作者：安天科技集团 肖新光 潘宣辰

计算的分散化是信息技术的核心特征，而将分散的计算连接则是网络的本质。从上世纪六七十年代的大型机作为主导，到上世纪八十年代的个人计算革命，再到随着互联网的终端和智能终端所兴起的各种网络应用，以及今天大量的各种物联网终端、工业物联网终端和智能传感器，我们正在看到一个计算无所不在、网络链接万物的场景。5G技术以更快速、更大规模、更大带宽的链接能力，必然成为计算分散化的加速器。

与此同时，我们可以看到网络安全威胁跟随计算分散化而泛化扩散是一种必然。上世纪70年代，面向大型机系统，就已经出现了比较原始的网络攻击，包括越权访问、原型蠕虫和人为破坏等等。上世纪80年代的个人计算革命，也使安全对抗从操作对抗进入到代码对抗时代。IBM PC架构成为主流，感染式病毒成为最早泛滥起来的恶意代码类型，并伴随磁盘数据交换而传播，成为了安全威胁的主角，*毒软件也对应产生。2000年前后，随着全球信息高速公路的建成和互联网应用的快速发展，操作系统能够承载更丰富多样的应用程序，支持更多开放服务，大量计算终端不再是数据孤岛，而成为连接在网络上、特别是连接在互联网上的终端节点，针对PC节点的网络蠕虫和木马先后成为恶意代码的主流类型。而到2010年前后，智能手机开始兴起，恶意代码和各种威胁的重点目标逐渐从PC侧转移到移动侧。同时，安全威胁逐渐蔓延到各种新兴场景中。2015年，安天安全研究与应急处理中心（Antiy CERT）提出安全威胁演进的一个重要趋势是“泛化”，并开始每年绘制当年的威胁泛化图谱，揭示出在过去数年威胁泛化的不断加速的趋势。

网络安全威胁正在加速泛化

安全威胁以暴露面和脆弱性为攻击入口。基于检索国家信息安全漏洞库平台，我们可以看到过去六年间通讯设备的相关漏洞持续处在高位；移动互联网相关的漏洞持续处在高位；而智能设备的漏洞呈现出持续快速增长的趋势。特别值得我们警惕和关注的是，由于智能设备市场有大量小众产品品类和品牌，竞争和发展呈现出“长尾”特点，目前并没有成为安全研究和漏洞发现的主力领域，因此还有更多威胁潜伏在水面之下。尤其是一些严重的开源漏洞，继承传导到大量智能设备的系统中，但并不为用户所知。尽管国内多家机构都在进行相关方面的研究，取得了一定成果，但目前还没有形成覆盖率足够的成分关系关联视图和全面的跟进响应机制。

近五年5G相关领域漏洞增长趋势

在这种发展趋势下，如果没有有效的应对方略，势必会出现一个悲观的未来：关键信息基础设施整体的智能神经末梢整体性缺乏安全基因，形成大量新增的外围设备暴露面和可攻击入口，进而导致能源电力体系更容易因网络攻击而中断，交通运输等公共基础设施遭遇网络攻击干扰发生中断瘫痪的风险概率大大提升，大量个人与家庭的智能设备可能随时停摆，心脏起搏器乃至一些远程医疗设备遭遇攻击后，人身安全也会遭遇重大威胁。

威胁可达之处就是防御构建之处，而防御构建的本质是安全与IT的耦合。安天防御能力框架中定义了网络安全五个基础能力级别，即识别、防护、检测、响应、塑造。这五个能力集合的或者源起自IT场景的变化，或者源起自新的安全威胁挑战，它们与IT系统的耦合范式也各不相同。

网络安全五个基础能力

从上世纪八十年代，随着计算机在更大范围使用，特别是PC革命带来的计算普及，政企侧小型局域网络也开始构建，安全运营与IT管理实现了流程耦合，达成了信息资产初始的识别和故障运营能力。上世纪九十年代开始，伴随着DOS系统不断成熟的反病毒软件广泛安装在被防护的主机之上，实现了防护能力与被保护目标的耦合，这是占用被保护主机资源算力来达成安全的耦合方式,早期的病毒扫描 TSR（内存驻留）中断监控，在后续以Windows为主的系统环境下，逐渐完善出病毒检测查*、实时行为防护、介质管控、主机流量监测和连接拒止等能力。2000年前后，安全威胁跟随网络发展的快速流转扩散，单纯端点侧的“个体安全能力 集中管理”的方式缺少足够的防御纵深，流量侧的安全检测能力与独立的载体设备相结合，采用直路或旁路接入与网络结构进行耦合的方式来构建网络侧的统一入口检测能力。2010年左右，用户发现仅靠实时的检测与防护依然不足以有效对抗更深度的安全威胁，特别是像APT攻击这种长周期、高度定向性的安全威胁，需要构建异步分析检测-响应环，从而耦合出安全响应流程。从2020年开始，更多的安全管理者开始认识到，随着大量的智能终端设备、传感器、互联网设备的接入；以及数据和业务和资产价值更多的向云中分布，用户的原有的安全部署能力、响应干预能力都被严重削弱，更需要安全基因在源头开始沉浸，实现与信息产品深度耦合来支撑安全环境的塑造。

这种原生融合的安全能力，是构建5G时代新安全体系的基础。同时我们也要看到，安全能力对算力和资源有较高需求。而所有新的IT场景革命事实上都是从一个低算力起点重新开始。无论是上世纪80年代初，中型机、大型机与刚刚出现的个人计算机，还是在本世纪初把PC机与刚刚登上历史舞台不久的智能手机进行配置对比，都可以看到这种新场景的“算力降级”特点。而对于攻防对抗来说，防御是一个体系，攻击则从单点入口开始，因此在新的低算力场景，安全能力构建在资源上处于相对被动和局促之中。因此，也需要关注安全算力和形态的演进趋势。端点系统安全场景随着大量智能终端、甚至传感器的加入，端点安全算力形态的重要趋势是原生化，即深度耦合到终端系统中；而传统的网络流量监测设备，随着流量场景重心成为云平台场景，流量监测算力形态演进趋势则是云化，即成为云端的安全资源池；从安全管控角度，从SIME、SOC到SOAR，在持续尝试建构统一化平台的努力中，很多用户反而发现，随着网络资产规模的日趋扩大，仅靠一个统一的管理中心，很难同时实现宏观的管理运营全面覆盖、又能敏捷达成微观对抗的战术指挥。因此，安全管理的算力形态的演进趋势是走向统一管理和自治可恢复弹性的结合，当前一些用户提出双SIEM/SOC模式，把支撑威胁对抗的XDR平台，从大型SOC或SIEM中独立出来，都是这种趋势的体现。因此如果把安全的算力需求分布和IT的算力需求分布叠加，就会发现安全算力和应用算力并不是均质分布的，一方面实时化检测防御算力跟随IT算力同步分散化，而异步的检测、分析算力，包括管理算力资源则呈现全局或局部集中化部署特点。

通过前面的总结，我们就可以看到在5G IoT时代安全能力融合相对于传统安全面临着一系列困难。