2015:信息安全向何處去
責編:admin |2015-01-07 12:10:27一個管理者都再熟悉不過的場景:在酒店辦理了入住手續,安頓妥當后打開電腦,連接Wi-Fi,查收郵件……在連接Wi-Fi的時候出現一個彈窗,告訴你“需要更新Adobe Flash以便正常顯示Wi-Fi設置對話窗口”。這時如果你不假思索地點擊“OK”,你可能就此中招了。
—這是最近幾年持續活躍的DarkHotels(黑暗酒店)網絡間諜攻擊行動的典型步驟:首先侵入一家酒店的內部網絡,在酒店客人登陸Wi-Fi時欺騙其下載安裝一款偽裝成“Adobe Flash更新”之類合法軟件的后門程序,成功之后進而自行下載安裝更多的監視和信息竊取工具,然后開始自動收集系統信息,并竊取鍵盤記錄,尋找各種賬號密碼及其他機密信息。
防不勝防吧?隨著芯片、軟件和連接變得越來越無處不在,黑客們也有了越來越多的“用武之地”,信息安全遭遇的威脅也日益增加。此時如何保護和管理全面數字化和高度互聯所產生的海量信息,全面有效地防御各種風險和威脅,成為企業密切關注的課題,同時也是巨大的挑戰。那么,在接下來的2015年,在信息安全,尤其是企業級的信息安全領域有哪些重大的趨勢和相關課題需要我們的決策者充分關注?在12月3日~4日賽門鐵克公司舉行的“Inside Symantec”媒體研討會上,賽門鐵克的多位高管和專家重點從以下幾個維度為我們做了解答。
信息安全威脅可謂愈演愈烈。賽門鐵克《互聯網安全威脅報告》的統計顯示,2013年全球范圍發生的數據泄露事件較上一年增加了62%,所以信息安全專家將2013年稱作“大規模數據泄露年”(Year of the Mega Breach);2014年的數據有待匯總,但從迄今已經發生的情況看,可以預計肯定會再創新高。
尤其值得企業注意的是,針對性攻擊(Targeted Attacks)的規模在大幅增加,頻次上2013年較上一年增加了91%,攻擊者鎖定的目標更加精準,另外每次攻擊持續的時間也變得更長。而從企業信息安全管理的角度來看,應對針對性攻擊的任務顯得更加嚴峻:超過2/3的信息泄露是在30天之后才被發現,平均4個月之后漏洞才得以修復。
而2014年新出現的多個嚴重漏洞,例如Heartbleed和Shellshock,都在提醒安全管理者永遠不要放松警惕。其中于2014年春天宣布發現的OpenSSL“Heartbleed”安全漏洞,讓攻擊者可以輕易地讀取系統的運行內存,從而獲得個人賬戶信息、個人數據和密鑰。賽門鐵克《互聯網安全威脅報告》的統計顯示,77%的合法網站都存在讓黑客們有機可乘的漏洞。賽門鐵克公司網絡安全服務產品管理總監Graham Ahearne指出,眾多跡象表明,更多類似事件將會在2015年內發生,信息威脅制造者和安全管理者之間的對抗會上升到一個新水平上。
Graham Ahearne指出,面對上述新的形式和挑戰,為了更好的保障信息安全,我們需要一些新的思路。首先是要意識到,被攻擊和泄露是不可避免的。畢竟黑客和犯罪分子們有著強大的技術和經驗,而且他們只要成功一次就可以了,而作為信息安全的守護者則需要始終成功。這本身就是一個不對等的游戲。所以,各類組織都要做好一旦發生被攻擊事件的準備。
第二,相應的,各類組織也都要具備一套綜合的安全策略和技術,不僅要把威脅阻擋在大門之外,而且需要識別出那些已經在門內的威脅,并且強有力地將之徹底根除。
具體而言,這個綜合的體系應該包括五個部分:1、識別(Identify):在可能的攻擊實施之前加以識別;2、防護(Protect)在攻擊發生的時候最大程度地保護企業資產,減輕受損;3、檢測(Detect):發現并修補系統漏洞,偵測并阻擋外部入侵;4、響應(Respond):威脅發生時加以有效遏制和修復;5、恢復(Recover):讓企業運營回復正常,同時更新安全管理系統。
而從控制點的角度,則需要同時關注電郵、主機(包括桌面和移動)和網絡三大區域,確保三者都具備有效的安全防護和控制能力,同時也必須確保各個區域內所有行為的公開和透明。
移動安全需要創新的統一化解決方案
隨著企業界紛紛開始在信息系統中部署移動設備,移動安全已經從幾年前的邊緣需求變成企業的核心需求。企業安全主管們開始認真地考慮這些問題:
“如何有效保護個人擁有的設備上的企業App和數據?”
