5G時(shí)代，漏洞存于兩大“風(fēng)險(xiǎn)區(qū)”

當(dāng)前，全球新一輪科技革命和產(chǎn)業(yè)變革加速發(fā)展，5G作為新一代信息通信技術(shù)演進(jìn)升級(jí)的重要方向，是實(shí)現(xiàn)萬(wàn)物互聯(lián)的關(guān)鍵信息基礎(chǔ)設(shè)施、經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型的重要驅(qū)動(dòng)力量。

世界很多國(guó)家都把5G作為經(jīng)濟(jì)發(fā)展、技術(shù)創(chuàng)新的重點(diǎn)，將5G作為謀求競(jìng)爭(zhēng)新優(yōu)勢(shì)的戰(zhàn)略方向。根據(jù)全球移動(dòng)供應(yīng)商協(xié)會(huì)（GSA）統(tǒng)計(jì)，截至2019年底，全球119個(gè)國(guó)家或地區(qū)的348家電信運(yùn)營(yíng)商開(kāi)展了5G投資，其中，61家電信運(yùn)營(yíng)商已經(jīng)推出5G商用服務(wù)。

“每個(gè)硬幣都有兩面”。5G技術(shù)造福社會(huì)、造福人民的同時(shí)，也引發(fā)了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在范敦球看來(lái)，5G時(shí)代的漏洞會(huì)分成兩類(lèi)：

一類(lèi)是如5G核心網(wǎng)、邊緣計(jì)算、人工智能推理引擎等新型基礎(chǔ)設(shè)施的自身漏洞，這部分漏洞如被利用，可能會(huì)造成整個(gè)系統(tǒng)出現(xiàn)災(zāi)難性的后果；

另一類(lèi)是基于新型基礎(chǔ)設(shè)施之上的第三方應(yīng)用的業(yè)務(wù)漏洞，如邊緣計(jì)算支撐的智能交通、智慧醫(yī)療應(yīng)用的漏洞，而這類(lèi)漏洞則會(huì)影響到具體應(yīng)用的安全性，也可能會(huì)造成嚴(yán)重影響，關(guān)系到人身安全、生產(chǎn)安全、社會(huì)安定等。

“隨著5G的推進(jìn)，后一類(lèi)的漏洞不會(huì)減少，相反可能會(huì)呈現(xiàn)快速增加的趨勢(shì)�！狈抖厍蛑赋�，作為安全廠商和安全服務(wù)提供商，綠盟科技會(huì)持續(xù)與運(yùn)營(yíng)商一起緊密配合。

一方面，綠盟科技將對(duì)新型基礎(chǔ)設(shè)施的安全性進(jìn)行持續(xù)評(píng)估，使用新技術(shù)作為防護(hù)、檢測(cè)和響應(yīng)的防守武器，減少核心系統(tǒng)的暴露面，提升整體基礎(chǔ)設(shè)施的健壯性；另一方面，綠盟科技也積極幫助運(yùn)營(yíng)商提供安全增值服務(wù)，協(xié)助其用戶提高應(yīng)用安全性。

未雨綢繆，堵住“開(kāi)源”與“物聯(lián)網(wǎng)”漏洞

隨著5G進(jìn)程的推進(jìn)，邊緣計(jì)算、AI和開(kāi)源架構(gòu)的混合云等技術(shù)扮演越來(lái)越重要的角色。實(shí)際上，虛擬化、云計(jì)算、云原生以及邊緣計(jì)算等這些創(chuàng)新的技術(shù)和應(yīng)用都是發(fā)軔于開(kāi)源。

“開(kāi)源軟件面臨漏洞利用和軟件供應(yīng)鏈的雙重攻擊�！狈抖厍蛑赋觯�開(kāi)源軟件具有開(kāi)放、免費(fèi)、功能靈活等特點(diǎn)，得到了越來(lái)越廣泛的應(yīng)用，但是安全問(wèn)題仍然普遍存在。公開(kāi)的利用代碼在短時(shí)間內(nèi)被集成到成熟的攻擊框架或木馬程序中，進(jìn)一步降低了漏洞利用的門(mén)檻，而從漏洞公布到被攻擊者大規(guī)模利用的時(shí)間窗口也在進(jìn)一步縮短，給安全廠商防護(hù)能力帶來(lái)了更大的挑戰(zhàn)。

