“理想很丰满,现实很骨感”,本来这句话用来形容中国信息安全现状是再适合不过的了。但是随着信息安全的受重视程度不断加深,现实也并不是那么“骨感”。
理想:安全上升至国家层面
虚拟化、大数据、云计算、BYOD甚至新兴的可穿戴智能设备都是近两年IT届炙手可热的技术和产品。然而这所有的一切,都依托于一个关键技术,那就是互联网。伴随着互联网的飞速发展,以及IT与CT技术的深度融合,越来越多的新技术在使我们的生活和生产变得更加多姿多彩和高效。
与此同时,信息安全问题也日益突出,甚至已经发展到了国家战争的层面,早已不是“小打小闹”的年代了。尤其是在国家信息化建设的政策推动下,政府、金融、能源等等行业,以及众多的中小企业的业务开展都依赖于信息系统,因此信息系统能否安全可靠运行对企业来说变得尤为重要。
党的十八大报告指出,“建设下一代信息基础设施,发展现代信息技术产业体系,健全信息安全保障体系,推进信息网络技术广泛运用”,首次在党的报告中明确提出了信息安全保障体系的概念。此外,国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》中明确提出要确保重要信息系统和基础信息网络安全,能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络,要同步规划、同步建设、同步运行安全防护设施,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。
由此可见,大力推进信息化发展和切实保障信息安全,对个人隐私保全、企业秘密保护,甚至国家安全稳定都具有及其重大的意义。
现实:万人空巷的信息安全大会
“棱镜门”事件的突发,让身边的亲朋好友都开始关心信息安全和个人隐私问题,随着事件的持续发酵,更触痛了中国信息安全建设那一根脆弱又敏感的神经,让沉寂了多年的中国信息安全界顿时沸腾起来,更有望通过此事件来刺激平淡的中国信息安全市场。
当然,也有人说这一切都是假象。然而近日的一场互联网信息安全大会的召开,让我们看到了中国信息安全的希望,梦想照进现实的希望。这场盛会就是由中国互联网协会、中国信息安全测评中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)指导,360公司主办的2013中国互联网安全大会(ISC)。
在会前,就有人曾表示本次会议绝对会是国内规模最大的信息安全专业会议。果不其然,作为一场持续三天的大会,在第一天人流量就已经超过了7000人次,“中国规模最大的信息安全专业会议”的头衔绝对实至名归。笔者在参与会议之余,也在各个安全厂商的展台中穿梭,无一例外地都门庭若市。可见大家对于信息安全的关注是多么的火热。本届ISC汇聚了近百位全球顶级信息安全专家,中国工程院院士、中国互联网协会理事长邬贺铨、美国智库战略与国际研究中心( CSIS )高级研究员、技术和公共政策项目主任詹姆斯•刘易斯、AV-Tes t反病毒测试公司CEO安德烈亚斯•马克思、Gartner咨询公司研究副总裁彼得•福斯特布鲁克、360公司董事长兼CEO周鸿祎、360公司总裁齐向东等重量级嘉宾针对安全行业的热点话题发表了精彩言论。
理想:共筑安全世界
“我有一个梦想,有一天我们能办一个中国自己的网络安全大会,在这个大会上也能秀出我们自己独特的网络安全技术。”-周鸿祎
有统计表明,云计算、大数据、移动和社交网络已经成为了企业CIO们最关心的四大关键词。同时,在使用技术时,CIO们最担心的问题方面,安全居首。下一个五年、十年间,新技术给我们带来无限向往未来时,网络安全会变得更加重要,网络安全挑战也会更加严峻。
周鸿祎在ISC大会上分享一些他和360公司对安全趋势和技术的一些理解。他认为,终端安全未来会变得越来越重要;云安全和终端安全的结合是未来安全方向之一;通过白名单的方式可以极大地减少未知威胁带来的风险;网站安全会变成企业安全和个人安全非常重要的一个环节;移动安全的威胁无处不在,将会面临巨大挑战。
周鸿祎细道:“从对大量的入侵分析来看,它们不再发生在网络底层,而是更多地发生在应用层。换句话说,在网络边界处很难实时地去判断它是不是一个威胁或攻击,因为很多攻击和威胁只有在用户终端上才会真正地发挥作用。另外,现在的网络攻击,特别典型的实际都是通过在终端处对某些关键性的个人进行攻破和渗透,因此终端安全越来越重要。但是要真正判断是否是真的威胁和攻击,单靠终端处理和判断已经变得极其困难,必须依靠云计算的能力,这也是为何说云和终端的结合是未来安全的方向。我们发现国内75%以上的网站都存在不同程度的高危漏洞,30%的网站是存在后门的,这就会给黑客攻击者带来可趁之机。这会和终端形成循环,如果终端安全做得不好,管理员的口令就会被获取,反之如果网站本身有漏洞,就可能渗透到企业的内网,带来风险。”
