-
-
安全平行切面改变了网安产品技术架构,将引发行业变革
-
发表于: 2023-11-9 11:25 3544
-
“安全平行切面是为数不多由中国人研发、能够在国际舞台上正面竞争的网络安全理念和方法论,它或将引发网络安全行业的一场重大变革。”
在CNCC 2023“可信切面,构筑数字免疫屏障论坛”上,赛博英杰创始人、CCF理事、副秘书长、CCF YOCSEF秘书长谭晓生如此断言。
「安全平行切面」到底是一个什么技术?它拥有怎样的魔力,使得业界最顶尖的专家给予如此高的评价?
该体系理念在2019年首次由蚂蚁集团副总裁、首席技术安全官韦韬提出,那时这个“新生儿“尚未经过锤炼和验证,知道她的人并不多。
据韦韬介绍,安全平行切面通过切面、切点、平行舱等手段将安全可信的管控能力动态部署到目标系统执行空间内部,它能够实现对系统内部的数据自由观测,从而推动安全智能和管控效能的跨越式提升。切面技术的应用可以在数据安全治理等方面提供近十倍的效能提升,而在高危漏洞爆发等重大网络灾害应急方面能提供百倍以上的效能提升。
2021年“双十二”购物节期间,轰动全球的Log4j2漏洞爆发,蚂蚁凭借安全平行切面体系顶住了超40万次网络攻击,零误拦、零漏拦完成了“双十二”安全保障工作,对比之前对FastJson高危漏洞的响应,安全平行切面将Log4j2的应急人力效能提升了两百倍。不仅如此,在高度移动化的业务形态中,移动安全切面对支付宝APP上的三方SDK和超过300万小程序进行了安全监测和管控,每天进行超4.5亿次线上隐私合规和安全风险检测。移动端安全切面还通过共建项目支持了淘宝、高德地图等APP的安全治理,帮助其发现多个线上潜在安全漏洞、隐私合规风险,有效地保护了用户权益。
安全平行切面在此一役中获得了很好的验证和成功,这也大大增强了她的“父亲”韦韬的信心,他认为,是时候让她在这个行业中历练了。2021年12月24日,蚂蚁集团与信息产业信息安全测评中心发布了《安全平行切面白皮书》1.0版本,安全平行切面正式开始出现在行业视野之中。
《安全平行切面白皮书》1.0版本
韦韬认为,只靠蚂蚁集团的力量无法让安全平行切面获得更广阔的前景,在后续的2年多实践中,蚂蚁集团内部的安全技术人才不断钻研,持续利用切面技术在网络安全的痛点和重点领域做出突破。与此同时,2023年7月17日安全平行切面联盟正式成立,首批14个成员单位、5家技术授权单位,涵盖移动通信运营商、电商、金融、数字地图、网络安全、新型研发机构等领域,其中4家企业是世界500强,形成了实力强劲的联盟团队。
联盟成立后,对外持续发布了诸多运用切面技术获得的实践突破,并在2023切面联盟首次Meetup活动中展示了在技术风险域与质量自动化建设方面运用切面技术获得的最新业务突破,例如:
案例1
在资金支付类业务稳定性保障场景下的技术突破:RDATA切面流量应用已完成2000+应用、20万容器的全量部署,并实现1分钟内完成千万级流量采集,有效支撑了资金核对、环境底盘、质量领域、流量录制回放、可观测、安全等领域的观测需求,在20+细分业务场景中辅助业务取得了突破性的进展,通过全链路流量统一采集,实现资金支付业务的稳定性、交易准确性和可靠性三重保障。
案例2
在质量监控建设的技术突破:BKLIGHT切面质控应用已覆盖线上1200+应用,为1500+研发同学提供异常场景构造服务,日均可达万级、累计千万级的异常构造,实现累计上亿次的幂等检查、拦截超百个幂等问题,曾获得蚂蚁集团内部殊荣”鲁班奖“。通过基于切面底座的全链路异常测试,显著提高测试效率和准确性,精确定位问题,并持续进行质量监控。
