微軟邵江寧:穿越物理和數字空間的邊界:萬物互聯時代的網絡安全挑戰與對策
責編:mhshi |2017-06-15 11:02:34邵江寧:尊敬的各位領導,各位專家,各位業界同行,老朋友,新朋友們,大家好!
非常榮幸在這里有這個機會跟大家進行交流,我今天交流的題目簡單來說就是一個物聯網的安全。微軟在新的時代也在進行大量的轉型,傳統上大家比較熟悉的是Windows、Office等等,今天我們已經變成了一個云計算、物聯網、大數據、人工智能的公司,我們也想借此機會為大家分享一下我們轉型過程中對網絡安全的體會。
大家都知道,這是一個非常令人激動的時代,我們從過去的互聯網到物聯網。在這個時代,一些規律性的東西都在發生一些大的變化,傳統的摩爾定律似乎也在維系它的競爭規律,新的互聯網的規律叫梅特卡夫定律,意味著傳統的所謂邊際遞減的這樣一個價值規律在萬物互聯的時代已經不太適用了,這是一個非常好的,讓人振奮的一個時代。從萬物互聯的規模來看,我們面臨著數據大爆炸。大家可以看到,這兩天從美國的股市上,現在IT公司是一路飄紅,前幾名的這些千億級市值公司,都是傳統的桌面和移動互聯網端的時代,在十億級邁向百億級的終端的數量成長起來。現在最保守的估計,2020年物聯網的端都是百億級,甚至千億級的規模,這是一個系統的大機會,大家能不能抓住這個機會,打造一些更多的本土級的百億級甚至是千億級的市值,需要大家一起努力來做。
從物聯網對整個社會和商業經濟上創造的價值來看,大家關注到物聯網加速了整個商業化、數字化轉型的時代,很多商業性公司也都是擁抱了云計算、物聯網、大數據、人工智能,希望利用這些新的數字化技術,能夠增加自己的競爭能力,更好的服務自己的客戶。但是創新本身是一個雙刃劍,我們自己在好的方面,為用戶創造價值方面,物聯網和云計算有很多新的競爭,但是如果我們看一下新的創新技術,它是一個雙刃劍,用在一些負面的地方,比如網絡安全這一塊,同樣是產生了一些新的挑戰。第一個數字我不看了,在云計算這一塊,安全服務也在用很多的云計算。從平均的安全投資上看,10%的比例對于很多公司來說,從現在的基礎安全投入上,大家都沒有達到這個數字。如果我們為了應對物聯網安全的挑戰,在2020年要設置這樣一個IT投入,是說為了保證物聯網的安全,這是一個非常長的過程。到2020年,針對物聯網的網絡攻擊的總量,不管從流量上還是攻擊數量上,至少可以達到25%的這么一個數字,這是我們需要認真面對的一個未來的趨勢。
從各種媒體上,可能大家很多是安全圈子里的,參加各種安全的會。在這種會上有很多的Demo演示或者是個人驗證,可以說我們很多的技術精英們黑掉了所有的東西,沒有他們不能黑的一些東西。從媒體里面,大家聽到了這樣一些消息,包括兩個月前,美國的物聯網攝像頭端的攻擊,也是在全球抓了很多人的眼球。
從我們看到的攻擊趨勢來說,攻擊的復雜度在逐步上升,簡直是一個直線性加速的。前面有很多專家都提到,我們現在從過去的小孩惡作劇到犯罪集團的網絡攻擊,上升到國家級的網絡攻擊,所采用的攻擊手段和工具非常讓人震驚,基本上是一種國家級的網絡戰略的能力。另外一方面,由于互聯網的安全貢獻的性質,包括在安全社區里面,很多攻擊工具甚至是源代碼可以隨意獲取,發動一場非常復雜的攻擊并不是一件特別難的事情。所以這兩個疊加在一塊,就意味著我們將來的安全形勢更加復雜。
我們很快的回到物聯網安全的話題。互聯網安全的話題大家覺得非常難,難在什么地方?我們認為它是一個系統疊加的復雜性因素。傳統我們從IT圈里面,我也是大部分時間在IT圈里面,我們熟悉的是PC端、移動終端的安全,它考慮的一些安全因素和內涵是跟傳統的我們所謂的作業技術、OT或者是運維技術,傳統的移動通訊網絡這一塊是完全不同的兩個概念。今天物聯網整個的技術平臺是把端、管道和后面的云計算平臺打通了,很多復雜的因素在一塊,是一個復雜的大系統。
