BCS2022鄭曉峰：緩解互聯(lián)網(wǎng)基礎設施系統風(fēng)險需要多方共同防御

　　7月21日，在2022北京網(wǎng)絡(luò )安全大會(huì )（BCS 2022）技術(shù)峰會(huì )正式開(kāi)幕。大會(huì )邀請了來(lái)自多國知名信息安全專(zhuān)家、科學(xué)家、互聯(lián)網(wǎng)巨頭技術(shù)高管、專(zhuān)業(yè)教授、第三方行業(yè)等嘉賓分享行業(yè)前沿新技術(shù)和新方案。其中，奇安信集團網(wǎng)絡(luò )安全實(shí)驗室主任鄭曉峰發(fā)表了《脆弱性依賴(lài)：互聯(lián)網(wǎng)基礎設施的系統性風(fēng)險》的主題演講，圍繞互聯(lián)網(wǎng)基礎設施的脆弱性依賴(lài)和系統性風(fēng)險問(wèn)題展開(kāi)詳細分析。

　　演講伊始，鄭曉峰通過(guò)全球網(wǎng)絡(luò )空間穩定委員會(huì )（GCSC）的一份報告指出，“大國間25年的全球網(wǎng)絡(luò )空間戰略穩定與和平走到了歷史終點(diǎn)，我們清晰地看到，當前社會(huì )背景為互聯(lián)網(wǎng)基礎設施安全帶來(lái)了更多不確定性?！标P(guān)于互聯(lián)網(wǎng)基礎設施，鄭曉峰介紹到，與物理世界傳統的基礎設施相對應，GCSC的專(zhuān)家通過(guò)投票篩選出了認為至關(guān)重要的網(wǎng)絡(luò )基礎設施，包括路由和轉發(fā)系統、域名和編址系統、公鑰基礎設施、軟件等。進(jìn)一步歸納分類(lèi)，軟件、域名和編址系統、公鑰基礎設施被認為是互聯(lián)網(wǎng)公共核心。

　　談到互聯(lián)網(wǎng)基礎設施的脆弱性依賴(lài)，鄭曉峰為大家舉了一個(gè)直觀(guān)的例子。以多米諾骨牌來(lái)比喻互聯(lián)網(wǎng)基礎設施的脆弱性，即引發(fā)的單點(diǎn)故障的問(wèn)題，會(huì )像多米諾骨牌一樣環(huán)環(huán)相扣，形成連鎖反應?；仡櫧荒甑木W(wǎng)絡(luò )安全事件，Log4j這個(gè)公認的、影響力很大的網(wǎng)絡(luò )安全事件，一個(gè)日志組件可以影響成千上萬(wàn)的應用，也是軟件供應鏈安全的標志性事件。

　　鄭曉峰分析：“當我們替換掉Log4j直接引用的組件，或許我們解決了直接引用脆弱性的相關(guān)問(wèn)題，但所引用的其他組件或者替換的相應組件，也有可能間接引用了Log4j或其他的一些脆弱性組件?！碑斣谲浖溈臻g里對Log4j的相關(guān)依賴(lài)性進(jìn)行分析后發(fā)現，這種依賴(lài)關(guān)系已經(jīng)不再是單純的樹(shù)狀結構，而是形成了復雜的圖的關(guān)系。

　　再進(jìn)一步來(lái)看軟件供應鏈的脆弱性引用問(wèn)題，鄭曉峰表示：“如果再加上平臺的固化、碎片化等問(wèn)題，就會(huì )變成一個(gè)放大器，相應的問(wèn)題會(huì )放大，更加影響整個(gè)生態(tài)?！边@就是級聯(lián)依賴(lài)，平臺的固化、碎片化會(huì )導致軟件或軟件供應鏈的脆弱性依賴(lài)問(wèn)題更加難以解決、難以根除。同樣，網(wǎng)絡(luò )服務(wù)、DNS解析等跟軟件供應鏈一樣，也存在供應鏈脆弱性依賴(lài)的缺陷和問(wèn)題。

　　鄭曉峰總結道：“網(wǎng)絡(luò )基礎設施的脆弱性依賴(lài)，讓相應的防御不再是獨立的單點(diǎn)問(wèn)題，需要多方共同防御，共同采取相關(guān)措施才可能將整個(gè)生態(tài)里的脆弱性依賴(lài)關(guān)系帶來(lái)的問(wèn)題得到緩解?！笨梢哉f(shuō)，互聯(lián)網(wǎng)基礎設施的脆弱性依賴(lài)問(wèn)題是廣泛存在的，并由供應鏈級聯(lián)效應、平臺固化、平臺碎片化等問(wèn)題放大其影響，它難以檢測、難以根除，難以依靠單方防御力量緩解，總體可稱(chēng)之為系統風(fēng)險。

　　最后，鄭曉峰表示，上述系統風(fēng)險需要我們去適應網(wǎng)絡(luò )結構帶來(lái)的新變化，把這些互聯(lián)網(wǎng)基礎設施的脆弱性問(wèn)題，通過(guò)協(xié)議規范，或通過(guò)檢測機制的更新來(lái)增強治理，多方共同完成對互聯(lián)網(wǎng)基礎設施脆弱性依賴(lài)問(wèn)題的緩解以及防御。