漏洞产生快于识别修复，开发者要如何预防安全问题？

网络安全，是数字化企业面临的一场硬仗。

日前，在 2023 外滩大会上，蚂蚁集团与浙江大学网络空间安全学院重磅首发了一项引领性网络安全成果“原生安全范式框架 v1.0”。这是探寻网络安全本源的技术思想和方法体系的集成，主要包括“OVTP 可溯范式”和“NbSP 零越范式”两大安全范式，一大技术创新“安全平行切面”。

蚂蚁集团副总裁、首席技术安全官韦韬（已确认担任  FCon 全球金融科技大会联席主席）表示，现代化数字企业已经成为不断演变和进化的数字生命体，其架构复杂性会爆炸式增长，正在加据企业内部数字化风险。“我们希望通过原生安全范式框架，为企业安全架构设计提供指引，让原生安全从宏观要求，走向可落地实践。”

“范式这两年被提得蛮多的，很多其实被‘滥用’了”。当提到原生安全范式时，韦韬在一场沟通会上强调了对范式的认知的重要性。

他使用了星空和天文学的比喻，比如古代天文学家以地球为中心去看九大行星的运动轨迹的时候，这事非常复杂，而当他们意识到以太阳为中心来计算行星轨迹时，问题就变得及其简单。再进一步，牛顿的万有引力理论，为登上月球和进行太空活动提供支持。“我们对范式的描述是对问题本源的认知和领域实践的指导。”

回到网络安全，为什么需要建立更好的原生安全范式？

韦韬谈到了网络安全行业面临的一些挑战和难题。比如网络安全领域，真正令人困扰的问题不在于一些复杂漏洞，而是在于生态系统中存在大量的漏洞，这些漏洞看起来都很简单，但无论修复多少漏洞，都会有新的漏洞源源不断产生。而这部分问题的一个重要原因是研发人员对如何做好安全保障的认知模糊不清，再加上很多行业安全工程师配比往往严重不足，导致漏洞产生的速度远远快于漏洞的被识别和修复速度。

一个典型的“生态级”漏洞是“水平越权漏洞”。韦韬举例说，假设用户要访问自己的个人服务，比如抖音账号或外卖订单。通常情况下，用户只对自己的相关信息感兴趣。然而，如果访问服务没有做好适当的安全措施，可能会导致问题：“有很多时候，用户访问的时候会带上 ID 信息。但是访问服务做返回的时候没有检查 ID，黑产有机会随便改 ID，又没有合适的安全检查，那么就会有很糟糕的事情发生，黑产就有可能把整个用户信息库全部偷出来。”

这种情况下，最基本的安全是要对访问请求进行检查，确保用户只访问自己的数据，确保访问是合法的。但由于缺乏明确的权限管理和范式，这种问题屡见不鲜。

诸如此类的现象促使韦韬等人坚定地追求清晰的范式，一种能够引导开发人员更加清晰地理解和预防安全问题的模式。

“如果我们能在设计、在架构阶段把这些想清楚、实现好，就是所谓的原生安全。”韦韬强调，原生安全并不是简单地把安全内置，而是安全应该从一开始就被纳入到系统的设计和早期开发过程中，被集成到系统中，而不是作为外挂产品存在。

据介绍，蚂蚁集团从 2019 年开始便探索了原生安全范式，并通过迭代升级，实践验证不断完善，凝聚成 “原生安全范式框架 v1.0”。主要包括两大安全范式、一大技术创新。两大安全范式包括“OVTP 可溯范式”（Operator-Voucher-Traceable Paradigm，即 OVTP) 和“NbSP 零越范式”（Non-bypassable Security Paradigm，即 NbSP)。

网络安全保障，本源之一是访问是否合法的问题。OVTP 可溯范式指出，要完整准确地研判一个网络访问是否合法，应该基于该访问的操作者（Operator）的访问链路信息与凭证 (Voucher) 的传递链路信息。可以让我们站在一个数字化企业或机构的全局视角，来思考研判访问是否安全合法究竟应该获取和研判哪些因素。尤其是，需要知道该操作的实际操作人究竟是谁，以及该链路上的应用和环境是否符合安全要求，以避免访问被篡改或者泄露。

根据韦韬的阐述，OATP 可溯范式的提出旨在填补针对之前存在的一些安全盲区。

第一个是凭证的重要性被忽略。在传统的安全认证中，通常关注的是用户的身份凭据和权限管理。然而，这种方法通常 忽略了操作所需的凭证，例如，财务进行一些交易操作需要相关的合同和发票，而客服需要有效的用户工单才能查看相关信息。

凭证在操作的合法性和合规性方面起着至关重要的作用。问题在于，之前的安全模型未能明确强调凭证的作用，导致了许多潜在的安全漏洞。

第二是链路的复杂性。随着云计算和分布式系统的广泛采用，许多任务涉及复杂的操作链路。与传统的单一认证环境不同，现在的任务可能需要在多个环节和设备之间进行多次跳转。可追溯性丧失掉，就意味着在一些情况下，不清楚是谁发起了操作。

