7月13日,2022北京网络安全大会(以下简称“BCS”)在京召开。作为国内顶尖的网络安全领域会议,一年一度的BCS早已成为北京重要的战略窗口与科技名片,今年的大会,采用XR直播形式，与全球智库学者、网络安全行业领袖、顶级技术专家在云端共同探讨最前沿的网络安全问题,分享最新的技术动向和成果。

数字安全的基础设施用漏洞来驱动量化安全

“量化”与“可测量”是人类在科学探索过程中一个非常重要的工具。具体到网络安全领域,“量化安全”并非新概念,美国安全战略公司MITRE在将近20年前,就已经提出“可测量安全”的概念,并提出了枚举、语言、库等用于量化测量安全的工具。

截至目前,“安全”仍然停留在“定性”的阶段,而“定性”只是“定量”的前提,如何“定量”,目前仍然缺乏标准。这关系到在攻防演练、渗透测试,以及真实的黑客攻击中,安全架构是否被攻破,能否被用于判断其价值等实际问题。

制定“定量标准”，首先要统一衡量尺度,要有很强的可比性。在这个问题上,漏洞无疑是非常好的“一般等价物”,可用于评估基础设施,作为标准化量化的衡量工具。漏洞是攻防的起点,也是贯穿整个攻击链始终的核心突破点。

另外，应制定更科学的方法,评估漏洞和攻击的量化标准,衡量整体安全效果。目前,业界已有一些厂家提出了类似观点,并做出了一些尝试。如Google Project Zero的 0DAY In the wild项目,会收集全球范围内被使用的0DAY漏洞,通过深度分析,告诉大家如何评估安全程度。而ATT&CK等公司,以及一些攻防演练如Pwn Games等,也在从“量化”角度衡量攻击、防守的实践效果。但是,目前的这些尝试仍然存在局限性,如Project Zero更专注0DAY漏洞,而对于NDAY漏洞等其他安全威胁很难覆盖。ATT&CK则更多关注攻击后期,对于漏洞的起点和突破点比较忽视。而攻防演练和Pwn比赛,可归类为实战型验证方式,对于推进安全生态帮助很大,但更多是短时间单侧攻防,并不代表未来的长期状态。安全,重在日常,很多高级攻击往往会持续进行,业界仍然需要更加持久化、常态化评测的手段。

安全界需要“量化”标准,把技术实力转化为更可量化的安全价值，

安全界需要“量化”标准,把技术实力转化为更可量化的安全价值，打造更为普适性的测量标准,以综合评估漏洞的利用难度、攻击危害,提升整体网络安全的效果。

相关推荐：

2022北京网络安全大会（BCS）7月13日启幕