在技术之外,周鸿祎还谈到了良好的用户体验对于安全的重要性。他表示:“企业内部打补丁是最重要的,否则很容易被攻击。原来某公司做了解决方案,但极其复杂,最后很多员工不是忘记打补丁就是懒得打补丁,甚至把这个功能给关掉了,这会造成很大的安全隐患。如今安全行业面临很多竞争,更多的我认为是面临颠覆式的挑战,而用户体验的挑战会成为竞争的焦点。企业员工会成为这些软件重要的参与者,他们会成为软件改进意见的贡献者,也会成为企业内部安全网络共建者,使得CIO、CTO和企业员工喜欢用你的产品,乐于主动使用,这样对企业的安全才能有真正的保障。”
现实:“靠边站“的安全
虽然国内外发生了很多起严重的网络信息安全事故,但是“业务优先,安全靠边”思想仍然根深蒂固,尤其对于一些电商来说。使得安全建设缺乏统一规划,给攻击者留有可乘之机。直接导致了安全建设在国内成为了“样子货”和“亡羊补牢”的工具。
虽然我国效仿美国的萨班斯法案(SOX)颁布了中国版本,即《企业内部控制基本规范》,并且2009年在上市企业中实施,但是对于众多的非上市公司,只是鼓励施行,并未强制实施。当然,我过还有所谓的等级保护制度来确保企业信息化建设的合规性。但是等保制度只是最低的底线,就像西方有句老话所说的那样,“法律是最低的道德,道德是最高的法律。”企业的信息安全建设不能一直被法律法规以及合规性所推动,必须建立起良性循环的安全意识。在这一点上,中国企业还有很长的路要走。
360公司总裁齐向东在接受本报采访时也表示:“中国企业安全现状比较令人担忧。很多企业对安全不重视,他们解决网络安全问题只是为了免责。即便部署上述的安全系统也基本上都是一些陈旧的系统,但是新兴威胁和挑战正在突破我们原本在互联网上部署的边界安全或终端安全体系,我们必须要采用一些新的方法或创新技术才能实现我们整个企业安全的最终解决方案,这些新的技术和新的方法在国内企业里采用的情况并不积极,还仅仅停留在安全公司、研究机构的研究上。”
美国智库战略与国际研究中心( CSIS )高级研究员、技术和公共政策项目主任詹姆斯•刘易斯在其主题演讲中也讲道:“现在全球很多企业低估了网络的风险。我曾经与华尔街一些公司的CEO进行交流,他们对网络安全并不太关注,能够完成这一季度的财政业绩为什么要担心网络安全问题呢?我认为这是错误的态度,这个错误的态度是很多企业都面临的。人们没有意识到风险所在,没有做出很好的判断,没有看到网络的脆弱,没有看到它影响到国家的安全和经济发展。”
理想:APT无坚不摧
谈到国家安全和经济发展问题,“震网”蠕虫病毒就必须要谈,该病毒由内部间谍通过U盘代入物理隔离的内网系统并扩散,从而成功攻击了伊朗的铀浓缩设备,直接导致伊朗核计划不得不拖后两年。今年,韩国爆发历史上最大规模的黑客攻击,大量企业,包括韩国主流银行和电视台的计算机被破坏及瘫痪,导致无法提供服务,并且大量资料被窃取。上述两个案例的幕后黑手正是APT(高级可持续性威胁)。
一直以隐秘性作为主要特色的APT,在面对系统多层防御体系的重重包夹下,正在将隐蔽性推向极致。APT攻击不是一个整体,而是将众多渗透技术整合在一起实现的隐秘性攻击手法。攻击者会将大量已知文件与企业白皮书融合至钓鱼活动中,以极具迷惑性的方式向感染目标推进。他们能利用那些通常比较安全的文件伪装自己并以此作为武器,比如在附件中有PDF和word文件,而该攻击者又手握三个PDF漏洞与两个Word零日漏洞,那么拿下一个系统就只需等待一条上钩的鱼了。
一般来说,连入内网系统的电脑中,只要有一台电脑被黑客攻破,那么就有可能造成内网安全体系的崩溃和商业机密的泄露。也就是说,安全性最差的一台电脑实际上就决定了整个企业内网系统的安全级别,这就是企业安全问题中的木桶效应。人永远是企业安全环节中最脆弱的一环。
国家网络信息安全技术研究所所长、国家计算机网络应急技术处理协调中心(CNCERT/CC)副总工程师杜跃进博士介绍道,2010年以后出现了一类他称之为“大玩家”的APT攻击者,这类型的攻击者后面往往掩藏着政治动机。杜跃进认为,“动机不一样,目的就不同,进而行为就不同。因此很多人认知APT的本质是分析线索,我却不那么认为。如果是大玩家,他感兴趣的不仅仅是偷东西,可能涉及到像基础设施这样的领域,甚至对经济、能源、科技、国防等等领域里面的信息进行窃取或信息替换和篡改、瘫痪、破坏,甚至引起社会动乱、导致政权更迭等等,这些都有可能是大玩家所想的事情,显然这和过去的目标不一样。对于大玩家来说,我们原来认为一些不可能的行为,对大玩家来说就可能了;我们原来觉得安全的,现在可能是不安全了。“