我們需要傳統IT的專家和傳統的運維作業技術的專家,或者是自控技術的專家互相能夠借鑒,互相能夠融合在一塊,共同應對這樣的安全挑戰。有這樣一個物聯網的安全視角,在這里展現了IT工程師和互聯網安全工程師或者是自控工程師安全視角不一樣,OT的工程師來講,關注了跟多的物理安全、可靠性等等很多的因素,兩個視角是完全不一樣的。我們觀察到的最主要的突破是物理和信息系統的融合,過去我們通過對物理世界的這種衡量和度量來了解這個物理世界。從物理到信息的這么一個大的方向。今天過渡到萬物互聯時代,是一個融合,我們是通過信息系統對于物理世界數據的采集、建模,現在數據的大爆炸,使得我們有了充分的數據,使得我們能夠有一個比較完整的運營設施的模型,有這樣一個數字式的雙胞胎的模型去觀察物理世界。最終通過這個數字模型控制這個物理世界,跨越了傳統的網絡安全和物理安全的邊界。IT的系統遭受攻擊,過去的情況下,如果你是一個企業IT的管理人員,最多的是數據損失了,最壞的情況把系統格掉,用備份的數據重新恢復。在今天的萬物互聯時代,如果整個國家基礎設施、物聯網的環境被攻擊了,從國民經濟和社會生活各個方面都會出現一個非常大的紊亂。過去幾周發生的WannaCry病毒,就是一個很大的印證的例子。
從復雜度的角度來說,是各種安全因素的疊加。從方法論的角度上來說,我們從物聯網的安全,如果要考慮一個非常大的群體的話,大家需要從基礎的安全工作做起,把安全的基因,把安全的基礎要素在設計產品,在構造產品的時候就需要考慮進去,而且要考慮后續的安全運維的工作。還有在供應鏈安全上,后面我都會有些詳細的細節。物聯網不是一個人或者是一個廠家的獨角戲,是整個生態系統,需要大家的通力合作。
我在這里提出一個可信賴物聯網的概念。就是我們要保證物聯網萬物互聯的這個新的技術,能夠為社會,為人類去造福,我們就需要突破這種信任的邊界,信任不是一個很簡單的定義,后續我也會有更深刻的總結,信任包含很多要素,僅僅是安全不等于用戶會使用你的產品和服務。在物聯網的環境里面,我們提到是一個大的生態系統,有很多的供應鏈體系,有很多關鍵的利益方。上周在上海的亞洲電子消費展覽上,我跟一個供應商做交流,他提到一個問題。說你們為什么不能在物聯網的時代簡單推一個終端的認證?我說終端的認證不能解決所有的問題,因為終端的認證非常容易,但是你終端后面服務所有的供應商、網絡運營商、云計算的服務商、應用平臺供應商等等,這些疊加在一塊,不是一個簡單的認證能解決的,不是一個設備端認證能夠解決的問題。所以這些安全的關鍵利益方都需要承擔他自己的責任,他是一個責任共擔的模式。
我們基于這種生態系統供應鏈的整個鏈條,需要一個整體化的安全戰略。我們需要把這個安全整個的方法論從產品最初的概念設計到后面發布以后,客戶購買以后,在服務過程中,所有的鏈條里面都需要考慮進去。這是微軟一直在遵守的一個基本的原則,就是我們要打造安全的基因。我們最早的時候通過可行計算發布了一個標準叫SDL,軟件開發生命周期模型。今天它已經是一個國際標準,有很多業界的同行,包括華為等都在使用這樣一些新的標準來開發他的軟件。SDL主要的理論是需要把安全的要素設計到產品里面,而不是說等產品發布以后采用安全增強或者是安全加固的技術去把它重構起來。你加很多的鎖,即使是一個非常堅固的鎖,如果房子本身不堅固的話不能解決安全問題,所以SDL是一個全面的理論。SDL里面一個關鍵的理論就是威脅建模,我們要在一個新的架構里面采用大系統的復雜方式,去理解我們在物聯網設備的不同階段,不同生命周期的不同階段面臨的網絡威脅。威脅建模現在已經在很多的國際標準里面被提升進去了,大家所實施的通用準則里面,就是大量的關于威脅建模的這樣一些要求。我知道國內很多廠商也在非常熱衷于進行認證,很多都是得到了這個認證。要得到這個認證,首先要有一個完整的威脅建模的過程。
