一個管理者都再熟悉不過的場景：在酒店辦理了入住手續(xù)，安頓妥當后打開電腦，連接Wi-Fi，查收郵件……在連接Wi-Fi的時候出現(xiàn)一個彈窗，告訴你“需要更新Adobe Flash以便正常顯示Wi-Fi設置對話窗口”。這時如果你不假思索地點擊“OK”，你可能就此中招了。

—這是最近幾年持續(xù)活躍的DarkHotels（黑暗酒店）網絡間諜攻擊行動的典型步驟：首先侵入一家酒店的內部網絡，在酒店客人登陸Wi-Fi時欺騙其下載安裝一款偽裝成“Adobe Flash更新”之類合法軟件的后門程序，成功之后進而自行下載安裝更多的監(jiān)視和信息竊取工具，然后開始自動收集系統(tǒng)信息，并竊取鍵盤記錄，尋找各種賬號密碼及其他機密信息。

防不勝防吧？隨著芯片、軟件和連接變得越來越無處不在，黑客們也有了越來越多的“用武之地”，信息安全遭遇的威脅也日益增加。此時如何保護和管理全面數(shù)字化和高度互聯(lián)所產生的海量信息，全面有效地防御各種風險和威脅，成為企業(yè)密切關注的課題，同時也是巨大的挑戰(zhàn)。那么，在接下來的2015年，在信息安全，尤其是企業(yè)級的信息安全領域有哪些重大的趨勢和相關課題需要我們的決策者充分關注？在12月3日~4日賽門鐵克公司舉行的“Inside Symantec”媒體研討會上，賽門鐵克的多位高管和專家重點從以下幾個維度為我們做了解答。

　　賽門鐵克安全運營中心（SOC）

信息安全威脅持續(xù)升級，企業(yè)需要新的策略思路

信息安全威脅可謂愈演愈烈。賽門鐵克《互聯(lián)網安全威脅報告》的統(tǒng)計顯示，2013年全球范圍發(fā)生的數(shù)據(jù)泄露事件較上一年增加了62%，所以信息安全專家將2013年稱作“大規(guī)模數(shù)據(jù)泄露年”（Year of the Mega Breach）；2014年的數(shù)據(jù)有待匯總，但從迄今已經發(fā)生的情況看，可以預計肯定會再創(chuàng)新高。

尤其值得企業(yè)注意的是，針對性攻擊（Targeted Attacks）的規(guī)模在大幅增加，頻次上2013年較上一年增加了91%，攻擊者鎖定的目標更加精準，另外每次攻擊持續(xù)的時間也變得更長。而從企業(yè)信息安全管理的角度來看，應對針對性攻擊的任務顯得更加嚴峻：超過2/3的信息泄露是在30天之后才被發(fā)現(xiàn)，平均4個月之后漏洞才得以修復。

而2014年新出現(xiàn)的多個嚴重漏洞，例如Heartbleed和Shellshock，都在提醒安全管理者永遠不要放松警惕。其中于2014年春天宣布發(fā)現(xiàn)的OpenSSL“Heartbleed”安全漏洞，讓攻擊者可以輕易地讀取系統(tǒng)的運行內存，從而獲得個人賬戶信息、個人數(shù)據(jù)和密鑰。賽門鐵克《互聯(lián)網安全威脅報告》的統(tǒng)計顯示，77%的合法網站都存在讓黑客們有機可乘的漏洞。賽門鐵克公司網絡安全服務產品管理總監(jiān)Graham Ahearne指出，眾多跡象表明，更多類似事件將會在2015年內發(fā)生，信息威脅制造者和安全管理者之間的對抗會上升到一個新水平上。

Graham Ahearne指出，面對上述新的形式和挑戰(zhàn)，為了更好的保障信息安全，我們需要一些新的思路。首先是要意識到，被攻擊和泄露是不可避免的。畢竟黑客和犯罪分子們有著強大的技術和經驗，而且他們只要成功一次就可以了，而作為信息安全的守護者則需要始終成功。這本身就是一個不對等的游戲。所以，各類組織都要做好一旦發(fā)生被攻擊事件的準備。

第二，相應的，各類組織也都要具備一套綜合的安全策略和技術，不僅要把威脅阻擋在大門之外，而且需要識別出那些已經在門內的威脅，并且強有力地將之徹底根除。

具體而言，這個綜合的體系應該包括五個部分：1、識別（Identify）：在可能的攻擊實施之前加以識別；2、防護（Protect）在攻擊發(fā)生的時候最大程度地保護企業(yè)資產，減輕受損；3、檢測（Detect）：發(fā)現(xiàn)并修補系統(tǒng)漏洞，偵測并阻擋外部入侵；4、響應（Respond）：威脅發(fā)生時加以有效遏制和修復；5、恢復（Recover）：讓企業(yè)運營回復正常，同時更新安全管理系統(tǒng)。

