2016年已經過去,2017年開啟全新的篇章。安防行業2017年踏上新的征程,而回顧2016年,安防行業什么是2017年安放人仍需時刻謹記、付諸行動的?網絡安全無疑是行業共同的認知。安防行業做為安全的把關者,自身的安全問題顯得尤為重要。而在這個網絡危機四伏的時代,安防行業挑戰嚴峻。此文即是一篇針對安防行業面對網絡安防問題的探討文章,據說能看懂20%的安防人,未來將主導這個行業。你能看懂多少?
安防人 這篇文章你能看懂多少?
在互聯網技術高速發展的今天,因網絡的開放性、隱蔽性、跨地域性等特性,許多安全問題亟待解決,比如在過去的2015年,全球便發生了多起網絡安全事件,如美國人事管理局OPM數據泄露,規模達2570萬,直接導致主管引咎辭職;英寬帶運營商TalkTalk被反復攻擊,400余萬用戶隱私數據終泄露;摩根士丹利35萬客戶信息涉嫌被員工盜取;日本養老金系統遭網絡攻擊,上百萬份個人信息泄露等。
雖然這些數據我們時常耳聞,但安防行業人士仍然會認為網絡安全問題距離我們仍很遙遠甚至無關,但“安全門”事件的爆發讓業內人士繃緊了神經,一個不爭的事實擺在眼前:互聯網技術在融入我們生活、工作、學習的方方面面的同時,網絡安全問題已經是無可避免的問題。以安全防范為核心的安防行業,網絡安全問題的重要性已經被提升到一個前所未有的新高度。
舉要治繁 以技術捍衛安全
在此背景下,不僅讓安防企業在編解碼、傳輸、軟件管理平臺、存儲中下足功夫,甚至也吸引了其他行業的技術型企業的進入,新思科技(Synopsys)便是其中之一。作為電子設計自動化(EDA)和半導體知識產權(IP)領域的領導者,早在2014年便建立了一個專注軟件質量和軟件安全的新部門。“通過收購靜態分析技術供應商Coverity,我們成立了這個新的事業部,之后我們又陸續收購了五家企業(Kalistick、Codenomicon、Seeker、Protecode、Goanna)進一步強化測試的最佳化和靜態分析的技術實力。”Synopsys高級副總裁暨SIG總經理Andreas Kuehlmann介紹,“我們賦予硬件設計更多的可預測性,在軟件方面,我們的戰略在一定的程度上也朝著同樣的方向在發展,為更多的設計師解決各種關鍵挑戰,從而降低成本和進度風險。”
2010年作為安防行業發展的重要分水嶺,視頻監控行業經歷了從模擬監控轉向網絡監控發展的變革。自此之后,許許多多的網絡攝像機、NVR、IP存儲服務器等產品的面世,意味著視頻監控開始快速向數字化技術發展,與此同時安防行業進入高速發展時期,從模擬到數字,從單品到系統,從高清化、智能化、大數據到云計算等等概念接踵而至,讓安防廠商應接不暇,并一直被網絡的大潮推著往前走,正因為跟上時代的潮流已經不容易,所以目前安防工程中,網絡安全問題仍沒有作為第一要素,工程無論在管理標準制定、設計、施工、驗收上都缺乏明確的要求和規范,甚至可以這樣認為,網絡安全對于安防行業而言仍然是一塊空白和陌生的領地。
自2014年起,視頻監控產業中多起網絡攻擊事件讓安防從業人員開始關注到新的問題點——網絡安全。2015年注定是載入安防發展史的重要一年,也勢必會成為安防產業邁入網絡化時代的重要里程碑,與此同時用戶對產品的全方位安全性能提出更高的要求,如何讓技術跟進市場需求,這將是未來市場又一主陣地。無論從技術面、產品設計、企業經營等層面看,“安全門”事件都將對安防行業的發展產生深遠的影響。
毋庸置疑,面對網絡信息安全的問題,沒有人可以置身度外,沒有誰又可以做到銅墻鐵壁百毒不侵!隨著網絡技術越來越發達,網絡安全問題得到越來越多人的重視。“例如Heartbleed安全漏洞就因為暴露了加密信息而成為設備制造商關注的安全議題。可喜的是現在已經有越來越多的設備制造商重視網絡安全和源代碼的質量問題。”雖然處理網絡安全和軟件質量的方法有許多種,但最可靠和最直接的辦法卻是從源頭上進行扼制。Andreas Kuehlmann認為,解決安全問題的關鍵是要找到一個能夠互補的辦法,因此新思科技通過以下四種技術,集中軟件開發的早期階段解決安全問題:
其一,靜態源代碼掃描測試(Static Analysis),也稱為白盒測試,對應產品:Coverity。白盒測試能在源代碼的基礎上提供靜態分析,能夠在研發階段查找出代碼中難以發現的重大關鍵軟件缺陷和安全缺陷。目前支持的開發的語言包括C、C++、Java、C#、ObjectiveC、JavaScript、Python和PHP等,未來支持的開發語言將大大增加。通過讀取源代碼,實現深度分析來檢測安全漏洞;
其二,基于通訊協議的模糊測試(Dynamic Analysisor Fuzzing Testing),也稱為黑盒測試,對應產品:Defensics。Defensics模擬引擎是業界第一款基于狀態的模糊測試用例生成器。它利用嘗試協議模型來智能的、精確的向軟件輸入有組織的破壞性數據,試圖使系統崩潰,從而發現系統的未知缺陷和漏洞。目前覆蓋大約260多種協議,包含HTTP、RTSP、SIP、TCP/IP、Wi-Fi等常用協議;
其三,軟件成份分析(Software Composition Analysis),對應產品:Protecode。針對目前軟件開發過程中90%的部分是由開源代碼和第三方組件構成的,軟件成分分析工具Protecode能讓用戶快速精確的檢測和審計當前代碼庫中是否使用了已有開源代碼、組件或模塊,并確認這些開源部分是否違反開源協議,并協助用戶規避違反開源協議導致的法律風險;;Protecode還能夠檢測當前使用的開源代碼、已經打包的二進制文件組件或模塊中是否包含已知的安全漏洞,Protecode已經集成了多個知名缺陷庫,能夠有效防范黑客攻擊;
其四,交互式應用程序安全性測試(Interactive Application Security Testing),對應產品:Seeker。針對網絡應用領域的互動式應用軟件安全進行測試,通過對網絡應用程序實時操作的監控,Seeker能夠高效分析前端頁面,中間數據處理層和后端數據庫可能存在的惡意攻擊。包括著名的OWASP Top10跨站腳本攻擊、SQL注入、目錄遍歷等真實存在的問題。
雖然這些源代碼看上去似乎微不足道,但往往正是這些漏洞導致非常嚴重的安全事件的發生。
深入淺出 提升設備差異性優勢
雖然安防行業對于網絡安全的認知相比IT及電信行業要顯得落后,但無論是國家政策還是行業發展,網絡安全是趨勢,也必然會是未來行業的硬性指標。如果說以前的安防行業發展強調穩定性,隨著安全性價值的挖掘,將來必然是安全性為王,在行業不斷洗牌的過程中,這點無疑將會成為安防設備商新的差異化競爭優勢。
據觀察,無論是設備商或者是軟件供應商,對于產品的安全性意識正在逐步提升。在未來,為規避更多安全事件對于企業品牌的不良影響,在產品開發周期的初級階段便滿足網絡安全問題的需求,必然會在中國安防或者全球安防的市場中迅速成長。
但對于新的事物,人們往往是一知半解,在信息化時代,時間意味著市場與商機,如何快速強化自身產品將成為未來搶占市場先機的重點。但是,在網絡安全面前,如果能靜下心來仔細研究,會發現其實它并不是傳言般的洪水猛獸,因為在安防之前,IT及電信行業已經先行了一步。
Andreas Kuehlmann強調,在網絡安全問題面前,并不存在IT、電信、安防等行業之間的隔閡,所有網絡安全問題的本質是一致的。“在與客戶交談過程中,我們發現對于網絡安全問題,他們的痛點是一樣的,安防行業與IT行業并沒有存在明顯的區別。如果將這些問題還原成技術語言來闡述的話,那就是遇到軟件缺陷或者網絡安全漏洞,如遇到緩存區溢出、跨站攻擊、認證繞過等問題,在技術原理上看并沒有多大的區別,只是攻擊的對象從路由器和核心交換機轉移到網絡攝像機與存儲設備上。”
針對視頻監控以視頻流為主的特點,新思科技的產品在電信及IT行業所用的協議上進行擴展,涵蓋了視頻、存儲等協議,并創造性提供私有協議的萬能包”,能夠保證產品對私有協議進行自構建,為用戶進行模糊測試,滿足更多需求。
Synopsys SIG亞太區高級銷售總監Geok-Cheng Tan補充,“在軟件開發部分,我們的產品面對的是源碼,無論是視頻流還是存儲,其核心程序都是一行一行的代碼,在檢測代碼上,產品面向的依然是同樣的缺陷和隱患。”
雖然在技術原理上沒有過多的區別,但要將新的技術嵌入監控設備中,這必然也需經歷較長的開發周期與測試階段,這也是眾多從業人員的疑慮,但這一切難題全都在新思科技的產品中得到解決,其“深入淺出”的產品理念得到眾多行業用戶的認可。