曾经中国知名黑客吴鲁加从另一个方面谈到了APT攻击:“这两年在被挖掘出来的APT事件里面,有很大一部分都搀杂着社交工程这种因素在里面。我认为首先是在目前的安全防御措施非常多的情况下,社工在一定程度上成本已经更低了。第二个原因是人员是一个漏洞,不管系统配置得多好,但是实际上很少有人能够把系统打造的很安全,而且哪怕你真的能做到十分安全,但是每台设备都是由人来操纵的,人人之间的,系统间的配合都是有间隙的,所以社工是永远阻挡不了的。另外,社工无法根本防御。悲观的原因有如下几个,首先社工是针对最短板,利用各种各样的细节进行挑战,可能会利用大数据,导致了单点防御效果会很差,再利用人与人之间的信任关系,包括对人和流程的信任,所以它非常的难确认和追查。”
现实:APT并不高级
虽然表面上来看APT叫做高级可持续性威胁,但是安天实验室首席架构师肖新光却认为它并没有那么高级。他表示:“我们提取了印度针对中国和巴基斯坦实施攻击中的六个样本,它们的边缘性、壳和各个方面的策略均不统一,整个的编写行为也看不到更多的闪亮的地方,证明技术水平不高,且组织无序。所以高级并不一定代表所谓技术的高明性。我们总结了APT的手段和趋势,我们分为前导,潜伏与入口,持续、通讯、破坏构成整个环节。梳理过后发现,除了基于特种设备的一个渗透方式,不属于传统的恶意代码范畴之外,除了破坏一些针对工业系统的破坏也超出了传统恶意代码视野之外,绝大多数的分支都是在既有的恶意代码已经建立的方法范围之内。也就是说所谓的APT没有更多新的突破。”
肖新光也梳理了目前所提出的APT检测方法,包括对大数据的留存和追溯,以及建立相应的深度分析点和分析方法,还包括后台进行的简要判断和依托哪些知识和增加哪些前景的解决方案。实际上已经涵盖了我们到今天为止几乎所有的网络安全环节,。也就是说他绝不是一个单点产品的问题,而是一个用既有体系对抗新的威胁体系的过程。在360与Gartner联合出版的《互联网时代的企业安全发展趋势》白皮书中也
指出,现有的信息安全防护手段无法阻止APT攻击。缺少对威胁和攻击者情报共享的机制,单个企业无法对自己进行有效的保护。
该报告还显示,到2020年,企业信息安全保护必须向以信息和人员为中心的战略转变,同时必须结合全面的内部监控技术和情报共享技术。在大多数情况下,信息必须成为我们信息安全策略的焦点。通过识别用户和系统在企业内创建、操纵、转化、存储和归档敏感信息的位置,转变为使用信息生命周期方法来实现信息保护。到2020年,以技术控制为中心的传统信息安全方法将会过时。企业必须将安全计划重心转换为快速检测和响应,尽管仍需要防火墙和IPS等预防性安全措施,但这些技术的成效和相关支出将减少所占信息安全预算的百分比。绝大部分信息安全支出将转向支持快速检测和响应功能,继而与保护系统链接,以阻止攻击进一步蔓延。
报告还指出,可为用户访问建立基准,并分析怀有恶意的异常行为,例如:访问频率,下载的信息量,所访问信息和背景信息的类型,如一天之中的具体时间,或发出请求的设备类型。
另外,充分贯彻纵深防御的思想,在各个不同的层面和角度实施安全方案,避免出现疏漏,不同安全方案之间需要相互配合,以充分构成一个有机整体。虽然网络攻击方法、种类繁多, APT攻击让人防不胜防,但是从概率论的角度可以证明,针对特定威胁的部署协同技术越多,压制威胁的可能性也就越大,也就是说,虽然企业部署的任何一项技术都无法100%地防止网络攻击的成功,但是将所有安全设备和技术有机地整合到一起,并协同工作形成联动效应,是可以将攻击的成功率有效降低的。
结束语
全社会以及企业需要真正从思想上重视网络安全,才能让中国信息化建设进程大踏步地向前发展,让我们能够生活在一个健康的互联网环境中。通过刚刚结束的中国互联网安全大会,笔者很欣慰能够见到那么多的参会者,可见信息安全已经得到了越来越多的重视。信息化是继农业和工业之后的第三次生产力变革,通过信息化建设的完善,我们能够进一步解放生产力,提高生产效率。
与此同时,互联网上的资产越来越多,不只是国家的资产,个人资产和企业资产也都能在网上触及到,这时候必须重视信息安全,正视安全在我们的生活和生产中所起到的巨大作用,将安全作为国家信息化建设的基石,企业系统设计规划的必须属性,以及个人隐私的保卫者。