2014年岁末,据国外媒体报道,索尼影业遭到黑客攻击,公司办公室内的所有电脑均无法操作。索尼创建的十多个Twitter营销账号似乎也遭到了攻击,不停发送内容相同的消息。
据称,黑客们已经从索尼影业获得了大量敏感文件,其中一些文件在打包压缩后被发送到了互联网上。此次攻击影响了索尼影业的日常办公。有报道称,索尼影业的员工们无法发送电子邮件,无法使用电脑,甚至无法接听电话。一名索尼影业的员工对国外媒体表示,他们处于完全瘫痪的状态中……
信息安全是永远的话题。攻击对象在变化,攻击方式在变化,攻击技术在变化,唯一不变的,就是对恶意攻击的坚决抵抗和不妥协。
2014年2月27日,中共中央网络安全和信息化领导小组第一次会议召开。中央网络安全和信息化领导小组的成立,被认为是中国开始高度重视信息安全,希望在信息安全领域有所作为的标志性事件。
由此,中国的信息安全热潮被掀起。驻足回首,我们看到,在已经走过的2014年,信息安全市场正在逐渐成长;登高远眺,我们又会发现,在已经到来的2015年,信息安全领域将呈现更多的变化,值得关注。
威胁质变
互联网正在改变世界。同样,它也在改变人们对信息安全的认知。
互联网、移动互联网、物联网的不断演进,颠覆了人们的生活方式。然而对于攻击者而言,万物互联同样意味着可攻击的目标增多,攻击方法在创新,“攻击面”在迅速扩大,相对应的信息安全防御链条则越来越长,防御思想也在不断进化,信息安全防御面临很大的创新压力。
360公司副总裁曲晓东认为,从索尼影业被攻击等近期频发的一系列安全事件看,现在的安全威胁已经发生了“质”的变化。
“攻击者不再是某些个体,而是有组织的团队;攻击也不再是漫无目的行为,而是瞄准了特定目标;攻击也不再是为了炫耀技术,而是为了潜伏并窃取有价值的信息;攻击者从利用已知的工具和漏洞发展到越来越多地利用未知工具、零日漏洞甚至社会工程学等综合性手段。”曲晓东告诉记者。
持类似观点的,还有山石网科产品市场总监贾彬。他表示,像索尼这样的大型企业,一定拥有比较完备的信息安全防护措施和手段,但是仍然无法避免被攻陷。这就说明,恶意攻击正在升级,给企业的安全防护带来了更大的挑战。
“真正可怕的是,‘攻’进步了,‘防’却没有跟上。”曲晓东说。
启明星辰首席战略官潘柱廷告诉记者,木马、病毒、钓鱼等常见的攻击方式仍然有效,而诸如DDoS等蔓延式的攻击也很难防范,伴随网络带宽的进一步增加,2015年甚至可能会出现1TB流量的DDoS攻击。更为重要的是,APT攻击呈现出泛化的趋势,出于商业竞争的目的,它将更多地出现在企业之间。
不可否认,无论是防病毒还是防攻击,无论是已知威胁检测还是未知威胁检测,安全似乎一直处于后知后觉的状态――发现威胁、分析威胁、形成具体的或通用的特征规则,然后才能对这个威胁进行防御。所以,在面对复杂、未知、定向攻击等高等级安全威胁时,传统安全的防护方式频频失手,缓不救急。
曲晓东认为,以前的信息安全重点强调的是边界安全,在网络的边界上设一些网关类的安全产品,像防火墙、IPS、IDS等。通过这些人为设置的“墙”把攻击挡在企业网络的外围,让它无法进入企业内部。然而随着互联网的发展,企业要想设置并充分利用这堵“墙”越来越困难。
员工的手机、平板电脑等个人终端设备在办公时可以连接到企业的网络,到机场就可以连接到机场的网络,如果这台终端在公共网络中感染了病毒和木马,再回到企业内网时,那么病毒和木马的攻击就有可能不经过企业边界的安全设备而进入企业内网。
其实,万物互联远不止智能手机可以随时随地接入网络这样简单。大量可联网智能设备的涌现,以及原先封闭的、与互联网物理隔离的工业控制系统逐渐采用通用协议接入互联网,都存在着巨大的安全风险。
“我们把这种现象叫‘边界模糊’或者‘边界消失’,这对传统的企业安全提出了严峻的挑战。如果企业的边界模糊了或者边界消失了,那么部署在企业网络边界的‘墙’就形同虚设。”曲晓东说。
潘柱廷指出,如何保障工业控制系统安全对用户和厂商都是个挑战。对于安全厂商而言,由于工业控制系统的封闭和不通用,使防护方案的研发成本极高。而且,工业控制系统很容易成为高级威胁的攻击目标,因为它一旦出现安全问题,将有可能酿成严重的事故。
“毫无疑问,高级威胁将成为未来安全事件的主流。”曲晓东判断。
智能应对
道高一尺,魔高一丈。在信息安全的攻防大战中,双方此消彼长的较量从来没有停止。如果安全威胁真的发生了质变,那么我们的安全防御体系应该如何应变呢?
