安全牛近日發布的《2014年網絡安全大事記》記述了2014年發生的重大安全要事,其文尾的最后一段話這樣寫道:“這就是即將過去的2014,未來的2015將發生什么、改變什么、揚棄什么,讓我們拭目以待!”
那么,未來的這一年即將發什么呢?在我們“拭目以待”的同時,安全牛依據過去已經發生的事情和相關資料,結合相關專業領域標桿人物的評論,對未來一年中將會發生的網絡安全大事做出一些推測,希望能帶來一定的參考和借鑒作用。
趨勢一:安全漏洞不可避免
盡管《大事記》在漏洞一節表達了漏洞出現的不可預知性,但我們可以知道的是它一定會出現。而且,隨著安全意識和安全編程標準被人們逐漸接受,新開發的軟件和系統中出現重大漏洞的可能性變小。重大漏洞將更多的出現在過去開發出來的,但已經得到普及和廣泛流行的軟件、系統或協議中。
尤為需要注意的是所謂“長老級”和“功能型”的漏洞,前者是指埋藏在系統中多年未被發現的漏洞,后者是指本來是系統為了方便用戶而提供的功能,但由于應用環境的變化和技術的飛速發展,被黑客發現并加以利用因而成了漏洞。
按照這個思路,明年將有可能爆出通信協議和操作系統級別的嚴重漏洞,同時,那些建立在通信協議和傳統操作系統之上的,成熟期較早并在目前得到廣泛應用的軟件和系統可能性較大,比如Java,安卓。至于智能家居或可穿戴設備,雖然生產商缺乏安全考慮,但由于未得到大規模應用,盡管可以預見很多漏洞的發現,但巨大影響力的漏洞無法形成。
“操作系統級別的漏洞每年都會有,新的嚴重漏洞出現的可能性依然很大,但漏洞利用越來越難。”--Keen Team CEO 王琦
趨勢二:信息泄露在劫難逃
人類生活越來越依靠現代科技、互聯網、移動互聯網和物聯網,以及隨之而來的大數據和云服務,加上黑客行為的組織化和產業化,下一次重大信息泄露事件的發生可以說是板上釘釘。
新興社交網絡和電子商務由于與互聯網緊密相關,較早的具備一定的安全認識和網絡基礎,因此發生重大隱私泄露的可能性較小。目前網上泄露出的個人信息,多為用戶自行泄露或被黑客利用撞庫技術而得到。
相比而言,醫療行業、物流行業、零售業等傳統行業,其數據大多是用戶的真實身份,而且這些行業的網絡安全意識落后,信息技術基礎薄弱,隨著線上業務與線下業務的交融,這些行業必將是隱私泄露的重災區。
此外,云服務的快速普及和應用,越來越受到惡意黑客的關注。而且其完全依賴在線服務和一套登錄口令對應所有信息存儲服務的特性,更有可能使其曝發出大規模的惡性信息泄露事件。
“信息泄露屢發不止,根源不在于數據安全技術,而在于收集用戶信息的服務商不重視保護用戶隱私信息,并且法律上對這些服務商沒有嚴肅追究刑責。”--明朝萬達總裁王志海
趨勢三:攻防技術的矛與盾
攻擊者的技術也在不斷進化。從自動化工具、邊信道攻擊和圖片密寫技術,到零日漏洞、APT攻擊和社會工程。
同樣,隨著網絡攻防強度、頻率、規模,以及影響力的不斷升級,未來的安全技術將逐漸朝自動化、智能化、定制化和整體化等方向發展,在單點防護和檢測上越來越深,同時在整體防護上更加系統和智能。不僅能夠防范已知的攻擊,還能夠感知即將發生的威脅,預先采取措施。
提到社會工程,不得不強調“人”的重要性。人是需要處理事務的,不斷發展的事務以及人的思想認識中的“漏洞”永遠無法避免,社會工程學的威力正在被發揮到極致。“道高一尺,魔高一丈”的斗爭不斷上演,這是一個矛與盾的寓言,也是一個永不停息的貓和老鼠的故事。
“攻防對抗是信息安全最重要的內容,背后是人和人的較量。隨著對抗的發展,其中也逐漸呈現出像 SR-71偵察機和燃料空氣炸彈一樣或精妙或宏大或優雅或暴力的智慧之美。”--騰訊玄武實驗室負責人于旸
趨勢四:互聯網巨頭進軍企業市場
從互聯網公司來看,BAT3全部擁有基于云服務的大數據,自然而然的云安全和大數據安全是四國火拼的最為重要的戰場。
各家的云服務用戶的基礎是各自基因的用戶,百度是搜索引擎、阿里是淘寶和阿里巴巴,騰訊是QQ,360則是360殺毒和安全衛士。各自的用戶發展到現在,已經達到基本平衡的狀態。如果要有大的變化,比較大的可能是從企業級市場入手。這里談的市場已經超出安全市場,而是以安全市場為入口的互聯網市場。
