設(shè)想這樣一個(gè)場(chǎng)景：攻防演練期間，作為防守方的某企業(yè)已竭盡所能部署了安全防御體系，但最終仍然被打穿。事后調(diào)查發(fā)現(xiàn)，竟是本該起到關(guān)鍵防護(hù)作用的某個(gè)安全產(chǎn)品存在0 Day，被攻擊方成功利用。

這正所謂“安全產(chǎn)品不安全”，和其他軟硬件產(chǎn)品一樣，網(wǎng)絡(luò)安全類產(chǎn)品也同樣容易暗藏大大小小的漏洞。有安全研究人員稱，防病毒軟件是潛在攻擊者的理想目標(biāo)，如果為防病毒軟件編寫漏洞利用程序，可能僅需一次就能獲得最高權(quán)限。

雖然這些漏洞或缺陷絕大數(shù)是無意而為之，但一些波及面較廣以及頻繁出現(xiàn)的嚴(yán)重級(jí)別漏洞仍然會(huì)讓廣大用戶設(shè)備不時(shí)暴露在風(fēng)險(xiǎn)之中，而一些長時(shí)間“潛伏”未修補(bǔ)的漏洞所帶來的影響更加難以估量。此外，某些打著“安全軟件”旗號(hào)的信息竊取惡意軟件也在時(shí)刻緊盯著那些容易上當(dāng)受騙的用戶。

如果說這些真真假假的“安全產(chǎn)品”本質(zhì)上截然不同，但它們露出的這些“馬腳“所帶來的影響或損失卻著實(shí)令人頭疼。

安全產(chǎn)品漏洞遍及主流廠商

漏洞不會(huì)看人下菜，主流安全廠商產(chǎn)品同樣不能幸免，且針對(duì)這些產(chǎn)品的漏洞利用也由來已久。早在2008年Black Hat黑客大會(huì)上，就已出現(xiàn)利用不同方式攻擊防病毒軟件的議題；2016年，著名安全公司賽門鐵克就被曝出眾多產(chǎn)品線包含大量漏洞，數(shù)百萬消費(fèi)者、小型企業(yè)以及大型機(jī)構(gòu)面臨自我復(fù)制攻擊。直到今日，頭部安全產(chǎn)品的漏洞仍在不時(shí)曝出“驚雷”，困擾廣大用戶。

多款安全產(chǎn)品漏洞可刪除用戶文件

2022年底，網(wǎng)絡(luò)安全公司SafeBreach的安全研究人員展示了如何利用Microsoft Defender等殺毒軟件漏洞永久性刪除用戶文件的操作。根據(jù)發(fā)布的PoC，顯示利用一種名為TOCTOU的漏洞，在殺毒軟件檢測(cè)到有惡意文件時(shí)導(dǎo)入備用路徑，會(huì)導(dǎo)致在刪除惡意文件的同時(shí)也會(huì)刪除用戶的正常文件甚至是系統(tǒng)文件，造成電腦無法正常運(yùn)行。

研究人員共測(cè)試了11款殺毒軟件，除了微軟，SentinelOne、Avast、AVG、趨勢(shì)科技等廠商產(chǎn)品均受此漏洞影響。

微軟將此漏洞追蹤為CVE-2022-37971，目前各廠商均以在后續(xù)軟件版本中修復(fù)了這一漏洞。但該研究充分暴露了這些安全產(chǎn)品在一些通用邏輯上存在的缺陷，影響受眾可謂十分廣泛。

飽受漏洞困擾的Apex One

Apex One是趨勢(shì)科技旗下的一款端點(diǎn)安全平臺(tái)，但這款受眾廣泛的安全產(chǎn)品正飽受大量高危漏洞之苦，僅今年以來就已公開披露達(dá)嚴(yán)重級(jí)別（CVSS評(píng)分7分以上）的漏洞13個(gè)，其中包括本地權(quán)限提升漏洞、遠(yuǎn)程代碼執(zhí)行漏洞、文件上傳漏洞等類型。

今年5月，Apex One曝出了一個(gè)CVSS評(píng)分達(dá)到9.8分、編號(hào)為CVE-2023-32557的關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞，能允許未經(jīng)身份驗(yàn)證的攻擊者將任意文件上傳到管理服務(wù)器，導(dǎo)致使用系統(tǒng)權(quán)限遠(yuǎn)程執(zhí)行代碼。

長期漏洞未得到修補(bǔ)

除了一些不斷新發(fā)現(xiàn)的漏洞，一些長時(shí)間潛藏的漏洞也是這些安全產(chǎn)品不得不面對(duì)的問題。

2022年5月，SentinelLabs 發(fā)布報(bào)告，揭露了知名防病毒產(chǎn)品Avast 和 AVG中存在了近10年的兩個(gè)漏洞，讓數(shù)百萬設(shè)備面臨安全風(fēng)險(xiǎn)。