“如何防止企業數據泄露到未經授權的App?”
“如何在不犧牲安全和用戶體驗的情況下盡量提升基于移動設備的生產力?”
“如何應對日益加劇的移動安全威脅?”
IDC的研究數據顯示,中國企業移動管理解決方案市場正在進入快速發展的軌道,2014年的市場空間達到3550萬美元,2014-2018 年復合增長率約為25%。賽門鐵克公司移動部門產品副總裁Michael Lin認為,快速發展的市場背后是企業實實在在的硬需求。這些需求可以歸納為三大方面:1、幫助企業擁抱BYOD,讓員工個人的手機和平面電腦等設備安全、順暢地嵌入企業工作環境:2、幫助企業輕松地管理、保護移動App和數據;3、為企業提供強大而有效的保護措施,來應對移動惡意軟件、灰色軟件的潛在威脅,有效地幫助企業保護隱私和保障工作效率。為此,安全解決方案需要做到能夠實時地為企業提供信息保護、威脅防護和可付諸行動的情報;同時,面向未來,需要能夠提供統一的集成化的安全解決方案,能夠統一管理桌面設備和移動設備的安全。
按照賽門鐵克的戰略布局,企業移動安全解決方案將圍繞網絡/網關、設備、Apps、數據這4個維度構建,而賽門鐵克強大的信息安全情報平臺、動態的情景化政策引擎以及強制執行平臺層將共同為上述各個維度上的產品和服務提供強有力的支援,最后協同打造出理想的系統效果。
物聯網安全需要從設計入手
與人人都擁有的移動設備比較,物聯網的發展狀況沒有那么直觀地被普通公眾覺察到。所以看到下面這組數據很多人會留下深刻印象:根據思科公司互聯網業務系統集團(IBSG)的研究數據,今天接入互聯網的“人”和“物”的數量分別是70億和90億,而到2020年,接入互聯網的“物”的數量將達到500億之巨。
物聯網通過智能感知、識別技術與普適計算、廣泛應用于網絡的融合中,也因此被稱為繼計算機、互聯網之后信息產業發展的第三次浪潮。在為人們的工作和生活帶來高度互聯和智能化的同時,物聯網的發展也隱含著信息安全管理方面的巨大挑戰。
這些威脅實際上已經在我們身邊存在。例如,日益流行的運動跟蹤記錄App和設備每天都在產生大量的個人信息和數據,這些設備和信息如果有別有用心的黑客盯上,其安全性需要打個問號。賽門鐵克的研究表明,由于很多設備和相應的數據管理存在漏洞,讓黑客可以很容易地對用戶進行跟蹤,以及盜取包括密碼在內的個人私密信息。
法國EURECOM學院的科研人員不久前對超過3.2萬個嵌入式設備的固件映像做了分析,發現超過1.4萬個物聯網設備,從路由器到閉路電視監控系統(CCTV)等等不一而足,都存在各種安全隱患,包括零日攻擊漏洞、后門、不安全的密碼和密鑰等。
有的物聯網病毒看上去很神奇。很多人認為,電腦只要不連網,黑客就那你沒辦法,因為惡意軟件總不能跨越“air-gapping”(空氣間隙)吧?但是一種叫“air-gapping”的病毒已經出現,它可以通過聲波,經由麥克風和聲卡等外圍設備來感染目標設備。
賽門鐵克公司太平洋地區資深技術總監Sean Kopelke認為,目前大量存在的物聯網安全隱患,原因在于在系統設計階段沒有很好地重視和認真規劃信息安全管理。物聯網安全需要端到端的解決方案,需要統一規劃三個層面的安全體系,一是服務層面的設備管理、威脅情報和安全分析;二是網絡系統層面的登陸控制、App沙盒以及針對惡意軟件和外部入侵的偵測和防護;三是設備和網關層面的認證、數字或電子簽名保護代碼、App沙盒以及針對外部入侵的偵測和防護;同時,要設計和管理好貫徹整個體系的身份和密鑰系統。
在線信任的未來
“在互聯網上,沒有人知道你是一只狗。”—大家對Peter Steiner的那幅漫畫都會記憶猶新。這幅漫畫最早發表在1993年7月5號的《紐約客》雜志,當時正值互聯網開始向大眾普及的元年,反映了人們對互聯網虛擬空間信任體系建設的疑慮。20年過后的今天,情況如何了?
