岁月如梭穿行在时空的河。在历史的长河中,十年转瞬即逝,却也留下了痕迹。其间恰恰是中国网络安全市场风起云涌的十年,弄潮儿竞相风流的十年。十年前,笔者刚刚走进大学校园,大学课堂将网络安全知识带入了日常生活和学习中,而那时的病毒、垃圾邮件及网络攻击者如同大学生活一般“单纯”。
对于网络安全企业来说,十年的时间不是很长。2004年网康科技创立,成为中国上网行为管理理念的缔造者;2005年,IDC正式定义了“统一威胁管理”(UTM),自此飞塔成为UTM的领跑者,为广大中小企业带来了网络安全的福音;2009年,Gartner分析师提出“下一代防火墙[注]”(NGFW)的定义,同年PaloAlto率先推出世界首台NGFW;近年来,华为、网康、山石网科等国内安全厂商也相继推出了功能各异的NGFW……
十年,我们在成长,网络攻击也在不断地改变和进化。网络遭受攻击的频率与日俱增,攻击的手段和恶意软件的泛滥趋于复杂,传统安全防范手段早就难以彻底地解决安全隐患。尽管网络中部署了大批的安全设备,但这些设备大多庞杂,如下一代防火墙、入侵检测系统、深度防御系统、上网行为管理、安全网关等各组件孤军作战;同时物理安全、网络安全、数据安全、业务安全层面分离,难以有效兼顾,从而形成协同作战的能力,致使业务平台、网络平台、管理平台的安全策略缺乏整体性和有效性,难以形成全局的安全防御协作能力。
从国内外网络安全厂商来看,网络安全的发展亦非一帆风顺,经历过波折和徘徊,辉煌和失落,直到今日,仍存在诸多争议。日前,国内多数活跃在第一线的安全厂商都正值“青春期”。站在网络安全发展十年的路口,我们不禁再次追问:网络安全究竟是人的问题还是技术的问题?实现企业网络安全管理,是利用单个功能的产品搭建体系好,还是采用并驾齐驱的安全平台更佳?防火墙或者下一代防火墙是不是对抗APT[注]的终极武器?比特币带来交易转移机制新鲜尝试的同时,Java 0day漏洞持续对其进行跨站脚本注入攻击,交易的安全性能否找到出路?大数据[注]分析究竟有没有侵犯隐私?层出不穷的数据泄露事件反映出网络安全的哪些风险,我们能从中学到什么?太多的问题值得我们思考。正所谓“以史为鉴,可以知兴替”,回顾网络安全这些年的新趋势,或许能得到些许启示。
DDoS攻击 有始无终
DDoS,即分布式拒绝访问攻击。这里的“分布式”,意味着通过大量的计算机向目标发起狂轰滥炸似的数据包,从而导致目标计算机系统无法正常工作。随着越来越多的互联网应用承载在HTTP协议之上,应用层DDoS攻击日渐频繁。2007年5月,DDoS攻击开始瞄准政治领域,数千名俄罗斯同情者封锁了爱沙尼亚政府的各大网站。这场攻击持续了整个夏天,最后还是在多个国家的CERT(计算机紧急响应中心)共同努力才逐渐将其平息下去。翌年,俄罗斯的黑客组织又用DDoS手段向格鲁吉亚政府发动了攻击。这之后,还有多个国家的政府网站和军事网站遭到过有组织的DDoS攻击。2013年3月,欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量DDoS攻击,攻击流量峰值高达300Gbps。2013年针对HTTP应用的DDoS攻击已占到攻击总量的89.11%。在众多网络攻击中,DDoS攻击占绝对比例,主要原因是DDoS攻击易于实施,攻击效果明显,追踪困难,安全厂商对此展开了积极的探索和创新。层出不穷的攻击事件、与日俱增的攻击规模,对用户网络形成巨大威胁,同时对专注DDoS防护的安全厂商的跟踪研究能力是个考验。
高薪奖励白帽子
