微软邵江宁:穿越物理和数字空间的边界:万物互联时代的网络安全挑战与对策
邵江宁:尊敬的各位领导,各位专家,各位业界同行,老朋友,新朋友们,大家好!
非常荣幸在这里有这个机会跟大家进行交流,我今天交流的题目简单来说就是一个物联网的安全。微软在新的时代也在进行大量的转型,传统上大家比较熟悉的是Windows、Office等等,今天我们已经变成了一个云计算、物联网、大数据、人工智能的公司,我们也想借此机会为大家分享一下我们转型过程中对网络安全的体会。
大家都知道,这是一个非常令人激动的时代,我们从过去的互联网到物联网。在这个时代,一些规律性的东西都在发生一些大的变化,传统的摩尔定律似乎也在维系它的竞争规律,新的互联网的规律叫梅特卡夫定律,意味着传统的所谓边际递减的这样一个价值规律在万物互联的时代已经不太适用了,这是一个非常好的,让人振奋的一个时代。从万物互联的规模来看,我们面临着数据大爆炸。大家可以看到,这两天从美国的股市上,现在IT公司是一路飘红,前几名的这些千亿级市值公司,都是传统的桌面和移动互联网端的时代,在十亿级迈向百亿级的终端的数量成长起来。现在最保守的估计,2020年物联网的端都是百亿级,甚至千亿级的规模,这是一个系统的大机会,大家能不能抓住这个机会,打造一些更多的本土级的百亿级甚至是千亿级的市值,需要大家一起努力来做。
从物联网对整个社会和商业经济上创造的价值来看,大家关注到物联网加速了整个商业化、数字化转型的时代,很多商业性公司也都是拥抱了云计算、物联网、大数据、人工智能,希望利用这些新的数字化技术,能够增加自己的竞争能力,更好的服务自己的客户。但是创新本身是一个双刃剑,我们自己在好的方面,为用户创造价值方面,物联网和云计算有很多新的竞争,但是如果我们看一下新的创新技术,它是一个双刃剑,用在一些负面的地方,比如网络安全这一块,同样是产生了一些新的挑战。第一个数字我不看了,在云计算这一块,安全服务也在用很多的云计算。从平均的安全投资上看,10%的比例对于很多公司来说,从现在的基础安全投入上,大家都没有达到这个数字。如果我们为了应对物联网安全的挑战,在2020年要设置这样一个IT投入,是说为了保证物联网的安全,这是一个非常长的过程。到2020年,针对物联网的网络攻击的总量,不管从流量上还是攻击数量上,至少可以达到25%的这么一个数字,这是我们需要认真面对的一个未来的趋势。
从各种媒体上,可能大家很多是安全圈子里的,参加各种安全的会。在这种会上有很多的Demo演示或者是个人验证,可以说我们很多的技术精英们黑掉了所有的东西,没有他们不能黑的一些东西。从媒体里面,大家听到了这样一些消息,包括两个月前,美国的物联网摄像头端的攻击,也是在全球抓了很多人的眼球。
从我们看到的攻击趋势来说,攻击的复杂度在逐步上升,简直是一个直线性加速的。前面有很多专家都提到,我们现在从过去的小孩恶作剧到犯罪集团的网络攻击,上升到国家级的网络攻击,所采用的攻击手段和工具非常让人震惊,基本上是一种国家级的网络战略的能力。另外一方面,由于互联网的安全贡献的性质,包括在安全社区里面,很多攻击工具甚至是源代码可以随意获取,发动一场非常复杂的攻击并不是一件特别难的事情。所以这两个叠加在一块,就意味着我们将来的安全形势更加复杂。
我们很快的回到物联网安全的话题。互联网安全的话题大家觉得非常难,难在什么地方?我们认为它是一个系统叠加的复杂性因素。传统我们从IT圈里面,我也是大部分时间在IT圈里面,我们熟悉的是PC端、移动终端的安全,它考虑的一些安全因素和内涵是跟传统的我们所谓的作业技术、OT或者是运维技术,传统的移动通讯网络这一块是完全不同的两个概念。今天物联网整个的技术平台是把端、管道和后面的云计算平台打通了,很多复杂的因素在一块,是一个复杂的大系统。