潘柱廷给出的答案是大数据。
“哪个安全厂商率先掌握了大数据技术,哪个厂商就掌握了技术不对称的优势。”潘柱廷告诉记者,在攻防类安全实践中,核心任务就是威胁检测。防护一方的首要工作就是检测出威胁,只有将威胁及时、顺利地检测出来,才能让后续的防御工作有效进行。如果能够在企业网络中尽可能多地采集数据,把更多的异常数据纳入到检测的范围,并通过大数据技术进行分析,无疑会大大增加威胁检测的成功率。
当然,应用大数据技术完美实现威胁检测可以说是一个美好的愿景。但是,它需要解决的新问题就是如何把在企业网络中采集到的海量的、多维数据进行有效分析,从而提取有价值的信息。近年来,山石网科一直在强调智能安全的理念。在记者看来,所谓智能,必然要和大数据技术紧密联系在一起,以有效的大数据分析作为基础,才能实现真正的智能。
贾彬介绍,相对于基于特征匹配的传统威胁检测方式,新的智能安全应该是基于网络行为分析的。这是因为,攻击者会采取不同的攻击方式、不同的工具、不同的木马变种,特别是一些高等级的攻击者会针对攻击目标定制开发攻击工具,让攻击过程变得更加隐蔽,难以察觉。然而,任何一个网络攻击都会具有扫描、植入、传输等相对固定的攻击行为。对企业而言,如果防护系统能够对企业的正常业务行为进行学习,从而在日常监控中发现与正常业务行为不匹配的异常行为,就能更加高效地发现威胁。 曲晓东则强调,面对如今的IT环境,单纯依靠封堵的方法已经很难抵御网络攻击。除了大数据技术之外,为了应对企业边界模糊或边界消失带来的安全挑战,需要采用“云+端+边界”的立体化解决方案,只有“云+端+边界联动”的综合立体防御体系才能帮助企业灵活、快速、最大限度地减少来自高级安全威胁的影响和损失。
安全协作
“现在,为了利益最大化,攻击方都能够联合起来。那么,作为保护企业信息安全的中坚力量,安全厂商为什么不能联合起来呢?”潘柱廷发出呼吁。
事实上,面对升级的安全威胁,除了创新的安全防御技术和策略,还有重要的一点就是协作。通常,为了保证对技术的足够投入和专业性,安全厂商往往只专注于信息安全的某一个或某几个领域,而且往往专注的安全厂商也更容易获得用户的信赖。但是,信息安全防御的链条越来越长,已经鲜有厂商能够提供覆盖全链条的安全防御解决方案,这时,安全协作就显得更加重要。
“在美国,安全厂商之间的协作司空见惯,一家很小的厂商都可以共享到大厂商的安全数据。”潘柱廷表示,厂商协作首先要落地的是安全数据的共享。目前,启明星辰已经开始和国内其他知名安全厂商进行安全数据共享,这对研究攻击行为,保障企业信息安全具有重要的意义。“此外,针对DDoS这样的攻击,我们也在呼吁成立‘反DDoS’联盟。因为这种攻击从用户的角度很难防御,如果通过某种联盟的形式,可以从攻击发起端进行限制,将很大程度上改善目前对抗DDoS攻击的局面。”潘柱廷说。
“在国内信息安全产业链条中,大厂商之间的合作较少,同时充满了低水平、同质化的竞争,从而形成利润率低、技术水平低的恶性循环。360公司进入企业信息安全领域,给产业带来了新技术、充裕的资金、开发用户体验更好产品的能力。”曲晓东认为,360公司进入企业信息安全市场后,与其他安全厂商进行了一系列合作和整合,给整个产业带来了新的机遇,也造成了鲶鱼效应。
本土力量崛起
显然,在信息安全产业中,政策和合规性是比较强的驱动力。
在过去的2014年,中共中央网络安全和信息化领导小组成立、首届世界互联网大会召开、首届国家网络安全宣传周启动……一系列事件让中国的企业和个人用户深切感到了信息安全的重要性,安全意识得到提升。信息安全已经深入到国家治理、企业经营和百姓的日常生活中,并且与国家安全息息相关。在信息安全和自主可控的呼声下,本土安全厂商正在迎来巨大的发展机遇,并茁壮成长。
工业和信息化部中国电子信息产业发展研究院信息安全研究所所长刘权告诉记者,据他们统计,中国整体安全产业规模在2014年达到了550亿元左右,同比增长约26%。