威脅建模整個邏輯架構這里有一個演示流程,關注于主要不同環節的威脅。簡單總結一下,我這邊是六類威脅的典型代表,其實實際的威脅子類還會更多。威脅建模有完整的過程,也有非常好的一些工具,包括微軟其實在我們的網站上已經免費提供了很多威脅建模的工具。如果大家用Windows Studio的話,一般都有完整的威脅建模的工具。如果要做威脅建模的話,必須在所有的界面,云端、中間管道端和設備端,這些界面的地方都必須有非常清楚的威脅描述,需要把你的敵人找清楚。你要做這個威脅建模,還必須有一個完整的物聯網參考的架構。我這個PPT是自己畫的,不太擅長做漂亮的PPT,所以有點丑,大家可以看到整個的邏輯關系其實也比較明確,這是設備端、中間的網絡端,后面的應用端,或者是一些洞察端。
有了這個邏輯結構以后,我就可以做一些風險域的分析,這些工作都需要從基礎做起,沒有什么特別復雜的東西,需要把這些基礎的工作能夠做好,把這個邊界劃清楚,把風險界面劃清楚。在談到物聯網的時候,其實我們還是要把注意力放在端上,因為端是源頭。我們從IDC的調查上也看到,設備端的安全挑戰比較嚴重,很多設備端的安全缺陷比較明顯,基礎的工作沒有做好。為什么設備端的安全非常重要?因為物聯網我們講它不是一個單個的設備,是整個的鏈條。所有的通訊和數據其實是從端開始的,如果我們的端沒做好,即使是按照我們現在講的5G的一些標準,5G的標準里面提出了很多新的安全的理論和模型,5G里面其中談到,如果采用公共密鑰的這樣一個結構,把數據從端開始進行強加密,不在乎這個數據流過的中間的管道是多么臟,其實都能保證這個數據端,從基礎密碼的算法這一塊保障它的安全。但是如果我在物聯網端這一塊沒有做到安全,僅僅考慮中間的加密是不能解決問題的,只是一個通道的加密,不能從源頭上去控制,它是一個干凈的管道,但是流進去的水是臟的。我還要特別關注這個邊界,邊界比較復雜,在物聯網的這個邊界里面,前面我們在劃分的時候其實這個邊界非常復雜。
信任是提到可行性計算,在國際上也是一個熱點,國內可行性計算2.0也是全球的標準,很多全球化的公司都在用,一些基礎概念其實還是代表全球比較大的趨勢。怎么去驗證這個設備,怎么進行密鑰端的保護,怎么利用這種基于硬件的安全模塊去生成密鑰,很好的保護密鑰,是一個非常強有力的技術。今天如果我們看互聯網端很多的安全工具,可以看到這個趨勢,對于終端的攻擊現在已經慢慢過渡到硬件界面了。我們也看到很多針對硬件界面的攻擊,都是爭奪端的控制權。
物聯網設備端的挑戰非常大,一方面是端這一塊由于傳統的一些原因,我們跨越的維度比較大,后面我會有一張PPT專門講這個,我們會有幾分錢的設備,也有幾百塊、上千塊的設備。每一種設備的投入不一樣,所具備的能力也不一樣,能夠部署的安全措施也不一樣。這樣很多便宜端的傳感器,其實是物聯網的一個薄弱環節,是一個互聯的世界,我怎么去對付。我們有很多的模擬技術的平臺,如果大家都很好的做升級,不做投資的保護,我們很多設備就不會有這樣的問題。但是現實世界當中,設備的保護是很大的問題,還有很多不安全的平臺。我們今天講很多輕平臺,或者是微平臺,平臺本身都不具備很多基本的安全屬性。