我们需要传统IT的专家和传统的运维作业技术的专家,或者是自控技术的专家互相能够借鉴,互相能够融合在一块,共同应对这样的安全挑战。有这样一个物联网的安全视角,在这里展现了IT工程师和互联网安全工程师或者是自控工程师安全视角不一样,OT的工程师来讲,关注了跟多的物理安全、可靠性等等很多的因素,两个视角是完全不一样的。我们观察到的最主要的突破是物理和信息系统的融合,过去我们通过对物理世界的这种衡量和度量来了解这个物理世界。从物理到信息的这么一个大的方向。今天过渡到万物互联时代,是一个融合,我们是通过信息系统对于物理世界数据的采集、建模,现在数据的大爆炸,使得我们有了充分的数据,使得我们能够有一个比较完整的运营设施的模型,有这样一个数字式的双胞胎的模型去观察物理世界。最终通过这个数字模型控制这个物理世界,跨越了传统的网络安全和物理安全的边界。IT的系统遭受攻击,过去的情况下,如果你是一个企业IT的管理人员,最多的是数据损失了,最坏的情况把系统格掉,用备份的数据重新恢复。在今天的万物互联时代,如果整个国家基础设施、物联网的环境被攻击了,从国民经济和社会生活各个方面都会出现一个非常大的紊乱。过去几周发生的WannaCry病毒,就是一个很大的印证的例子。
从复杂度的角度来说,是各种安全因素的叠加。从方法论的角度上来说,我们从物联网的安全,如果要考虑一个非常大的群体的话,大家需要从基础的安全工作做起,把安全的基因,把安全的基础要素在设计产品,在构造产品的时候就需要考虑进去,而且要考虑后续的安全运维的工作。还有在供应链安全上,后面我都会有些详细的细节。物联网不是一个人或者是一个厂家的独角戏,是整个生态系统,需要大家的通力合作。
我在这里提出一个可信赖物联网的概念。就是我们要保证物联网万物互联的这个新的技术,能够为社会,为人类去造福,我们就需要突破这种信任的边界,信任不是一个很简单的定义,后续我也会有更深刻的总结,信任包含很多要素,仅仅是安全不等于用户会使用你的产品和服务。在物联网的环境里面,我们提到是一个大的生态系统,有很多的供应链体系,有很多关键的利益方。上周在上海的亚洲电子消费展览上,我跟一个供应商做交流,他提到一个问题。说你们为什么不能在物联网的时代简单推一个终端的认证?我说终端的认证不能解决所有的问题,因为终端的认证非常容易,但是你终端后面服务所有的供应商、网络运营商、云计算的服务商、应用平台供应商等等,这些叠加在一块,不是一个简单的认证能解决的,不是一个设备端认证能够解决的问题。所以这些安全的关键利益方都需要承担他自己的责任,他是一个责任共担的模式。
我们基于这种生态系统供应链的整个链条,需要一个整体化的安全战略。我们需要把这个安全整个的方法论从产品最初的概念设计到后面发布以后,客户购买以后,在服务过程中,所有的链条里面都需要考虑进去。这是微软一直在遵守的一个基本的原则,就是我们要打造安全的基因。我们最早的时候通过可行计算发布了一个标准叫SDL,软件开发生命周期模型。今天它已经是一个国际标准,有很多业界的同行,包括华为等都在使用这样一些新的标准来开发他的软件。SDL主要的理论是需要把安全的要素设计到产品里面,而不是说等产品发布以后采用安全增强或者是安全加固的技术去把它重构起来。你加很多的锁,即使是一个非常坚固的锁,如果房子本身不坚固的话不能解决安全问题,所以SDL是一个全面的理论。SDL里面一个关键的理论就是威胁建模,我们要在一个新的架构里面采用大系统的复杂方式,去理解我们在物联网设备的不同阶段,不同生命周期的不同阶段面临的网络威胁。威胁建模现在已经在很多的国际标准里面被提升进去了,大家所实施的通用准则里面,就是大量的关于威胁建模的这样一些要求。我知道国内很多厂商也在非常热衷于进行认证,很多都是得到了这个认证。要得到这个认证,首先要有一个完整的威胁建模的过程。