比如今天在云上最严重的问题之一——AccessKey 泄露。云服务通常要求开发者使用 AccessKey 来验证其对服务的访问权限。然而这些密钥可能被写进到程序代码中或存储在配置文件中，这增加了潜在的泄露风险。更重要的是，一旦泄露，很难追溯是哪个应用、个人、商户或攻击者使用了这个 AccessKey。就在最近，微软被曝出意外泄露 38TB 内部数据。据云安全公司 Wiz 报告，微软人工智能研究小组下的一个名为 robust-models-transfer 的仓库，包含可用于构建新神经网络的图像识别模型和训练数据集。此次泄露是由其中一个训练数据文件引起的，该文件托管在 Azure 存储帐户中。微软方面原本打算仅公开共享 AI 训练数据集，但意外地开放了对包含该数据集的整个 Azure 存储帐户的访问权限 。这就是 AccessKey 泄露导致的严重事件。

韦韬进一步表示，OVTP 可溯范式更关注的是策略层，即身份验证、权限和凭证，以确保只有授权人员在合法的上下文下才能执行敏感操作。然而，OVTP 范式要发挥作用还依赖于系统中的安全检查点来实施策略。但如果这些安全检查点被绕过，OVTP 的策略也就无效了。

这时候就需要 NbSP 零越范式来互补。实际上 NbSP 零越范式是韦韬早在 2018 年就提出的范式，与 OVTP 不同，NbSP 范式关注的是机制层面的保障。它要求确保关键安全检查点不可被绕过。这看起来是一个安全的基本要求，但是在当今复杂系统里，这点往往无法得到有效保证。其目标是确保系统中的安全性机制是强制执行的，无论用户或攻击者如何尝试绕过它们。

简单来看 ，OVTP 就是确保网络访问敏感操作可追溯可研判；而 NbSP 就是类似机场安检，攻击者不会通过各种漏洞形成的隐蔽通道（比如下水道或者通风管）绕过安检点。

韦韬在接受 InfoQ 采访时强调，这两种范式在技术和攻防体系上都有不同，混合在一起设计和实现往往可能导致混淆和缺乏重点，而攻防策略也会有所不同，需要不同方向的专家来实施。比如 NbSP 侧重于系统级防御，由专门的网络系统层专家负责保障，而 OVTP 范式则与业务和应用相关，更多地由相关研发专家负责。因此，将两者分开更有助于实现更综合的安全保障。

两大范式是“道”，那么如何通过方法体系来落实？

从现实来看，安全范式的实施成本在传统体系中可能比较高。在过去，安全方面的考虑通常没有得到足够的重视，因此需要对系统进行昂贵的改造。尤其是在国内数字化发展较晚、没有太多技术包袱的情况下，许多大型系统也积累了大量的安全隐患。国外的情况更为严峻，因为一些大型金融机构的系统还运行着古老的编程语言，而且随着了解这些语言的专家逐渐退休，维护这些系统变得更加困难。

对此，蚂蚁集团给出的解法是“安全平行切面”，这是蚂蚁集团最初于 2019 年提出的理念和技术体系，也是其面向数字化企业推出的新一代安全基础平台。其核心思路是将切面安全基础平台通过插装或者 AOP 机制融入业务应用系统，并且将切面安全应用逻辑与业务应用逻辑解耦，从而实现安全与业务的快速平行迭代。

这种平行迭代能力在数字化时代非常关键。

企业中业务应用系统的迭代具有自己的周期节奏，而安全策略保障却往往有不一样的时间要求。如果企业强行将这两者紧密耦合在一起，将会导致“绑脚走路”的情况。比如安全策略的要求可能与业务应用系统的节奏不匹配，这可能导致在实现安全保障时牺牲了业务的灵活性和效率，或者在迭代业务应用系统时忽略了安全问题。

这时，安全平行切面在业务与安全之间既融合又解耦的能力，能够把包括原生安全范式在内的安全迭代更好地跟业务应用系统结合起来，从而更高效地推动安全保障能力的升级实现。

以蚂蚁自身为例，2021 年双十二大促期间，针对 log4j2 漏洞攻击，蚂蚁集团通过安全平行切面的方式实现小时级全站止血，应急人力从 fastjson 应急时的 6000 人日降低到 30 人日，效能提升百倍，在确保安全能力不降级的情况下，业务 0 打扰平稳度过危机。

今年 7 月，包括蚂蚁集团在内的数家企业发起“安全平行切面联盟”（AOTA），旨在推广平行切面技术到整个行业，共同开源代码、共建标准，以促进整个行业的发展。

现代数字化企业已成为技术创新的重要力量。数字化业务属性，要求他们在处理复杂业务同时兼顾安全与效率。以蚂蚁为典型的数字化企业，在实践中摸索出的技术思想和方法，不失为一条可复制的网络安全治理技术路径：从原生安全范式探索安全本源之“道”，安全平行切面是范式指导下的“法”，安全平行切面系统上的应用是“术”，三者结合，驱动网络安全治理迈入新阶段。

正如韦韬在采访中所言，网络安全问题已经成为了蔓延全球的“灾害”，要从根源上防范灾害，就要思考灾害产生的本质。“我们希望能将原生安全范式推广到全球，为这个时代的网络安全治理贡献一份中国科技力量。”