未来网络安全趋势:阔步前行 挑战重重
来源:中关村在线 更新时间:2013-12-30

  2013年是中国梦的开局之年,网络安全亦怀揣梦想,勇敢前行。这一路有春暖花开,中国互联网企业陆续进军安全市场,安全日益平民化令人欣喜;有盛夏热浪,“云计算”和“BYOD”等夹杂着土豪气息的潮词扑面而来;有金秋硕果,ITers在与DDoS及0day等新兴威胁的对抗中积累了丰富经验;也有冬日酷寒,人们越发深刻体会到高级持续威胁APT被征服的艰辛。这一年,IT届正阔步前行,前行途中挑战重重。

  这一年,Android病毒应用超过10万种,其中恶意吸费类病毒应用占比超过70%,用户直接经济损失超过7000万美元;极大繁荣的互联网金融为高级持续威胁APT攻击提供了目标和平台,利用0day的APT攻击金融证券类行业事故频发;比特币这一新鲜币种带来交易转移机制新尝试的同时,Java 0day漏洞持续对其进行跨站脚本注入攻击,交易的安全性受到威胁等等。这一系列安全问题皆已位列各大咨询机构2013安全事故TOP List。在此,对上述话题不再赘述,而是将针对一些笔者认为有意思的新鲜话题,同关注网络安全的人们一起分享探讨。

  安全自主可控 创新是关键

  美国未来学家托尔勒说:“谁掌握了信息,谁控制了网络,谁就将拥有整个世界”。2013年,国家间的网络安全事件层出不穷,美国“棱镜”事件的监控范围之广令人咋舌,从传统盟友到合作伙伴,从国家元首通话到日常会议记录。近日,英国《卫报》称,美国国家安全局至少追踪了“数以亿计的移动通信设备”。其监控项目的数据库大小为27兆兆字节,相当于美国国会读书馆馆藏的2倍多。屡见不鲜的安全事件,使民众对网络空间安全的警惕性提高到新的层次,同时也让政策制定者意识到将网络安全自主可控纳入“顶层设计”的必要性。在此形势下,今年年底召开的十八届三中全会专门增设了国家安全委员会,更是将网络安全作为一个单独的课题提升到了国家战略层面,以前所未有的执行力,全面打破国际既得利益者极力维持的已有利益格局、安全困局和行动僵局,启动了中国互联网时代和移动通信4G时代网络和信息安全的新局面。与此同时,安全股也在资本市场表现平平的大背景下逆势上扬。

  然而,如何实现安全自主可控?笔者认为,关键在于凝聚各部门、各行业、各实体的力量,形成协调一致和创新的合力,切实做到核心和关键设备自主可控。美国许多的大型IT企业创新更多的是靠并购中小企业或购买其知识产权来实现。可见,中小企业是创新的土壤,也是创新的源泉。例如,Cisco今年7月收购Sourcefire后实现了其卓越的下一代入侵防御系统NGIPS。迈克菲今年5月收购了全球领先的NGFW产品创新企业Stonesoft,为进军下一代防火墙市场做足了准备。中国的IT企业也应如此,今年年初百度就完成了对美国移动安全公司TrustGo杀毒引擎的收购,推出了功能强大的百度安全管家,这为国内安全厂商提供了有益的借鉴。此外,安全国产化同样需要来自政府政策的支持,然而事实却是政府及大型央企采购过度看重安全厂商的规模与资质,这直接导致了中小IT企业缺乏良好的发展环境。对此,政府应继续从政策制定、意识引导等维度营造出一个有利于安全厂商创新的大环境,循序渐进地实现自主可控。安全国产化不是一朝一夕的,更不是一蹴而就的,而是一个边创新边探索的过程。在未来十年,乃至更长的时间,国家互联网安全需要我们自己坚守。

  新时代的DDoS渐成气候

  DDoS,即分布式拒绝访问攻击。这里的“分布式”,意味着通过大量的计算机向目标发起狂轰滥炸似的数据包,从而导致目标计算机的系统无法正常工作。今年3月,欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量DDoS攻击,攻击流量峰值高达300Gbps。马来西亚大选投票前夕,DDoS攻击也大规模出现,攻陷多家新闻和政府网站,导致选民失去独立的信息来源,进而影响选举的结果。层出不穷的攻击事件、与日俱增的攻击规模,对用户网络形成巨大威胁,同时对专注DDoS防护的安全厂商的跟踪研究能力是个考验。

  就DDoS攻击手段而言,2013年与2012年相比没有本质区别,但2013年DDoS攻击呈现三个新的趋势。其中之一就是随着互联网金融的发展,使得DDoS攻击更加针对银行、证券及保险(放心保)业等金融机构,如今大多数网络经济犯罪都不同程度上伴随着DDoS攻击。如今年上半年针对全球金融机构摩根大通、美国银行等的DDoS攻击令其业务瘫痪数小时,损失数百万美元,其中针对美国银行的DDoS攻击峰值流量达到70Gbps。黑客针对银行的DDoS攻击有如下两方面的目的:其一,攻击银行的业务系统,造成银行业务大面积瘫痪,用以实施敲诈勒索或政治报复;其二,针对金融系统的DDoS攻击一般用于隐藏入侵行为,通常大流量DDoS攻击来临时,提供Web防护的安全设备往往因为处理性能瓶颈,无法实施有效的防御,攻击者就可以乘虚而入。