威胁建模整个逻辑架构这里有一个演示流程,关注于主要不同环节的威胁。简单总结一下,我这边是六类威胁的典型代表,其实实际的威胁子类还会更多。威胁建模有完整的过程,也有非常好的一些工具,包括微软其实在我们的网站上已经免费提供了很多威胁建模的工具。如果大家用Windows Studio的话,一般都有完整的威胁建模的工具。如果要做威胁建模的话,必须在所有的界面,云端、中间管道端和设备端,这些界面的地方都必须有非常清楚的威胁描述,需要把你的敌人找清楚。你要做这个威胁建模,还必须有一个完整的物联网参考的架构。我这个PPT是自己画的,不太擅长做漂亮的PPT,所以有点丑,大家可以看到整个的逻辑关系其实也比较明确,这是设备端、中间的网络端,后面的应用端,或者是一些洞察端。
有了这个逻辑结构以后,我就可以做一些风险域的分析,这些工作都需要从基础做起,没有什么特别复杂的东西,需要把这些基础的工作能够做好,把这个边界划清楚,把风险界面划清楚。在谈到物联网的时候,其实我们还是要把注意力放在端上,因为端是源头。我们从IDC的调查上也看到,设备端的安全挑战比较严重,很多设备端的安全缺陷比较明显,基础的工作没有做好。为什么设备端的安全非常重要?因为物联网我们讲它不是一个单个的设备,是整个的链条。所有的通讯和数据其实是从端开始的,如果我们的端没做好,即使是按照我们现在讲的5G的一些标准,5G的标准里面提出了很多新的安全的理论和模型,5G里面其中谈到,如果采用公共密钥的这样一个结构,把数据从端开始进行强加密,不在乎这个数据流过的中间的管道是多么脏,其实都能保证这个数据端,从基础密码的算法这一块保障它的安全。但是如果我在物联网端这一块没有做到安全,仅仅考虑中间的加密是不能解决问题的,只是一个通道的加密,不能从源头上去控制,它是一个干净的管道,但是流进去的水是脏的。我还要特别关注这个边界,边界比较复杂,在物联网的这个边界里面,前面我们在划分的时候其实这个边界非常复杂。
信任是提到可行性计算,在国际上也是一个热点,国内可行性计算2.0也是全球的标准,很多全球化的公司都在用,一些基础概念其实还是代表全球比较大的趋势。怎么去验证这个设备,怎么进行密钥端的保护,怎么利用这种基于硬件的安全模块去生成密钥,很好的保护密钥,是一个非常强有力的技术。今天如果我们看互联网端很多的安全工具,可以看到这个趋势,对于终端的攻击现在已经慢慢过渡到硬件界面了。我们也看到很多针对硬件界面的攻击,都是争夺端的控制权。
物联网设备端的挑战非常大,一方面是端这一块由于传统的一些原因,我们跨越的维度比较大,后面我会有一张PPT专门讲这个,我们会有几分钱的设备,也有几百块、上千块的设备。每一种设备的投入不一样,所具备的能力也不一样,能够部署的安全措施也不一样。这样很多便宜端的传感器,其实是物联网的一个薄弱环节,是一个互联的世界,我怎么去对付。我们有很多的模拟技术的平台,如果大家都很好的做升级,不做投资的保护,我们很多设备就不会有这样的问题。但是现实世界当中,设备的保护是很大的问题,还有很多不安全的平台。我们今天讲很多轻平台,或者是微平台,平台本身都不具备很多基本的安全属性。我们知道一些新的芯片级,不管是ARM平台还是英特尔平台,还是高端平台,其实都强调从芯片级开始,把一些基础的安全属性做进去。我们还考虑设备的规模,我们知道,在今天的桌面网络或者是移动端的网络,面临的设备规模最大的可能是几万、几百万。如果我们是面临着几百万,甚至是几千万,甚至是上亿的设备端的这么一个大的网络,我们怎么去管理?就好比说这个房子里面站了很多的士兵,我们如果按照军队的这种口令去喊一声到的话,那种在整个屋子里造成的回响会非常大。同样我们用传统的架构管理物联网端,如果是实时的大的物联网系统的话,我即使要很好的跟所有的端保持通讯,很多传统的架构从承载上都不能处理,可能这些系统简单的骗一下后面的管理终端,都是一个DDoS的风暴式攻击。
