，尤其是高危漏洞的影響，實(shí)際上是非常嚴(yán)重的?！睆?fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院副院長(zhǎng)楊珉詳細(xì)講述了軟件供應(yīng)鏈中存在的漏洞。他通過(guò)回溯2021年引發(fā)全球關(guān)注的核彈級(jí)漏洞Log4j產(chǎn)生的影響與修復(fù)的過(guò)程，展示出漏洞正在被武器化，成為攻擊國(guó)家關(guān)鍵部門的重要武器。

全球云基礎(chǔ)架構(gòu)和移動(dòng)商務(wù)解決方案廠商Vmware副總裁Ashok Banerjee更為直觀地展現(xiàn)出我們正面臨的網(wǎng)絡(luò)安全形勢(shì)。他說(shuō)，當(dāng)工業(yè)物聯(lián)網(wǎng)興起后，基礎(chǔ)設(shè)施通過(guò)互聯(lián)網(wǎng)相連。這使得攻擊變得更頻繁、更容易。更值得注意的是，當(dāng)前的攻擊開(kāi)始以軟件的形式出現(xiàn)，勒索軟件也在不斷進(jìn)化，這也導(dǎo)致機(jī)構(gòu)遭到網(wǎng)絡(luò)勒索時(shí)的開(kāi)支越來(lái)越大。

奇安信集團(tuán)羲和實(shí)驗(yàn)室主任鄭曉峰將基礎(chǔ)設(shè)施形容為“脆弱性依賴”。在他看來(lái)，這種脆弱性依賴既存在于軟件供應(yīng)鏈中，也存在與網(wǎng)絡(luò)服務(wù)中。就像木桶原理一樣，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施鏈條中其中一個(gè)環(huán)節(jié)遭到攻擊，會(huì)影響和波及整個(gè)基礎(chǔ)設(shè)施。最終我們難以依靠單方防御解決這一問(wèn)題，脆弱性依賴就會(huì)形成一個(gè)系統(tǒng)性風(fēng)險(xiǎn)。 

高創(chuàng)新：更前沿的網(wǎng)絡(luò)安全技術(shù)

面對(duì)不斷復(fù)雜的網(wǎng)絡(luò)安全形勢(shì)，與會(huì)嘉賓們從他們的實(shí)踐出發(fā)，給出了諸多有益的探索與經(jīng)驗(yàn)，更向我們展示高對(duì)抗環(huán)境下，網(wǎng)絡(luò)安全技術(shù)的先進(jìn)。

以色列賴希曼大學(xué)教授Yoni Birman長(zhǎng)期深耕于網(wǎng)絡(luò)安全與人工智能領(lǐng)域，他將AI視作解決網(wǎng)絡(luò)安全問(wèn)題的重要手段。他說(shuō)，在以色列這個(gè)擁有諸多先進(jìn)網(wǎng)絡(luò)安全創(chuàng)業(yè)企業(yè)的國(guó)家，有超95%的網(wǎng)絡(luò)安全公司將AI技術(shù)視作解決方案的基本要素和關(guān)鍵技術(shù)。在分享中，他展示了當(dāng)前如何利用AI來(lái)增強(qiáng)網(wǎng)絡(luò)釣魚攻擊，進(jìn)而更有針對(duì)性地展示如何利用反病毒程序來(lái)做好安全防御。

來(lái)自百度的馬杰副總裁同樣也將解決方案聚焦于AI，他展示了AI對(duì)抗的元宇宙化安全測(cè)試平臺(tái)“鐵馬冰河”。他介紹，該平臺(tái)通過(guò)構(gòu)建了大量高擬真測(cè)試場(chǎng)景，能捕捉自動(dòng)駕駛感知環(huán)節(jié)的漏洞，進(jìn)而為自動(dòng)駕駛的安全保駕護(hù)航。

螞蟻集團(tuán)副總裁、首席技術(shù)安全官韋韜發(fā)布了，他們?cè)诙嗄旯シ缹?shí)踐中總結(jié)研發(fā)的安全平行切面體系，該體系在應(yīng)對(duì)企業(yè)數(shù)據(jù)流通過(guò)程、保障數(shù)據(jù)安全性方面，取得了不錯(cuò)效果。

