2014年,中共中央網絡安全和信息化領導小組成立,由此掀起了信息安全的熱潮。在已經來臨的2015年,無論是政策導向還是技術演進,我們都不得不關注信息安全的發展趨勢,明確我們的任務。
2014年歲末,據國外媒體報道,索尼影業遭到黑客攻擊,公司辦公室內的所有電腦均無法操作。索尼創建的十多個Twitter營銷賬號似乎也遭到了攻擊,不停發送內容相同的消息。
據稱,黑客們已經從索尼影業獲得了大量敏感文件,其中一些文件在打包壓縮后被發送到了互聯網上。此次攻擊影響了索尼影業的日常辦公。有報道稱,索尼影業的員工們無法發送電子郵件,無法使用電腦,甚至無法接聽電話。一名索尼影業的員工對國外媒體表示,他們處于完全癱瘓的狀態中……
信息安全是永遠的話題。攻擊對象在變化,攻擊方式在變化,攻擊技術在變化,唯一不變的,就是對惡意攻擊的堅決抵抗和不妥協。
2014年2月27日,中共中央網絡安全和信息化領導小組第一次會議召開。中央網絡安全和信息化領導小組的成立,被認為是中國開始高度重視信息安全,希望在信息安全領域有所作為的標志性事件。
由此,中國的信息安全熱潮被掀起。駐足回首,我們看到,在已經走過的2014年,信息安全市場正在逐漸成長;登高遠眺,我們又會發現,在已經到來的2015年,信息安全領域將呈現更多的變化,值得關注。
威脅質變
互聯網正在改變世界。同樣,它也在改變人們對信息安全的認知。
互聯網、移動互聯網、物聯網的不斷演進,顛覆了人們的生活方式。然而對于攻擊者而言,萬物互聯同樣意味著可攻擊的目標增多,攻擊方法在創新,“攻擊面”在迅速擴大,相對應的信息安全防御鏈條則越來越長,防御思想也在不斷進化,信息安全防御面臨很大的創新壓力。
360公司副總裁曲曉東認為,從索尼影業被攻擊等近期頻發的一系列安全事件看,現在的安全威脅已經發生了“質”的變化。
“攻擊者不再是某些個體,而是有組織的團隊;攻擊也不再是漫無目的行為,而是瞄準了特定目標;攻擊也不再是為了炫耀技術,而是為了潛伏并竊取有價值的信息;攻擊者從利用已知的工具和漏洞發展到越來越多地利用未知工具、零日漏洞甚至社會工程學等綜合性手段。”曲曉東告訴記者。
持類似觀點的,還有山石網科產品市場總監賈彬。他表示,像索尼這樣的大型企業,一定擁有比較完備的信息安全防護措施和手段,但是仍然無法避免被攻陷。這就說明,惡意攻擊正在升級,給企業的安全防護帶來了更大的挑戰。
“真正可怕的是,‘攻’進步了,‘防’卻沒有跟上。”曲曉東說。
啟明星辰首席戰略官潘柱廷告訴記者,木馬、病毒、釣魚等常見的攻擊方式仍然有效,而諸如DDoS等蔓延式的攻擊也很難防范,伴隨網絡帶寬的進一步增加,2015年甚至可能會出現1TB流量的DDoS攻擊。更為重要的是,APT攻擊呈現出泛化的趨勢,出于商業競爭的目的,它將更多地出現在企業之間。
不可否認,無論是防病毒還是防攻擊,無論是已知威脅檢測還是未知威脅檢測,安全似乎一直處于后知后覺的狀態——發現威脅、分析威脅、形成具體的或通用的特征規則,然后才能對這個威脅進行防御。所以,在面對復雜、未知、定向攻擊等高等級安全威脅時,傳統安全的防護方式頻頻失手,緩不救急。
曲曉東認為,以前的信息安全重點強調的是邊界安全,在網絡的邊界上設一些網關類的安全產品,像防火墻、IPS、IDS等。通過這些人為設置的“墻”把攻擊擋在企業網絡的外圍,讓它無法進入企業內部。然而隨著互聯網的發展,企業要想設置并充分利用這堵“墻”越來越困難。
員工的手機、平板電腦等個人終端設備在辦公時可以連接到企業的網絡,到機場就可以連接到機場的網絡,如果這臺終端在公共網絡中感染了病毒和木馬,再回到企業內網時,那么病毒和木馬的攻擊就有可能不經過企業邊界的安全設備而進入企業內網。
其實,萬物互聯遠不止智能手機可以隨時隨地接入網絡這樣簡單。大量可聯網智能設備的涌現,以及原先封閉的、與互聯網物理隔離的工業控制系統逐漸采用通用協議接入互聯網,都存在著巨大的安全風險。
“我們把這種現象叫‘邊界模糊’或者‘邊界消失’,這對傳統的企業安全提出了嚴峻的挑戰。如果企業的邊界模糊了或者邊界消失了,那么部署在企業網絡邊界的‘墻’就形同虛設。”曲曉東說。
潘柱廷指出,如何保障工業控制系統安全對用戶和廠商都是個挑戰。對于安全廠商而言,由于工業控制系統的封閉和不通用,使防護方案的研發成本極高。而且,工業控制系統很容易成為高級威脅的攻擊目標,因為它一旦出現安全問題,將有可能釀成嚴重的事故。
“毫無疑問,高級威脅將成為未來安全事件的主流。”曲曉東判斷。
智能應對
道高一尺,魔高一丈。在信息安全的攻防大戰中,雙方此消彼長的較量從來沒有停止。如果安全威脅真的發生了質變,那么我們的安全防御體系應該如何應變呢?
