今天,网络技术的飞速发展并没有带来网络环境的净化,反而是安全问题越来越严重。有关部门监测到,仅今年上半年,新增的移动恶意程序相比去年同期就增长了13%。如此形式下,以现有的安全技术和ICT产业基础,国家的安全该如何保障?企业的安全该如何防御?在2014互联网安全大会上,各专家抛出新一轮的观点,集中指向在当前薄弱的信息安全基础设施下,网络安全应以攻防结合为主。
不团结就不安全
每一家安全厂商都希望做大而全的完整的产品线,但每一个点上都做得很粗糙。想的是怎么分蛋糕,而不是怎么把蛋糕做大。
其实,中国的网络安全薄弱到何种程度,很多人并不知晓。
去年有两件非常轰动世界的事都和中国相关:一个是在2月份美国发布了APT分析报告,另一个是6月份发生的斯诺登棱镜门事件。
国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春透露,从APT分析报告和斯诺登公布的资料发现,中国的技术和美国相比差距还是非常大的,包括威胁评估、追踪溯源、取证能力。美国拥有全面的监管和精确制造能力,而中国在网络安全基础设施方面仍然非常薄弱,防渗透能力非常差。而且,从棱镜门事件可以看到,美国在面临网络安全问题的时候能够有效协调安全厂商、技术机构、媒体形成常态化优势,而中国在技术标准、监管机制和产业联合引导方面还是非常不足。
今年上半年的“心脏出血”漏洞,引起全世界高度重视。有机构初步统计了约20个国家的OpenSLL漏洞修复水平,能在漏洞被发现72个小时后修复的,全球平均水平是40%,但中国仅有18%的网站修复了漏洞。直到现在,还有16%的网站没有进行修补。
另外,产业界的不团结也是导致安全技术和安全防护能力不高的原因。“每一家安全厂商都希望做大而全的完整的产品线,但实际上每个点上我们似乎都做了,每一个点上我们却做得都很粗糙。大家更多的追求的是商业模式上的创新,在技术方面,实际上我们投入得非常少。”云晓春说,“这样的结果是大家都聚焦在一个有限的市场上,想的是怎么分蛋糕,而不是怎么把蛋糕做大。同质竞争的结果往往是高质量的安全产品卖出了一个白菜价,导致厂商盈利能力越来越差,也导致整个技术创新能力提高幅度有限。”
反过来看,美国的安全产业总体格局非常完善,在最底层有强大的、全世界都要使用的基础信息巨头IBM、微软、思科等,在上面有一系列网络安全的产业聚集,而且有一系列的专业安全厂商,同时针对相应的政府部门有一系列的专业技术企业,所有这些企业就构成了一个完整的网络安全产业格局,这种体系格局自然而然对提高美国整体网络安全能力变得非常重要。
全国产不是唯一保障
就算全世界用的都是华为的路由器,也依然解决不了数据会在世界上绕一圈再回来,这就无法保证根本性的安全。
现在,很多人强调要实现网络安全,首要是要IT基础设施和信息系统从上至下都是国产。但是,全是国产的,并不能解决问题。
网络安全应急技术国家工程实验室主任杜跃进认为,因为今天的网络本身就存在很强的依赖关系,例如需要域名解析和国外企业的认证,需要国际的计费和路由系统的支撑。网络安全对抗不仅仅是说数据本身的保护,也包括系统运行本身的保护。“震网”病毒侵入伊朗,提醒了我们只从系统安全的角度来看今天的网络安全是有问题的。因为从系统安全思考网络安全,会想如果用国产的CPU、国产的操作系统、国产的数据库不就安全了吗?其实不是的。处在网络环境中,就算全世界用的都是华为的路由器,也依然解决不了数据会在世界上绕一圈再回来,这就无法保证根本性的安全。
一味防御不如攻防结合、抓住机会进攻。据悉,今年5月周边某国匿名者组织了对我国的网络攻击行动,篡改了一大批网站。今年6月,又有几个周边国家20多个黑客组织联合起来攻击中国,篡改了境内多个网站。思科系统亚太区、大中华区首席信息安全官江明灶就指出,在安全事件中,29%~54%的企业或机构都是超过几个星期或几个月才发现自己的网络被攻破了,此时数据早就已经泄漏。很多企业安全管理的做法主要针对防控,但是预防是针对知道的问题才能预防,不知道的根本无法预防。当一些新的漏洞被发现、新的攻击大量出现时,对方利用这些漏洞攻击系统时自己是不知道的,如果只顾着防御,很快就会被攻破。