贾彬介绍,2014年山石网科在很多方面取得了重大突破。“随着用户信息安全意识的提升和对信息安全认知的成熟,他们在采购信息安全产品的时候从看重性价比逐渐过渡到更加看重产品的品质。这就给山石网科带来了更多的市场机会。”贾彬告诉记者,山石网科已经成为金融等行业用户在信息安全领域替换国外产品的首要选择之一。同时他预计,在2015年,山石网科在政府、金融等领域的业绩还将有大幅增长,甚至会翻番。就在记者截稿时,中国电信2014年IP网络安全设备集采结果全部出炉,山石网科凭借防火墙、防病毒、内容过滤等功能,以及高性能、高可靠等特性,成功中标该集采防火墙标段的全部四个标的。
360公司的成绩则更加有目共睹。“360漏洞实验室被誉为东半球最强大的白帽子军团。目前,360已经成为全世界报告软件漏洞数量最多的安全软件公司之一,在这方面超过很多国外知名安全厂商。从2009年到2014年,360公司共63次因挖掘并协助修复漏洞获得微软官方公开致谢,漏洞挖掘与专业防护技术在世界中居于领先地位。”曲晓东说。
可以说,360公司把互联网公司的产品设计理念和创新方式带入了信息安全领域。他们对国外新兴安全厂商Splunk、FireEye、Bit9等进行了跟踪和深入研究,进行了安全技术和安全产品的创新。曲晓东介绍,“360天眼”目前已经是一款非常成熟的产品,它是360公司针对企业用户推出的带有大数据功能的边界安全产品,可以提供全面的定向攻击、APT攻击检测与分析方案,专注于高级威胁的发现,能够对各种已知和未知威胁进行不同维度、不同攻击阶段、不同攻击技术的立体化检测,并且利用大数据、威胁情报及可视化分析等多种先进技术,回溯攻击过程、分析攻击技术和其影响范围,确定攻击目的。曲晓东认为“360天眼”是解决当前企业面临的主流安全威胁的卓有成效的安全工具。
“基于‘云+端+边界’的企业安全立体防护理念,我们还推出了针对桌面端和移动端的安全产品‘360天擎’和‘360天机’,它们成为优秀的企业终端管控系统,在政府、电力、航空、能源、金融等领域均已经有用户在使用。”曲晓东说。
政策制定提速
就在中共中央网络安全和信息化领导小组第一次会议召开的两周之前,美国政府发布了由美国国家标准技术研究所(NIST)制定的《关键基础设施网络安全框架》。这是棱镜门事件后,美国政府首次出台国家级信息安全指导规范,也是奥巴马政府2013年启动保护关键基础设施信息安全战略以来的第一个基础性框架文件。
政策是信息安全产业绕不开的话题,因为信息安全不仅是技术问题,更是产业问题。在中国信息安全产业蓬勃发展之际,我们应当看到我们与美国等科技和网络安全强国的差距,加快步伐,这也是我们的任务。
“要应对美国等西方国家的信息安全政策,我们就应该有更多的动作,尽快制定相应的政策,从政策层面上达到攻守平衡。”潘柱廷向记者表示。
中共中央网络安全和信息化领导小组的成立给予了信息安全最高的组织和机构保障,从而有效推动了信息安全的政策和法治建设。刘权向记者介绍,2014年,中共中央网络安全和信息化领导小组办公室召开专题会议讨论网络立法问题,全国人大也将《网络安全法》列入立法工作计划。2015年,我国网络安全法治建设进程将显著加快。他预测,在网络安全立法方面,首先会加快修订原有法律,例如,在刑法修订中增加关于网络恐怖主义的相关规定;修订互联网信息服务管理办法,针对新应用建立有效的信息内容管控手段。其次,围绕关键信息基础设施保护、跨境数据流动、信息技术产品和服务供应链安全等一系列重大问题,全国人大和相关单位将开展更深入的研究,《网络安全法》将取得阶段性成果。再次,中共中央网络安全和信息化领导小组办公室等机构将加快推进网络安全审查等法律制度建设。
“美国已经建立了《经济间谍法》、《计算机欺诈与滥用法》等法律构成的相对完备的反网络窃密法律体系,相比而言,我国在此领域的法律建设还相对落后,难以对类似起诉形成反制。此外,由于近两年网络安全形势飞速变化,新威胁层出不穷,信息数据的跨境流动、移动互联网时代网络数据和隐私保护、高级可持续性威胁背景下重要信息系统保护、政府信息安全管理、信息技术产品的安全审查、网络犯罪电子证据取证程序等方面都需要立法进行规范。”刘权告诉记者。
当然,信息安全包含了信息系统安全、网络基础设施安全、内容安全等诸多方面,在哪些领域迫切需要网络安全年立法,以及如何通过立法加以规范,仍然需要明确。