  DDoS呈现的新趋势之二体现在,随着智能手机的普及和移动网络应用的迅猛发展,模拟智能手机发起的针对移动应用的DDoS攻击已在互联网多次出现。今年年初发现置于Android手机的木马Android.DDoS.1.origin,已经具备根据C&C服务器指令发送UDP Flood到指定网站的DDoS攻击能力,只因移动带宽有限,目前尚未看到此类木马的危害。移动网络僵尸网络主要还用于发送垃圾短信、盗取用户私密信息及通过发送广告获益。笔者认为,未来3-5年随着全球3G和4G的商用普及,移动网络带宽将会快速提升,而手机又具备实时在线的天然优势,利用智能手机发起DDoS攻击将会成为可能。如果业界安全设备提供的防御技术无法妥善解决因智能终端HTTP协议暂不支持重定向而导致的智能终端访问中断问题,将会给互联网安全带来前所未有的挑战,安全厂商不得不为之寻求类似行为分析、IP信誉等更为有效的防御方法。

  新趋势之三就是随着越来越多的互联网应用承载在HTTP协议之上,应用层DDoS攻击日渐频繁。华为云安全中心的数据显示,今年针对HTTP应用的DDoS攻击已占到攻击总量的89.11%。在众多网络攻击中,DDoS攻击占绝对比例,主要原因是DDoS攻击易于实施,攻击效果明显,追踪困难,安全厂商对此展开了积极的探索和创新。今年10月,Arbor Networks与Google Ideas合作,实现了DDoS攻击映射数据的可视化。Google Ideas基于Arbor Networks全球威胁监测系统提供的匿名数据,实现了一种允许用户研究DDoS攻击的历史趋势,并与任何特定日期的相关新闻事件相关联的数据可视化功能。同月,IBM和Akamai也联合推出了anti-DDoS的云服务,Akamai为IBM提供了可一次性保护多家企业的方法,有效地帮助了企业拦截导致网站超负荷、进而瘫痪的DDoS攻击。IBM还计划将Akamai网络安全工具集成至其云安全服务中。国内安全厂商绿盟科技anti-DDoS方面也表现不俗,其专项防护产品在全球已有超过2500G的防护能力部署,监测系统每天都能发现数以千计的DDoS攻击,企业可基于广泛部署的设备收集大量攻防数据,跟进攻击态势。

  数据泄露 “蚁穴”难填

  奥巴马将数据称为“未来的新石油”,足见其价值含量。大数据帮助企业挖掘消费者的潜在需求,创造独特的商业模式,同时也潜藏巨大风险。2013年全球数据总量呈现指数级增长,过去3年的数据量比以往400年加起来还要多。今年很多国内外互联网巨头都推出了自己的云服务,或购置了公有云,或建立了私有云,这些都为2013的数据激进前行奠定了基础。然而,数据存储杂乱造成的混水摸鱼几率加大了事后追溯的难度。根据Gartner的数据统计,2013年80%的企业支持使用平板电脑办公,BYOD的普及和企业对数据访问更开放的通道,使得访问数据的风险系数水涨船高。

  今年激增的数据泄露事件触动了网络安全产业最脆弱的神经。搜狗今年出现两次事故,分别是6月乌云安全平台曝出搜狗输入法导致大量用户敏感信息泄露。时隔五个月,搜狗浏览器又致用户QQ、支付宝等信息泄露。7月,Struts2再曝高危漏洞,直接导致服务器被远程控制和数据泄漏。包括淘宝、京东、腾讯在内的多家大型互联网厂商及政府、金融机构网站均受影响,7月17日甚至因此被称为中国互联网安全灾难日。10月,Adobe遭大规模袭击,3800万用户信息及大量源代码泄露。虽然事后Adobe重置客户ID并通知客户修改密码,但源代码泄露让黑客挖掘漏洞发动攻击变得更容易,预计未来会有大量漏洞被发现利用。

  然而,网络攻击总会留下蛛丝马迹,这些痕迹都以数据形式隐匿在大数据中。对网络攻击事件进行大数据分析反过来又帮助企业挖掘潜在的风险点,从而制定更好的预防策略。然而,借助大数据分析安全事故的前提是,必须保证进行分析所依据的信息是准确、可靠的,一旦原始数据遭非法篡改,那数据分析则可能沦为误导,企业将因此陷入更加糟糕的境地。所以,基于大数据的信息安全发展也要以信息安全本身为基础。

  企业在尝试着利用大数据进行商业分析的同时,应以数据泄露泛滥的2013年为戒,不能放松对信息安全的保护。同时加强对员工信息安全意识的培训,采用最给力的信息安全解决方案为企业信息安全防护工作保驾护航。