网络安全现状与未来
来源:天极网 更新时间:2013-10-01

安全威胁与新兴技术一直处于“道高一尺魔高一丈”的关系。随着云计算、大数据、BYOD、社交化等技术的发展,安全问题更加凸显,黑客攻击方法越来越复杂,越来越有针对性,催生了许多的新兴安全威胁。
  网络安全问题潜藏在我们每一个人身边的现实威胁,网络攻击每分每秒都在发生,瞄准的是企业、政府、军队和高价值的个人。在云计算、大数据等技术日益普及的今天,在已经到来的移动互联网时代,我们要如何才能更好做好防御?
  2013ISC中国互联网安全大会上,来自全球各地的安全专家聚集于此,讨论互联网安全问题,显然网络安全问题是全球性问题。本次大会上囊括了网络安全的各个方面,主题涵盖了几乎全部的热门安全主题,包括移动安全、企业安全、新兴安全威胁、APT探索、软件安全、云计算安全等方面。尽管大会还未落幕,但演讲嘉宾已为我们带来了一场技术盛宴。
  接下来,我们就来看看演讲嘉宾都为我们都带来了那些精彩的内容,同时了解一下目前的网络安全现状以及未来网络安全趋势。
  网络安全现状:网络安全已经成为新的战场
  奥巴马网络安全智囊刘易斯:网络安全是一个全球性问题
  “网络时代没有人是绝对安全的,就好像斯诺登告诉的一样,但我们可以创造一个更安全的网络空间。毫无疑问,网络安全已经成为新的战场,那些虚弱的网络的必然会伤害到国家的创新。”国际资深网络安全专家詹姆斯•刘易斯这样开始了他的主题演讲。

  【图:国际资深网络安全专家詹姆斯•刘易斯】
  詹姆斯•刘易斯认为,网络安全是一个全球性问题,各国在网络空间是一个 “命运共同体”。如今,互联网已成为全球经济中最重要的基础设施,但是当前的互联网设计并不安全,网络空间开始无边界,安全孤岛将不复存在,脆弱的技术、网络匿名等容易被一些国家、地区和个人为所欲为的利用,由此将给国家和社会带来诸多安全威胁。。
  尽管网络战争有可能一触即发,但詹姆斯•刘易斯却持谨慎的乐观态度: “网络空间和互联网并不难管制”,国际社会正在定义在网络空间中负责任的行为,目标是让网络空间正规化,当然要保证用户不遭受网络威胁、建设安全的网络,需要国际、国家和企业共同努力。
  他认为虽然没有人是安全的,但我们可以创造一个更安全的网络空间。
  马克思:更多的古老漏洞正在被利用
  反病毒测试机构AV-Test CEO安德烈亚斯•马克思分享了AV-Test过去收集到的反病毒的一些数据。马克思表示:“AV-Test平均每天可以收集20万至25万个新的恶意程序样本。Windows Shortcut(快捷方式),PDF、Java、Flash、HTML和微软Office文件是被恶意程序利用最多的文件格式类型, 也是漏洞爆发的重灾区。”

  【图:AV-Test CEO安德烈亚斯•马克思】
  从恶意程序的攻击方式上来看,马克思认为,现今绝大多数的恶意程序都是被用户手动运行或激活的,这与前些年恶意程序会在用户不知情的情况下自动发动攻击有所不同。
  演讲中,马克思谈到了一个有趣的现象——新报告的各种漏洞在2010年达到顶峰之后,连续3年呈现下降趋势,这样的下降趋势并非是因为操作系统或软件更加安全了,而是因为越来越多的用户没有给系统及时打补丁,导致许多古老的漏洞还在被利用,甚至是被越来越多的利用。而利用这些古老的漏洞要比发现和利用0day漏洞容易得多。特别是通过系统漏洞,黑客可以发起大规模的群体性攻击。
  所以,亲们,注意打补丁啊!
  周鸿祎:移动安全方面显得尤为突出
  当前,安全威胁正从底层向应用层面转移,360董事长周鸿祎认为这一大特点在移动安全领域越来越明显。他表示在手机端,黑客更多的是借助恶意APP进行攻击,此外令人防不胜防的是一些正规应用也会出现越权行为,获取用户手机配置、位置、联系人等信息。

 
  【图:360董事长周鸿祎】
  此外,周鸿祎指出移动安全与传统PC安全也有不小的区别,诸如垃圾短信和骚扰电话等“中国特色”问题也应属于移动安全范畴。演讲过程中,他与参会者分享了一个数据:360手机卫士不仅每天截获手机恶意软件2500款,同时还拦截垃圾短信2亿条,骚扰电话9600万次以上。
  随着BYOD的普及,周鸿祎表示,当前大部分公司都允许员工使用自己的移动设备进入公司和企业,而手机以及各种移动智能终端的Wi-Fi和3G上网能力却在原来严密保护的企业边界上打开了无数的缺口,企业移动安全已经提上了日程。因此他认为在企业安全方面,移动安全也占据着重要的地位。
  网络安全未来趋势:网络攻击越来越有组织性
  Gartner副总裁:安全重点将转向关键应用和数据
  Gartner(高德纳咨询)公司研究副总裁彼得•福斯特布鲁克(Peter Firstbrook)在其“互联网新兴威胁与挑战”的主题演讲中表示,未来企业信息安全应重新调整重点,将安全生命周期的焦点放在对关键应用高级的、有针对性的攻击防御上。

  【图:彼得•福斯特布鲁克在ISC现场】
  “大数据时代数据泄露的代价异常昂贵,对企业而言,重大安全事故都有可能产生无法挽回的经济损失。LinkedIn、RSA、索尼等公司都曾在重大安全事件栽过跟头。” 彼得说道,并指出由于数据恢复的成本在不断增加,信息及数据已成为企业的生命线,所以传统以基础服务预防为主的安全策略将面临失效。
  面对未来针对信息本身的恶意攻击,彼得强调信息保护、快速响应和情报共享将成为未来信息安全策略基础的重心。同时,他建议企业,在终端安全方面增加对策略的关注来预防恶意软件感染,加大在信息保护与信息追踪方面的投入,减少恶意软件的停留时间,将安全重点转向关键应用和数据的保护上来。
  从社交到欺诈 网络攻击针对性加强
  恶意软件的作者不再选用通常恶作剧式的攻击手法,而是实施有组织的破坏性的计划,针对性越来越强。他们试图直接窃取用户的身份及信用卡数据,并利用的技术进行违法犯罪活动,发不义之财。他们不是想在互联网上制造混乱,而是想利用互联网谋取不义之财。
  随着社交媒体的发展,犯罪份子实时在在微博、人人网、微信、淘宝、京东上面跟踪你的行踪,获取隐私信息后把你注册信息卖给第三方的服务商;技术实力雄厚的攻击者甚至可以通过窃取用户云端服务商的数据库来获得用户的个人信息和密码。
  这些攻击都不再单纯是技术上的博弈,而是社会工程学和骇客行为的邪恶融合,犯罪份子已然是直面受害者,而不是躲在电脑后端,越来越有针对性。