2024年需要关注的网络安全问题

老烦为了不蹭各种专家和资料的热度，提前对2024年需要关注的网络安全问题作一个妄想：

1. 1.  复杂业务下的级联故障

早期的业务开发是单一的，也就是说每个业务在架构之初只是为了完成单一的业务模块、功能或者业务的表示层。但是随着信息化的发展的快速的业务迭代，业务开发被平台化所替代，但是缺乏系统化架构的平台也仅仅是把各个业务像是搭积木一样强行叠加在一起，这使得以前一个故障只会让一个系统中断到任何一个故障都可能导致整个业务平台中断的问题。当这种问题继承到云平台之后，我们会发现，应用故障的级联文档带来的灾难不仅仅影响一个业务或组织，而是会把资源池乃至产生互联的整个大云平台给干掉。笔者早在2020年就提出这个问题，虽然现在为了降低故障传递开始使用微隔离的模块化搭建，但是最大的痛苦是要从基础云架构来解决这个问题，而旧的云平台该何去何从，变得扑朔迷离。

1. 2.  数据安全到底是为了合规还是保障

数据安全成为各国的一个焦点问题，从《网络安全法》到《数据安全法》《个人信息保护法》，国家从上位法开始到法规、部门规章一系列的文件在督促指引数据安全工作。但是数据安全不同于传统的网络安全工作，其更多的把业务与安全形成了精准的关联，使得数据安全防护如何避免和降低对业务的影响变得愈发重要。如果要彻底解决数据安全问题必然存在业务重构的问题，尤其是数据模型重构，这是任何一个组织都不可承受之痛。传统的产品化保障是否真能解决数据安全问题或者说只是为了合规而建立数据安全，将成为数据安全最大的难题。数据安全所带来的真正隐私保护的问题不在于保护隐私而是如何讨论隐私不被滥用以及隐私被滥用后如何降低对滥用产生的受害者影响。每一个从事互联网行业的人应该都清楚一个道理“自从有了互联网，每个人都是赤裸裸的”

1. 3.  云要对抗的不仅是攻击，还有更复杂的系统化问题

云要对抗什么？云安全到底应该做什么？云真的安全吗？实际上虚拟化技术自身的安全性这几年在逐渐强化，而云本身的复杂性技术也对基于“仅云”技术的攻击变得复杂化。然后云的安全问题从人为对抗而言存在于IaaS，PaaS和SaaS三个视角中产生，更多的时候我们可能会被针对云的攻击还原于SaaS的传统应用层攻击下。这个问题本身不应该作为云安全的范畴来更多考虑。未来云的问题除了级联故障带来的问题之外，更多的应该要关注数据安全。这几年云数据的安全问题不仅体现在数据被扒窃和勒索，更多的产生在内部人员的数据滥用。更不要奢望云平台的运维管理人员能够一丝不苟的去操作各种特权工具，误操作导致的数据风险影响要远远大于传统的物理世界。云技术重构了整个IT应用领域，将物理化的主机、网络、应用和数据全部通过文件化形成新的虚拟世界后，我们发现基础架构领域未讨论的系统化问题在虚拟化世界里面同样没有真正的讨论，这意味着我们梦想的原生安全之路从何而生。

1. 4.  智能汽车所带来的融合安全问题

第一个真正成熟的物联网产业场景-智能汽车将成为一种技术的典范。大数据、云、5G通信、多元化的近场通信、边缘计算、高性能运算、数据安全、应用安全、工业控制安全等等，几乎我们所知的每一个与网络（Cyber）有关的知识都在这里体现的淋漓尽致。智能汽车到车联网还存在一定的差距，这个差距并不是产生于技术，而是各种场景的融合，这种融合需要突破的是人的问题而不是技术手段的问题。智能汽车直接关联到人的生命安全问题，这使得每一个致力于车联网的组织和个人都不可能也不应该过于激进。车联网以智能汽车为主体所带来的技术的可靠性和可控性远大于传统安全的C.I.A。但是这也就意味着融合安全更应该从系统工程角度去综合考虑，换句时髦的话就是所谓的“安全左移”。

1. 5.  恐怖的合规问题

2024年将真正进入合规年，根据《网络安全法》要求的网络安全等级保护、《密码法》下的商用密码评估、《数据安全法》要求的数据评估、《个人信息保护法》中的个人信息评估以及《关键信息基础设施保护条例》要求的关键信息基础设施评估接踵而至。不知道与上述内容相关的组织是否感受到了一种恐惧和困局。合规对每一个组织而言真正困扰的不是检查、评估，而是如何解决合规所需要的“钱”以及合规多带来的“业务冲击”。真正合规在很多因素下很难实现，形式化合规又为被合规组织真正的安全带来一个黑洞。合规是否就是安全？合规的目的是什么？合规与产品如何形成有机体？重复再重复，矛盾接矛盾式的合规应该有一种可见的接口。这种恐怖不仅仅是组织，同样会产生于实施合规的组织和人员。