常見(jiàn)開(kāi)源軟件的漏洞數(shù)量

數(shù)據(jù)來(lái)源：綠盟科技《漏洞發(fā)展趨勢(shì)報(bào)告》

針對(duì)軟件供應(yīng)鏈的攻擊，成為面向軟件開(kāi)發(fā)人員和供應(yīng)商的一種新興威脅。針對(duì)軟件供應(yīng)鏈的攻擊在傳播速度上更快、影響范圍更廣、危害更大，同時(shí)也更隱蔽。軟件開(kāi)發(fā)商應(yīng)該制定軟件供應(yīng)鏈標(biāo)準(zhǔn)、規(guī)范，遵循安全的開(kāi)發(fā)流程，定期組織軟件供應(yīng)鏈攻防演練競(jìng)賽，定期對(duì)自身網(wǎng)站、軟件等進(jìn)行檢測(cè)與加固，以減少受到此類(lèi)攻擊的風(fēng)險(xiǎn)。

范敦球進(jìn)一步補(bǔ)充道：“除了開(kāi)源的安全形勢(shì)比較嚴(yán)峻之外，物聯(lián)網(wǎng)安全的問(wèn)題也該重點(diǎn)關(guān)注，不應(yīng)只在受到威脅時(shí)才被重視�！�

Gartner報(bào)告指出，2016年全球物聯(lián)網(wǎng)設(shè)備數(shù)量為64億，2020 年將達(dá)到204億 ，增長(zhǎng)218．75％，但是目前物聯(lián)網(wǎng)建設(shè)過(guò)程中考慮到信息安全的產(chǎn)品極少，絕大部分是“裸奔”狀態(tài)。

“物聯(lián)網(wǎng)相關(guān)的漏洞層出不窮，早在2016年針對(duì)路由器等物聯(lián)網(wǎng)設(shè)備的Mirai病毒就使美國(guó)東海岸的大量重要網(wǎng)絡(luò)服務(wù)癱瘓，近年來(lái)其危害一直不減。”范敦球認(rèn)為之所以出現(xiàn)這種問(wèn)題在于兩方面：一是物聯(lián)網(wǎng)廠商安全意識(shí)不強(qiáng)，沒(méi)有投入足夠資源進(jìn)行安全開(kāi)發(fā)，也限于成本沒(méi)有增強(qiáng)硬件和軟件的安全性；二是物聯(lián)網(wǎng)設(shè)備數(shù)量巨大、缺乏安全升級(jí)機(jī)制，一旦暴露在互聯(lián)網(wǎng)上且被利用，則很難修復(fù)，造成物聯(lián)網(wǎng)威脅經(jīng)久不息。

面對(duì)物聯(lián)網(wǎng)的威脅，如何未雨綢繆？

范敦球認(rèn)為，設(shè)備制造商應(yīng)當(dāng)重視設(shè)備的安全，指定安全的開(kāi)發(fā)流程，對(duì)設(shè)備進(jìn)行全面的安全測(cè)試。對(duì)于默認(rèn)密碼的問(wèn)題，應(yīng)當(dāng)在用戶第一次使用的時(shí)候，強(qiáng)制讓用戶修改密碼，并檢查用戶密碼的安全性，禁止設(shè)置弱密碼。對(duì)使用周期較長(zhǎng)的設(shè)備，定期提供可更新的固件，以確保設(shè)備的安全性。

基于以上背景，綠盟科技與運(yùn)營(yíng)商合作，提出了物聯(lián)網(wǎng)安全解決方案，在設(shè)備出廠前就部署安全SDK的方式，結(jié)合云端安全監(jiān)控，提供了安全加固、安全升級(jí)、異常檢測(cè)和訪問(wèn)控制等一些列安全機(jī)制；通過(guò)物聯(lián)網(wǎng)安全網(wǎng)關(guān)與云端協(xié)同的方式，為出廠后的物聯(lián)網(wǎng)設(shè)備也提供了響應(yīng)的檢測(cè)和防護(hù)機(jī)制。

范敦球透露，目前綠盟的物聯(lián)網(wǎng)安全解決方案已經(jīng)在多個(gè)主流運(yùn)營(yíng)商得到了應(yīng)用，有望提升運(yùn)營(yíng)商渠道物聯(lián)網(wǎng)設(shè)備的整體安全水平。同時(shí)，綠盟科技格物實(shí)驗(yàn)室也對(duì)互聯(lián)網(wǎng)上面向物聯(lián)網(wǎng)的資產(chǎn)、脆弱性和威脅進(jìn)行持續(xù)監(jiān)控，相關(guān)的信息已融入到綠盟威脅情報(bào)服務(wù)，具備了第一時(shí)間的物聯(lián)網(wǎng)安全預(yù)警能力。此外，綠盟科技多次在業(yè)界首次捕獲并發(fā)布針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊活動(dòng)，深入研究了物聯(lián)網(wǎng)資產(chǎn)的分布、變化態(tài)勢(shì)，得到了主管機(jī)構(gòu)和行業(yè)客戶的關(guān)注和認(rèn)可。