潘柱廷給出的答案是大數據。
“哪個安全廠商率先掌握了大數據技術,哪個廠商就掌握了技術不對稱的優勢。”潘柱廷告訴記者,在攻防類安全實踐中,核心任務就是威脅檢測。防護一方的首要工作就是檢測出威脅,只有將威脅及時、順利地檢測出來,才能讓后續的防御工作有效進行。如果能夠在企業網絡中盡可能多地采集數據,把更多的異常數據納入到檢測的范圍,并通過大數據技術進行分析,無疑會大大增加威脅檢測的成功率。
當然,應用大數據技術完美實現威脅檢測可以說是一個美好的愿景。但是,它需要解決的新問題就是如何把在企業網絡中采集到的海量的、多維數據進行有效分析,從而提取有價值的信息。近年來,山石網科一直在強調智能安全的理念。在記者看來,所謂智能,必然要和大數據技術緊密聯系在一起,以有效的大數據分析作為基礎,才能實現真正的智能。
賈彬介紹,相對于基于特征匹配的傳統威脅檢測方式,新的智能安全應該是基于網絡行為分析的。這是因為,攻擊者會采取不同的攻擊方式、不同的工具、不同的木馬變種,特別是一些高等級的攻擊者會針對攻擊目標定制開發攻擊工具,讓攻擊過程變得更加隱蔽,難以察覺。然而,任何一個網絡攻擊都會具有掃描、植入、傳輸等相對固定的攻擊行為。對企業而言,如果防護系統能夠對企業的正常業務行為進行學習,從而在日常監控中發現與正常業務行為不匹配的異常行為,就能更加高效地發現威脅。
曲曉東則強調,面對如今的IT環境,單純依靠封堵的方法已經很難抵御網絡攻擊。除了大數據技術之外,為了應對企業邊界模糊或邊界消失帶來的安全挑戰,需要采用“云+端+邊界”的立體化解決方案,只有“云+端+邊界聯動”的綜合立體防御體系才能幫助企業靈活、快速、最大限度地減少來自高級安全威脅的影響和損失。
安全協作
“現在,為了利益最大化,攻擊方都能夠聯合起來。那么,作為保護企業信息安全的中堅力量,安全廠商為什么不能聯合起來呢?”潘柱廷發出呼吁。
事實上,面對升級的安全威脅,除了創新的安全防御技術和策略,還有重要的一點就是協作。通常,為了保證對技術的足夠投入和專業性,安全廠商往往只專注于信息安全的某一個或某幾個領域,而且往往專注的安全廠商也更容易獲得用戶的信賴。但是,信息安全防御的鏈條越來越長,已經鮮有廠商能夠提供覆蓋全鏈條的安全防御解決方案,這時,安全協作就顯得更加重要。
“在美國,安全廠商之間的協作司空見慣,一家很小的廠商都可以共享到大廠商的安全數據。”潘柱廷表示,廠商協作首先要落地的是安全數據的共享。目前,啟明星辰已經開始和國內其他知名安全廠商進行安全數據共享,這對研究攻擊行為,保障企業信息安全具有重要的意義。“此外,針對DDoS這樣的攻擊,我們也在呼吁成立‘反DDoS’聯盟。因為這種攻擊從用戶的角度很難防御,如果通過某種聯盟的形式,可以從攻擊發起端進行限制,將很大程度上改善目前對抗DDoS攻擊的局面。”潘柱廷說。
“在國內信息安全產業鏈條中,大廠商之間的合作較少,同時充滿了低水平、同質化的競爭,從而形成利潤率低、技術水平低的惡性循環。360公司進入企業信息安全領域,給產業帶來了新技術、充裕的資金、開發用戶體驗更好產品的能力。”曲曉東認為,360公司進入企業信息安全市場后,與其他安全廠商進行了一系列合作和整合,給整個產業帶來了新的機遇,也造成了鯰魚效應。
本土力量崛起
顯然,在信息安全產業中,政策和合規性是比較強的驅動力。