這兩個(gè)漏洞編號(hào)為 CVE-2022-26522 和 CVE-2022-26523，存在于名為 aswArPot.sys 的反 rootkit 內(nèi)核驅(qū)動(dòng)程序中，而該驅(qū)動(dòng)程序自2012 年 6 月就引入了 Avast 12.1 版本中，其根源來自內(nèi)核驅(qū)動(dòng)程序中的套接字連接處理程序，可允許攻擊者提升權(quán)限并禁用防病毒軟件，甚至還會(huì)造成系統(tǒng)藍(lán)屏、死機(jī)。此外，這些漏洞可用作瀏覽器攻擊的第二階段，或者被用于執(zhí)行沙箱逃逸，從而造成更嚴(yán)重的后果。

SentinelLabs發(fā)現(xiàn)的漏洞

無獨(dú)有偶，今年4月，微軟Windows Defender也姍姍來遲地修補(bǔ)了一個(gè)長達(dá)5年的漏洞，該漏洞在監(jiān)測(cè)到用戶使用火狐瀏覽器時(shí)會(huì)啟用 Antimalware Service Executable 特性，導(dǎo)致 CPU 占用明顯升高，進(jìn)而導(dǎo)致系統(tǒng)容易出現(xiàn)響應(yīng)緩慢、卡頓等情況。該漏洞最早于 2018 年 5 月就被發(fā)現(xiàn)，但因?yàn)殚L時(shí)間未得到修補(bǔ)，導(dǎo)致Win10、Win11系統(tǒng)均受到影響。

惡意安全產(chǎn)品：掛羊頭賣狗肉

在用戶深知安全軟件的重要性的同時(shí)，網(wǎng)絡(luò)不法分子同樣也將其視作蛋糕，以虛假的安全問題誘導(dǎo)用戶下載所謂的安全軟件。這一招雖然對(duì)受過安全培訓(xùn)的員工而言不太管用，但對(duì)于普通消費(fèi)者而言往往真假難辨。

當(dāng)用戶瀏覽網(wǎng)頁時(shí)，有時(shí)會(huì)“偶遇”彈窗對(duì)用戶發(fā)出警告，稱設(shè)備可能感染了各種在線威脅。通常，這類彈窗包含一個(gè)網(wǎng)絡(luò)釣魚鏈接，用于下載可解決這些威脅的“安全軟件”，或?qū)⒂脩糁囟ㄏ虻戒N售假冒防病毒應(yīng)用程序的網(wǎng)站。一旦用戶點(diǎn)擊下載或購買，不法分子就能趁機(jī)搜集用戶信息，甚至竊取各類賬號(hào)等敏感數(shù)據(jù)。

2021年3月，電子郵件安全公司 Vade Secure曾揭露一系列冒充微軟、諾頓、邁克菲等知名安全廠商的賬單郵件，誘導(dǎo)用戶以300多美元的價(jià)格訂閱相關(guān)安全服務(wù)。當(dāng)用戶根據(jù)郵件中的電話聯(lián)系對(duì)方并根據(jù)給到的網(wǎng)址進(jìn)行購買后，會(huì)說服用戶以遠(yuǎn)程訪問的方式對(duì)系統(tǒng)進(jìn)行檢測(cè)，期間會(huì)檢測(cè)出大量虛假威脅，并以此為由安裝能夠長期遠(yuǎn)程操控用戶設(shè)備的軟件，如部署惡意軟件或?qū)⒃O(shè)備納入不法分子的垃圾郵件僵尸網(wǎng)絡(luò)。

仿冒安全廠商諾頓技術(shù)支持的虛假郵件

這類掛羊頭賣狗肉的現(xiàn)象在國內(nèi)也已經(jīng)屢見不鮮。2021年，央視3.15晚會(huì)就重點(diǎn)揭露了一批所謂的手機(jī)清理軟件存在誘導(dǎo)下載、過度收集個(gè)人信息等亂象。這些清理軟件雖然以手機(jī)清理軟件命名，實(shí)則收集用戶信息。它會(huì)自動(dòng)彈出“安全提示”，以內(nèi)存不足、有病毒需要查殺等方式誘導(dǎo)用戶下載，之后便在后臺(tái)大量竊取用戶信息。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心的專家在一款小說閱讀軟件里發(fā)現(xiàn)了端倪，在正常閱讀過程中忽然出現(xiàn)了“安全清理”提示，工作人員點(diǎn)擊后，下載安裝了一款叫“內(nèi)存優(yōu)化大師”的App，自動(dòng)清理過程中又繼續(xù)蹦出“清理手機(jī)緩存”提醒，點(diǎn)擊后，手機(jī)又下載安裝了“超強(qiáng)清理大師”。不斷“提醒、下載、清理”，同樣路徑接力重復(fù)，手機(jī)上接著又安裝了“智能清理大師”和“手機(jī)管家PRO”。然而測(cè)試人員對(duì)“手機(jī)管家PRO”進(jìn)行測(cè)試后發(fā)現(xiàn)，這款A(yù)PP表面上看起來是在清理手機(jī)垃圾，背地里實(shí)則在不斷偷偷大量獲取手機(jī)里的信息。