2023年10月26日第二十届中国计算机大会(CNCC2023)召开,大会首日将安全平行切面作为重点话题,设立了“可信切面,构筑数字免疫屏障论坛”(以下简称论坛),网络安全命运的齿轮再一次因安全平行切面而旋转。
在论坛上,蚂蚁集团与IDC联合发布了《安全平行切面白皮书2.0》,白皮书明确定义:安全平行切面的核心思想是将编程语言环境下的Aspect-oriented Programming (AOP面向切面编程)推广应用到安全架构建设中,构建与业务正交融合的安全横切面,在不修改业务逻辑的情况下,通过横切面上的切点将安全能力系统化地融入到业务内部。(扫描文末二维码或点击文章左下角阅读原文下载完整版白皮书.pdf)
IDC在白皮书中对安全平行切面发表了较高评价:安全平行切面是支撑未来企业安全架构的重要技术方向,也是提升安全防护水平的全新方法体系。其重构了安全与业务的协同关系,让安全真正融入到业务本身,实现业务行为的可知、可见、可控。因此,安全平行切面有望为网络安全、数据安全、个人信息保护等领域带来跨越式变革。
“跨越式变革”这五个字评价极高,在论坛上,各位网络安全大咖对安全平行切面的观点印证了这个评价。
中国计算机学会(CCF)理事、副秘书长、CCF YOCSEF秘书长、北京赛博英杰科技有限公司创始人、正奇学苑网络安全创业营创始人谭晓生在致辞中直言:“我是安全平行切面的一个大粉丝”。
他说:过去我向很多创业者推荐过安全平行切面,并不是因为韦韬是我的好友。我是写代码出身,大学毕业以来做过新华书店的图书系统,也做过邮电、运营商项目,用户业务逻辑的复杂性和技术实现架构之间的冲突是那二十年里我们面临过最大的痛苦。后来我开始负责360的安全系统,像360这样的互联网公司,防火墙、IDS根本无法满足其业务的复杂性和极高的安全要求,只能自己养一批安全开发人员来做贴近自己业务的安全防御。所以在我从业网络安全这个领域以来,总结出了网络安全的2大主要难解问题:一是用户环境复杂性问题,二是安全与业务耦合的问题。
“在过去三十多年从业经验里,我一直都在努力地寻找一个能解决这两大问题的技术架构和业务逻辑解耦的方法,直到听韦韬讲了安全平行切面的概念,看了相关的资料,我觉得这是一个挺好的思路。网络安全行业一直以来都在投入和效果之间寻找一个最佳平衡点,安全平行切面是一个很好的方式,韦韬建立了安全平行切面联盟,并把自己的代码分享给了大家,降低了业界采用安全平行切面的复杂度,在学术和产业两个角度都非常有价值。安全平行切面是由中国人研发、为数不多的能够在国际舞台上正面竞争的网络安全理念和方法论,它或将引发网络安全行业的一场重大变革。”
长江学者,中国科学技术大学公共事务学院教授、网络空间安全学院教授、科技人文高等研究院副院长左晓栋带来了《对网络安全体系架构的思考》。
左晓栋认为,网络安全需要创新,但创新要符合网络安全的本质,所谓“经典永流传”。所以研究可信切面和数字免疫相关的话题之前,需要去了解和思考什么才是网络安全体系结构,尽管这个话题实际上可能并不存在绝对的标准答案。左晓栋被誉为中国网络安全领域的“语文课代表”,他对国内外网络安全长篇大论、晦涩以及抽象的法律法规、标准、要求生动地解读与梳理,一直极大的帮助着网络安全的从业者和学者。