在過去的2014年,中共中央網絡安全和信息化領導小組成立、首屆世界互聯網大會召開、首屆國家網絡安全宣傳周啟動……一系列事件讓中國的企業和個人用戶深切感到了信息安全的重要性,安全意識得到提升。信息安全已經深入到國家治理、企業經營和百姓的日常生活中,并且與國家安全息息相關。在信息安全和自主可控的呼聲下,本土安全廠商正在迎來巨大的發展機遇,并茁壯成長。
工業和信息化部中國電子信息產業發展研究院信息安全研究所所長劉權告訴記者,據他們統計,中國整體安全產業規模在2014年達到了550億元左右,同比增長約26%。
賈彬介紹,2014年山石網科在很多方面取得了重大突破。“隨著用戶信息安全意識的提升和對信息安全認知的成熟,他們在采購信息安全產品的時候從看重性價比逐漸過渡到更加看重產品的品質。這就給山石網科帶來了更多的市場機會。”賈彬告訴記者,山石網科已經成為金融等行業用戶在信息安全領域替換國外產品的首要選擇之一。同時他預計,在2015年,山石網科在政府、金融等領域的業績還將有大幅增長,甚至會翻番。就在記者截稿時,中國電信2014年IP網絡安全設備集采結果全部出爐,山石網科憑借防火墻、防病毒、內容過濾等功能,以及高性能、高可靠等特性,成功中標該集采防火墻標段的全部四個標的。
360公司的成績則更加有目共睹。“360漏洞實驗室被譽為東半球最強大的白帽子軍團。目前,360已經成為全世界報告軟件漏洞數量最多的安全軟件公司之一,在這方面超過很多國外知名安全廠商。從2009年到2014年,360公司共63次因挖掘并協助修復漏洞獲得微軟官方公開致謝,漏洞挖掘與專業防護技術在世界中居于領先地位。”曲曉東說。
可以說,360公司把互聯網公司的產品設計理念和創新方式帶入了信息安全領域。他們對國外新興安全廠商Splunk、FireEye、Bit9等進行了跟蹤和深入研究,進行了安全技術和安全產品的創新。曲曉東介紹,“360天眼”目前已經是一款非常成熟的產品,它是360公司針對企業用戶推出的帶有大數據功能的邊界安全產品,可以提供全面的定向攻擊、APT攻擊檢測與分析方案,專注于高級威脅的發現,能夠對各種已知和未知威脅進行不同維度、不同攻擊階段、不同攻擊技術的立體化檢測,并且利用大數據、威脅情報及可視化分析等多種先進技術,回溯攻擊過程、分析攻擊技術和其影響范圍,確定攻擊目的。曲曉東認為“360天眼”是解決當前企業面臨的主流安全威脅的卓有成效的安全工具。
“基于‘云+端+邊界’的企業安全立體防護理念,我們還推出了針對桌面端和移動端的安全產品‘360天擎’和‘360天機’,它們成為優秀的企業終端管控系統,在政府、電力、航空、能源、金融等領域均已經有用戶在使用。”曲曉東說。
政策制定提速
就在中共中央網絡安全和信息化領導小組第一次會議召開的兩周之前,美國政府發布了由美國國家標準技術研究所(NIST)制定的《關鍵基礎設施網絡安全框架》。這是棱鏡門事件后,美國政府首次出臺國家級信息安全指導規范,也是奧巴馬政府2013年啟動保護關鍵基礎設施信息安全戰略以來的第一個基礎性框架文件。
政策是信息安全產業繞不開的話題,因為信息安全不僅是技術問題,更是產業問題。在中國信息安全產業蓬勃發展之際,我們應當看到我們與美國等科技和網絡安全強國的差距,加快步伐,這也是我們的任務。
“要應對美國等西方國家的信息安全政策,我們就應該有更多的動作,盡快制定相應的政策,從政策層面上達到攻守平衡。”潘柱廷向記者表示。
