網絡安全:全國產還不夠 攻防更有效
責編:admin |2014-10-08 14:41:35今天,網絡技術的飛速發展并沒有帶來網絡環境的凈化,反而是安全問題越來越嚴重。有關部門監測到,僅今年上半年,新增的移動惡意程序相比去年同期就增長了13%。如此形式下,以現有的安全技術和ICT產業基礎,國家的安全該如何保障?企業的安全該如何防御?在2014互聯網安全大會上,各專家拋出新一輪的觀點,集中指向在當前薄弱的信息安全基礎設施下,網絡安全應以攻防結合為主。
不團結就不安全
每一家安全廠商都希望做大而全的完整的產品線,但每一個點上都做得很粗糙。想的是怎么分蛋糕,而不是怎么把蛋糕做大。
其實,中國的網絡安全薄弱到何種程度,很多人并不知曉。
去年有兩件非常轟動世界的事都和中國相關:一個是在2月份美國發布了APT分析報告,另一個是6月份發生的斯諾登棱鏡門事件。
國家計算機網絡應急技術處理協調中心副主任兼總工程師云曉春透露,從APT分析報告和斯諾登公布的資料發現,中國的技術和美國相比差距還是非常大的,包括威脅評估、追蹤溯源、取證能力。美國擁有全面的監管和精確制造能力,而中國在網絡安全基礎設施方面仍然非常薄弱,防滲透能力非常差。而且,從棱鏡門事件可以看到,美國在面臨網絡安全問題的時候能夠有效協調安全廠商、技術機構、媒體形成常態化優勢,而中國在技術標準、監管機制和產業聯合引導方面還是非常不足。
今年上半年的“心臟出血”漏洞,引起全世界高度重視。有機構初步統計了約20個國家的OpenSLL漏洞修復水平,能在漏洞被發現72個小時后修復的,全球平均水平是40%,但中國僅有18%的網站修復了漏洞。直到現在,還有16%的網站沒有進行修補。
另外,產業界的不團結也是導致安全技術和安全防護能力不高的原因。“每一家安全廠商都希望做大而全的完整的產品線,但實際上每個點上我們似乎都做了,每一個點上我們卻做得都很粗糙。大家更多的追求的是商業模式上的創新,在技術方面,實際上我們投入得非常少。”云曉春說,“這樣的結果是大家都聚焦在一個有限的市場上,想的是怎么分蛋糕,而不是怎么把蛋糕做大。同質競爭的結果往往是高質量的安全產品賣出了一個白菜價,導致廠商盈利能力越來越差,也導致整個技術創新能力提高幅度有限。”
反過來看,美國的安全產業總體格局非常完善,在最底層有強大的、全世界都要使用的基礎信息巨頭IBM、微軟、思科等,在上面有一系列網絡安全的產業聚集,而且有一系列的專業安全廠商,同時針對相應的政府部門有一系列的專業技術企業,所有這些企業就構成了一個完整的網絡安全產業格局,這種體系格局自然而然對提高美國整體網絡安全能力變得非常重要。
全國產不是唯一保障
就算全世界用的都是華為的路由器,也依然解決不了數據會在世界上繞一圈再回來,這就無法保證根本性的安全。
現在,很多人強調要實現網絡安全,首要是要IT基礎設施和信息系統從上至下都是國產。但是,全是國產的,并不能解決問題。
網絡安全應急技術國家工程實驗室主任杜躍進認為,因為今天的網絡本身就存在很強的依賴關系,例如需要域名解析和國外企業的認證,需要國際的計費和路由系統的支撐。網絡安全對抗不僅僅是說數據本身的保護,也包括系統運行本身的保護。“震網”病毒侵入伊朗,提醒了我們只從系統安全的角度來看今天的網絡安全是有問題的。因為從系統安全思考網絡安全,會想如果用國產的CPU、國產的操作系統、國產的數據庫不就安全了嗎?其實不是的。處在網絡環境中,就算全世界用的都是華為的路由器,也依然解決不了數據會在世界上繞一圈再回來,這就無法保證根本性的安全。
一味防御不如攻防結合、抓住機會進攻。據悉,今年5月周邊某國匿名者組織了對我國的網絡攻擊行動,篡改了一大批網站。今年6月,又有幾個周邊國家20多個黑客組織聯合起來攻擊中國,篡改了境內多個網站。思科系統亞太區、大中華區首席信息安全官江明灶就指出,在安全事件中,29%~54%的企業或機構都是超過幾個星期或幾個月才發現自己的網絡被攻破了,此時數據早就已經泄漏。很多企業安全管理的做法主要針對防控,但是預防是針對知道的問題才能預防,不知道的根本無法預防。當一些新的漏洞被發現、新的攻擊大量出現時,對方利用這些漏洞攻擊系統時自己是不知道的,如果只顧著防御,很快就會被攻破。