所以,攻击才能有效牵制对方发动攻击的意图。对于安全基础薄弱的一方来说,如果已经成为对方攻击的目标,与其被动挨打,不如主动出击,扰乱对方视线。
不拘一格出人才
安全行业未来一定是人才的竞争。网络安全保障能力其实取决于服务、取决于提供服务的安全人员技术水平。
在杜跃进看来,网络安全的本质是人和人之间的攻防对抗。中国对网络安全提出了“战略清晰、技术先进、产业发达、攻防兼备”十六字方针,杜跃进将其解读为:这些方针实现的基础是人才。
云晓春指出,我国在网络安全方面的投入绝大多数花在硬件上,一部分花在软件上,很少一部分放在服务上,但是国外是将绝大部分投入放在了购买安全服务上。这说明,国际上通常认为的网络安全保障能力其实是取决于服务、取决于提供服务的安全人员技术水平。如果有非常强大的安全团队跟踪网络设备的运行情况,即使设备能力稍微弱一点,安全保障能力也能跟得上。所以,人才的能力对网络安全始终是最重要的。如果整个国家、整个产业重视安全服务,那么安全队伍也会人才辈出。
其实很多企业抱怨,高校培养出来的科班信息安全人员往往不能用在企业的安全技术研发创新上,也胜任不了攻防任务。偏偏很多不是学软件、安全、计算机专业的人,以前没有接触过编程的人,成了网络安全高手。他们以前有做律师的、做医生的,也有做金融的、学数学的等等,因为兴趣而投身到网络安全中,成为顶尖的黑客。
360公司董事长兼CEO周鸿祎认为,安全行业未来一定是人才的竞争。美国已经有网络部队了,中国到目前为止还没有,这方面的人才其实比较缺乏。而美国的网络安全除了靠网络部队,还有很多民间承包商和民间公司帮助她做很多国家安全的事情,中国要学习这一点。以前,中国的安全人才有三个流向,一个是去了美国,另一个是落入了黑色产业链,还有一个是白帽子。现在搞攻防大赛、XP挑战赛,就是要将落入黑产的安全人才拉到白帽子行列,而重视安全服务,给安全人才更好的待遇,也能为培养安全队伍打下基础。
专家观点
国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春
合作才能构建完整的漏洞防御体系
在现代这种高水平、高强度的攻击下,一方面绝大部分的部门没有专业能力应对高强度的攻击,另一方面,因为各干各的,最后形不成整体合力,因此真正大规模攻击发生的时候各单位都顾此失彼,最后没有办法有效应对。我们面临的问题是分而有余,合而不足。之所以出现越来越多的网络安全问题,一个基础的原因是我们现在在网络安全方面的法律体系不健全,这种不健全,意味着在网络上进行犯罪的成本非常低。低成本的犯罪自然而然就纵容了网络各种攻击行为的出现。但更重要的是在目前的情况下,我国网络安全保障工作体系化能力不足,没有一个有效的、整体的防御体系和规划,最后导致当真正的攻击来临的时候,处理的难度非常大。网络安全体系保障的困局,最终导致了我们在互联网安全方面治理的困难。
要想解决整个国家网络安全保障体系能力提升的问题,实际上最重要的一点就是合作。我们知道网络安全根本性的问题是因为存在漏洞,如果我们能够预先知道漏洞,在这个漏洞被利用前能找到并把它修补起来,自然而然网络安全的保障能力就能很大提升。如果想提高发现漏洞的能力,就需要构建一个漏洞防御体系。其中,构建一个好的漏洞报告平台非常重要。依赖于某一个人或某一个团体就把所有的漏洞都发现,是不可能的事情。只有发挥全社会的力量,大家一起来干,才有可能把尽可能多的漏洞发现。
此外,还需要有专业的团队进行检验和评估,判断漏洞的危害性。当然漏洞出现了以后,相应的厂商要结合到体系内,把他自己产品的漏洞及时快速地修补起来,甚至做产品的召回。同时用户接到漏洞的通报信息以后,也要能够迅速地按照要求把补丁打上。
只有把报告平台、专业队伍、生产厂商、产品用户团结起来合作,才有可能构成一个比较完整的漏洞防御体系。
中国工程院院士、车联网专家郭孔辉
智能汽车安全状况堪忧
车联网的推广和普及拉动新的巨大产业链,对GDP有强力拉动。假设平均一辆汽车设置的车联网硬件是5000元的话,现在年产2300万辆车,一年的附加值可以达到1000亿元以上,可是软件和地面设施各种服务就可能达到上万亿元的产值。车联网产业链越来越长,汽车产销经营活动加入了很多服务的内容,汽车制造商和信息集成商、服务商可以直接联系,联通到各个领域的服务部门。