中共中央網絡安全和信息化領導小組的成立給予了信息安全最高的組織和機構保障,從而有效推動了信息安全的政策和法治建設。劉權向記者介紹,2014年,中共中央網絡安全和信息化領導小組辦公室召開專題會議討論網絡立法問題,全國人大也將《網絡安全法》列入立法工作計劃。2015年,我國網絡安全法治建設進程將顯著加快。他預測,在網絡安全立法方面,首先會加快修訂原有法律,例如,在刑法修訂中增加關于網絡恐怖主義的相關規定;修訂互聯網信息服務管理辦法,針對新應用建立有效的信息內容管控手段。其次,圍繞關鍵信息基礎設施保護、跨境數據流動、信息技術產品和服務供應鏈安全等一系列重大問題,全國人大和相關單位將開展更深入的研究,《網絡安全法》將取得階段性成果。再次,中共中央網絡安全和信息化領導小組辦公室等機構將加快推進網絡安全審查等法律制度建設。
“美國已經建立了《經濟間諜法》、《計算機欺詐與濫用法》等法律構成的相對完備的反網絡竊密法律體系,相比而言,我國在此領域的法律建設還相對落后,難以對類似起訴形成反制。此外,由于近兩年網絡安全形勢飛速變化,新威脅層出不窮,信息數據的跨境流動、移動互聯網時代網絡數據和隱私保護、高級可持續性威脅背景下重要信息系統保護、政府信息安全管理、信息技術產品的安全審查、網絡犯罪電子證據取證程序等方面都需要立法進行規范。”劉權告訴記者。
當然,信息安全包含了信息系統安全、網絡基礎設施安全、內容安全等諸多方面,在哪些領域迫切需要網絡安全年立法,以及如何通過立法加以規范,仍然需要明確。
鏈接 2015年網絡安全十大趨勢
1月15日,中國電子信息產業發展研究院發布了“2015年網絡安全十大趨勢”。
一、網絡空間國際軍備競賽加劇
隨著網絡安全威脅日益常態化、復雜化和高級化,各國加快網絡空間軍事力量建設,網絡空間軍備競賽加劇,2015年這一趨勢將更為顯著。一是西方國家繼續建立或增設網絡部隊。美國2014年《防務評估報告》首次明確網絡部隊的建設目標,俄羅斯、以色列、日本等都在擴大網絡部隊規模。二是各國加強網絡武器和新型網絡對抗技術研發。三是各國加強網絡戰演習。據歐盟網絡與信息安全委員會(ENISA)報告,各國開展網絡演習的頻率大幅提高。四是美國等西方國家通過北約組織加快構建網絡軍事同盟,以實現集體防御。
二、發生有組織的大規模網絡攻擊
黑客組織、網絡犯罪團體,甚至某些國家成為網絡攻擊的“新玩家”,針對政府部門,以及國防、金融、能源、航天、運輸等重要行業的企業和機構,實施大規模、持續性的網絡攻擊行動,竊取敏感信息數據、癱瘓或摧毀重要目標。2015年這種有組織的大規模網絡攻擊將更普遍發生。一是美國更多的網絡監控和網絡攻擊行為將遭到曝光,多個國家加快發展網絡攻擊能力。二是出于政治目的的黑客行動主義將更加泛濫。三是受經濟利益驅使,網絡犯罪團體將針對有價值目標開展更密集的網絡攻擊,攻擊行為發生頻率越來越高。
三、移動互聯網安全事件增加
移動互聯網安全問題將更加突出。一是針對安卓設備的網絡攻擊持續增加。有機構預測,2015年針對安卓設備的惡意軟件數量將是2014年的2倍。二是移動支付將可能成為網絡攻擊的新目標,通過挖掘系統漏洞、制造網上銀行病毒等,網絡犯罪分子可能獲取金融敏感信息或劫持賬戶。三是BYOD(自帶移動設備)的興起將帶來更多針對企業或機構內部網絡的攻擊。
四、智能互聯設備成為網絡攻擊的新目標
