温故知新 2013信息安全何去何从

电影《2012》是灾难片大导演罗兰-艾默里奇的一部佳作,讲述的是2012年世界末日来临时人们与灾难的抗争。地震、海啸、火山爆发等悉数登场……片子是虚构的,现实中很难出现那样的场景,不过,一场悄无声息的灾难却无时无刻不在扰乱着我们的生活,那就是网络信息安全威胁。

信息安全体现国家意志

为了保护网络信息的安全,自2000年以来,我国陆续制定了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》等一系列涉及互联网的法律、行政法规和部门规章,法律法规在推动和规范我国互联网建设发展过程中发挥了重要作用。

去年12月28日,全国人民代表大会常务委员会通过了《关于加强网络信息保护的决定》。该决定共12条,包括保护公民个人电子信息、治理垃圾电子信息、网络身份管理、有关部门的监管等内容。根据决定,任何组织和个人不得窃取公民个人电子信息,不得出售或非法向他人提供;实行“后台实名制”的网络身份管理;任何组织和个人未经接受者同意,不得发送商业性电子信息。《关于加强网络信息保护的决定》对个人信息保护迈出了第一步,对于网络信息服务、电子商务、网络安全、网络版权和知识产权保护等各个方面的立法,都还需要进一步研究和加强。2012年5月9日国务院总理温家宝主持召开国务院常务会议,研究部署推进信息化发展、保障信息安全工作,并发布《关于大力推进信息化发展和切实保障信息安全的若干意见》,明确提出了重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行,同时提到加大信息安全技术研发力度,支持信息安全产业发展。

2012年已经成为了过去式,我们迎来了崭新的一年。去年,伴随着云计算、物联网和移动互联网概念的火热,信息安全立法重磅出击,出台了《关于加强网络信息保护的决定》等法律,进一步强化了信息安全建设过程中国家意志的体现,对整个信息安全行业都将产生巨大而深远的影响。2012年12月25日下午消息,来自工业和信息化部信息安全协调司的消息显示,积极推进国家信息安全战略出台和宣传贯彻,已经成为该司局2013年的首要工作。

回顾篇:2012年威胁演变总结

引子:墨菲定律

墨菲定律:事情如果有变坏的可能,不管这种可能性有多小,它总会发生。

任何事都没有表面看起来那么简单;

所有的事都会比你预计的时间长;

会出错的事总会出错;

如果你担心某种情况发生,那么它就更有可能发生。

墨菲定律恰是2012年安全威胁的真实写照,间谍软件、传统病毒、木马程序、社会工程学或者任何一种攻击方式在黑客手里都将成为工具,手机病毒、无 线安全、信息泄密、业务流程安全我们担心的事情都在发生,只是时间点的问题。安全就像云计算一样,我们在观望趋势的时候觉得很远的东西,其实已经在我们身 边。2012年的典型安全威胁总结如下:

DDoS攻击的规模持续增加

信息安全行业有句话:DDoS是永不消失的威胁。2012年3月份,黑客组织Anonymous扬言要干掉整个互联网以给“SOPA法案,华尔街及 黑心银行家,前者的保护伞政府”等一点颜色看看。Anonymous计划对所有13台DNS域名根服务器发起大规模DDoS行动,届时在浏览器中输入所有 域名都将返回错误页面,使得不少用户届时将认为网络无法使用。2012年8月,维基解密表示,自己的网站遭受到了持续的DDOS(拒绝服务)黑客攻击,导 致网站在一周多的时间里反应迟缓或无法登录。

传统的DDoS攻击是通过攻击者在全球范围互联网用户中建立的僵尸网络发出的,数以百万计受感染的机器在用户不知情中参与攻击。随着云计算风潮扑面 而来,随着宽带提速等云时代的网络发展,DDoS攻击升级到百G时代,更加容易塞满入口带宽、冲击转发丢包、耗尽应用连接。如今的DDoS手段更加简单直 接,云时代的各种虚拟化服务也为其提供了新的滋生场所。据天融信阿尔法实验室研究,当前的主流三大攻击手段是IP大包拥堵出口带宽,SYN小包冲击PPS 转发,GET并发服务连接耗尽。针对于此,天融信入侵防御产品TopIDP通过采用攻击特征防御、攻击数据包统计、攻击行为学习比对等三种方式来进行相应 的阻挡防御,取得了良好的效果。

信息泄露事件愈演愈烈

发生在2011年底的泄密门事件相信至今都让业界忌惮,其影响力贯穿于整个2012年,泄密门事件余波未平,就又发生了多起电信、金融、电商等泄密事件。2012年的主要泄密事件回顾如下:

2012年1月,亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击,2400万用户的电子邮件和密码等信息被窃取。

2012年3月,东软集团被曝商业秘密外泄,约20名员工因涉嫌侵犯公司商业秘密被警方抓捕。此次商业秘密外泄造成东软公司损失高达4000余万元人民币。

2012年3月,央视3.15晚会曝光招商银行、中国工商银行、中国农业银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息,导致部分用户银行卡账号被盗。

2012年5月,1号店90万用户信息被500元叫卖。有媒体从90万全字段的用户信息资料上进行了用户信息验证,结果表明大部分用户数据属真实信息。个人信息的泄露将会导致诈骗、勒索甚至威胁人身安全的事件发生频率增高,让人心悸。

2012年7月,京东、雅虎、Linkedin和安卓论坛累计超过800万用户信息泄密,而且让人堪忧的是,部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内,意味着所有人都可使用这些信息。

2012年7月,三星电子员工向LGD泄密AMOLED技术被起诉。

2012年8月,银行外包后台成泄密重灾区,江苏银行1个月卖千份客户资料。同月,上海数十万条新生儿信息遭倒卖,出自市卫生局数据库外包维护工作人员。

2012年9月,美国媒体报道:有黑客组织声称破解了联邦调查局(FBI)主管的笔记本电脑,获得了1200万苹果iOS用户UDID、用户名、设备名称、设备类型、苹果推送通知服务记录、电话号码、地址、等重要内容。

2012年11月,“三通一达”等多家快递公司客户信息遭贩卖。快递单号的信息被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。这些交易 网站显示,被交易的快递单号来自包括申通、圆通、中通、韵达在内的多个快递公司,“淘单114”还写着“单号来源于各地快递员”。

以上泄密,主要有三种情况:黑客入侵,用户信息未加密,企业内部员工或外包人员窃密。信息安全同样适用于2/8原则,大量的信息泄露事件是因为我们 基础工作没做好。电信运营商、金融、电商等这些与网民十分相关的单位,防泄密更是重中之重。2012年底发布的《关于加强网络信息保护的决定》,从法律层 面对信息保护提出了明确要求。

APT攻击持续不减愈演愈烈

自2010年Google承认遭受严重黑客攻击之后,APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”。APT攻击行为首先具有极强 的隐蔽能力,通常是利用用户受信的应用程序漏洞来形成攻击者所需攻击网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流 程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。

APT的典型代表当属“火焰”。2012年5月,一种破坏力巨大的全新电脑蠕虫病毒“火焰”(Flame)被发现,这种病毒正在中东地区大范围传 播,其中伊朗受病毒影响最严重。该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。感染“火焰”病毒的电脑将自动分 析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其他重要文件发送 给远程操控病毒的服务器。一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。在“火焰”病毒被发现之后,一些网络分析专家认为,这似乎已形成了“网 络战”攻击群。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。

针对智能手机的攻击首次超过PC

2012年Android智能手机已经占据智能手机市场75%的市场份额。在中国,Android手机的智能市场占有率更是超过9成,这样一个主流移动操作系统已经引起黑客和无良公司极大的兴趣。目前,在澳大利亚和美国,针对 Android 的恶意攻击比率(Threat Exposure Rate, TER)甚至已经超过PC。(如下图)

上图并未给出中国市场的Android系统威胁数据,但是复旦大学计算机科学学院专家今年8月份发布的研究显示,目前国内安卓系统的应用程序泄露率 过半,八成软件过度要求授权,非法收集用户隐私信息,包括手机通讯录、身份信息、地理位置信息、诸多账号信息以及邮件文件等数据。

无线安全再次引起警钟

2012年11月,深圳地铁信号系统受干扰,导致信号系统安全保护功能启动,列车紧急制动,造成多次列车因重新启动而晚点或清客。经过分析地铁信号系统采用WIFI信号,以通行的 2.4GHz频段进行无线数据传输,线路信号系统受到了列车上乘客所使用的便携式3G无线路由器所产生的信号干扰所致。此类便携式3G无线路由器主要用于将3G信号转换为WIFI信号供无线终端使用, 其无线数据传输频段与地铁信号系统传输频段相同,均为公众免费频段2.4GHz。要彻底解决改问题,地铁需要申请专用频段的来传送信号,避免干扰。

展望篇:2013年信息安全何去何从

在云计算、物联网、移动互联网等新技术、新应用不断发展的时代,关于信息安全的未来发展具有如下特征:

市场驱动力:从合规驱动到需求驱动渐变

信息安全一般分两类驱动力,即政策性驱动和需求类驱动。从历史来看,政策性驱动的市场要大于需求类驱动的市场。等级保护是一个典型的政策性驱动的市场,当然两者也不是完全隔离,但是近年来需求驱动力度越来越明显。

耗费巨资的中国铁路客户服务中心网站(简称12306网站)定义为等级保护四级,前不久暴露出被黑客拖库,最近又因机房空调问题停止服务,而这两项 内容都在等级保护规范中有明确的要求。所以,认为通过等级保护的评测就不会出问题显然是一种误区。国外屡屡出现的大规模信用卡信息泄漏的公司多数也通过了 PCI-DSS认证,这些只不过是促进信息安全工作的一种合规性要求。等级保护只是指导性,关注通用的一些要求,并没有触及到用户的安全需求实质。很多行 业用户的需求已经完全超出了等级保护的泛在要求。等级保护只是最基本的要求,无法也不可能涉及到用户的所有业务安全需求,结合业务的需求才是关键。

从未来看,在满足合规的基础上,用户真正的安全需求还有巨大的空间需要满足。从厂商角度要切实关注用户的实质安全需求,这将是今后很重要的市场驱动力。

安全关注点:从“系统”到“业务”到“人和数据”的转移

哪里有价值,哪里就有攻击,攻击者一定是不断靠近价值层的。从未来看,安全的关注点也在发生变化,从早期的关注系统,到关注业务,到当下及未来更关注人、关注数据。

系统安全

从国内用户的安全工作来看,大部分的安全资源投入到了安全补丁、安全事件处置、漏洞扫描和评估、安全设备部署等,这些主要集中在网络、系统层面的工作很难涉及到安全的实质,致使很多用户投入了大量的资金和精力所建设的安全系统疲于防护,安全事故依旧频发。

业务安全

业务系统既有通用IT基础设施,又有其特有的应用、特有的业务流程。一般的安全防护是基于基础IT设备的体系,从内容上看开展的安全工作大部分仅停 留在系统和设备层面上,缺乏对应用层、业务流程层的全面评估和防护手段,不能全面发现漏洞,无法应对日新月异的安全威胁。近期发生的信息泄密等安全事故都 表明,传统安全管理和技术措施存在明显空白薄弱点。

对于业务安全难以发现、难以防护的特点,切实的工作方法就是落实“三同步”。按照天融信2012年初反复强调的要“将安全和业务进行融合”,就可以 避免出现安全问题后再打补丁所付出的巨大代价。只有从业务角度进行梳理,才能发现深层次的安全隐患。业务安全问题需要安全专家要深度了解业务知识,首先是 业务专家然后才是安全专家。培养专门的业务安全专家是当务之急。

人的管理

人永远是信息安全最为核心的要素,尽管目前信息安全技术在识别威胁方面变得更好,但技术不可能始终将人这一要素剔除。人的安全意识、技能是安全体系充分发挥作用的基石。

人也是信息安全体系木桶中最重要的一块木板。社会工程学就是利用人性的弱点达到攻击业务或获取数据的目的。社会工程学始终是安全攻击中高居不下的攻击方式,需要引起足够的重视。人的安全意识提升至关重要。

同时对人的安全管理也是信息安全工作中事半功倍的措施,业内的4A(集中账号管理、认证、授权与审计)系统这些年建设的效果非常好,也从另一个侧面体现了对人的管理的重要性。安全的实质是攻与防的博弈,安全的未来投入会更多的关注的“人”的这个层面。

数据安全

在大数据时代,对机构或企业来说,大数据将成为关键价值资产,对数据的安全关注需要加大投入。“大数据”并不是一项技术,而是由于不断增长的数据量和数据种类而逐渐衍生出来的一种现象。

随着计算机信息化技术飞速发展,企业中的主机、服务器、防火墙、交换机、防毒墙、无线路由等等网络设备、安全设备以及应用系统越来越多,这些设备所产生的海量日志信息成为了大数据时代飞速增长的数据的重要组成部分,由此带来的日志管理与安全审计的工作也变得越来越复杂。

面对海量数据,单靠人工进行管理几乎成了一件不可能完成的工作。越来越多的企业也意识到了这种挑战:IT 负责人和职员无法有效地对海量数据进行有效地收集、处理和分析;另一方面,企业CEO 以及高层管理人员因不能及时获得所需的信息,而无法预测出潜在的业务风险,坐等商业机会的流失。