所以,攻擊才能有效牽制對方發動攻擊的意圖。對于安全基礎薄弱的一方來說,如果已經成為對方攻擊的目標,與其被動挨打,不如主動出擊,擾亂對方視線。
不拘一格出人才
安全行業未來一定是人才的競爭。網絡安全保障能力其實取決于服務、取決于提供服務的安全人員技術水平。
在杜躍進看來,網絡安全的本質是人和人之間的攻防對抗。中國對網絡安全提出了“戰略清晰、技術先進、產業發達、攻防兼備”十六字方針,杜躍進將其解讀為:這些方針實現的基礎是人才。
云曉春指出,我國在網絡安全方面的投入絕大多數花在硬件上,一部分花在軟件上,很少一部分放在服務上,但是國外是將絕大部分投入放在了購買安全服務上。這說明,國際上通常認為的網絡安全保障能力其實是取決于服務、取決于提供服務的安全人員技術水平。如果有非常強大的安全團隊跟蹤網絡設備的運行情況,即使設備能力稍微弱一點,安全保障能力也能跟得上。所以,人才的能力對網絡安全始終是最重要的。如果整個國家、整個產業重視安全服務,那么安全隊伍也會人才輩出。
其實很多企業抱怨,高校培養出來的科班信息安全人員往往不能用在企業的安全技術研發創新上,也勝任不了攻防任務。偏偏很多不是學軟件、安全、計算機專業的人,以前沒有接觸過編程的人,成了網絡安全高手。他們以前有做律師的、做醫生的,也有做金融的、學數學的等等,因為興趣而投身到網絡安全中,成為頂尖的黑客。
360公司董事長兼CEO周鴻祎認為,安全行業未來一定是人才的競爭。美國已經有網絡部隊了,中國到目前為止還沒有,這方面的人才其實比較缺乏。而美國的網絡安全除了靠網絡部隊,還有很多民間承包商和民間公司幫助她做很多國家安全的事情,中國要學習這一點。以前,中國的安全人才有三個流向,一個是去了美國,另一個是落入了黑色產業鏈,還有一個是白帽子。現在搞攻防大賽、XP挑戰賽,就是要將落入黑產的安全人才拉到白帽子行列,而重視安全服務,給安全人才更好的待遇,也能為培養安全隊伍打下基礎。
專家觀點
國家計算機網絡應急技術處理協調中心副主任兼總工程師云曉春
合作才能構建完整的漏洞防御體系
在現代這種高水平、高強度的攻擊下,一方面絕大部分的部門沒有專業能力應對高強度的攻擊,另一方面,因為各干各的,最后形不成整體合力,因此真正大規模攻擊發生的時候各單位都顧此失彼,最后沒有辦法有效應對。我們面臨的問題是分而有余,合而不足。之所以出現越來越多的網絡安全問題,一個基礎的原因是我們現在在網絡安全方面的法律體系不健全,這種不健全,意味著在網絡上進行犯罪的成本非常低。低成本的犯罪自然而然就縱容了網絡各種攻擊行為的出現。但更重要的是在目前的情況下,我國網絡安全保障工作體系化能力不足,沒有一個有效的、整體的防御體系和規劃,最后導致當真正的攻擊來臨的時候,處理的難度非常大。網絡安全體系保障的困局,最終導致了我們在互聯網安全方面治理的困難。
要想解決整個國家網絡安全保障體系能力提升的問題,實際上最重要的一點就是合作。我們知道網絡安全根本性的問題是因為存在漏洞,如果我們能夠預先知道漏洞,在這個漏洞被利用前能找到并把它修補起來,自然而然網絡安全的保障能力就能很大提升。如果想提高發現漏洞的能力,就需要構建一個漏洞防御體系。其中,構建一個好的漏洞報告平臺非常重要。依賴于某一個人或某一個團體就把所有的漏洞都發現,是不可能的事情。只有發揮全社會的力量,大家一起來干,才有可能把盡可能多的漏洞發現。
此外,還需要有專業的團隊進行檢驗和評估,判斷漏洞的危害性。當然漏洞出現了以后,相應的廠商要結合到體系內,把他自己產品的漏洞及時快速地修補起來,甚至做產品的召回。同時用戶接到漏洞的通報信息以后,也要能夠迅速地按照要求把補丁打上。
只有把報告平臺、專業隊伍、生產廠商、產品用戶團結起來合作,才有可能構成一個比較完整的漏洞防御體系。
中國工程院院士、車聯網專家郭孔輝
智能汽車安全狀況堪憂
車聯網的推廣和普及拉動新的巨大產業鏈,對GDP有強力拉動。假設平均一輛汽車設置的車聯網硬件是5000元的話,現在年產2300萬輛車,一年的附加值可以達到1000億元以上,可是軟件和地面設施各種服務就可能達到上萬億元的產值。車聯網產業鏈越來越長,汽車產銷經營活動加入了很多服務的內容,汽車制造商和信息集成商、服務商可以直接聯系,聯通到各個領域的服務部門。