智能互聯設備給用戶帶來更豐富的體驗,但對黑客也具有無限的誘惑性,黑客將可能利用這些設備進行更復雜、更嚴重的破壞。已有安全研究者利用智能汽車、醫療可穿戴設備的安全漏洞實現對設備的遠程控制,對設備使用者人身安全構成威脅。2015年針對物聯網的攻擊可能成為現實,攻擊者可能對家庭路由器、智能電視和互聯汽車等發起攻擊,以獲取敏感信息數據、采取進一步破壞行動,但大規模攻擊還不會出現。
五、工業控制系統的安全風險加大
高級可持續性攻擊的目標正在從傳統的IT系統,轉向石油、天然氣、航空運輸等行業的工業控制系統。近幾年大量的實際案例中,這種趨勢越來越明顯。2015年,工業控制系統的安全風險持續加大,美國、歐盟等都在采取措施加強關鍵領域控制系統安全保護。而在我國,80%的關鍵系統都使用了相同的控制系統,由于依賴國外組件、安全意識低、持續接入互聯網等原因,更容易受到攻擊。
六、發生大規模信息泄露事件
近年來,全球大規模數據泄露事件頻發。2015年大規模信息泄露事件可能再次甚至多次發生,掌握大量個人信息的政府機構、大型零售企業、金融機構、移動應用服務提供商成為信息竊取的重要目標。
七、網絡安全事件造成更大損失
網絡安全事件帶來的經濟損失越來越嚴重。據美國戰略和國際問題研究中心報告,網絡犯罪每年給全球帶來高達4450億美元的經濟損失。2015年,隨著網絡威脅更為復雜、高級,網絡安全事件將帶來更大損失。一是針對關鍵信息基礎設施的網絡攻擊一旦成功,將帶來不可估量的影響,能夠導致化工廠爆炸、火車碰撞、大面積停電等重大安全事故。二是黑客攻擊手段和工具將更為強大,將可對更為復雜的信息系統實施網絡攻擊,從而造成更大影響和損失。三是隨著智能互聯設備成為網絡攻擊的新目標,網絡安全事件將不僅造成經濟損失,還可能危害設備使用者人身安全。
八、網絡空間國際話語權的爭奪更加激烈
2015年,圍繞互聯網關鍵資源治理、網絡空間國際規則等問題,各國在網絡空間國際話語權的爭奪將更加激烈。一是在互聯網關鍵資源治理上,仍然存在“國家主導”和“利益相關方主導”的治理模式之爭,國際社會將積極推進互聯網資源管理權的變革,以改變美國等少數國家掌控互聯網關鍵資源的局面。二是各國對網絡空間規則制定主導權的爭奪將更加激烈。網絡空間尚缺乏一套完善的網絡空間國際規則,以美國為首的西方國家,以及俄羅斯和中國等都推出了網絡空間國際規則的設想,但尚未形成共識。在這樣的背景下,誰掌握了制定“游戲規則”的權利,誰就掌握了網絡空間話語權和制高點,可以預見未來的爭奪將更加激烈。
九、我國信息安全產業高速發展
在一系列利好政策的刺激下,2015年我國信息安全產業將高速增長。一方面,信息安全等IT企業加快并購整合,針對網絡安全威脅加強技術研發,推出更加智能的信息安全設備和服務。另一方面,面對愈演愈烈的網絡攻擊和網絡犯罪,政府、金融、能源等重要行業的信息安全需求大幅增長,帶動市場的快速發展。預計,2015年信息安全產業增長率將達到30%。
十、我國網絡安全立法取得新進展
2015年,我國網絡安全法治建設進程將顯著加快。一是適應網絡安全形勢需要加快修訂原有法律,例如,在刑法修訂中增加關于網絡恐怖主義的相關規定;修訂互聯網信息服務管理辦法,針對新應用建立有效的信息內容管控手段。二是圍繞關鍵信息基礎設施保護、跨境數據流動、信息技術產品和服務供應鏈安全等一系列重大問題,全國人大和相關單位開展更深入的研究,《網絡安全法》取得階段性成果。三是中共中央網絡安全和信息化領導小組辦公室等加快推進網絡安全審查等法律制度建設。
京公網安備 11010502049343號