5G时代的网络安全风险趋势与产业应对思考

计算的分散化是信息技术的核心特征，而将分散的计算连接则是网络的本质。从上世纪六七十年代的大型机作为主导，到上世纪八十年代的个人计算革命，再到随着互联网的终端和智能终端所兴起的各种网络应用，以及今天大量的各种物联网终端、工业物联网终端和智能传感器，我们正在看到一个计算无所不在、网络链接万物的场景。5G技术以更快速、更大规模、更大带宽的链接能力，必然成为计算分散化的加速器。

与此同时，我们可以看到网络安全威胁跟随计算分散化而泛化扩散是一种必然。上世纪70年代，面向大型机系统，就已经出现了比较原始的网络攻击，包括越权访问、原型蠕虫和人为破坏等等。上世纪80年代的个人计算革命，也使安全对抗从操作对抗进入到代码对抗时代。IBM PC架构成为主流，感染式病毒成为最早泛滥起来的恶意代码类型，并伴随磁盘数据交换而传播，成为了安全威胁的主角，杀毒软件也对应产生。2000年前后，随着全球信息高速公路的建成和互联网应用的快速发展，操作系统能够承载更丰富多样的应用程序，支持更多开放服务，大量计算终端不再是数据孤岛，而成为连接在网络上、特别是连接在互联网上的终端节点，针对PC节点的网络蠕虫和木马先后成为恶意代码的主流类型。而到2010年前后，智能手机开始兴起，恶意代码和各种威胁的重点目标逐渐从PC侧转移到移动侧。同时，安全威胁逐渐蔓延到各种新兴场景中。2015年，安天安全研究与应急处理中心（Antiy CERT）提出安全威胁演进的一个重要趋势是“泛化”，并开始每年绘制当年的威胁泛化图谱，揭示出在过去数年威胁泛化的不断加速的趋势。

▲近五年5G相关领域漏洞增长趋势

在这种发展趋势下，如果没有有效的应对方略，势必会出现一个悲观的未来：关键信息基础设施整体的智能神经末梢整体性缺乏安全基因，形成大量新增的外围设备暴露面和可攻击入口，进而导致能源电力体系更容易因网络攻击而中断，交通运输等公共基础设施遭遇网络攻击干扰发生中断瘫痪的风险概率大大提升，大量个人与家庭的智能设备可能随时停摆，心脏起搏器乃至一些远程医疗设备遭遇攻击后，人身安全也会遭遇重大威胁。

威胁可达之处就是防御构建之处，而防御构建的本质是安全与IT的耦合。安天防御能力框架中定义了网络安全五个基础能力级别，即识别、防护、检测、响应、塑造。这五个能力集合的或者源起自IT场景的变化，或者源起自新的安全威胁挑战，它们与IT系统的耦合范式也各不相同。

▲网络安全五个基础能力

这种原生融合的安全能力，是构建5G时代新安全体系的基础。同时我们也要看到，安全能力对算力和资源有较高需求。而所有新的IT场景革命事实上都是从一个低算力起点重新开始。无论是上世纪80年代初，中型机、大型机与刚刚出现的个人计算机，还是在本世纪初把PC机与刚刚登上历史舞台不久的智能手机进行配置对比，都可以看到这种新场景的“算力降级”特点。而对于攻防对抗来说，防御是一个体系，攻击则从单点入口开始，因此在新的低算力场景，安全能力构建在资源上处于相对被动和局促之中。因此，也需要关注安全算力和形态的演进趋势。端点系统安全场景随着大量智能终端、甚至传感器的加入，端点安全算力形态的重要趋势是原生化，即深度耦合到终端系统中；而传统的网络流量监测设备，随着流量场景重心成为云平台场景，流量监测算力形态演进趋势则是云化，即成为云端的安全资源池；从安全管控角度，从SIME、SOC到SOAR，在持续尝试建构统一化平台的努力中，很多用户反而发现，随着网络资产规模的日趋扩大，仅靠一个统一的管理中心，很难同时实现宏观的管理运营全面覆盖、又能敏捷达成微观对抗的战术指挥。因此，安全管理的算力形态的演进趋势是走向统一管理和自治可恢复弹性的结合，当前一些用户提出双SIEM/SOC模式，把支撑威胁对抗的XDR平台，从大型SOC或SIEM中独立出来，都是这种趋势的体现。因此如果把安全的算力需求分布和IT的算力需求分布叠加，就会发现安全算力和应用算力并不是均质分布的，一方面实时化检测防御算力跟随IT算力同步分散化，而异步的检测、分析算力，包括管理算力资源则呈现全局或局部集中化部署特点。

