2014危機中的變革
責編:admin |2014-12-23 14:59:462014年的網絡安全如果是一首樂曲的話,那它的主旋律就是變革。層出的漏洞以及由之引發的泄密問題組成了樂曲的音符,國家對網絡安全的重視構成了旋律的節拍,網絡安全技術的變革將樂曲推向了高潮。下面我們就來回味一下2014網絡安全這首變革之樂吧。
威脅篇
首先,我們先來看一下2014年有哪些不和諧的音符出現,奏響了這首變革之曲。
2月全球最大的比特幣網站因交易系統漏洞,導致丟失65萬比特幣,約計24億人民幣。
3月攜程陷入“泄密門”,因支付漏洞股價暴跌3.44%,導致丟失60億x3.44%=2.1億人名幣。
3月京東用戶數據疑遭泄漏,但緊接著安全專家發出聲明,稱此為“撞庫”事件,遂風波很快平息。
5月13號有黑客在圈內很著名的安全網站上曝料,小米用戶數據泄露。5月14號,他又報了一個相似又不一樣的,進一步證明小米有大量的數據泄露。新聞媒體的反應速度普遍滯后一點,主流的媒體大概都是在5月15號發的新聞。但5月16號是小米新品發布會。圈內的人普遍認為這是一個精心策劃的打擊活動。但是這個事情你沒有辦法說人家有任何不對,你確實是泄露了,人家只是事先掌握了資料不說出來,到那個時間點才用這個事情來打擊你。這是利用安全事件,對對手進行精準打擊的一個具體案例。
6月知名的代碼托管網站CodeSpaces網站關門。原因是黑客侵入,把它的數據都刪除了,就連備份數據都刪除了。
8月華數電視系統用它的機頂盒在各個電視臺同時彈出來一個對話框,里面有那么一句話,如下。
9月有外國黑客疑利用蘋果公司的icloub云盤系統的漏洞,非法盜取了眾多全球當紅女星的裸照,繼而在網絡論壇發布。
此次好萊塢艷照門共涉及101位明星,詹妮弗·勞倫斯、麥凱拉·馬羅尼、伊馮娜·斯特拉霍夫斯基等17位明星紛紛被曝光。第二日蘋果公司回應:黑客并沒有直接進入iCloud等存儲服務系統,而是侵入女星個人賬戶,從而竊走照片。
10月摩根大通被黑客入侵,8300萬用戶數據泄露。摩根大通隨后承認被攻擊但否認數據泄露,股價下跌0.4%。
11月Sony影業遭黑客攻擊,所有員工的計算機屏幕上都顯示“Hackedby#GOP”字樣。
黑客表示“我們已經收集了你們所有的內部數據,包括一些機密信息。如果不滿足我們提出的要求,我們將毫不猶豫地將這些信息公之于眾……
漏洞篇
威脅來自于網絡安全漏洞,2014年是多個嚴重漏洞集中爆發的一年,心臟滴血、貴賓犬、USBbad、破殼等重大漏洞先后曝光。影響的網站、操作系統、硬件設備范圍之廣,聞所未聞。
心臟滴血漏洞實際存在已經超過兩年時間,雖然全世界各地的機構和企業都在“心臟滴血”漏洞公布后第一時間開始修復工作,但在這個漏洞未曝光之前,根本無法統計有多少敏感信息因此而被竊取。
微軟11月份修復的IE漏洞,自Windows95以來就存在,它的洞齡(漏洞未被修補的年限)是19年。
可以遠程執行拿到系統級權限的破殼漏洞則最年長,已達25歲的高齡。
此外,今年4月8日,微軟停止對WindowsXP系統的服務支持;5月16日,中國政府采購網公布的《中央國家機關政府采購中心重要通知》稱,所有計算機類產品不允許安裝Windows 8操作系統;7月,公安部科技信息化局下發通知,稱賽門鐵克的“數據防泄漏”產品存在竊密后門和高危漏洞,要求各級公安機關今后禁止采購。
漏洞的問題不僅僅在于系統的日趨龐大復雜,開發人員的疏忽、缺乏安全編碼規范等原因,它最可怕的地方在于,也許之前它根本就不是一個漏洞,而是一個功能。但由于時代的發展,使用環境的變化,功能變成了漏洞。人類具備把所有正在使用的舊系統、程序、軟件都做一次代碼級的安全檢測的能力么?也許這是比重新發明計算機和互聯網還要難做的事!
