2014年的网络安全如果是一首乐曲的话,那它的主旋律就是变革。层出的漏洞以及由之引发的泄密问题组成了乐曲的音符,国家对网络安全的重视构成了旋律的节拍,网络安全技术的变革将乐曲推向了高潮。下面我们就来回味一下2014网络安全这首变革之乐吧。
威胁篇
首先,我们先来看一下2014年有哪些不和谐的音符出现,奏响了这首变革之曲。
2月全球最大的比特币网站因交易系统漏洞,导致丢失65万比特币,约计24亿人民币。
3月携程陷入“泄密门”,因支付漏洞股价暴跌3.44%,导致丢失60亿x3.44%=2.1亿人名币。
3月京东用户数据疑遭泄漏,但紧接着安全专家发出声明,称此为“撞库”事件,遂风波很快平息。
5月13号有黑客在圈内很著名的安全网站上曝料,小米用户数据泄露。5月14号,他又报了一个相似又不一样的,进一步证明小米有大量的数据泄露。新闻媒体的反应速度普遍滞后一点,主流的媒体大概都是在5月15号发的新闻。但5月16号是小米新品发布会。圈内的人普遍认为这是一个精心策划的打击活动。但是这个事情你没有办法说人家有任何不对,你确实是泄露了,人家只是事先掌握了资料不说出来,到那个时间点才用这个事情来打击你。这是利用安全事件,对对手进行精准打击的一个具体案例。
6月知名的代码托管网站CodeSpaces网站关门。原因是黑客侵入,把它的数据都删除了,就连备份数据都删除了。
8月华数电视系统用它的机顶盒在各个电视台同时弹出来一个对话框,里面有那么一句话,如下。
9月有外国黑客疑利用苹果公司的icloub云盘系统的漏洞,非法盗取了众多全球当红女星的裸照,继而在网络论坛发布。
此次好莱坞艳照门共涉及101位明星,詹妮弗·劳伦斯、麦凯拉·马罗尼、伊冯娜·斯特拉霍夫斯基等17位明星纷纷被曝光。第二日苹果公司回应:黑客并没有直接进入iCloud等存储服务系统,而是侵入女星个人账户,从而窃走照片。
10月摩根大通被黑客入侵,8300万用户数据泄露。摩根大通随后承认被攻击但否认数据泄露,股价下跌0.4%。
11月Sony影业遭黑客攻击,所有员工的计算机屏幕上都显示“Hackedby#GOP”字样。
黑客表示“我们已经收集了你们所有的内部数据,包括一些机密信息。如果不满足我们提出的要求,我们将毫不犹豫地将这些信息公之于众……
漏洞篇
威胁来自于网络安全漏洞,2014年是多个严重漏洞集中爆发的一年,心脏滴血、贵宾犬、USBbad、破壳等重大漏洞先后曝光。影响的网站、操作系统、硬件设备范围之广,闻所未闻。
心脏滴血漏洞实际存在已经超过两年时间,虽然全世界各地的机构和企业都在“心脏滴血”漏洞公布后第一时间开始修复工作,但在这个漏洞未曝光之前,根本无法统计有多少敏感信息因此而被窃取。
微软11月份修复的IE漏洞,自Windows95以来就存在,它的洞龄(漏洞未被修补的年限)是19年。
可以远程执行拿到系统级权限的破壳漏洞则最年长,已达25岁的高龄。
此外,今年4月8日,微软停止对WindowsXP系统的服务支持;5月16日,中国政府采购网公布的《中央国家机关政府采购中心重要通知》称,所有计算机类产品不允许安装Windows 8操作系统;7月,公安部科技信息化局下发通知,称赛门铁克的“数据防泄漏”产品存在窃密后门和高危漏洞,要求各级公安机关今后禁止采购。
漏洞的问题不仅仅在于系统的日趋庞大复杂,开发人员的疏忽、缺乏安全编码规范等原因,它最可怕的地方在于,也许之前它根本就不是一个漏洞,而是一个功能。但由于时代的发展,使用环境的变化,功能变成了漏洞。人类具备把所有正在使用的旧系统、程序、软件都做一次代码级的安全检测的能力么?也许这是比重新发明计算机和互联网还要难做的事!