IoT能力受限的设备,从成本上来说,计算能力和内存这一块,从1美元到100美金的数量级,有很多设备其实是从安全上基本上不合格。再举一个例子,今天如果大家有机会去一趟深圳华强北,华强北的厂商大家可以猜猜是多少钱?我买的是39块钱,这是零售价,批发价值可能更低。我们在打造一个安全可信的IoT的时候,首先要选择一个安全可信的大平台。刚才讲到IoT的挑战,很多企业都在做这样一个创业。但是你所说的几个、几十个,上百个那叫创客,是工程原形,到企业级才是上万级的级别,到消费者的层面,可能是几百万、上亿的级别。连接的设备数直接导致了数据的大爆炸,整个网络的承载能力是不是能够承载这么大的数量?这个也导致IoT的整个架构推动着做了很多的演进。过去传统的是云管端,就是数据发到云端上,现在真实的世界数据大爆炸,提出了很多边缘的计算,就是现在的数据不一定要传到后台,可能是设备中间的网关上就处理掉了。
我们还提到供应链安全的问题,国内的专家对于这一块非常关心。但是从消费者的角度上来说,其实我们也应该非常关心。这个设备从它的生命周期上,如果装到你的身体里面,是一个医疗的心脏起搏的一种传感器,必须关注在整个生命周期里面是否能够提供后续的支持服务。
基于硬件的信任,这个信任从端上来说是必须要做的。如果你没有这个硬件级别的信任的话,整个管道的加密是不够的。但是现在很多厂商认为,尤其是OEM端的设备,国内很多做可穿戴式的这样一些厂商,那个设备只卖几十,甚至是几百块钱,你很难想像他在端这一块做了很多的安全工作。Windows10我们基于硬件的信用做了很多的尝试,主要的成果就是TPM,不管国内的机构和专家对TPM有什么样的不同意见,但是TPM从一种架构和概念上来说是一种非常大的突破,也是最早实现商业化的结构。
IoT的安全场景非常多,我这里举了典型的场景,防身份篡改和密钥存储,每家芯片厂商都有不同的方案,怎么取得认证,在互联网端和各个环节。还有就是可信执行,这一块可能大家比较熟悉的是PC端和移动端的可信执行和可信引导。在物联网的端怎么做到?是不是有更多的这样一些厂家有这样突破性的技术去推动这种可行性执行?IoT本身的这个端就要求具备很多设备的数据遥测能力,遥测的过程中,其实也会发挥很多健康的数据。通过这种数据和日志的分析,其实能够去分析它的威胁。IoT本身是一个非常大的生态系统,我们需要构建一个多层的防御,需要对IoT的整个链条提供一个灵活的变更控制的能力,后续我会有更详细的介绍。这边的数据安全在遥测这一块,一些比较大的平台,比如IOT Call的平台做了很好的开发。
从竞争策略上来说,打一枪换一个地方,可能市场上发布一个设备,两年之后没了。从这个角度上来说,怎么保证供应链的安全。还有一些IoT的厂商,基本上把这个设备做出来以后就没有留界面,里面的部件是写死的。这个比较典型的体现在上一次美国第一次影响比较大的物联网的攻击,我们国家很多OEM厂商做的摄像头根本没有留升级的接口,你想做升级也做不了。这是微软做的一个软件组件漏洞分析的工具,常见的物联网的设备,从零部件第三方的组件上数目是惊人的。作为一个物联网的终端厂商,如果我们没有能力去追踪里面部件的安全性的话,这是一个很大的问题。供应链很多中间的环节厂商消失了,你怎么获得后续的技术支持?是不是意味着你团队或者公司里面所有的部件都需要自己去开发?需要建立一个非常强大的传统安全响应团队?是不是需要建立自己的一个网络威胁的情报库?随时追踪各种各样的漏洞信息。这样的话,才能为最后的用户负责。特别强调一下,物联网对用户最后的影响非常大,将来所承担的责任绝对不是一个信息安全的责任,会是其他更严肃的一个责任。如果你不对你的产品负责的话,将来会是一个大的问题。
特别强调的是,IoT的设备需要做固件的管理,我这里举了一个非常荒唐的例子,就是假设你的电梯有升级的要求,不管今天我们是在Android平台还是Windows平台,你升级的时候,重启的时候可以想像那个重启的样子,你在电梯里面Hold住了重启。后续的升级服务,怎么去支持这个固件的升级?是用户自己远程连接升级固件?还是你提供售后服务支持的战略?历史传统很多现在归类到IoT厂商没有考虑到固件升级,这边还有一个例子,很多做传统厨房家电,电饭煲的厂商。过去电饭煲坏了以后搬到维修点去,把这个设备焊一焊或者换一换。今天可以想像,这个电饭煲具备物联网的功能,要做固件升级,可能到一个维修站点上,需要维修工做升级,这是多么有意思的一件事情?
