您的位置: 网界网 > 周报全文 > 正文

[周报全文]十年,安全在路上

2014年10月30日 16:57:12 | 作者:网界网记者 鹿宁宁 | 来源:网界网 | 查看本文手机版

摘要:岁月如梭穿行在时空的长河。在历史的长河中,十年虽然转瞬即逝,却也留下了痕迹。其间恰恰是中国网络安全市场风起云涌的十年,是弄潮儿竞相风流的十年。十年前,正值笔者刚刚走进大学校园,大学课堂将网络安全知识带入了日常生活...

标签
网络攻击
网络安全
DDoS攻击

岁月如梭穿行在时空的长河。在历史的长河中,十年虽然转瞬即逝,却也留下了痕迹。其间恰恰是中国网络安全市场风起云涌的十年,是弄潮儿竞相风流的十年。十年前,正值笔者刚刚走进大学校园,大学课堂将网络安全知识带入了日常生活和学习中,而那时的病毒、垃圾邮件及网络攻击者如同大学生活一般“单纯”。

十年,我们在成长,网络攻击也在不断地改变和进化。网络遭受攻击的频率与日俱增,攻击的手段和恶意软件的泛滥趋于复杂,传统安全防范手段早就难以彻底地解决安全隐患。尽管网络中部署了大批的安全设备,但这些设备大多庞杂,如下一代防火墙[注]、入侵检测系统、深度防御系统、上网行为管理、安全网关等各组件孤军作战。同时物理安全、网络安全、数据安全、业务安全层面分离,难以有效兼顾,从而也难以形成协同作战的能力,致使业务平台、网络平台、管理平台的安全策略缺乏整体性和有效性,不能形成全局的安全防御协作能力。

从国内外网络安全厂商来看,网络安全的发展亦非一帆风顺,经历过波折和徘徊、辉煌和失落,直到今日,仍存在诸多争议。日前,国内多数活跃在第一线的安全厂商都正值“青春期”。站在网络安全发展十年的路口,我们不禁再次追问:网络安全究竟是人的问题还是技术的问题?实现企业网络安全管理,是利用单个功能的产品搭建体系好,还是采用并驾齐驱的安全平台更佳?防火墙或者下一代防火墙是不是对抗APT[注]的终极武器?比特币带来交易转移机制新鲜尝试的同时,Java 0day漏洞持续对其进行跨站脚本注入攻击,交易的安全性能否找到出路?大数据[注]分析究竟有没有侵犯隐私?层出不穷的数据泄露事件反映出网络安全的哪些风险,我们能从中学到什么?太多的问题值得我们思考。正所谓“以史为鉴,可以知兴替”,回顾网络安全这些年的新趋势,或许能得到些许启示。

DDoS[注]攻击 有始无终

DDoS,即分布式拒绝访问攻击。这里的“分布式”,意味着通过大量的计算机向目标发起狂轰滥炸式的数据包,从而导致目标计算机系统无法正常工作。随着越来越多的互联网应用承载在HTTP协议之上,应用层DDoS攻击日渐频繁。2007年5月,DDoS攻击开始瞄准政治领域,数千名俄罗斯同情者封锁了爱沙尼亚政府的各大网站。这场攻击持续了整个夏天,最后还是在多个国家的CERT(计算机紧急响应中心)共同努力下才逐渐将其平息下去。翌年,俄罗斯的黑客组织又用DDoS手段向格鲁吉亚政府发动了攻击。这之后,还有多个国家的政府网站和军事网站遭到有组织的DDoS攻击。2013年3月,欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量的DDoS攻击,攻击流量峰值高达300Gbps。2013年针对HTTP应用的DDoS攻击已占到攻击总量的89.11%。在众多网络攻击中,DDoS攻击占绝对比例,主要原因是DDoS攻击易于实施,攻击效果明显,追踪困难。安全厂商虽然对此展开了积极的探索和创新,但层出不穷的攻击事件、与日俱增的攻击规模,仍然对用户网络形成巨大威胁。这对专注DDoS防护的安全厂商的跟踪研究能力是个考验。