论坛上,他从对ISO 7498、ISO/IEC 10181、《中华人民共和国网络安全法》、网络安全等级保护相关要求与条例、TCSEC(美国国防部可信计算机评价准则)、NIST SP 800-33:IT安全基础技术模型、ITSEC(欧洲信息技术安全性评价准则)、CC(国际通用准则)、中国国家标准GB/T 18336等不同国家的法律、文献、标准的解读中,带领大家一同去思考和认识网络安全架构的本质到底是什么。
左晓栋指出,GB/T 18336《信息安全 信息技术安全评估准则》是目前的国标,并且在不断更新和修订。18336国标最初参考了欧洲ITSEC,里面提到了一个重大概念叫做“安全执行功能”,指为了实现IT系统或产品的保密性、完整性、可用性要求而实施的一系列技术性安全措施。而什么是可信?只有安全机制是不够的,必须要有保障,“保障”意味着要对安全执行功能以及这些功能的有效性有信心。也就是说,一个设备,只有安全功能,做得再好也不一定能满足你真正的安全需求,所以真正的可信和信任,是对安全功能正确性以及有效性的信任,这是可信最经典的定义,是安全最初的本质。
蚂蚁集团副总裁、首席技术安全官、安全平行切面创始人韦韬在论坛中发布了《安全平行切面白皮书2.0》,白皮书中清楚介绍了安全平行切面的原理、解释、核心能力、特征、优势以及应用价值和场景,他没有在现场赘述以上内容,而是从“道”的角度让我们更加深入地了解了安全平行切面的灵魂。
韦韬指出,在网络安全领域和空间之内,绝对的安全是无法追求到的,所以在商业的角度上,网络安全不能不计代价,一定要考虑投入产出,商业环境的安全是需要度量的。在我们的想象空间中,安全并非是一道不可逾越的墙,而是一场博弈,攻击者要付出多大成本、克服多大不确定性、承担怎样的后果才能破坏你的安全体系,这个“难度”才是我们在做的安全工作。
韦韬说,安全体系里面非常显著的一个特点就是不确定性。随着时代的演进,网络空间系统也在不断演进,就像星空一样。从人类自古至今对星空的研究,我们发现探知事物的本源包括宏观层面和微观层面,今天我想和大家多探讨一下微观层面。在网络安全都有哪些问题是微观层面的问题呢?例如访问控制,访问控制的原生安全范式里又可以微观到OVTP可溯范式(策略层)、NbSP零越范式(机制层)。我们可以看到微观的重要性:关键细节决定成败。
“没有绝对的安全,但我们见过太多因一个细节的疏忽就导致整体安全失败的惨痛案例。很多以前在架构层面安全考虑不到位的地方,一旦应用开始铺开后,即使付出巨大代价也不一定能扳回来。所以安全架构设计正是这样,需要在顶层思考充分,才能支撑关键细节不会塌方”。
韦韬随后详细的阐述了从原生安全范式的微观视角,重新审视著名的网络安全体系架构,如纵深防御、零信任、Moving Target Defense和密码学应用体系,阐述各自的架构理想并分析现实的困难与挑战,特别从OVTP可溯范式与NbSP零越范式两个角度分析现存的优势与劣势。继而展示了如何应用安全平行切面来弥补现有安全体系架构的缺陷,并推动数字化企业向“可见可信 可控可战”的下一代安全体系架构演进。
IDC全球安全研究总监Cathy Huang从分析师的角度,提出了在全球网络安全新变化下,安全平行切面的优势与价值。
她指出,IDC数字显示,有51%的企业已经成为了数字化企业,这代表了一个里程碑。数字化转型的商业价值体现在数字化技术图景实现了改善客户体验、业务运营、供应链等场景的动作。未来企业会扩大对数字化转型的投资规模,而伴随数字化业务发展,企业面临更多的网络安全威胁。据IDC调查,“网络安全威胁与合规”是2022-2024 CEO认为最能影响业务的挑战;受到过勒索软件攻击、影响系统访问并支付赎金的企业比例越来越大,且企业平均支付的赎金金额达到百万级别。IDC数据显示,在全球范围内安全风险和合规已连续三年居于企业支出重点TOP3中。