微软在打造IoT整个战略的时候,其实我们的定位非常清楚,我们是打造了一个平台战略。我们是提供一个基础的平台,不是做所有的东西。我们提供的这个平台供物联网的生态系统伙伴去打造各种应用的场景,所以从这个意义上来说,我们是瞄准了,还是云管端三个不同的部位,把基础安全能够做好。
这是我们IoT基于Azure服务套件的逻辑功能,最基础的是一个安全的功能。我们的IoT物联网的安全保护栈有非常清楚的定义,设备保护、威胁防御、流动数据保护、云安全、安全响应,整个过程都有一个完整的体系和方法论。讲物联网的时候大家喜欢讲物联网的安全架构设计,安全架构设计其实也都是针对问题解决问题。连接前的安全,就是端和后面的管道,还有后面的云计算的平台怎么进行连接,这样有一些安全的考量,连接的一些方向和策略,都必须做非常认真的考虑。
特别还要点一下,就是服务辅助的这么一个概念。大家如果经历过通讯系统,从2G到3G到4G的演化,大家可能有这个体会。当初的时候,在2G、3G的时候,其实很多IT做基础网络协议的时候没有考虑安全,后面怎么考虑管道通信的安全?就加了很多网关。通过网关完成了安全的分装和认证的功能,其实服务辅助也是同样的概念。在物联网要处理很多新的设备,还要处理很多遗留的设备。遗留的设备基本上由于终端能力的限制,不具备基础的安全能力,怎么去做?必须采用一种服务辅助的方式,通过网关的这样一个形式去解决。这边是一个服务辅助通信整个的逻辑架构,在不同链条的地方需要解决不同的问题,需要加一些新的网关。由于时间的关系,我就不详细介绍了。
讲到云计算的安全,云计算的安全是一种服务模式,不是一种产品开发就甩包的这样一种方式,需要有一种具备动态对抗的能力,从防护、探测和响应这一块,要有自己安全的团队,要有安全基础的能力,要能够进行基础对抗。微软是全球在商业公司里面被攻击最多的公司,政府领域内被攻击最多的公司是美国的国防部,我们是商业公司里面被攻击最多的公司。这种天长日久的攻防对抗培养了我们自己的安全团队,培养了我们自己的攻防动态对抗的能力。我们讲IoT防御,必须在云、管、端这三个方面都要做一个完整的防护,是一个深度防护的策略。瞄准不同的安全因素,去进行有针对性的防护。
微软在可信赖方面的基本概念。前面我们讲了物联网的基础结构,物联网面临的挑战,我们会总结一下微软在可信方面的认识。我们认为可信高于安全,可信的第一个要素是安全,第二个要素是隐私,第三个要素是合规,第四个要素是透明。安全这一块我们考虑物理的安全,比如云计算数据中心、物理安全等等,我们也要考虑整个系统的逻辑安全,既考虑数据安全,也考虑应用安全,还要考虑后面其他的一些安全。包括我们进化到人工智能阶段,也要考虑到算法的安全,算法的责任、设计和透明等等。隐私方面,在物联网阶段里面,我们都知道物联网需要跟人进行相互的交互,需要感知人很多的一些隐私的数据,我们也必须做好隐私的保护。隐私这一块我们强调几条,第一个是隐私设计,隐私作为一种数据的属性,我们必须在产品设计阶段就把隐私的一些属性考虑进去;第二是隐私的合规和保护,在产品发布以后,我们怎么去按照监管法律法规的要求做好隐私的保护;第三是合规,郭总工讲关于关键信息基础设施保护这一块,最重要的就是合规,要满足基本的要求;第四是透明,有三个层面,包括技术透明,我们国家需要安全可控的技术。从可控性来说,微软在中国建立了技术透明中心,我们把Windows10的产品代码、语音代码都放在这个技术放在里面进行检查,甚至可以在里面进行重构。服务透明,我们前面反复讲到物联网是一种服务模式,服务模式就意味着有一种服务等级协议,我承诺的这种服务等级和用户最后感受的服务等级是不是会有偏差?如果有偏差怎么办?是不是有一些可度量的指标去检阅?微软在我们的平台上推出了很多公开的服务,用户可以实时检测云计算的资源可能性是多少。数据透明体现在物联网端里面,在物联网整个大的体系里,从端到管道和云端,用户希望了解数据存储在什么位置,被谁访问了。我们在整个平台上提供了全程可追溯的日志,用户可以随时检查。当然透明还包括我们前面讲的算法的透明,算法的公平性等等,这些都是在人工智能时代需要考虑的很多的复杂因素。