我們知道一些新的芯片級,不管是ARM平臺還是英特爾平臺,還是高端平臺,其實都強調從芯片級開始,把一些基礎的安全屬性做進去。我們還考慮設備的規模,我們知道,在今天的桌面網絡或者是移動端的網絡,面臨的設備規模最大的可能是幾萬、幾百萬。如果我們是面臨著幾百萬,甚至是幾千萬,甚至是上億的設備端的這么一個大的網絡,我們怎么去管理?就好比說這個房子里面站了很多的士兵,我們如果按照軍隊的這種口令去喊一聲到的話,那種在整個屋子里造成的回響會非常大。同樣我們用傳統的架構管理物聯網端,如果是實時的大的物聯網系統的話,我即使要很好的跟所有的端保持通訊,很多傳統的架構從承載上都不能處理,可能這些系統簡單的騙一下后面的管理終端,都是一個DDoS的風暴式攻擊。
IoT能力受限的設備,從成本上來說,計算能力和內存這一塊,從1美元到100美金的數量級,有很多設備其實是從安全上基本上不合格。再舉一個例子,今天如果大家有機會去一趟深圳華強北,華強北的廠商大家可以猜猜是多少錢?我買的是39塊錢,這是零售價,批發價值可能更低。我們在打造一個安全可信的IoT的時候,首先要選擇一個安全可信的大平臺。剛才講到IoT的挑戰,很多企業都在做這樣一個創業。但是你所說的幾個、幾十個,上百個那叫創客,是工程原形,到企業級才是上萬級的級別,到消費者的層面,可能是幾百萬、上億的級別。連接的設備數直接導致了數據的大爆炸,整個網絡的承載能力是不是能夠承載這么大的數量?這個也導致IoT的整個架構推動著做了很多的演進。過去傳統的是云管端,就是數據發到云端上,現在真實的世界數據大爆炸,提出了很多邊緣的計算,就是現在的數據不一定要傳到后臺,可能是設備中間的網關上就處理掉了。
我們還提到供應鏈安全的問題,國內的專家對于這一塊非常關心。但是從消費者的角度上來說,其實我們也應該非常關心。這個設備從它的生命周期上,如果裝到你的身體里面,是一個醫療的心臟起搏的一種傳感器,必須關注在整個生命周期里面是否能夠提供后續的支持服務。
基于硬件的信任,這個信任從端上來說是必須要做的。如果你沒有這個硬件級別的信任的話,整個管道的加密是不夠的。但是現在很多廠商認為,尤其是OEM端的設備,國內很多做可穿戴式的這樣一些廠商,那個設備只賣幾十,甚至是幾百塊錢,你很難想像他在端這一塊做了很多的安全工作。Windows10我們基于硬件的信用做了很多的嘗試,主要的成果就是TPM,不管國內的機構和專家對TPM有什么樣的不同意見,但是TPM從一種架構和概念上來說是一種非常大的突破,也是最早實現商業化的結構。
IoT的安全場景非常多,我這里舉了典型的場景,防身份篡改和密鑰存儲,每家芯片廠商都有不同的方案,怎么取得認證,在互聯網端和各個環節。還有就是可信執行,這一塊可能大家比較熟悉的是PC端和移動端的可信執行和可信引導。在物聯網的端怎么做到?是不是有更多的這樣一些廠家有這樣突破性的技術去推動這種可行性執行?IoT本身的這個端就要求具備很多設備的數據遙測能力,遙測的過程中,其實也會發揮很多健康的數據。通過這種數據和日志的分析,其實能夠去分析它的威脅。IoT本身是一個非常大的生態系統,我們需要構建一個多層的防御,需要對IoT的整個鏈條提供一個靈活的變更控制的能力,后續我會有更詳細的介紹。這邊的數據安全在遙測這一塊,一些比較大的平臺,比如IOT Call的平臺做了很好的開發。