而從控制點的角度，則需要同時關注電郵、主機（包括桌面和移動）和網絡三大區(qū)域，確保三者都具備有效的安全防護和控制能力，同時也必須確保各個區(qū)域內所有行為的公開和透明。

移動安全需要創(chuàng)新的統(tǒng)一化解決方案

隨著企業(yè)界紛紛開始在信息系統(tǒng)中部署移動設備，移動安全已經從幾年前的邊緣需求變成企業(yè)的核心需求。企業(yè)安全主管們開始認真地考慮這些問題：

“如何有效保護個人擁有的設備上的企業(yè)App和數(shù)據(jù)？”

“如何防止企業(yè)數(shù)據(jù)泄露到未經授權的App？”

“如何在不犧牲安全和用戶體驗的情況下盡量提升基于移動設備的生產力？”

“如何應對日益加劇的移動安全威脅？”

IDC的研究數(shù)據(jù)顯示，中國企業(yè)移動管理解決方案市場正在進入快速發(fā)展的軌道，2014年的市場空間達到3550萬美元，2014-2018 年復合增長率約為25%。賽門鐵克公司移動部門產品副總裁Michael Lin認為，快速發(fā)展的市場背后是企業(yè)實實在在的硬需求。這些需求可以歸納為三大方面：1、幫助企業(yè)擁抱BYOD，讓員工個人的手機和平面電腦等設備安全、順暢地嵌入企業(yè)工作環(huán)境：2、幫助企業(yè)輕松地管理、保護移動App和數(shù)據(jù)；3、為企業(yè)提供強大而有效的保護措施，來應對移動惡意軟件、灰色軟件的潛在威脅，有效地幫助企業(yè)保護隱私和保障工作效率。為此，安全解決方案需要做到能夠實時地為企業(yè)提供信息保護、威脅防護和可付諸行動的情報；同時，面向未來，需要能夠提供統(tǒng)一的集成化的安全解決方案，能夠統(tǒng)一管理桌面設備和移動設備的安全。

按照賽門鐵克的戰(zhàn)略布局，企業(yè)移動安全解決方案將圍繞網絡/網關、設備、Apps、數(shù)據(jù)這4個維度構建，而賽門鐵克強大的信息安全情報平臺、動態(tài)的情景化政策引擎以及強制執(zhí)行平臺層將共同為上述各個維度上的產品和服務提供強有力的支援，最后協(xié)同打造出理想的系統(tǒng)效果。

物聯(lián)網安全需要從設計入手

與人人都擁有的移動設備比較，物聯(lián)網的發(fā)展狀況沒有那么直觀地被普通公眾覺察到。所以看到下面這組數(shù)據(jù)很多人會留下深刻印象：根據(jù)思科公司互聯(lián)網業(yè)務系統(tǒng)集團（IBSG）的研究數(shù)據(jù)，今天接入互聯(lián)網的“人”和“物”的數(shù)量分別是70億和90億，而到2020年，接入互聯(lián)網的“物”的數(shù)量將達到500億之巨。

物聯(lián)網通過智能感知、識別技術與普適計算、廣泛應用于網絡的融合中，也因此被稱為繼計算機、互聯(lián)網之后信息產業(yè)發(fā)展的第三次浪潮。在為人們的工作和生活帶來高度互聯(lián)和智能化的同時，物聯(lián)網的發(fā)展也隱含著信息安全管理方面的巨大挑戰(zhàn)。

這些威脅實際上已經在我們身邊存在。例如，日益流行的運動跟蹤記錄App和設備每天都在產生大量的個人信息和數(shù)據(jù)，這些設備和信息如果有別有用心的黑客盯上，其安全性需要打個問號。賽門鐵克的研究表明，由于很多設備和相應的數(shù)據(jù)管理存在漏洞，讓黑客可以很容易地對用戶進行跟蹤，以及盜取包括密碼在內的個人私密信息。

法國EURECOM學院的科研人員不久前對超過3.2萬個嵌入式設備的固件映像做了分析，發(fā)現(xiàn)超過1.4萬個物聯(lián)網設備，從路由器到閉路電視監(jiān)控系統(tǒng)（CCTV）等等不一而足，都存在各種安全隱患，包括零日攻擊漏洞、后門、不安全的密碼和密鑰等。