我们也强调安全是一个共同的责任,前面包括几位领导,还有郭总工也提到,我们要应对新时代的网络安全,不是单个厂商和单个个人需要做的工作,我们需要政府和企业之间的合作,需要安全的生态系统厂商之间的合作,还有我们需要整个用户打造一个安全的意识,在万物互联的时代里面培养一个非常好的网络卫生的习惯,来共同应对全球化的物联网安全的大挑战。
我们在物联网的平台上也是一个很开放灵活的平台,我们很多的开发工具都是跨平台的,不仅仅是局限在Windows平台,可以跨Linux、OS很多的平台,一次开发可以多个平台发布。我们从创新的角度上来说,任何的产品技术都不是完美的,希望通过一个快速迭代的过程不停的完善我们的平台和技术。
最后我们也想给大家分享和汇报一下,微软在进入中国前30年,跟中国信息化建设是同步走的这么一个过程。前几十年可能由于国内的技术水平和人才水平的差异性,可能很多都是国外的产品和公司都把中国作为一个消费市场。近20年,国内的技术水平和人才的能力有很大的提升,微软也在调整自己的战略。我们把过去的合作模式变成共同来进行合作创新的这样一种模式。我们也跟很多国内的知名企业和合作伙伴建立了非常密切的合作关系。2015年9月份,习近平主席到了微软总部访问,对微软前20多年在中国的信息化建设的贡献做了充分的肯定,也希望微软能够更加深化在中国的合作创新,能够帮助中国打造网络强国,微软也有信心来跟各位在座的伙伴和同行进行更深入的合作。
我就介绍到这里,谢谢大家!
相关文章
- 5条评论
- 鸠骨将离2022-06-03 09:20:13
- 是一种非常大的突破,也是最早实现商业化的结构。IoT的安全场景非常多,我这里举了典型的场景,防身份篡改和密钥存储,每家芯片厂商都有不同的方案,怎么取得认证,在互联网端和各个环节。还有就是可信执行,这一块可能大家比较熟悉的是PC端和移动端的可信执行和可信引导
- 笙沉望笑2022-06-03 13:43:16
- 个认证,首先要有一个完整的威胁建模的过程。威胁建模整个逻辑架构这里有一个演示流程,关注于主要不同环节的威胁。简单总结一下,我这边是六类威胁的典型代表,其实实际的威胁子类还会更多。威胁建模有完整的过程,也有非常好的一些工具,包括微软其实在我们的网站上已
- 痛言野侃2022-06-03 11:19:08
- 工作能够做好,把这个边界划清楚,把风险界面划清楚。在谈到物联网的时候,其实我们还是要把注意力放在端上,因为端是源头。我们从IDC的调查上也看到,设备端的安全挑战比较严重,很多设备端的安全缺陷比较明显,基础的工作没有做好。为什么设
- 莣萳绾痞2022-06-03 09:08:47
- 后面我都会有些详细的细节。物联网不是一个人或者是一个厂家的独角戏,是整个生态系统,需要大家的通力合作。我在这里提出一个可信赖物联网的概念。就是我们要保证物联网万物互联的这个新的技术,能够为社会
- 孤央神择2022-06-03 07:44:18
- 全的问题,国内的专家对于这一块非常关心。但是从消费者的角度上来说,其实我们也应该非常关心。这个设备从它的生命周期上,如果装到你的身体里面,是一个医疗的心脏起搏的一