天融信在面对大数据时代带来的新挑战,提出大数据综合管理平台战略,为企业转型、成长提供必要的战略技术支撑。通过海量数据的自动收集、处理以及实时的智能分析实现企业高效、便捷、经济的大数据管理。

威胁新变化:从普通攻击到“有目的、有组织”网络战

安全威胁发展的三个阶段,即

a、第一阶段:早期的无意识攻击,以炫耀技术为主

b、第二阶段:趋利性安全攻击,目的明确就是获取利益

c、第三阶段:APT(Advanced Persistent Threat)攻击,主要表现为有组织的攻击、反政府的恐怖袭击等网络战。

网络战已不是某种概念,而是现实。2013年安全威胁主要有以下趋势。

1、威胁主体的变化——在新的形势下,威胁的主体在发生变化,以前的威胁主体主要是个体、小组织团体,未来的对手会是有组织的攻击等。新的对手有几 个特点:网络攻击活动背景越来越复杂,攻击者拥有更大量的资源,锁定精准的目标,攻击的目标越来越多被选定为关系到国计民生的基础设施,攻击者拥有更强的 团队能力等,过去所积累的经验教训将远远不足以应对未来的情况。

2、网络冲突或成常态——2013年及未来的网络世界中,不同组织或个人之间的网络冲突或将成为一种常态。一些有组织的团体会继续使用网络战术来尝 试摧毁或破坏其攻击目标的安全系统及信息资产。2013年的网络形势更类似于一场“比武大会”,不同组织和团体都可能会通过网络攻击来展示其实力并“发布 信息”。针对个人和非政府类组织的攻击会越来越多,例如政治事件的拥护者以及发生冲突的少数群体成员。

3、定向攻击、勒索软件——APT攻击时代的来临预示着定向攻击将成为恶意软件发展的新趋势,传统的蜜罐或蜜网将难以捕捉APT样本;同时一种威力 更强大的新模式“勒索软件”正在涌现。勒索软件不仅仅是欺骗受害者那么简单,它还会对受害者实施威胁与恐吓。如今,网络罪犯们使用在线支付的方式这些敲诈 方式会变得越来越先进,且更具破坏性。攻击者们会使用更加专业的勒索手段来刺激受害者,并使用一些方法让受攻击对象在被入侵后很难恢复。

产业大趋势:从传统安全走向融合开放的大安全

智能化

传统安全更关注防御、应急处置能 力,随着互联网的发展,安全问题逐渐突出,入侵、攻击和病毒行为正向分布化、规模化、趋利化、复杂化和间接化等方向 发展。因此,在网络中依靠传统孤立的采用一种安全产品或技术,部署在局部范围内,来识别和发现网络中的安全事件已经非常困难或有失准确性。

在“大数据时代”的智能化安全,是通过对安全海量数据的挖掘,通过数据融合,智能化深入分析和良好呈现,更注重体系的安全态势预知,强调系统的“预防”能力,达到医学上的“上医治未病”。

运营化

同 其他产业一样,信息安全同样要经历“产品模式”、“服务模式”、“体验模式”的转变,安全实质提供的是知识和能力,从发展趋势看,安全将从硬件交 付、软件交付向运营化服务的过渡,依托产品+服务,提供7*24小时的运营化服务才能更无缝的契合用户的安全需求。即SAAS:安全即服务。

随 着云的落地,给IT带来了巨大的变革。云安全服务的出现,彻底颠覆了传统安全产业基于软硬件提供安全服务的模式,降低了企业部署安全产品的成本, 使更多的企业可以享受到安全运营保障,全心关注企业的核心业务。运营化服务的SLA和信息保密及隐私的问题,是服务提供商后续需要重点考虑和解决的。

精细化

融 合开放是这个时代发展的主题,尤其在云计算时代,系统融合了很多的应用和服务,开放很多的接口,系统供应链的整个安全都需要我们关注。在全供应链 风险管理体系中,可能供应商的供应商都属于全供应链风险。我们很多用户对供应链,尤其是全球供应链环境的风险考虑是不足的。真正的安全是从一个整体系统去 看它的全生命周期的安全问题,而且要考虑人的因素,同时还要考虑各方面的对手所带来的危险。