但目前,企業市場的基礎主要還聚攏在傳統的安全專業廠商,如天融信、啟明星辰、綠盟、衛士通、北信源等,各種硬件設備、軟件工具、解決方案等安全產品和服務掌握在此類企業的手中。但隨著互聯網服務的無孔不入,四大巨頭已經開始侵入到傳統安全業務中來。明年將會有更多的安全公司被更大的企業兼并聯合,或投資,或入股、或收購。
“企業IT正走在云化、移動化、消費化的大路上,企業安全在2015年是否將在這幾個技術制高點上決戰?是傳統完成自我顛覆還是被顛覆,正如文始所言,讓我們拭目以待。”--綠盟科技首席戰略官趙糧
趨勢五:漏洞獎勵、眾測服務持續升溫
近年來,幾乎所有提供在線服務大型互聯網公司都成立了自己的安全應急響應中心(SRC),而這些SRC最重要的作用之一就是給白帽子提供一個漏洞提交的平臺。
此外,第三方漏洞平臺的作用也不可小覷。首先,第三方漏洞平臺的出現以及產生的影響和效果,激起了各大公司爭相建立SRC的浪潮。再者,第三方漏洞平臺相比于廠商自己的SRC,其優勢在于更加公開、中立和范圍廣。
值得關注的是,始源于漏洞獎勵基礎之上的眾測服務也開始逐漸被行業認可。對新興服務一向反應謹慎和緩慢的重要行業,也開始逐漸接受眾測服務,并收到良好效果。預期明年,在一些在線服務應用比較廣泛的重點行業如金融、支付領域將會有更大的動作。而另一些尚未實施過眾測服務的重要行業、央企則可能進行試探性的嘗試。
“眾測的崛起有著重大意義,意味著企業安全觀的更加成熟。過去企業與白帽子的關系是正負對抗,結果往往還是負數。現在企業主動與白帽子合作,結果就成了1+N,這對整個安全行業都是好事。”--烏云網創始人方小頓
趨勢六:網絡安全立法指日可待
網絡安全法規出臺的緩慢已經成為我國網絡信息發展的重大羈絆,但立法的進程快慢又與公眾思想的成熟度密切相關。即使目前已有的一些地區或部門的規章制度,在實踐中也難以正常地操作執行。多年來,民間協會、研學機構、人大會議、政府部門一直都在關注和籌備著網絡安全立法工作。
今年2月27日,習近平總書記在主持召開中央網絡安全和信息化領導小組第一次會議時要求,“要抓緊制定立法規劃,完善互聯網信息內容管理、關鍵基礎設施保護等法律法規,依法治理網絡空間,維護公民合法權益”。10月底,十八屆四中全會通過了《中共中央關于全面推進依法治國若干重大問題的決定》。《決定》提出加強互聯網領域立法,完善網絡信息服務、網絡安全保護、網絡社會管理等方面的法律法規,依法規范網絡行為。
網絡安全立法,盡管存在各種監督管理、執行操作上的難度,但國家最高領導機構已經明確指出立法的方向,并敦促加快立法進程,這種推動力度前所未有。因此可以大膽預見,2015年有可能看到立法草案的出臺。
“網絡安全相關法律法規的出臺,將有效推動創建網絡法制社會,實現‘依法建網、依法用網、依法管網’,有效保障網絡社會規范、有序、安全、文明運行。”--公安大學警務信息工程院院長李欣
趨勢七:網絡空間戰爭危及國家安全
2014年國家支持的黑客攻擊事件頻發,其中最大的一起莫過于索尼影業遭攻擊,包括員工信息、財務信息、通信郵件及影片劇本等多種數據泄露,此事牽動了朝鮮政府、美國總統、韓國總統及中國外交部。正在由一場普通的企業信息泄露事件,演化成國際政治事件。
虛擬世界已經和現實世界密不可分,這也正是“網絡空間”(Cyber)一詞的含義所在。做為國家安全極為重要的一部分——工控安全,更是極易遭到敵對勢力攻擊的目標。截止到目前,全世界各地發生的攻擊關鍵基礎設施的嚴重事件至少數百起,或民間或政府的網絡間諜活動遍布互聯網,歐美大國情報機關監控全球互聯網的行為幾近公開,數十個國家紛紛成立了網絡部隊。網絡戰爭已不再遙遠。
由于網絡空間的攻擊更為隱蔽、難以確定來源以及成本低但影響或收獲大等特點,這種攻擊形式肯定會被越來越多的國家采用。明年,國家支持的黑客活動將愈演愈烈,很有可能爆發出更加嚴重的網絡攻擊事件,并進一步造成國與國之間的政治危機。
“大國間的相互尊重和規則的達成,取決于相互傷害的能力,網絡空間的規則也注定要這樣建立起來。中國在網絡空間的問題上具有雙重特質,在對抗中顯示出能力不足的尷尬,但在發展中卻有著空前體量和勃勃生機。”--安天實驗室首席技術架構師肖新光
京公網安備 11010502049343號