1. 6.  软件供应链安全从关注走向实践

驱动数字化的是数据，调度数据的是软件，执行软件的硬件，传输功能和数据的是通信技术。这一系列的关联我们发现，即使是通信技术也是由软件构成的协议来实现，这时候软件成为整个数字化的核心与枢纽。一句戏言“现在的软件开发只有知道GitHub，会用ChatGPT就能成为一个合格的软件工程师”。但是软件安全的问题却在真正的考量我们的数字化进程。软件安全带来的问题不仅是软件攻击还包括软件质量和软件可靠性以及弹性问题。但是我们越来越多的发现，困扰软件安全问题已经从传统代码安全问题蔓延到软件供应链问题，姑且不讨论在层层转包模式下的开发问题，开发人员，开发组织，开发管理，开发控制等等一系列的问题对于采购方而言都是一层迷雾。除此之外才是传统软件供应链中所提到的第三方组件、函数以及代码签名、代码管理和硬编码token等问题层出不穷。通用API在不断的被突破，这种突破往往会带来一场危机，使用范围越广，这种危机越严重，尤其是针对关键信息基础设施而言，这不仅仅是危机，甚至是灾难。近年来我们所看到的更多的数据安全问题同样是由这种问题所触发。虽然软件供应链安全已经从关注走向实践，但是阻碍这种实践工作的并不是技术问题，而是商务问题和其他不可言传的社会问题。

1. 7.  数字化审计带来的新难题成为数字化合规的重要阻碍

传统审计和现代审计在基础审计理论来讲没有太大区别，基本手段都一样。不同的是以传统财务审计，传统的财务凭证是物理化的，不管是票据、流水记账、单证等，但在数字化下更多的时候我们可能需要电子凭证，如：电子发票、电子账目等，那么在执行审计的时候，我们的审计对象，审计活动以及审计技术这时候就发生了相应的变化。在财务电算化之后首先要考虑的第一个问题就是如何定义和标识证据的真实性和可靠性，同时电子登录手段中产生的权限管理和访问活动以及被审对象的完整性识别随着执行手段的变化而产生变化。谁具有对系统的操作权限，谁具有特权，特权能产生的操作有哪些？在传统的记录中，纸介质中产生的任何形式的操作都可以作为书证成为第一证据；但是，在数字化里面我们可以改的没有痕迹。怎么识别特权账号是滥用还是被越权使用；对数据库的直接修改如何识别？但是呢，这时候作为审计人员带来一个问题啊，审计点在在哪里？现在我们面临的一个问题是懂审计的，不懂信息化；懂信息化的，不懂审计，最后就造成一个什么问题呢？从执行业务到操作业务环节，由于工具的变化导致产生审计黑洞。现在这个问题变得越来越突出，几乎所有的业务都是和数字化相关的。也就是说业务的表现形式不再局限于我们传统的可视化表现，更多的是非可视化的表现。所以我看不到都是逻辑化的东西，逻辑层的内容。所以在现代审计中，有关数字化应用审计，成为审计工作的一个难题。

1. 8.  数据的情报化逐渐成为现实，并且从军事化转向社会化

情报的概念最早源自于军事领域，但是情报这个概念已经从军事向商业乃至到全社会的广泛应用。社会化的情报应用由两个因素驱动，一个是数据的泛化，另外一个就是社会工程学的应用。在大数据驱动下，碎片化的数据情报化使数据的重要性从无形变成有形。随着信息化数字化的普及，个人信息/数据经过各种有意、无意的恶意采集和过量采集（各种APP后端的采集），各种场所中的扫码、电子支付、电子交易、电子业务办理以及社交平台的发布，使得数据采集本身已经不再是一个复杂的技术问题。当情报分析技术被开放后，数据的情报化带来的隐私泄露成为必然，关键的问题是基于情报视角，这些数据最终所形成的应用变得难以控制，比如：电信诈骗、商业精准推送、网络暴力等等问题最终是在利用数据的群体在决策数据的价值，而不是数据的所有者决策数据的价值。

9. 基础IT/OT学在哪里？

《三体》中曾经描述全球物理学家自杀的一个原因“基础物理学不存在了”。我们是否会考虑基础信息技术学科不存在了会怎么样？急功近利的网络安全学科和教育培训使得网络安全从业人员与基础信息技术学科越离越远。每一种安全问题的考虑都是建立在最基础的可实现技术基础之上，没有网络（Network）技术，何谈网络安全；没有裸机和操作系统（OS）何来主机安全？如果说一味的去讨论渗透、密码技术、边信道就是网络安全，那么请问，业务逻辑缺陷、故障、Bug、电力中断等等问题算不算安全问题？今年开始流行的数据安全竞赛中，有多少人理解数据，了解数据库，理解数据的调用关系，掌握数据形态与数据属性？没有基础学科的沉淀，这条路还能走多远？做网络安全的应该去理解网络通信特征与协议；做主机安全的应该理解数据结构和计算机运行基本原理；做应用安全的必然需要了解软件开发实现过程；做数据安全的应该掌握数据库技术与数据模型；逆向的基础汇编语言；密码技术需要数学基础；没有基础学科做支撑，我们只能知其然而很难知其所以然。

10. 人工智能是否会成为人工智障

到底什么是人工智能？我们要用人工智能做什么？人工智能最基本的一个要件是对数据的处理能力，这种处理首先需要定义的是符合4V（Volume(大量性)、Velocity(高速性)、Variety(多样性)、Value(价值性)）的大数据模型和强大的算法为支撑。硬件只是一个运行的平台。众所周知的大数据的决策在疫情期间被渲染的五彩斑斓，“精准防疫，精准防控”的口号更像一块遮羞布。在反电信网络诈骗下的运营商和银行反诈大数据平台难以接受的误报率更像是给人工智能打了一记狠狠的嘴巴。试想，如果数据本身的质量产生了问题；数据分析模型不能有效体现场景；数据在执行处理过程中被滥用对未来人工智能带来的影响到底有多少，这种影响对于现在流行的“大模型”所触发的负面效能会带来怎样的后果？人工智能的前途最终掌握在创造人工智能的“人”的手里。那么这个“人”是屈从于“技术”还是屈从于“利益”。

原文始发于微信公众号（老烦的草根安全观）：2024年需要关注的网络安全问题