但是,車聯網、物聯網又帶來了安全的風險,信息技術在汽車上的應用也成為了雙刃劍。目前智能汽車至少有超過80個智能傳感器,每天傳輸的數據高達100M,這些數據涵蓋了汽車和駕駛者的個人信息,利用市面上隨手可以得到的汽車診斷設備外加一款應用軟件即可實現對智能汽車的攻擊。有網上傳言,只要10美元就可以攻破奔馳和寶馬。最近360破解了特斯拉Model S應用軟件的一些漏洞,并實現對特斯拉車的開鎖等行動。
以OBD技術為例,它是用來自行診斷車輛故障類型的功能模塊,可以遠程通過手機進行遙控,可以讓汽車駕駛途中中途熄火,遙控打開其后備廂進行偷盜,隨時可以讓汽車車門打開,進行很多不安全的動作。有的還有自動的防撞系統,剎車一下后面追尾就一大串。這種應用軟件一旦放到網上公布,任何使用手機的人都有可能變成汽車的黑客,這將是災難性的。針對車聯網行業防OBD攻擊的智能汽車防火墻產品,SyScan360已經首次開始亮相了,可是道高一尺、魔高一丈,之后的發展前景還是值得憂慮的。
網絡安全應急技術國家工程實驗室主任杜躍進
用競賽尋找網絡安全人才
網絡安全的本質和其他的東西不太一樣,本質是人和人之間的攻防對抗,并不是客觀的。打個比喻,當對手已經用上隱形的戰機飛越屏障時,我們還想象著要修一個長城就可以打退敵人,這顯然是無法攻防對抗的。你必須要了解對手是人不是一個已經寫好的程序,更需要像對手一樣思考。現實中防御團隊做的很多東西,與攻擊團隊的思路很不一樣,防御的手法很容易被攻擊者繞過去。所以對做網絡安全的人來說,不能只是從自己的想象出發,還要了解自己的對手。例如網絡釣魚,專家給出的防范網絡釣魚的方法有很多條,而實際上,這些方法都可以被黑客繞過去,最終的結果是防不勝防。
我認為解決網絡安全問題的方法之一是競賽,更廣泛地用集體的力量來幫助我們解決問題。競賽分成三種不同的類型,第一類是挑戰賽,針對一個真實存在的系統或者是應用尋找問題,進行改進。
第二類是創意賽,尋找新的方法。比如想解決一個問題,某一個人的方法證明效果最好,我們就把這個方法拿出來解決實際問題。現實中有非常多的東西可以用這種方法來找到答案。
第三類是對抗賽,在比較短的時間里通過攻防對抗的方式和合作的方式找出誰的技術積累、快速分析能力、應變能力最強,從防的角度來說也可以驗證真實的效果。
我們認為,網絡安全的人才是要在實際場景中練出來的。
360公司董事長兼CEO周鴻祎
智能化與大數據帶來安全挑戰
安全的挑戰,我覺得有這么幾個問題。
第一,當所有的設備都變成智能化、都接入網絡以后,邊界的概念將會進一步被削弱,也就是說接入點越多,可以被攻破的可能的入口就會越多。過去,我們很奉行隔離、切斷,把電腦放在一個屋子里,把一個網絡進行隔離,但今天會發現越來越多不起眼的設備都支持WiFi和藍牙,這里面有太多可以被別人攻擊的點,而且攻擊點越多,防守的挑戰就越大。
第二,過去很多企業可能不太重視企業的安全。我們很多時候買防火墻是為了合規,是上級要求和行業要求,但是防火墻究竟有沒有配置好,能起多大的作用并不知道,可能也不怎么會出事,因為過去,企業可以把自己割裂在一個安全的孤島上,但是現在變成互聯的企業之后,就不可避免要把自己的核心業務系統接入到互聯網上。
第三個問題,大數據污染。就是大數據中如果被人人為加入了不好的數據、人為操作和注入修改虛假信息,在數據傳輸存儲過程中出現了問題,而我們又根據大數據做一些行業的指導和趨勢的分析,可能會出問題。
大數據還會帶來兩個挑戰。一個是大數據帶來的用戶隱私問題。最近美國機器人很熱,當大數據運用到人工智能后很可能人類技術會發展到一個新的基點。當機器智能能夠控制很多設備的時候,會出現兩種可能,一種是家庭生活會變得更加幸福,另一種是駭客帝國的時代會來臨。
另一個,也是最重要的一個挑戰是用戶隱私的挑戰。在這樣一個IoT和大數據的時代,我們每個人的數據,實際上只要使用網絡服務,就會被傳到云端,就會被儲存到各個提供互聯網的、或是聯入互聯網的公司的云端,每個人會變得更加透明。而法律和規則的制定往往是落后的,有很多問題會說不清楚,也管不清楚。