通过前面的总结，我们就可以看到在5G+IoT时代安全能力融合相对于传统安全面临着一系列困难。

● 从安全机制与场景的耦合方式上来看，类似安天等主流安全厂商，无论是和麒麟、统信等国产的操作系统，还是和微软都有非常明确的合作协议，来确保安全机制能够在底层驱动支撑下有效加载，来保证系统引导链安全，面向威胁实现以逸待劳的防护。而对于泛在物联的时代，目前安全耦合尚处在原始和自发的阶段。

● 从部署能力上来看，传统场景安全能力部署灵活，既可以出厂预装，也可以由安全管理人员进行安装部署。而在新兴场景的智能物联网设备中，几乎没有管理人员进行能力部署的入口和机会，或者部署后无法实现底层的防护能力，只能采用原生融合的预置方式。

而安天在智能手机时代所走过的安全线路，或许能为解决上面的问题提供一些启示。安天在智能手机场景实现了非常有效的能力落地，安天的AVL SDK反病毒引擎和AVL Inside安全内核已经累计为全球超过30亿部手机为主的智能终端提供安全防护，总体上覆盖了2018年后出品的全部主流品牌国产手机，2019年后出品的几乎全部的国产智能POS机。安天以下一代威胁检测引擎技术为核心能力，在智能手机场景中使安全能力在底层与系统硬件芯片的能力相结合，而在顶层依托安全内核扩展相关的场景保护能力，包括病毒检测与防护、网络攻击防护、漏洞利用防护、Wi-Fi接入防护、支付安全防护、短信安全防护、彩信安全防护等等。同时我们通过系统安全层面防护能力的增强，进一步强化了手机的身份认证和相关的数据加密执行保护。

在这个背景下，能不能保证手机用户的基本安全，保证手机不会轻易被病毒感染，就已经初步成为了手机厂商市场竞争力的一部分。在这种情况下，安天积极跟进了手机厂商的安全需求，提供杀毒防护、应用管控等相关机制。2016-2018年，从市场竞争层面已经开始倒逼手机厂商提供全面的相关安全体验，而在这个时候手机侧又面临着更进一步的一些安全的压力和需求，那就是随着手机设备产业体系的规模成型，应用服务商、APP开发商呈井喷增长，安全威胁也开始复杂化和小众化，手机成为黑灰产牟利的重灾区。在这种情况下，各个手机厂商也都在强化以场景安全为核心的安全能力。在过去的几年间，如果一个手机厂商不考虑安全的原生优势和竞争力，已经到了难以获得持续的创新和发展的地步，这个时候安全性已经成为了手机用户的一个市场品牌和产品竞争力的核心要素。

网络安全在智能终端时代已经出现了重大的变化。如果说在信息化时代中，网络安全是信息化的外挂部分，到了智能终端产业中，它已经成为了一个内生部分。如果我们从产品生命周期来看待智能终端，就可以看到安全在整个生命周期的过程中是以不同的模式进行耦合，而且具有非持续的特点。手机厂商是一个高度依赖供应链体系的产品场景，手机厂商必须构建高质量供给的供应链生态才能保证手机品质，选择技术能力强、坚守安全厂商行为底线的第三方安全厂商也是供应链建设的关键环节。产品的初始规划阶段，更多是考虑产品对用户可用、可见、可感的场景侧、应用侧价值特性，不会在最开始重点考虑安全价值，因此也需要由高水平的能长期稳定合作的第三方安全团队参与进来，进行安全的思维和方法框架的柔性赋能；而在产品的生产体系中，则需要来自于相对可控的、确定性的能力供给，部分来自于自主研发，部分来自于第三方安全厂商的模块或中间件供给。智能手机到达用户手中后，作为一种开放式使用的设备，有频繁的用户交互使用、有高频的通讯连接需求、有大量的APP安装应用，在这个过程中就进入到了与安全威胁开放对抗的阶段。在未来的复杂局面下，安全生命周期不断延展，供应链的可靠性和安全性，包括上游开发生产场景的安全已经成为了新的安全风险点，需要对所有供应商都提出网络安全的规范要求。而在客户使用场景中，由于智能手机已经成为日常生活的中枢节点、智能家居的总控设备、办公网络的接入点和公务信息的快捷处理节点，又使它在最终的运行中几乎关乎所有人和所有机构的利益。