從競爭策略上來說,打一槍換一個地方,可能市場上發布一個設備,兩年之后沒了。從這個角度上來說,怎么保證供應鏈的安全。還有一些IoT的廠商,基本上把這個設備做出來以后就沒有留界面,里面的部件是寫死的。這個比較典型的體現在上一次美國第一次影響比較大的物聯網的攻擊,我們國家很多OEM廠商做的攝像頭根本沒有留升級的接口,你想做升級也做不了。這是微軟做的一個軟件組件漏洞分析的工具,常見的物聯網的設備,從零部件第三方的組件上數目是驚人的。作為一個物聯網的終端廠商,如果我們沒有能力去追蹤里面部件的安全性的話,這是一個很大的問題。供應鏈很多中間的環節廠商消失了,你怎么獲得后續的技術支持?是不是意味著你團隊或者公司里面所有的部件都需要自己去開發?需要建立一個非常強大的傳統安全響應團隊?是不是需要建立自己的一個網絡威脅的情報庫?隨時追蹤各種各樣的漏洞信息。這樣的話,才能為最后的用戶負責。特別強調一下,物聯網對用戶最后的影響非常大,將來所承擔的責任絕對不是一個信息安全的責任,會是其他更嚴肅的一個責任。如果你不對你的產品負責的話,將來會是一個大的問題。
特別強調的是,IoT的設備需要做固件的管理,我這里舉了一個非常荒唐的例子,就是假設你的電梯有升級的要求,不管今天我們是在Android平臺還是Windows平臺,你升級的時候,重啟的時候可以想像那個重啟的樣子,你在電梯里面Hold住了重啟。后續的升級服務,怎么去支持這個固件的升級?是用戶自己遠程連接升級固件?還是你提供售后服務支持的戰略?歷史傳統很多現在歸類到IoT廠商沒有考慮到固件升級,這邊還有一個例子,很多做傳統廚房家電,電飯煲的廠商。過去電飯煲壞了以后搬到維修點去,把這個設備焊一焊或者換一換。今天可以想像,這個電飯煲具備物聯網的功能,要做固件升級,可能到一個維修站點上,需要維修工做升級,這是多么有意思的一件事情?
微軟在打造IoT整個戰略的時候,其實我們的定位非常清楚,我們是打造了一個平臺戰略。我們是提供一個基礎的平臺,不是做所有的東西。我們提供的這個平臺供物聯網的生態系統伙伴去打造各種應用的場景,所以從這個意義上來說,我們是瞄準了,還是云管端三個不同的部位,把基礎安全能夠做好。
這是我們IoT基于Azure服務套件的邏輯功能,最基礎的是一個安全的功能。我們的IoT物聯網的安全保護棧有非常清楚的定義,設備保護、威脅防御、流動數據保護、云安全、安全響應,整個過程都有一個完整的體系和方法論。講物聯網的時候大家喜歡講物聯網的安全架構設計,安全架構設計其實也都是針對問題解決問題。連接前的安全,就是端和后面的管道,還有后面的云計算的平臺怎么進行連接,這樣有一些安全的考量,連接的一些方向和策略,都必須做非常認真的考慮。
特別還要點一下,就是服務輔助的這么一個概念。大家如果經歷過通訊系統,從2G到3G到4G的演化,大家可能有這個體會。當初的時候,在2G、3G的時候,其實很多IT做基礎網絡協議的時候沒有考慮安全,后面怎么考慮管道通信的安全?就加了很多網關。通過網關完成了安全的分裝和認證的功能,其實服務輔助也是同樣的概念。在物聯網要處理很多新的設備,還要處理很多遺留的設備。遺留的設備基本上由于終端能力的限制,不具備基礎的安全能力,怎么去做?必須采用一種服務輔助的方式,通過網關的這樣一個形式去解決。這邊是一個服務輔助通信整個的邏輯架構,在不同鏈條的地方需要解決不同的問題,需要加一些新的網關。由于時間的關系,我就不詳細介紹了。
講到云計算的安全,云計算的安全是一種服務模式,不是一種產品開發就甩包的這樣一種方式,需要有一種具備動態對抗的能力,從防護、探測和響應這一塊,要有自己安全的團隊,要有安全基礎的能力,要能夠進行基礎對抗。微軟是全球在商業公司里面被攻擊最多的公司,政府領域內被攻擊最多的公司是美國的國防部,我們是商業公司里面被攻擊最多的公司。這種天長日久的攻防對抗培養了我們自己的安全團隊,培養了我們自己的攻防動態對抗的能力。我們講IoT防御,必須在云、管、端這三個方面都要做一個完整的防護,是一個深度防護的策略。瞄準不同的安全因素,去進行有針對性的防護。
