比特红人馆|新思科技:如何应对新基建背景下

 新闻资讯     |      2020-04-23 11:30

3月4日,中央政治局常委会提出加快新型基础设施建设进度。相比于传统基建,新基建更强调5G、物联网、人工智能、工业互联网等信息化技术,而这些都是面向未来的硬核科技。其中,5G作为未来万物互联的关键基础设施更是被多次提及。

与此同时,全国各地5G基站建设如火如荼,数据显示,截至2月底,全国建设开通5G基站16.4万个,预计2020年底全国5G基站数将超过60万个。

然而,随着5G商用进度的不断加快,网络安全隐患也随之而来。3月24日,工业和信息化部发布的《关于推动5G加快发展的通知》提出,要全力推进5G网络建设、应用推广、技术发展和安全保障,充分发挥5G新型基础设施的规模效应和带动作用,支撑经济高质量发展。在着力构建5G安全保障体系方面,《通知》要求加强5G网络基础设施安全保障、强化5G网络数据安全保护、培育5G网络安全产业生态。

近日,比特网邀请到来自新思科技的三位嘉宾:新思科技软件质量与安全部门高级安全架构师杨国梁、新思科技高级安全策略师Jonathan Knudsen 、新思科技高级解决方案架构师Dennis Kengo Oka,就新基建所带来的机会和挑战、5G网络安全风险与应对策略、5G时代的物联网安全,以及新思科技在自动驾驶等领域的发展战略展开了探讨。

“新基建”成为了当前最为火爆的新词汇,几乎所有的企业都将目光聚焦在“新基建”上面。

当问到新思科技是如何看待新基建所带来的机会和挑战时,新思科技软件质量与安全部门高级安全架构师杨国梁回答道,“5G基站是5G网络的核心设备,加快5G新型基础设施建设已经成为中国2020年的“关键词”之一,整个产业链有望迎来巨大的机遇。除了进一步加大建设力度,工信部也特别强调了5G网络建设的安全保障。5G安全需要考虑多个层面,包括由终端和网络组成的5G网络本身通信安全,以及5G网络承载的上层应用安全。在设计之初,就应该充分考虑网络的可靠性和安全性,安全架构才能日臻完善。”

2020年不仅是新基建元年,同时也是5G网络建设的关键之年。面对与日增长的5G应用场景,越来越多的人开始关注5G时代下的网络安全问题。

“5G的关键词是‘更’,更快的速度、更大的容量、更多的设备,但也会带来更多的攻击面和更高的攻击风险”,新思科技高级安全策略师Jonathan Knudsen说道,“模糊测试是一种安全测试技术,对于5G网络安全来说至关重要。通过向软件提供故意格式错误的输入来执行模糊测试,可以查看是否会触发某种故障。”

据他介绍,“对于无处不在的5G网络组件来说,其重要性和对网络协议群的依赖使得模糊测试成为一种强大而重要的解决方案,以处理当今和未来的网络安全性。为了更好的为5G网络组件的发展和部署做好准备,新思科技创建了一组专门为5G网络协议设计的测试套件。这使得网络设备制造商和网络运营商都能对5G网络组件执行复杂的模糊测试,最终带来一个更加安全的网络环境。”

5G带给人们的不仅是网络速度的大幅提升,它的最大价值还体现在对各个垂直行业的影响上,其中影响最大的要数物联网产业。那么,在5G时代下,物联网的发展将面临的安全问题呢?

Jonathan Knudsen认为,“更多的物联网设备意味着更多的地方易受攻击。在购买任何软件产品之前,买家需要确保供应商可以描述安全的开发生命周期,列出所执行的安全测试的类型以及提供任何相关证明文件。设备制造商和其他软件开发人员必须遵循安全的开发生命周期,这就必须要包括自动化的安全测试。目的是在产品发布之前尽可能发现和修复更多的漏洞。”

值得一提的是,5G所具有的大宽带、低时延、高可靠等优势,也将助推自动驾驶的发展。在采访最后,新思科技高级解决方案架构师Dennis Kengo Oka透露了新思科技在自动驾驶领域的布局和战略规划。他表示,“新思科技在汽车行业已经非常活跃,并且广泛涉足在OEMs、一级和二级供应商所使用的产品和解决方案方面。这些解决方案帮助汽车企业更快地开发安全、高质量的软件。考虑到即将到来的网络安全工程标准ISO/SAE 21434,新思科技提供多种解决方案来帮助汽车企业高效及有效地处理在新标准中定义的活动。”

比特网:2020年将是5G网络建设的加速之年,而国家政策大力支持发展5G等新基建。可以肯定的是,5G将迎来爆发式发展。新思科技认为,5G将带来哪些新挑战?对于企业有哪些建议?

Jonathan Knudsen:5G的关键词是“更”,更快的速度、更大的容量、更多的设备,但也会带来更多的攻击面和更高的攻击风险。

5G通信网络既是攻击者的诱人目标,也是非常容易滋生软件漏洞的沃土。正因如此,我们必须高度关注软件安全。安全对于任何构建和使用软件的人来说都非常重要,但是通信网络的关键属性以及其展现的广泛的攻击面意味着供应商和运营商都必须倍加小心。

比特网:5G技术的突破,影响最大的便是物联网产业。物联网发展面临的安全问题有哪些?有何应对策略?