她说:“我们看到了整个全球(无论是美国、欧洲还是中国)都在努力把安全能力和业务进行更好的匹配,这让我们关注到安全平行切面的价值。” 她介绍到,安全平行切面的三大应用价值包括:
能力优势:重构安全与业务的协同关系、让安全真正融入到业务本身,将安全影响力推进至业务系统的深层空间;
效率优势:体现了安全能力共享化、资源化的发展趋势。通过对切面和切点的构建,全面融入应用业务逻辑,具备敏捷化防御、实施便利等规模化效率优势;
成本优势:从全局运营视角,极大缩减研发成本、运维成本、运营成本以及行业综合成本。
平安集团首席安全总监陈建站在企业的角度介绍了安全平行切面如何护航企业信息安全建设。他表示,传统的外挂式和内嵌式安全,已经无法适应业务的复杂性和快速增长了,过去传统的内嵌安全希望把安全能力和业务融合在一起,出发点是好的,但实际上在企业真正运作的时候带来了很大挑战。比如过去的内嵌安全需要和业务高度耦合、高度关联,实际上对业务逻辑的影响是比较大的,安全人员的投入也很大;另一个角度来说,当业务需求和安全需求发生冲突的时候,往往安全需求需要让步,依然会带来安全上的风险。
陈建说,蚂蚁提出来的安全切面方案让安全有了自己的底座,这个底座就是AOP,这种面向切面编程的模式,是可以独立于业务应用系统之间的,切面既紧密作用于应用系统,又与应用系统解耦,它的解耦性又能让安全组件始终保持独立化发展迭代。有了这种底层的架构就可以对业务应用系统进行观测和干预,通过对数据获取以后进一步行为的判断,甚至可以做阻断,这时候我们安全再要达到这些企业内安全保障目的就相对比较容易。
刘新凯是深圳红途科技有限公司创始人,加入了安全平行切面联盟之后,红途科技运用可信切面在数据安全领域实现了实践应用。他指出,用户在数据安全领域正在面临的几大挑战包括数据的准确性(例如数据打标及分级分类)、数据的完整性、数据的实时性、数据与业务的关联性、数据的系统性。而对于数据安全的提供者来说,我们需要应对不断提升的业务复杂度、业务的快速变化、数据边界的不断拓展、基础架构和程序调用的高复杂度,还有需要协调的人员众多等压力和挑战。
刘新凯说,红途科技提出“想要做好数据安全,一定要基于全链路的数据观测能力”,而平行切面能够带来的一个重要能力之一正是观测能力。在红途基于数据观测能力建设新一代数据安全的过程中,我们认为运用切面技术一个比较好的点是在应用侧进行安装,不涉及开发过程,也和数据无关,所以在整个上线过程中可以做到非常快速,如果大家在环境中已经使用了纯微服务架构,启动速度会非常快,可以在秒级就可以把大规模集群起来实施部署的能力。刘新凯说:“希望我们基于可信切面形成的数据安全观测底盘,可以对整个数据安全管理提供更有的价值的服务,也希望能够给大家减少更多的工作量,实现更多的业务价值!”
关于安全平行切面的精彩话题还有很多,请原谅笔者无法在一篇文章之中尽数其详,CNCC2023 “可信切面,构筑数字免疫屏障”论坛直至结束依然座无虚席,也许是因为在场的每一个人都感受到了来自安全平行切面的力量,感受到了研发者们的热血,感受到了未来即将带来的各种激动人心的可能性。
我们将持续关注安全平行切面的发展,也许变革已经开始,正在一点一滴的进行时当中,你我都是其中的一员。
《安全平行切面白皮书2.0》
浏览器扫码下载
文章来源:数说安全
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)