除了上述三類風(fēng)險(xiǎn)，近年來頻繁出現(xiàn)的一些軟件后門讓不少安全產(chǎn)品成了“睜眼瞎”，不僅可以搜集用戶信息、進(jìn)行遠(yuǎn)程控制，還能有多種手法躲避查殺，且一些后門甚至就藏在受眾廣泛或者國際通用的軟件及標(biāo)準(zhǔn)之中。比如近期曝出的TETRA無線電標(biāo)準(zhǔn)后門能夠暴露敏感數(shù)據(jù)，而我國早在2000 年就開始采用 TETRA 標(biāo)準(zhǔn)。

可見，如果一些基于通用標(biāo)準(zhǔn)或技術(shù)的產(chǎn)品存在風(fēng)險(xiǎn)，而安全產(chǎn)品又不能有效識(shí)別、防御，輕則讓用戶蒙受損失，重則讓企事業(yè)機(jī)關(guān)單位產(chǎn)生重大數(shù)據(jù)泄露事故，進(jìn)而在國際形勢(shì)、網(wǎng)絡(luò)空間格局越發(fā)復(fù)雜的當(dāng)下，讓國家在大國之間的競(jìng)爭與對(duì)抗中失勢(shì)。把好安全關(guān)，提升安全產(chǎn)品可靠性成為當(dāng)務(wù)之急。

做好信創(chuàng)，從源頭把好安全關(guān)

既然天底下沒有堪稱完美的產(chǎn)品，缺陷無法徹底避免，但我們?nèi)阅懿扇〈胧┍M力將其產(chǎn)生的威脅最小化。

首先，對(duì)于一般用戶而言，盡量從官方或其他正規(guī)應(yīng)用市場(chǎng)下載安全防御類軟件，切勿輕信彈窗廣告，或者是經(jīng)過來歷不明的鏈接等渠道下載本身就包含惡意企圖的虛假仿冒類安全軟件。

但最根本的，是要對(duì)安全產(chǎn)品知根知底，它是否基于外國的技術(shù)或產(chǎn)品，相關(guān)供應(yīng)鏈?zhǔn)欠窨煽浚欠袢菀妆缓诳屠?，或者被境外APT組織植入后門。隨著今年7月1日起新修訂的《中華人民共和國反間諜法》正式實(shí)施，對(duì)間諜行為的內(nèi)涵和外延進(jìn)行了完善，將“針對(duì)國家機(jī)關(guān)、涉密單位或者關(guān)鍵信息基礎(chǔ)設(shè)施等的網(wǎng)絡(luò)攻擊、侵入、干擾、控制、破壞等行為”明確為間諜行為。在近期復(fù)雜多變的國際局勢(shì)、地緣政治沖突導(dǎo)致多地摩擦加劇、以美國為首的一些國家對(duì)華實(shí)行技術(shù)制裁和打壓的情況下，網(wǎng)絡(luò)安全相關(guān)產(chǎn)品作為守護(hù)者，如果不能徹底掌握在自己手中，將很容易成為引狼入室的突破口。

從本質(zhì)上，要想樹牢安全防線，做到更加優(yōu)質(zhì)、合規(guī)且富有競(jìng)爭力的安全產(chǎn)品，需要實(shí)現(xiàn)從底層開始的國產(chǎn)化。在今年年初由國務(wù)院印發(fā)的《數(shù)字中國建設(shè)整體布局規(guī)劃》中就曾提到，一是要構(gòu)筑自立自強(qiáng)的數(shù)字技術(shù)創(chuàng)新體系，二是筑牢可信可控的數(shù)字安全屏障，二者缺一不可，相輔相成，可信可控的數(shù)字安全屏障是自立自強(qiáng)的數(shù)字技術(shù)的必然結(jié)果，而其中的底座則需要落實(shí)到中國信創(chuàng)產(chǎn)業(yè)的發(fā)展。

不難看出，在國家戰(zhàn)略支持的背景下，信創(chuàng)產(chǎn)業(yè)發(fā)展大有可為。根據(jù)艾媒咨詢近日發(fā)布的《2023年中國信創(chuàng)產(chǎn)業(yè)發(fā)展白皮書》預(yù)計(jì)，2023年中國信創(chuàng)產(chǎn)業(yè)規(guī)模將達(dá)20961.9億元。國產(chǎn)化軟硬件的替代潮為信創(chuàng)行業(yè)帶來發(fā)展契機(jī)。

雖然在技術(shù)水平、創(chuàng)新能力、市場(chǎng)競(jìng)爭等方面仍面臨不少挑戰(zhàn)，但國產(chǎn)化替代的趨勢(shì)不可逆轉(zhuǎn)，比如國資委就要求從2023年開始，每個(gè)季度要上報(bào)信創(chuàng)系統(tǒng)的替換進(jìn)度，并要求在2027年底前實(shí)現(xiàn)中央企業(yè)的信息化系統(tǒng)國產(chǎn)化替代。

無論是網(wǎng)絡(luò)安全產(chǎn)品也好，還是更加基礎(chǔ)的操作系統(tǒng)也好，相信只有夯實(shí)地基，將“源碼”牢牢掌握在自己手中，才能從根本上提高信息系統(tǒng)的安全性，減少外部威脅和攻擊的風(fēng)險(xiǎn)。