微軟在可信賴方面的基本概念。前面我們講了物聯網的基礎結構,物聯網面臨的挑戰,我們會總結一下微軟在可信方面的認識。我們認為可信高于安全,可信的第一個要素是安全,第二個要素是隱私,第三個要素是合規,第四個要素是透明。安全這一塊我們考慮物理的安全,比如云計算數據中心、物理安全等等,我們也要考慮整個系統的邏輯安全,既考慮數據安全,也考慮應用安全,還要考慮后面其他的一些安全。包括我們進化到人工智能階段,也要考慮到算法的安全,算法的責任、設計和透明等等。隱私方面,在物聯網階段里面,我們都知道物聯網需要跟人進行相互的交互,需要感知人很多的一些隱私的數據,我們也必須做好隱私的保護。隱私這一塊我們強調幾條,第一個是隱私設計,隱私作為一種數據的屬性,我們必須在產品設計階段就把隱私的一些屬性考慮進去;第二是隱私的合規和保護,在產品發布以后,我們怎么去按照監管法律法規的要求做好隱私的保護;第三是合規,郭總工講關于關鍵信息基礎設施保護這一塊,最重要的就是合規,要滿足基本的要求;第四是透明,有三個層面,包括技術透明,我們國家需要安全可控的技術。從可控性來說,微軟在中國建立了技術透明中心,我們把Windows10的產品代碼、語音代碼都放在這個技術放在里面進行檢查,甚至可以在里面進行重構。服務透明,我們前面反復講到物聯網是一種服務模式,服務模式就意味著有一種服務等級協議,我承諾的這種服務等級和用戶最后感受的服務等級是不是會有偏差?如果有偏差怎么辦?是不是有一些可度量的指標去檢閱?微軟在我們的平臺上推出了很多公開的服務,用戶可以實時檢測云計算的資源可能性是多少。數據透明體現在物聯網端里面,在物聯網整個大的體系里,從端到管道和云端,用戶希望了解數據存儲在什么位置,被誰訪問了。我們在整個平臺上提供了全程可追溯的日志,用戶可以隨時檢查。當然透明還包括我們前面講的算法的透明,算法的公平性等等,這些都是在人工智能時代需要考慮的很多的復雜因素。
我們也強調安全是一個共同的責任,前面包括幾位領導,還有郭總工也提到,我們要應對新時代的網絡安全,不是單個廠商和單個個人需要做的工作,我們需要政府和企業之間的合作,需要安全的生態系統廠商之間的合作,還有我們需要整個用戶打造一個安全的意識,在萬物互聯的時代里面培養一個非常好的網絡衛生的習慣,來共同應對全球化的物聯網安全的大挑戰。
我們在物聯網的平臺上也是一個很開放靈活的平臺,我們很多的開發工具都是跨平臺的,不僅僅是局限在Windows平臺,可以跨Linux、OS很多的平臺,一次開發可以多個平臺發布。我們從創新的角度上來說,任何的產品技術都不是完美的,希望通過一個快速迭代的過程不停的完善我們的平臺和技術。
最后我們也想給大家分享和匯報一下,微軟在進入中國前30年,跟中國信息化建設是同步走的這么一個過程。前幾十年可能由于國內的技術水平和人才水平的差異性,可能很多都是國外的產品和公司都把中國作為一個消費市場。近20年,國內的技術水平和人才的能力有很大的提升,微軟也在調整自己的戰略。我們把過去的合作模式變成共同來進行合作創新的這樣一種模式。我們也跟很多國內的知名企業和合作伙伴建立了非常密切的合作關系。2015年9月份,習近平主席到了微軟總部訪問,對微軟前20多年在中國的信息化建設的貢獻做了充分的肯定,也希望微軟能夠更加深化在中國的合作創新,能夠幫助中國打造網絡強國,微軟也有信心來跟各位在座的伙伴和同行進行更深入的合作。
我就介紹到這里,謝謝大家!
上一篇:瑞星葉超:決戰企業網絡之端