宛如被打开的潘多拉魔盒,明年会出现什么样的重大漏洞?我们不知道。
反思:威胁应对中的问题
在年底的一个谈话节目上,几个安全专家总结了当前网络威胁应对方面的不足:
第一,DoS攻击在国内始终无法有效管控。为什么呢?DoS这种流量型的攻击,有几个部门是可以控制的:
1、运营商
运营商对DoS攻击的反映通常不积极,以小人之心揣度一下,攻方是运营商的客户,守方也是运营商的客户,运营商不作为本身就是一件何乐而不为的事情。
2、网监部门
对网监部门来说,是有现实困难,攻击是匿名的,地址是伪造的,要想溯源,不是不可以,但是很困难。
3、警方
向警方报案有案值认定的问题,一次DoS攻击如果去报案,报案起点低,只要3000块钱损失就可以报案。但DoS攻击损失评估没有标准,可多可少,低的可能连3000元损失额都定不下来,无法立案。而实际上,有可能一些行业受DoS攻击影响的业务流水就能达到成百上千万,但没有评估机构可以进行判定……
从各个方面来讲,解决这类问题需要全社会的共同努力。
第二,大量网络安全设备没有正确应用或部署。
在今年无论是网康制作的防火墙产品白书,还是深信服的防火墙产品采购指南,上面不约而同的都在提及一点:防火墙在大部分单位或企业中并未被正确使用。很多单位购买防火墙仅是为了满足安全合规性的要求。其中,很多地方仅在防火墙上配一条全通的规则,将防火墙当路由器来进行使用,而防火墙购买后从未加过电的情况也并非罕见。
这种情况的出现,原因是多种多样的。既有管理问题的存在,也有技术问题的原因(+微信关注网络世界),关键还在于传统安全防护技术手段无法满足当前网络安全防护的实际需求。
现实情况中,按安全规定就网络业务就无法正常应用,不按规定有安全风险的情况出现。在实际应用中,网络应用需求是时时的,而网络安全风险仅是暂时的,在不影响正常网络应用的前题下,安全自然要为实际业务应用需求让路!
除了应用需求问题之外,还有可靠性的问题。很多企业中,明知道有安全漏洞存在,但不敢升级。有的企业病毒库半年升级一次,不怕敌人拿病毒入侵他,反而怕安全产品出问题,也多是出于需要保障网络业务正常运营方面的考虑。
由此形成了网络安全的怪圈,为保障网络业务应用采购网络安全产品,安全产品限制网络业务应用,而不得不将其停用,往复循环……
用户总在幻想着通过一劳永逸的方法解决问题,寻找安全永动机。可实际上,目前安全领域中,还有很多传统的基础工作没有到位。完全靠新生厂商或者新生技术不可能在根本上解决问题。
未来需要对网络安全体系从新进行审视,从网络安全管理控制的根源上去进行改变。否则安全厂商在这样一个非常恶劣的环境下其实也是很难作业的。当前社会的网络安全状况之差,其实已经到了安全厂商本身也很难为用户提供系统而高效服务的程度了。
安全变革的开端
网络安全已到了不得不变革的时候。那在2014年有什么重大变革发生,我们也来盘点一下:
国家层面
由中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长的中央网络安全和信息化领导小组,于2014年2月27日成立。该领导小组将着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
今年8月,国务院授权重组国家互联网信息办公室,负责全国互联网信息内容管理工作,并负责监督管理执法。之后,网信办于2014年11月24日至30日,联合中央编办、公安部、工信部等多八个部门举办首届国家网络安全宣传周活动。中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山在启动仪式上发表讲话。他指出,网络信息人人共享、网络安全人人有责,要不断增强全民网络安全意识,切实维护网络安全,着力推进网络空间法治化,为建设 网络强国提供有力保障。
行业部门
银监会正式发布的《应用安全可控信息技术指导意见》中明确指出,从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年掌握银行业信息化的核心知识和关键技术,安全可控信息技术在银行业达到不低于75%的总体占比。
安全企业
各大安全厂商和网络巨头在2014年也在动作频频的投资、收购、入股,预示着安全市场已经开始走出冷战和布局阶段,明年将迎来更加近身的博弈战局。
这就是处于网络安全危机与变革中的2014年,现在已有多位安全专家纷纷预言,在马上到来的2015还将会有重大安全漏洞被披露,大规模网络攻击事件出现。我们的网络安全状况在2015会不会发生根本性的改变?传统网络安全痼疾能否被医治?让我们拭目以待!