應該說,網絡空間已經今非昔比。1995年,呼應在線信任的市場需求,VeriSign公司成立,為網站提供數字證書服務。當時全世界總共只有幾千個網站,用戶可以比較容易地管理自己的ID和密碼。根據統計,今天的一個普通用戶在網絡空間中會有24個以上的ID,但是只有4個左右的密碼。
賽門鐵克公司太平洋地區高級主管系統工程師Nick Savvides認為,在線信任管理體系需要一次模式的轉換,來因應網絡空間的發展趨勢。過去的模式是網站單向地向用戶和消費者證明自己的真實可靠性,但是現在,不僅商家甚至政府都想要在網上提供更多的產品和服務,用戶也越來越想要在網上消費得更多,所以在線信任亟需發展為雙向互信的模式。
而目前普遍的解決方案有兩種:一是公鑰基礎設施(PKI)+動態口令(OTP);二是ID聯合登陸,例如用QQ賬號登陸其他網站。這兩種方案都存在問題,對于已經罹患“身份驗證疲勞癥”的消費者來說,前者體驗不佳,后者雖然意在改進用戶體驗,但同時增加了安全隱患。為了做到不犧牲用戶體驗同時保證網絡安全,服務商應該做更多的工作。例如,結合用戶行為數據分析幫助進行身份確認,也可以使用“賽門鐵克身份驗證和ID保護”之類的軟件將身份驗證結合到個人手持設備當中,或者考慮結合手機上的生物識別功能來幫助確認身份。
雙向機器認證(Machine To Machine Authentication)具有很多到獨特的優點,因此應用日益普及。只要做好前期注冊,它在使用中就不需要用戶記住密碼,不需要儲存和核對生物體征信息,因而提供了很好的用戶體驗,另外還可以輕松地添加對新設備的支持。
Nick認為,雖然我們在線信任體系方面做了大量的工作,包括模式的優化,技術的改進,也包括線上快速身份驗證聯盟(FIDO)開放行業標準等舉措,但是總會有信任和安全體系覆蓋不到的間隙存在,這就需要靠一個強大的全球威脅情報和風險分析體系來加以彌補。
這也正是賽門鐵克的核心能力所在。目前,賽門鐵克在全球部署了4個安全運營中心(簡稱SOC,分別在英國、印度、澳大利亞和美國),通過一個強大的數據收集和分析平臺來提供高級的安全監控和管理服務。賽門鐵克的數據分析平臺對來自各種內外部來源的惡意軟件元數據進行分析,目前已經在數據庫引擎上累計加載了150 TB的數據,每天分析的安全事件超過2.15萬起。看看這些天文數字,再看看SOC監控屏幕上隨時映入眼簾的實時威脅信息,你會深切地體會到,我們的信息世界的確是鮮花與荊棘同在。