有的物聯(lián)網病毒看上去很神奇。很多人認為，電腦只要不連網，黑客就那你沒辦法，因為惡意軟件總不能跨越“air-gapping”（空氣間隙）吧？但是一種叫“air-gapping”的病毒已經出現(xiàn)，它可以通過聲波，經由麥克風和聲卡等外圍設備來感染目標設備。

賽門鐵克公司太平洋地區(qū)資深技術總監(jiān)Sean Kopelke認為，目前大量存在的物聯(lián)網安全隱患，原因在于在系統(tǒng)設計階段沒有很好地重視和認真規(guī)劃信息安全管理。物聯(lián)網安全需要端到端的解決方案，需要統(tǒng)一規(guī)劃三個層面的安全體系，一是服務層面的設備管理、威脅情報和安全分析；二是網絡系統(tǒng)層面的登陸控制、App沙盒以及針對惡意軟件和外部入侵的偵測和防護；三是設備和網關層面的認證、數(shù)字或電子簽名保護代碼、App沙盒以及針對外部入侵的偵測和防護；同時，要設計和管理好貫徹整個體系的身份和密鑰系統(tǒng)。

在線信任的未來

“在互聯(lián)網上，沒有人知道你是一只狗。”—大家對Peter Steiner的那幅漫畫都會記憶猶新。這幅漫畫最早發(fā)表在1993年7月5號的《紐約客》雜志，當時正值互聯(lián)網開始向大眾普及的元年，反映了人們對互聯(lián)網虛擬空間信任體系建設的疑慮。20年過后的今天，情況如何了？

應該說，網絡空間已經今非昔比。1995年，呼應在線信任的市場需求，VeriSign公司成立，為網站提供數(shù)字證書服務。當時全世界總共只有幾千個網站，用戶可以比較容易地管理自己的ID和密碼。根據(jù)統(tǒng)計，今天的一個普通用戶在網絡空間中會有24個以上的ID，但是只有4個左右的密碼。

賽門鐵克公司太平洋地區(qū)高級主管系統(tǒng)工程師Nick Savvides認為，在線信任管理體系需要一次模式的轉換，來因應網絡空間的發(fā)展趨勢。過去的模式是網站單向地向用戶和消費者證明自己的真實可靠性，但是現(xiàn)在，不僅商家甚至政府都想要在網上提供更多的產品和服務，用戶也越來越想要在網上消費得更多，所以在線信任亟需發(fā)展為雙向互信的模式。

而目前普遍的解決方案有兩種：一是公鑰基礎設施（PKI）+動態(tài)口令（OTP）；二是ID聯(lián)合登陸，例如用QQ賬號登陸其他網站。這兩種方案都存在問題，對于已經罹患“身份驗證疲勞癥”的消費者來說，前者體驗不佳，后者雖然意在改進用戶體驗，但同時增加了安全隱患。為了做到不犧牲用戶體驗同時保證網絡安全，服務商應該做更多的工作。例如，結合用戶行為數(shù)據(jù)分析幫助進行身份確認，也可以使用“賽門鐵克身份驗證和ID保護”之類的軟件將身份驗證結合到個人手持設備當中，或者考慮結合手機上的生物識別功能來幫助確認身份。

雙向機器認證（Machine To Machine Authentication）具有很多到獨特的優(yōu)點，因此應用日益普及。只要做好前期注冊，它在使用中就不需要用戶記住密碼，不需要儲存和核對生物體征信息，因而提供了很好的用戶體驗，另外還可以輕松地添加對新設備的支持。

Nick認為，雖然我們在線信任體系方面做了大量的工作，包括模式的優(yōu)化，技術的改進，也包括線上快速身份驗證聯(lián)盟（FIDO）開放行業(yè)標準等舉措，但是總會有信任和安全體系覆蓋不到的間隙存在，這就需要靠一個強大的全球威脅情報和風險分析體系來加以彌補。

這也正是賽門鐵克的核心能力所在。目前，賽門鐵克在全球部署了4個安全運營中心（簡稱SOC，分別在英國、印度、澳大利亞和美國），通過一個強大的數(shù)據(jù)收集和分析平臺來提供高級的安全監(jiān)控和管理服務。賽門鐵克的數(shù)據(jù)分析平臺對來自各種內外部來源的惡意軟件元數(shù)據(jù)進行分析，目前已經在數(shù)據(jù)庫引擎上累計加載了150 TB的數(shù)據(jù)，每天分析的安全事件超過2.15萬起。看看這些天文數(shù)字，再看看SOC監(jiān)控屏幕上隨時映入眼簾的實時威脅信息，你會深切地體會到，我們的信息世界的確是鮮花與荊棘同在。