宛如被打開的潘多拉魔盒,明年會出現什么樣的重大漏洞?我們不知道。
反思:威脅應對中的問題
在年底的一個談話節目上,幾個安全專家總結了當前網絡威脅應對方面的不足:
第一,DoS攻擊在國內始終無法有效管控。為什么呢?DoS這種流量型的攻擊,有幾個部門是可以控制的:
1、運營商
運營商對DoS攻擊的反映通常不積極,以小人之心揣度一下,攻方是運營商的客戶,守方也是運營商的客戶,運營商不作為本身就是一件何樂而不為的事情。
2、網監部門
對網監部門來說,是有現實困難,攻擊是匿名的,地址是偽造的,要想溯源,不是不可以,但是很困難。
3、警方
向警方報案有案值認定的問題,一次DoS攻擊如果去報案,報案起點低,只要3000塊錢損失就可以報案。但DoS攻擊損失評估沒有標準,可多可少,低的可能連3000元損失額都定不下來,無法立案。而實際上,有可能一些行業受DoS攻擊影響的業務流水就能達到成百上千萬,但沒有評估機構可以進行判定……
從各個方面來講,解決這類問題需要全社會的共同努力。
第二,大量網絡安全設備沒有正確應用或部署。
在今年無論是網康制作的防火墻產品白書,還是深信服的防火墻產品采購指南,上面不約而同的都在提及一點:防火墻在大部分單位或企業中并未被正確使用。很多單位購買防火墻僅是為了滿足安全合規性的要求。其中,很多地方僅在防火墻上配一條全通的規則,將防火墻當路由器來進行使用,而防火墻購買后從未加過電的情況也并非罕見。
這種情況的出現,原因是多種多樣的。既有管理問題的存在,也有技術問題的原因(+微信關注網絡世界),關鍵還在于傳統安全防護技術手段無法滿足當前網絡安全防護的實際需求。
現實情況中,按安全規定就網絡業務就無法正常應用,不按規定有安全風險的情況出現。在實際應用中,網絡應用需求是時時的,而網絡安全風險僅是暫時的,在不影響正常網絡應用的前題下,安全自然要為實際業務應用需求讓路!
除了應用需求問題之外,還有可靠性的問題。很多企業中,明知道有安全漏洞存在,但不敢升級。有的企業病毒庫半年升級一次,不怕敵人拿病毒入侵他,反而怕安全產品出問題,也多是出于需要保障網絡業務正常運營方面的考慮。
由此形成了網絡安全的怪圈,為保障網絡業務應用采購網絡安全產品,安全產品限制網絡業務應用,而不得不將其停用,往復循環……
用戶總在幻想著通過一勞永逸的方法解決問題,尋找安全永動機。可實際上,目前安全領域中,還有很多傳統的基礎工作沒有到位。完全靠新生廠商或者新生技術不可能在根本上解決問題。
未來需要對網絡安全體系從新進行審視,從網絡安全管理控制的根源上去進行改變。否則安全廠商在這樣一個非常惡劣的環境下其實也是很難作業的。當前社會的網絡安全狀況之差,其實已經到了安全廠商本身也很難為用戶提供系統而高效服務的程度了。
安全變革的開端
網絡安全已到了不得不變革的時候。那在2014年有什么重大變革發生,我們也來盤點一下:
國家層面
由中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長,李克強、劉云山任副組長的中央網絡安全和信息化領導小組,于2014年2月27日成立。該領導小組將著眼國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網絡安全和信息化重大問題,研究制定網絡安全和信息化發展戰略、宏觀規劃和重大政策,推動國家網絡安全和信息化法治建設,不斷增強安全保障能力。
今年8月,國務院授權重組國家互聯網信息辦公室,負責全國互聯網信息內容管理工作,并負責監督管理執法。之后,網信辦于2014年11月24日至30日,聯合中央編辦、公安部、工信部等多八個部門舉辦首屆國家網絡安全宣傳周活動。中共中央政治局常委、中央書記處書記、中央網絡安全和信息化領導小組副組長劉云山在啟動儀式上發表講話。他指出,網絡信息人人共享、網絡安全人人有責,要不斷增強全民網絡安全意識,切實維護網絡安全,著力推進網絡空間法治化,為建設 網絡強國提供有力保障。
行業部門
銀監會正式發布的《應用安全可控信息技術指導意見》中明確指出,從2015年起,各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加,直至2019年掌握銀行業信息化的核心知識和關鍵技術,安全可控信息技術在銀行業達到不低于75%的總體占比。
安全企業
各大安全廠商和網絡巨頭在2014年也在動作頻頻的投資、收購、入股,預示著安全市場已經開始走出冷戰和布局階段,明年將迎來更加近身的博弈戰局。
這就是處于網絡安全危機與變革中的2014年,現在已有多位安全專家紛紛預言,在馬上到來的2015還將會有重大安全漏洞被披露,大規模網絡攻擊事件出現。我們的網絡安全狀況在2015會不會發生根本性的改變?傳統網絡安全痼疾能否被醫治?讓我們拭目以待!