多年来,包括乌云漏洞平台在内的独立研究人员们一直在争论,新发现的漏洞究竟应该立刻公之于众,还是应该等到厂商发布了该漏洞的补丁之后再公布。在某些情况下,厂商没有再与白帽子们联系,或者没有优先考虑公布漏洞的事情,所以广大的白帽子们就会自行公布这些漏洞。从防御的角度讲,黑客肯定不愿意漏洞被公布,因为这些漏洞信息在黑市上可是抢手货。
经过多年的反复争论之后,几年前有那么一两家安全公司已经开始决定支付给白帽子封口费。作为交换,安全公司将与涉及到的厂商共同协作,检查补丁是否能够及时完成,而该厂商的客户是否能够比普通公众提前得到详尽的漏洞信息。比如,在四年前的CanSecWest应用安全大会上,Tipping Point就将1万美元的年度奖颁给能够黑掉指定系统的白帽子。近年来,发现漏洞给予报酬的程序已相当成熟。举例来说,在微软2009年12月的补丁,共发布了5个IE漏洞补丁(+本站微信networkworldweixin),而这些漏洞都是在iDefence 0 day项目激励程序的作用下被发现的。而去年以来,360和Geekpwn也分别通过“库带计划”和高额奖励去激励广大白帽子发现漏洞。
数据泄露愈演愈烈
十年来,全球泄密事件层出不穷。从索尼PSN泄密、富士康iPad图纸泄密,再到今年的Target数据泄露和苹果手机iCloud私密照片外传事件等,无论是相关公司的规模、泄露信息的重要性还是泄密事件的发生频率,2014都远超过往年。
这表明,企业核心数据的价值已被攻击者广泛认同,他们将坚定地花费更多的成本去非法获得企业和个人的核心数据。而另一方面,许多企业和个人防泄密意识还不够,对核心信息的价值以及信息防泄漏的认识还不足,由于成本原因,很多企业还纠结于建设网络安全究竟是“挣钱”还是“花钱”的问题。为了防范Target此类数据泄漏,美国支付卡行业协会(PCI)曾在2005年提出12条规定,要求其商业成员必须遵守。纵使PCI安全委员会每两年会更新这些规定,其中包括对信用卡数据的端到端加密,但是在安全业界,厂商们已经从层出不穷的泄密事件中看到了更深度的问题所在。加密和PCI不能解决所有的问题,单纯审计也没有任何意义。只有从全局的视角出发,对安全问题进行统筹规划、统一管理,整合运用审计、权限管理、透明加密等防泄密功能,根据涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式防护,将技术、管理、审计进行有机的结合,构建起企业网络安全平台,使得成本、效率和安全三者达到最优平衡,才能实现真正意义上的网络安全。
安全未来 无限可能
人类总是对未来充满好奇,在恶意软件APT[注]等地下经济愈演愈烈的黑云压城面前,安全技术和安全业界有没有能力有效对抗威胁,并保护社会和经济?
著名安全思想家Bruce认为网络安全如同杀人盗窃等犯罪行为。已经伴随人类数千年的行为,虽然我们无法根除这些行为,但并不妨碍社会的发展和进步。我们虽然生活在有犯罪、并不安全的社会里,但社会有相当的弹性和自我恢复能力。
云计算[注]、虚拟化、SDN[注]、移动安全,这些名词尚待消化,然而安全威胁却已悄然入侵。这个世界,唯一不变的就是“变”,从这十年的发展来看,网络安全经历了关注安全技术、关注人的行为、关注管理、关注整体解决方案到最近回归本质的关注信息本身的整体安全平台这五个过程,技术、体系、理念都在不断进步和完善,不断的加固着企业的网络安全防护体系。但是,技术不断在进步,威胁不断在产生,网络安全的范畴和焦点亦在不断的变化。未来网络安全关注的焦点是什么?这个问题恐怕要留给时间来回答。