歲月如梭穿行在時空的河。在歷史的長河中,十年轉瞬即逝,卻也留下了痕跡。其間恰恰是中國網絡安全市場風起云涌的十年,弄潮兒競相風流的十年。十年前,筆者剛剛走進大學校園,大學課堂將網絡安全知識帶入了日常生活和學習中,而那時的病毒、垃圾郵件及網絡攻擊者如同大學生活一般“單純”。
對于網絡安全企業來說,十年的時間不是很長。2004年網康科技創立,成為中國上網行為管理理念的締造者;2005年,IDC正式定義了“統一威脅管理”(UTM),自此飛塔成為UTM的領跑者,為廣大中小企業帶來了網絡安全的福音;2009年,Gartner分析師提出“下一代防火墻[注]”(NGFW)的定義,同年PaloAlto率先推出世界首臺NGFW;近年來,華為、網康、山石網科等國內安全廠商也相繼推出了功能各異的NGFW……
十年,我們在成長,網絡攻擊也在不斷地改變和進化。網絡遭受攻擊的頻率與日俱增,攻擊的手段和惡意軟件的泛濫趨于復雜,傳統安全防范手段早就難以徹底地解決安全隱患。盡管網絡中部署了大批的安全設備,但這些設備大多龐雜,如下一代防火墻、入侵檢測系統、深度防御系統、上網行為管理、安全網關等各組件孤軍作戰;同時物理安全、網絡安全、數據安全、業務安全層面分離,難以有效兼顧,從而形成協同作戰的能力,致使業務平臺、網絡平臺、管理平臺的安全策略缺乏整體性和有效性,難以形成全局的安全防御協作能力。
從國內外網絡安全廠商來看,網絡安全的發展亦非一帆風順,經歷過波折和徘徊,輝煌和失落,直到今日,仍存在諸多爭議。日前,國內多數活躍在第一線的安全廠商都正值“青春期”。站在網絡安全發展十年的路口,我們不禁再次追問:網絡安全究竟是人的問題還是技術的問題?實現企業網絡安全管理,是利用單個功能的產品搭建體系好,還是采用并駕齊驅的安全平臺更佳?防火墻或者下一代防火墻是不是對抗APT[注]的終極武器?比特幣帶來交易轉移機制新鮮嘗試的同時,Java 0day漏洞持續對其進行跨站腳本注入攻擊,交易的安全性能否找到出路?大數據[注]分析究竟有沒有侵犯隱私?層出不窮的數據泄露事件反映出網絡安全的哪些風險,我們能從中學到什么?太多的問題值得我們思考。正所謂“以史為鑒,可以知興替”,回顧網絡安全這些年的新趨勢,或許能得到些許啟示。
DDoS攻擊 有始無終
DDoS,即分布式拒絕訪問攻擊。這里的“分布式”,意味著通過大量的計算機向目標發起狂轟濫炸似的數據包,從而導致目標計算機系統無法正常工作。隨著越來越多的互聯網應用承載在HTTP協議之上,應用層DDoS攻擊日漸頻繁。2007年5月,DDoS攻擊開始瞄準政治領域,數千名俄羅斯同情者封鎖了愛沙尼亞政府的各大網站。這場攻擊持續了整個夏天,最后還是在多個國家的CERT(計算機緊急響應中心)共同努力才逐漸將其平息下去。翌年,俄羅斯的黑客組織又用DDoS手段向格魯吉亞政府發動了攻擊。這之后,還有多個國家的政府網站和軍事網站遭到過有組織的DDoS攻擊。2013年3月,歐洲的反垃圾郵件公司Spamhaus網站遭遇史上最大流量DDoS攻擊,攻擊流量峰值高達300Gbps。2013年針對HTTP應用的DDoS攻擊已占到攻擊總量的89.11%。在眾多網絡攻擊中,DDoS攻擊占絕對比例,主要原因是DDoS攻擊易于實施,攻擊效果明顯,追蹤困難,安全廠商對此展開了積極的探索和創新。層出不窮的攻擊事件、與日俱增的攻擊規模,對用戶網絡形成巨大威脅,同時對專注DDoS防護的安全廠商的跟蹤研究能力是個考驗。
高薪獎勵白帽子