除了做好主動(dòng)防御外，在技術(shù)峰會(huì)的現(xiàn)場(chǎng)，專家們也生動(dòng)復(fù)盤了他們?nèi)绾蜗窀柲λ挂话阍诰W(wǎng)絡(luò)空間抽絲剝繭，對(duì)攻擊者展開(kāi)對(duì)抗和博弈的過(guò)程。

Lance James來(lái)自網(wǎng)絡(luò)安全調(diào)查研究公司Unit 221B，該公司將夏洛克·福爾摩斯的住址作為了公司名稱。他在峰會(huì)上講述了破解勒索軟件字符串的故事。他說(shuō)，一步步解密秘鑰的過(guò)程也是發(fā)現(xiàn)勒索軟件漏洞的過(guò)程。為了從現(xiàn)實(shí)層面和經(jīng)濟(jì)層面解決這一網(wǎng)絡(luò)安全問(wèn)題，他還制作了帶有用戶界面的USB操作系統(tǒng)，讓破壞勒索軟件變得更簡(jiǎn)單。

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任云曉春討論了抗追蹤網(wǎng)絡(luò)技術(shù)。他說(shuō)，抗追蹤網(wǎng)絡(luò)是實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)監(jiān)聽(tīng)環(huán)境下高隱蔽通信的核心關(guān)鍵技術(shù)之一，在網(wǎng)絡(luò)攻防博弈、個(gè)人隱私保護(hù)等方面有著迫切的應(yīng)用需求。 

高保障：更安全的網(wǎng)絡(luò)發(fā)展未來(lái)

在技術(shù)峰會(huì)上，諸多專家對(duì)網(wǎng)絡(luò)空間的未來(lái)安全形勢(shì)做了展望。他們認(rèn)為，高對(duì)抗的環(huán)境下，網(wǎng)絡(luò)安全防御的實(shí)現(xiàn)，不僅需要更先進(jìn)的技術(shù)，也需要更全面的安全保障與安全支撐。

除了網(wǎng)絡(luò)對(duì)抗外，對(duì)關(guān)鍵資料的備份能夠在最大程度降低損失。Lance James認(rèn)為，我們還需要網(wǎng)絡(luò)安全疫苗服務(wù)，來(lái)更好應(yīng)對(duì)勒索軟件。在這種全新的可能下，“當(dāng)你被勒索軟件攻擊時(shí)，疫苗會(huì)立即對(duì)所有被勒索軟件實(shí)時(shí)接觸過(guò)的文件進(jìn)行備份”。

沃爾瑪首席架構(gòu)師Ira Winkler提出，網(wǎng)絡(luò)安全的服務(wù)工作不僅要有技術(shù)，還要有用戶體驗(yàn)。他將其正在實(shí)踐的人類安全工程作為一項(xiàng)長(zhǎng)期可持續(xù)任務(wù)，在這個(gè)過(guò)程中，調(diào)動(dòng)每一個(gè)普通人參與到網(wǎng)絡(luò)安全中非常重要。他說(shuō)：“它是關(guān)于告訴用戶，他們應(yīng)該如何正確地做事，而不是害怕誰(shuí)?！?/p>

Yoni Birman也強(qiáng)調(diào)，對(duì)所有人進(jìn)行科普非常重要，“包括數(shù)據(jù)科學(xué)家、機(jī)器學(xué)習(xí)工程師、開(kāi)發(fā)者以及你的員工和家人”。他說(shuō)，只有了解網(wǎng)絡(luò)攻擊的危害和常見(jiàn)的預(yù)防方法，才能更好應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

除了個(gè)人的參與外，全社會(huì)的聯(lián)動(dòng)以及有關(guān)部門的體制機(jī)制保障也非常重要。Yoni Birman建議，學(xué)術(shù)機(jī)構(gòu)和企業(yè)機(jī)構(gòu)都需要加大投資進(jìn)行研究，這樣才能追趕上網(wǎng)絡(luò)攻擊技術(shù)的進(jìn)攻步伐。鄭曉峰認(rèn)為，在應(yīng)對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的脆弱性問(wèn)題時(shí)，還需要通過(guò)協(xié)議規(guī)范、檢測(cè)機(jī)制的更新等措施來(lái)增強(qiáng)治理，共同完成對(duì)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施脆弱性依賴問(wèn)題的緩解以及防御。