“因為我們之前已經滿足了電信及IT行業的用戶需求,所以能夠支持的開發語言、開發環境基本完全滿足視頻監控所有用戶的需求。新思科技提供的網絡安全及軟件質量測試產品及解決方案,能夠更早的應對可能出現在視頻監控行業的網絡安全問題。而當視頻監控行業出現網絡安全問題的時候,新思科技的產品也可以幫助企業快速發現并確認自家產品中是否包含同樣的網絡安全問題,并協助研發人員定位、修改。Andreas Kuehlmann提出,“如果用戶需要進行網絡安全測試,只需通過點對點的設備直連,選擇好可以互通的通信協議,利用半自動化工具進行異常的報文攻擊,便能實現檢測。”
Geok-Cheng Tan介紹,對于用戶而言,這樣的方式十分簡便,并不需要很深的技術積累,只需簡單培訓便能使用。
“如果用戶想通過代碼檢測提升自身的軟件質量,用戶只需將我們的產品部署到軟件的開發環境中,便能實現無縫嫁接。雖然是專業和頂尖的技術,但因為我們產品部署方式的簡便,可以實現無縫嫁接到軟件的開發界面中,所以我們讓使用者感受起來卻是非常便利,這就是我們強調的‘深入淺出’的理念。”
先天優勢 贏得用戶信任
“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”,網絡安全、有序發展的重要性已經成為互聯網發展戰略頂層設計的指引。安全問題已經不再是行業的問題,已經上升到國家上層建筑領域。從這個角度中看,外商的進入,無論從網絡安全的角度或者從以政府用戶為主的安防行業,都顯得困難重重。
Geok-Cheng Tan坦言,在談到政府安全管控問題時,不僅僅是中國,全球各國政府都會對此保持謹慎的態度,但新西蘭、新加坡、印度政府已經采用了新思科技的解決方案,正因為技術的領先性,新思科技對中國市場依然保持積極樂觀的態度。“第一,技術的領先性,中國安防行業與IT、電信行業一樣越來越國際化,安防客戶迫切希望用到全球最領先的技術與產品,讓自身的產品與方案在全球都更具競爭力。第二,產品的隔離性,我們提供的產品具有個性化,以測試為主,與‘去IOE’不同,新思科技的產品并不需要聯網,用戶可以在自己的局域網中便能完成測試,針對不同國家特殊國情,新思科技的產品涵蓋了公有云與私有云版本。第三,網絡安全問題越來越熱,由于技術及產品組合的優越性,新思科技都遙遙領先于市場,在用戶的選擇面上,有先天的優勢。”
與硬件銷售不同,軟件服務的評價除了軟件自身的體驗之外,售后服務也是評價產品優劣的重要指標。目前,新思科技在全球擁有上千個辦事處,在中國北京、上海、武漢等地都有設立為客戶提供完整的產品和技術支援的服務點,通過本地化的服務形成比其他安全解決方案供應商更優良的服務支援。
通過企業的收購,目前新思科技已經具備最完整的安全檢測技術及方案,這便是其與其他解決方案供應商最大的不同之處。“我們提供專業的服務,因而包含中國本地和中國以外的客戶都能利用我們的專業服務來提高產品質量,無論是檢驗還是定制協議,我們都會盡全力幫助客戶將技術融合到他們的產品之中,確保客戶的投資回報率(ROI)。針對本地化服務,我們已經在武漢成立了專門的研發團隊,我們確信中國軟件安全市場將會持續快速增長。”Geok-Cheng Tan說。
對于視頻監控市場未來的發展,Andreas Kuehlmann表示視頻監控市場將持續洗牌,安全性將成為未來行業重要的指標,也將對企業的發展提出更多的要求,促進行業的進一步洗牌。安全的話題值得所有企業認真對待,目前所有的安全漏洞除了來自開發的源代碼之外,也有部分來源第三方供應商軟件,所以在軟件供應鏈中,對應用于供應鏈中的軟件監控正變得越來越重要。“我們的軟件驗收(Software Signoff)策略推動形式驗證閘到軟件開發流程中,進而確保軟件供應鏈或開發過程都能滿足安全需求。”
如果說智能與互聯是未來行業發展的趨勢,那么安全便是二者的基礎,當下,安防行業在安全的投入模式開始發生變化,從單純的購買產品及服務開始轉向設立各種各樣的組織以及聯盟去直面網絡安全問題,直面一個熟悉而又陌生的新安防生態。
京公網安備 11010502049343號