技术新挑战:新计算、新网络、新应用、新数据的安全

新计算、新网络、新应用、新数据,这些都是今后一段时期的信息安全方向和热点,每一个方向都会给未来的应用和业务带来巨大改变,同时也带来新的安全挑战。

新计算

这 里所提到的新计算可以认为就是目前大热的云计算。云计算给传统计算模式和商业服务模式带来了巨大改变,但却面临极大的安全风险,这使得云安全也随 着云计算热而广受关注。云计算的虚拟化、多租户和动态性给传统安全问题出了一道难题,而且也引入了一些新的安全问题。云计算的出现使得传统的网络边界不复 存在,使得信息的所有权和管理权分离,信息资产的非授权访问成为云计算系统的重要安全问题。

数据安全和隐私保护:由于多租户环境、虚拟技术、数据迁移等多个因素综合导致数据保护将面临更大的挑战。

虚拟化运行环境安全:虚拟机隔离、监控、安全迁移及镜像文件的安全存储,以及文件存储、块存储、对象存储等于计算存储服务的安全

动态云安全服务:不同企业、不同应用存在差异化的安全需求,根据用户需求,结合移动互联网应用架构,提供动态差异化的于安全服务。

天融信公司依据多年的信息安全工作经验,充分分析云计算系统的特点,总结了云计算安全保障体系框架,从三个维度阐述云计算安全的相关要素。如下图:

图:云计算安全保障体系框架

新网络

物 联网——国家“十二五”规划明确提出,物联网将会在智能电网、智能交通、智能物流、金融与服务业、国防军事等十大领域重点部署。物联网和安全相关 的特征表现在可感知性、可传递性和可处理性。可感知性是需要物品、设备和设施的相关信息均可唯一识别,并数据化描述,最终可通过网络进行远程监控。可传递 性是需要将物品信息通过各种电信网络与互联网实时准确地传递出去。可处理性是需要运用云计算、模糊识别等智能计算技术对海量信息进行智能处理。物联网中的 业务认证机制和加密机制是安全上最重要的两个环节。

移动互联网——据Gartner预计,到2013年,全球PC保有量将达到16.2 亿部,而智能手机和具备浏览器的传统手机的保有量将达到16.9 亿部。手机将超越PC而成为人们的主要上网工具,随着3G网络、WLAN网路如火如荼的建设,移动互联网用户规模和网络规模都将呈现爆炸性增长。

移 动终端存储的隐私信息及蕴含的经济利益使其称为黑客首要的攻击目标。主要表现在移动恶意软件窃取隐私或吸取话费及带来潜在威胁、操作系统、客户端 软件漏洞导致安全风险。从未来看,由于收益丰厚,黑色产业链会刺激病毒的发展,移动恶意软件会更加肆虐、泛滥、更加智能化,更难清除,同时综合型移动恶意 软件出现,集成隐私窃取,恶意消费、系统破坏、后门等多种功能,危害会更大。

新应用

电子商务安全——电 子商务主要依托Internet平台完成交易过程中双方的身份、资金等信息的传输,安全问题是电子商务的主要技术问题,主要面临 以下威胁:一是信息篡改,电子的交易信息在网络传输过程中,信息可能会被人、被第三者非法篡改,导致信息失去了真实性和完整性。二是信息破坏,由于一些硬 件和软件问题或者是一些恶意病毒使一些信息遭到破坏。三是身份识别,若没有身份识别,交易的一方就可以对交易内容否认或者是欺诈,或者会有第三方来冒充交 易的一方。四是信息泄密,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。

社交网络 (SNS)安全——社交网络的安全威胁会越来越大,隐私保护将成为焦点。最重要的两个因素是安全和信任,虽然可以保护个人信息不被其它应用 程序用户看到,但对于受信任的朋友,你却无法保证他不会泄露你的私密资料或以此为目的来接近你,就目前的社交平台来看,安全和信任还存在相当大的问题。

新数据

大 数据成为网络攻击的显著目标:在网络空间,大数据是更容易被“发现”的大目标。一方面,大数据意味着海量的数据,也意味着更复杂、更敏感的数据, 这些数据会吸引更多的潜在攻击者。另一方面,数据的大量汇集,使得黑客成功攻击一次就能获得更多数据,无形中降低了黑客的进攻成本,增加了“收益率”。

大 数据也为信息安全的发展提供了新机遇。大数据正在为安全分析提供新的可能性,对于海量数据的分析有助于信息安全服务提供商更好地刻画网络异常行 为,从而找出数据中的风险点。对实时安全和商务数据结合在一起的数据进行预防性分析,可识别钓鱼攻击,防止诈骗和阻止黑客入侵。网络攻击行为总会留下蛛丝 马迹,这些痕迹都以数据的形式隐藏在大数据中,利用大数据技术整合计算和处理资源有助于更有针对性地应对信息安全威胁,有助于找到攻击的源头。