Jonathan Knudsen:更多的IoT设备意味着更多的地方易受攻击。购买和使用IoT设备或其他网络端点的企业必须要求其供应商提供一个更高的安全标准。特别是在购买任何软件产品之前,买家需要确保供应商可以描述安全的开发生命周期,列出所执行的安全测试的类型以及提供任何相关证明文件。这可以帮助买家对产品做一个风险决定。

设备制造商和其他软件开发人员必须遵循安全的开发生命周期,这就必须要包括自动化的安全测试。目的是在产品发布之前尽可能发现和修复更多的漏洞。除此之外,必须采用低摩擦、安全的更新机制,以便在该领域有效地修复新发现的漏洞。

Jonathan Knudsen:模糊测试是一种安全测试技术,对于5G网络安全来说至关重要。通过向软件提供故意格式错误的输入来执行模糊测试,以查看是否可以触发某种故障。这是一种测试零日漏洞的方法,比较受攻击者欢迎。与其他的安全测试方法一样,模糊测试应该在产品开发过程中执行,作为安全开发生命周期的一部分。它是帮助产品开发人员在产品发布前发现和修复更多漏洞的方工具之一。

新思科技通过其Defensics模糊测试解决方案在网络协议模糊测试方面拥有深厚的专业知识,该解决方案长期以来一直被用于包括4G和LTE网络基础设施在内的各种网络和通信设置中。5G网络组件无处不在,其重要性和对网络协议群的依赖使得模糊测试成为一种强大而重要的解决方案,以处理当今和未来的网络安全性。

为了为5G网络组件的发展和部署做好准备,新思科技创建了一组专门为5G网络协议设计的测试套件。这使得网络设备制造商和网络运营商都能对5G网络组件执行复杂的模糊测试,最终为我们大家带来一个更加安全的网络环境。

杨国梁:5G基站是5G网络的核心设备,加快5G新型基础设施建设已经成为中国2020年的“关键词”之一,整个产业链有望迎来巨大的机遇。除了进一步加大建设力度,工业和信息化部也特别强调了5G网络建设的安全保障。

5G安全需要考虑多个层面,包括由终端和网络组成的 5G 网络本身通信安全,以及 5G 网络承载的上层应用安全。在设计之初,就应该充分考虑网络的可靠性和安全性,安全架构才能日臻完善。

Jonathan Knudsen:最重要的事情是以一种积极主动的姿态构建新的技术和新的基础设施。当人们急于构建新的功能,安全常常会被疏忽或忽略。然而,有句谚语说的好:“小洞不补,大洞叫苦”。如果你针对安全做了正确的事情,那么以后便可以避免很多麻烦。

当构建新的基础设施,架构师和部署人员应该在每一步都考虑到安全。威胁建模,架构风险评估和其他实时设计的活动,应该确保最终的网络对运营商和用户的风险较低。当构建IoT设备或其他软件产品时,制造商必须遵循安全的开发生命周期,以确保最终产品尽可能的安全。

杨国梁:疫情对全球经济的冲击不言而喻。但各行各业都在努力做调整,以期度过难关。我们看到复工复产的过程中,远程办公所需的软件和系统的需求量急剧增长。而与此同时,这些软件平台被曝光出来的漏洞又令人担忧。以视频会议产品为例,其中暗藏的隐私安全问题包括关注通话、记录聊天信息、个人数据与第三方共享、摄像头漏洞等等。这些都有可能带来利益损失。

除了云办公,现在云发布会、云课堂等都已经很普遍。一方面用户要提升安全意识;另一方面平台提供商也需要承担起责任,在优化产品功能的时候将安全也内置进来,从源头提升软件安全性,防患于未然。

Jonathan Knudsen:疫情在全世界范围内带来了剧变和困难,但是没有改变软件安全的基本事实。我们新的在家办公和在家学习的模式大大强调了将安全性纳入产品和服务的必要性,使安全性成为设计和实施每个阶段的一部分。

比特网:据了解,2019年8月,新思科技收购了德国汽车软件与系统开发仿真、测试工具和相关服务企业QTronic GmbH。今年年初,新思科技收购INVECAS部分IP资产,随后在2月,宣布加入到自动驾驶汽车计算联盟。这几次收购对于新思科技来说意味着什么?在自动驾驶等领域有什么布局和发展战略,能否透露一下?

在汽车领域,新思科技从芯片设计与验证、IP到软件安全与质量都提供专业的工具和服务。

Dennis Kengo Oka:新思科技在汽车行业已经非常活跃,并且广泛涉足在OEMs、一级和二级供应商所使用的产品和解决方案方面。这些解决方案帮助汽车企业更快地开发安全、高质量的软件。

例如,Coverity(静态代码分享工具)帮助开发人员发现和修复代码中的漏洞,并且遵循功能安全标准ISO 26262以及如MISRA 和AUTOSAR的编码准则。 Black Duck(软件组件分析工具)帮助企业遵循开源软件许可证并发现在开源软件中的已知漏洞。Defensics(模糊测试工具)使企业可以执行健壮的测试并发现解析器和协议实现(例如ECUs和信息娱乐系统)中的未知漏洞。

考虑到即将到来的网络安全工程标准ISO/SAE 21434,新思科技提供多种解决方案来帮助汽车企业高效及有效地处理在新标准中定义的活动。