▲安全是数字产业持续发展的内生部分，且有非连续的特点

安天根据智能手机产品生命周期的瀑布模型，在每一个阶段提供不同的支持。在产品规划体系中，我们持续协助手机厂商的专家完成安全规划，帮助他们确定安全技术供应的分工和生态体系，协助手机厂商建立对上游供应商和APP开发者的安全规范。在生产过程中，我们依托TrustZone等内置安全芯片和移动操作系统的安全接口和特性来供应相关内核级能力模块，实现在生产制造过程中的直接ROM层面的融合。而进入到客户安全运营过程中，我们协助手机厂商实现对手机用户面对威胁态势的检测、及时发现响应安全威胁、升级检测规则和能力模块。因此，我们所实现的并不单纯只是把安全的引擎和防护内核内置到手机当中，而是依托“安天赛博超脑”威胁检测运营体系和分析团队，为检测引擎和安全内核模块提供持续的规则、情报推送，安全策略模板调整和其他提升威胁对抗能力的运营支持。我们认为安天的这些工作经验，为在5G+IoT时代做好安全能力的同步跟进提供了一种重要的路径参考。

同时安天也在深入思考，随着数字化转型的加速，智能产品在敏捷能力生成的导向下，在SecDevOps的文化与方法的变革下，必然打破经典的瀑布式的输出链路，进一步地进入到一个基于数信融合、物信融合的弹性生成的体系中。而此时安全的耦合模式和赋能方式也需要因应而变。但最关键的是，在攻击时空泛化的背景下，“关口前移”就是防御能力的时空扩展。在5G+IoT时代，想构建一个安全的未来，就更要坚持网络安全的关口前移，将网络安全防御的基础能力和防御边界延伸至每一个物联网终端设备，并将其作为网络安全弹性防线的有机组成部分，而为了保障和支撑安全的关口前移，则要做到：

● 算力前置：在智能物联网设备的架构设计之初，应为安全功能预留算力成本。与此同时，也可以考虑使用安全的专用算力芯片弥补物联网设备本身通用算力不足的问题。

● 基因沉浸：无论是物联网和智能传感器等设备，包括物联网基础设施体系建设，无论是在电气/电子层面、还是软件层面，都需要在整个规划、研发、运营阶段内持续融入安全基因。

● 原生融合：安全能力要与生产制造过程深入融合，形成出厂预置的安全能力和高水平的初始安全基线，而不单纯依赖于二次部署。

而与此同时，主管部门和行业也必须为安全能力部署建立安全行为规范，避免假借安全之名，过量采集用户隐私、精准用户对位画像、违规运营用户数据等的违规行为。避免互联网时代的乱流，在物联网时代更加泛滥。

因此在未来，安天将继续推动网络安全的“关口前移”，也将继续坚定执行安全厂商的自我行为约束规范。当前安天的安全引擎或安全内核已经覆盖近百家移动互联网与智能终端设备，与重要移动应用开发厂商，11家网络安全的同行企业，7家主要的信创产品厂商，5家重要的云厂商，形成了一套围绕威胁检测和场景防护能力展开的协作机制。我们将全面强化合作，建构一个良性的安全赋能生态。

人无远虑、必有近忧。我们还需要思考未来更长远的安全和挑战。今天5G所连接的已经是一个庞大智慧的物联网体系，并且还在迭代发展。在未来，我们可能会面临两种重大的风险：其一是随着传感采集的无所不在，我们面临的DeepFake风险已经远不是视频、声音的伪造，而是具有独立人格或目标等效人格的“数字化构造体”；其二是未来时点，脑机接口等技术有可能取得重大突破。当物联网变成了真实的“人联网”、包括人与具有“人格”的数字构造体之间的联网时，我们将面临着更大的挑战。在未来，终将有一天，随着元宇宙、脑机接口等技术的发展与深化，以及深度行为画像、DeepFake等对抗性技术的发展，网络安全威胁对人的认知和实体空间的的影响会从间接影响转化为直接影响，网络风险将向认知风险快速转化，包括直接转化为对人身安全的直接威胁。而在这样一种风险到来之前，我们更需未雨绸缪。

唯有坚持“关口前移，防患于未然”，才能为不确定的未来构建确定性的保障。

（感谢赵超、张登峰、李琦、侯方勇等对本文观点和素材的大力支持）