多年來,包括烏云漏洞平臺在內的獨立研究人員們一直在爭論,新發現的漏洞究竟應該立刻公之于眾,還是應該等到廠商發布了該漏洞的補丁之后再公布。在某些情況下,廠商沒有再與白帽子們聯系,或者沒有優先考慮公布漏洞的事情,所以廣大的白帽子們就會自行公布這些漏洞。從防御的角度講,黑客肯定不愿意漏洞被公布,因為這些漏洞信息在黑市上可是搶手貨。
經過多年的反復爭論之后,幾年前有那么一兩家安全公司已經開始決定支付給白帽子封口費。作為交換,安全公司將與涉及到的廠商共同協作,檢查補丁是否能夠及時完成,而該廠商的客戶是否能夠比普通公眾提前得到詳盡的漏洞信息。比如,在四年前的CanSecWest應用安全大會上,Tipping Point就將1萬美元的年度獎頒給能夠黑掉指定系統的白帽子。近年來,發現漏洞給予報酬的程序已相當成熟。舉例來說,在微軟2009年12月的補丁,共發布了5個IE漏洞補丁(+本站微信networkworldweixin),而這些漏洞都是在iDefence 0 day項目激勵程序的作用下被發現的。而去年以來,360和Geekpwn也分別通過“庫帶計劃”和高額獎勵去激勵廣大白帽子發現漏洞。
數據泄露愈演愈烈
十年來,全球泄密事件層出不窮。從索尼PSN泄密、富士康iPad圖紙泄密,再到今年的Target數據泄露和蘋果手機iCloud私密照片外傳事件等,無論是相關公司的規模、泄露信息的重要性還是泄密事件的發生頻率,2014都遠超過往年。
這表明,企業核心數據的價值已被攻擊者廣泛認同,他們將堅定地花費更多的成本去非法獲得企業和個人的核心數據。而另一方面,許多企業和個人防泄密意識還不夠,對核心信息的價值以及信息防泄漏的認識還不足,由于成本原因,很多企業還糾結于建設網絡安全究竟是“掙錢”還是“花錢”的問題。為了防范Target此類數據泄漏,美國支付卡行業協會(PCI)曾在2005年提出12條規定,要求其商業成員必須遵守。縱使PCI安全委員會每兩年會更新這些規定,其中包括對信用卡數據的端到端加密,但是在安全業界,廠商們已經從層出不窮的泄密事件中看到了更深度的問題所在。加密和PCI不能解決所有的問題,單純審計也沒有任何意義。只有從全局的視角出發,對安全問題進行統籌規劃、統一管理,整合運用審計、權限管理、透明加密等防泄密功能,根據涉密程度的不同(如核心部門和普通部門),部署力度輕重不一的梯度式防護,將技術、管理、審計進行有機的結合,構建起企業網絡安全平臺,使得成本、效率和安全三者達到最優平衡,才能實現真正意義上的網絡安全。
安全未來 無限可能
人類總是對未來充滿好奇,在惡意軟件APT[注]等地下經濟愈演愈烈的黑云壓城面前,安全技術和安全業界有沒有能力有效對抗威脅,并保護社會和經濟?
著名安全思想家Bruce認為網絡安全如同殺人盜竊等犯罪行為。已經伴隨人類數千年的行為,雖然我們無法根除這些行為,但并不妨礙社會的發展和進步。我們雖然生活在有犯罪、并不安全的社會里,但社會有相當的彈性和自我恢復能力。
云計算[注]、虛擬化、SDN[注]、移動安全,這些名詞尚待消化,然而安全威脅卻已悄然入侵。這個世界,唯一不變的就是“變”,從這十年的發展來看,網絡安全經歷了關注安全技術、關注人的行為、關注管理、關注整體解決方案到最近回歸本質的關注信息本身的整體安全平臺這五個過程,技術、體系、理念都在不斷進步和完善,不斷的加固著企業的網絡安全防護體系。但是,技術不斷在進步,威脅不斷在產生,網絡安全的范疇和焦點亦在不斷的變化。未來網絡安全關注的焦點是什么?這個問題恐怕要留給時間來回答。
京公網安備 11010502049343號