活动现场
9月11日,作为2024年成都市国家网络安全宣传周暨CCS系列技术交流活动的重要活动之一,“国家漏洞库网络安全漏洞治理产业协同创新研讨活动”在成都高新区举行。来自政府部门、安全部门、信创企业以及高校科研构的近200名代表参加会议。
该研讨活动聚焦AI与网络安全漏洞治理,旨在搭建政、产、学、研共同参与的平台,促进产业协同与技术创新。活动现场,行业专家探讨漏洞治理,分享完善治理体系建议,多家企业负责人分享漏洞管理经验,交流智能化治理技术的探索心得。
活动现场
人才告急,加速建设网络安全专业人才队伍
网络安全漏洞的综合治理,是国家网络安全管理的一项战略性、基础性工程。研讨会上,中国工程院院士黄殿中在发言中分享了关于网络安全漏洞综合治理的思考。
他谈到,网络安全漏洞是网络空间安全的一个独特影响因素。它因技术而生、随网络而长,具有非传统安全的特点。这些特点包括产生机理的不确定性、传播使用的不规范性、安全效用的不对称性以及管理方式的不统一性。网络安全漏洞的影响范围之广、程度之深,是其他网络资源难以比拟的。
当下,世界强国均将安全漏洞的管控能力作为抢占网络安全的制高点、维护国家安全新疆域的重要事项。对比我国与西方国家目前在该领域的发展态势,黄殿中认为,我国起步较晚,但在资源管理、应用和统筹协调能力方面仍有提升空间。
黄殿中
如何快跑追上?黄殿中提出了夯实顶层设计、优化治理机制、聚焦和激发人才三方面建议。其中,他重点谈到了网络安全人才队伍的建设。
教育部《网络安全人才实战能力白皮书》数据显示,我国每年网络安全人才培养规模仅为3万,到2027年,我国网络安全人员缺口将达327万。
除了专业人才的缺乏外,聚焦当下现状来看,相当数量企业的网络安全人才是“半路出家”,网络安全专业背景的比例相对较低。在这一大背景下,网络安全战略科学家和领军人才难免稀缺。同时,在人才培养环境上,缺乏体系化的培养模态架构。这严重制约了我国网络安全整体水平前进的步伐,也会影响网络安全人才队伍发展的可持续性。
“要想方设法激活人才活力。”针对网络安全人才供需不足的矛盾,黄殿中在分享中谈到,一方面要通过多元化的激励方式聚集我国网络安全漏洞领域的顶级专家资源,并重视在漏洞分析和漏洞利用领域具备专长的人才资源;另一方面,要在产教融合链条上多下功夫,扩大和产业领军企业、高校科研院所、培训机构等部门之间的合作,通过项目扶持、定向培养等方式支持网络安全应用相关专业的教育与基础研究,不断充实人才库。
大势所趋,网络安全漏洞综合治理向更“智能”迈进
在当下的“科技树”中,人工智能是一大热点。而谈到网络安全治理,人工智能的挑战与机遇更是绕不开。在当天的讲座中,“人工智能+网络安全”被嘉宾数次提及,成为“高频词”。
当前,随着5G、大数据、云计算、深度学习等新技术不断发展并广泛应用,带来了诸多新型安全防护挑战,而人工智能在威胁识别、告警研判、态势感知、风险评估、恶意检测、安全运营等方面具有独特价值和先天优势。因此在“技术红利”加速释放之际,安全问题也愈发凸显,安全防护需求急剧增加,而利用人工智能技术为网络安全领域“护航”成为大势所趋。
鲁辉
广州大学网络空间先进技术研究院院长鲁辉一针见血地指出,传统漏洞治理方案存在着漏洞发现智能度不高、漏洞跟踪覆盖面不广等短板。在他看来,漏洞的收集和发现是漏洞治理的基础,漏洞跟踪是漏洞治理的关键环节。目前,针对复杂软件漏洞挖掘的自动化程度较低,仍然高度依赖安全人员的经验。因此,挖掘复杂漏洞需要从“自动化”向“智能化”迈进。
他以攻防对抗背景下的漏洞治理实践与探索为例,分享了网络攻防知识图谱智能化这一解决方案,给漏洞综合治理带来的进步。
他介绍道,知识图谱攻击代码在数据采集和构建自动攻防知识图谱方面,收集近5年针对操作系统、重要软件和远程攻击代码,并覆盖近5年内95%的所有有效攻击方法。这些攻防信息可为指导自动化网络攻防过程提供信息支撑,从而快速有效地挖掘系统中已知的漏洞,并发掘潜在的未知漏洞。
攻防作为安全世界的通用技术,可以说是贯穿在不同技术发展阶段中。在PC时代,攻防的重点是病毒检测;到了网络时代,网络边界、流量安全就是攻防之战的“护城河”;云时代下,则是检测响应体系。而万变不离其宗的是,不管何种技术形式的攻防,其核心和源头都是漏洞。基于漏洞治理,北京赛博昆仑科技有限公司产品负责人孙世斌带来了《人工智能背景下漏洞闭环管理》的思考。
人工智能和人类在漏洞综合治理中如何“分工”?在孙世斌看来,优秀的漏洞研究员非常稀少,挖掘漏洞虽然技术简单,但过程单调且重复。他说到,一名漏洞研究员需要具备高度的直觉和经验,这是目前人工智能难以替代的。
“但可以让机器去做重复的事情,让研究员去做更复杂和具有创新性的事情。”他在分享中谈到了借助于人工智能开发的昆仑·Fuzz漏洞挖掘系统。据介绍,这一解决方案可实现漏洞的自动化挖掘,从而利用人工智能技术进行工程化和产品化尝试,以提高漏洞管理的效率。
杨诏钧
此外,麒麟软件有限公司首席安全官杨诏钧,北京华顺信安信息技术有限公司创始人、董事长赵武分别围绕《探索利用AI打造智能化漏洞治理关键技术》《多智能体驱动的PoC编写技术新思路》等主题,从不同视角进行了交流分享。
中国信息安全监测中心漏洞库管理处处长任望以《完善国家信息安全漏洞库支撑单位机制系列新举措》为题进行分享。任望表示,在过去的一年里,漏洞库在用户单位、技术专家和“白帽子”等多方共同努力下,已经在漏洞的采集、汇聚、评估、共享以及运营操作等方面取得了显著的进步。在未来工作中,国家漏洞库将继续推动构建国家漏洞治理生态。
活动最后,主办方对入选国家信息安全漏洞库核心技术支撑试点单位的10家企业、国家信息安全漏洞库优秀漏洞管理企业的14家企业以及2024年度(第一期)国家信息安全漏洞库漏洞奖励的8家企业,分别进行了颁奖及嘉奖。
文图:郑其
编辑:向策