高薪奖励白帽子

多年来,包括乌云漏洞平台在内的独立研究人员(“白帽子”)们一直在争论,新发现的漏洞究竟应该立刻公之于众呢?还是应该等到厂商发布了该漏洞的补丁之后再公布?在某些情况下,厂商没有再与白帽子们联系,或者没有优先考虑公布漏洞的事情,所以广大的白帽子们就会自行公布这些漏洞。从防御的角度讲,黑客肯定不愿意漏洞被公布,因为这些漏洞信息在黑市上可是抢手货。

经过多年的反复争论之后,几年前有那么一两家安全公司已经开始决定支付给白帽子封口费。作为交换,安全公司将与涉及到的厂商共同协作,检查补丁是否能够及时完成,而该厂商的客户是否能够比普通公众提前得到详尽的漏洞信息。比如,在四年前的CanSecWest应用安全大会上,Tipping Point就将1万美元的年度奖颁给能够黑掉指定系统的白帽子。近年来,发现漏洞给予报酬的程序已相当成熟。举例来说,微软2009年12月共发布了5个IE漏洞补丁,而这些漏洞都是在iDefence 0 day项目激励程序的作用下被发现的。而去年以来,360和Geekpwn也分别通过“库带计划”和高额奖励去激励广大白帽子发现漏洞。

数据泄露愈演愈烈

十年来,全球泄密事件层出不穷。从索尼PSN泄密、富士康iPad图纸泄密,再到今年的Target数据泄露和苹果手机iCloud私密照片外传事件等(+本站微信networkworldweixin),无论是从相关公司的规模、泄露信息的重要性,还是泄密事件的发生频率,2014的上半年都远超过往年。

这表明,企业核心数据的价值已被攻击者广泛认同,他们更加坚定地花费更多的成本去非法获得企业和个人的核心数据。而另一方面,许多企业和个人防泄密意识还不够,对核心信息的价值,以及信息防泄漏的认识还不足。由于成本原因,很多企业还纠结于建设网络安全究竟是“挣钱”还是“花钱”的问题上。为了防范Target此类数据泄露,美国支付卡行业协会(PCI)曾在2005年提出12条规定,要求其商业成员必须遵守。纵使PCI安全委员会每两年会更新这些规定,其中包括对信用卡数据的端到端加密,但是在安全业界,厂商们已经从层出不穷的泄密事件中看到了更深度的问题所在。加密和PCI不能解决所有的问题,单纯审计也没有任何意义。只有从全局的视角出发,对安全问题进行统筹规划、统一管理,整合运用审计、权限管理、透明加密等防泄密功能,根据涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式防护,将技术、管理、审计进行有机的结合,构建起企业网络安全平台,使得成本、效率和安全三者达到最优平衡,才能实现真正意义上的网络安全。

安全未来 无限可能

人类总是对未来充满好奇,在恶意软件APT等地下经济愈演愈烈的黑云压城面前,安全技术和安全业界有没有能力有效对抗威胁并保护社会和经济?

著名安全思想家Bruce认为,网络安全如同杀人盗窃等犯罪行为。已经伴随人类数千年的行为,虽然我们无法根除这些行为,但并不妨碍社会的发展和进步。我们虽然生活在有犯罪、并不安全的社会里,但社会有相当的弹性和自我恢复能力。

云计算[注]虚拟化SDN[注]、移动安全……这些名词尚待消化,安全威胁却已悄然入侵。这个世界,唯一不变的就是“变”。从这十年的发展来看,网络安全经历了关注安全技术、关注人的行为、关注管理、关注整体解决方案到最近回归本质的关注信息本身的整体安全平台这五个过程,技术、体系、理念都在不断进步和完善,不断地加固着企业的网络安全防护体系。但是,技术不断在进步,威胁不断在产生,网络安全的范畴和焦点亦在不断地变化。未来网络安全关注的焦点是什么?这个问题恐怕要留给时间来回答。 (更多内容详见: http://www.cnw.com.cn/P/6009)

参考资料

1.SDN:(Software Defined Network,软件定义网络)是一种新型的开放网络创新架构。最初是由美国斯坦福大学研究组提出,OpenFlow通过将网络设备控制面与数据面分离开来,从而实现...详情>>

2.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

3.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

4.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

5.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

6.APT:(Advanced Persistent Threat,高级持续性威胁),是指黑客或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]