但是,车联网、物联网又带来了安全的风险,信息技术在汽车上的应用也成为了双刃剑。目前智能汽车至少有超过80个智能传感器,每天传输的数据高达100M,这些数据涵盖了汽车和驾驶者的个人信息,利用市面上随手可以得到的汽车诊断设备外加一款应用软件即可实现对智能汽车的攻击。有网上传言,只要10美元就可以攻破奔驰和宝马。最近360破解了特斯拉Model S应用软件的一些漏洞,并实现对特斯拉车的开锁等行动。
以OBD技术为例,它是用来自行诊断车辆故障类型的功能模块,可以远程通过手机进行遥控,可以让汽车驾驶途中中途熄火,遥控打开其后备厢进行偷盗,随时可以让汽车车门打开,进行很多不安全的动作。有的还有自动的防撞系统,刹车一下后面追尾就一大串。这种应用软件一旦放到网上公布,任何使用手机的人都有可能变成汽车的黑客,这将是灾难性的。针对车联网行业防OBD攻击的智能汽车防火墙产品,SyScan360已经首次开始亮相了,可是道高一尺、魔高一丈,之后的发展前景还是值得忧虑的。
网络安全应急技术国家工程实验室主任杜跃进
用竞赛寻找网络安全人才
网络安全的本质和其他的东西不太一样,本质是人和人之间的攻防对抗,并不是客观的。打个比喻,当对手已经用上隐形的战机飞越屏障时,我们还想象着要修一个长城就可以打退敌人,这显然是无法攻防对抗的。你必须要了解对手是人不是一个已经写好的程序,更需要像对手一样思考。现实中防御团队做的很多东西,与攻击团队的思路很不一样,防御的手法很容易被攻击者绕过去。所以对做网络安全的人来说,不能只是从自己的想象出发,还要了解自己的对手。例如网络钓鱼,专家给出的防范网络钓鱼的方法有很多条,而实际上,这些方法都可以被黑客绕过去,最终的结果是防不胜防。
我认为解决网络安全问题的方法之一是竞赛,更广泛地用集体的力量来帮助我们解决问题。竞赛分成三种不同的类型,第一类是挑战赛,针对一个真实存在的系统或者是应用寻找问题,进行改进。
第二类是创意赛,寻找新的方法。比如想解决一个问题,某一个人的方法证明效果最好,我们就把这个方法拿出来解决实际问题。现实中有非常多的东西可以用这种方法来找到答案。
第三类是对抗赛,在比较短的时间里通过攻防对抗的方式和合作的方式找出谁的技术积累、快速分析能力、应变能力最强,从防的角度来说也可以验证真实的效果。
我们认为,网络安全的人才是要在实际场景中练出来的。
360公司董事长兼CEO周鸿祎
智能化与大数据带来安全挑战
安全的挑战,我觉得有这么几个问题。
第一,当所有的设备都变成智能化、都接入网络以后,边界的概念将会进一步被削弱,也就是说接入点越多,可以被攻破的可能的入口就会越多。过去,我们很奉行隔离、切断,把电脑放在一个屋子里,把一个网络进行隔离,但今天会发现越来越多不起眼的设备都支持WiFi和蓝牙,这里面有太多可以被别人攻击的点,而且攻击点越多,防守的挑战就越大。
第二,过去很多企业可能不太重视企业的安全。我们很多时候买防火墙是为了合规,是上级要求和行业要求,但是防火墙究竟有没有配置好,能起多大的作用并不知道,可能也不怎么会出事,因为过去,企业可以把自己割裂在一个安全的孤岛上,但是现在变成互联的企业之后,就不可避免要把自己的核心业务系统接入到互联网上。
第三个问题,大数据污染。就是大数据中如果被人人为加入了不好的数据、人为操作和注入修改虚假信息,在数据传输存储过程中出现了问题,而我们又根据大数据做一些行业的指导和趋势的分析,可能会出问题。
大数据还会带来两个挑战。一个是大数据带来的用户隐私问题。最近美国机器人很热,当大数据运用到人工智能后很可能人类技术会发展到一个新的基点。当机器智能能够控制很多设备的时候,会出现两种可能,一种是家庭生活会变得更加幸福,另一种是骇客帝国的时代会来临。
另一个,也是最重要的一个挑战是用户隐私的挑战。在这样一个IoT和大数据的时代,我们每个人的数据,实际上只要使用网络服务,就会被传到云端,就会被储存到各个提供互联网的、或是联入互联网的公司的云端,每个人会变得更加透明。而法律和规则的制定往往是落后的,有很多问题会说不清楚,也管不清楚。