歲月如梭穿行在時空的河。在歷史的長河中,十年轉瞬即逝,卻也留下了痕跡。其間恰恰是中國網(wǎng)絡安全市場風起云涌的十年,弄潮兒競相風流的十年。十年前,筆者剛剛走進大學校園,大學課堂將網(wǎng)絡安全知識帶入了日常生活和學習中,而那時的病毒、垃圾郵件及網(wǎng)絡攻擊者如同大學生活一般“單純”。
對于網(wǎng)絡安全企業(yè)來說,十年的時間不是很長。2004年網(wǎng)康科技創(chuàng)立,成為中國上網(wǎng)行為管理理念的締造者;2005年,IDC正式定義了“統(tǒng)一威脅管理”(UTM),自此飛塔成為UTM的領跑者,為廣大中小企業(yè)帶來了網(wǎng)絡安全的福音;2009年,Gartner分析師提出“下一代防火墻[注]”(NGFW)的定義,同年PaloAlto率先推出世界首臺NGFW;近年來,華為、網(wǎng)康、山石網(wǎng)科等國內安全廠商也相繼推出了功能各異的NGFW……
十年,我們在成長,網(wǎng)絡攻擊也在不斷地改變和進化。網(wǎng)絡遭受攻擊的頻率與日俱增,攻擊的手段和惡意軟件的泛濫趨于復雜,傳統(tǒng)安全防范手段早就難以徹底地解決安全隱患。盡管網(wǎng)絡中部署了大批的安全設備,但這些設備大多龐雜,如下一代防火墻、入侵檢測系統(tǒng)、深度防御系統(tǒng)、上網(wǎng)行為管理、安全網(wǎng)關等各組件孤軍作戰(zhàn);同時物理安全、網(wǎng)絡安全、數(shù)據(jù)安全、業(yè)務安全層面分離,難以有效兼顧,從而形成協(xié)同作戰(zhàn)的能力,致使業(yè)務平臺、網(wǎng)絡平臺、管理平臺的安全策略缺乏整體性和有效性,難以形成全局的安全防御協(xié)作能力。
從國內外網(wǎng)絡安全廠商來看,網(wǎng)絡安全的發(fā)展亦非一帆風順,經(jīng)歷過波折和徘徊,輝煌和失落,直到今日,仍存在諸多爭議。日前,國內多數(shù)活躍在第一線的安全廠商都正值“青春期”。站在網(wǎng)絡安全發(fā)展十年的路口,我們不禁再次追問:網(wǎng)絡安全究竟是人的問題還是技術的問題?實現(xiàn)企業(yè)網(wǎng)絡安全管理,是利用單個功能的產(chǎn)品搭建體系好,還是采用并駕齊驅的安全平臺更佳?防火墻或者下一代防火墻是不是對抗APT[注]的終極武器?比特幣帶來交易轉移機制新鮮嘗試的同時,Java 0day漏洞持續(xù)對其進行跨站腳本注入攻擊,交易的安全性能否找到出路?大數(shù)據(jù)[注]分析究竟有沒有侵犯隱私?層出不窮的數(shù)據(jù)泄露事件反映出網(wǎng)絡安全的哪些風險,我們能從中學到什么?太多的問題值得我們思考。正所謂“以史為鑒,可以知興替”,回顧網(wǎng)絡安全這些年的新趨勢,或許能得到些許啟示。
DDoS攻擊 有始無終
DDoS,即分布式拒絕訪問攻擊。這里的“分布式”,意味著通過大量的計算機向目標發(fā)起狂轟濫炸似的數(shù)據(jù)包,從而導致目標計算機系統(tǒng)無法正常工作。隨著越來越多的互聯(lián)網(wǎng)應用承載在HTTP協(xié)議之上,應用層DDoS攻擊日漸頻繁。2007年5月,DDoS攻擊開始瞄準政治領域,數(shù)千名俄羅斯同情者封鎖了愛沙尼亞政府的各大網(wǎng)站。這場攻擊持續(xù)了整個夏天,最后還是在多個國家的CERT(計算機緊急響應中心)共同努力才逐漸將其平息下去。翌年,俄羅斯的黑客組織又用DDoS手段向格魯吉亞政府發(fā)動了攻擊。這之后,還有多個國家的政府網(wǎng)站和軍事網(wǎng)站遭到過有組織的DDoS攻擊。2013年3月,歐洲的反垃圾郵件公司Spamhaus網(wǎng)站遭遇史上最大流量DDoS攻擊,攻擊流量峰值高達300Gbps。2013年針對HTTP應用的DDoS攻擊已占到攻擊總量的89.11%。在眾多網(wǎng)絡攻擊中,DDoS攻擊占絕對比例,主要原因是DDoS攻擊易于實施,攻擊效果明顯,追蹤困難,安全廠商對此展開了積極的探索和創(chuàng)新。層出不窮的攻擊事件、與日俱增的攻擊規(guī)模,對用戶網(wǎng)絡形成巨大威脅,同時對專注DDoS防護的安全廠商的跟蹤研究能力是個考驗。
高薪獎勵白帽子
多年來,包括烏云漏洞平臺在內的獨立研究人員們一直在爭論,新發(fā)現(xiàn)的漏洞究竟應該立刻公之于眾,還是應該等到廠商發(fā)布了該漏洞的補丁之后再公布。在某些情況下,廠商沒有再與白帽子們聯(lián)系,或者沒有優(yōu)先考慮公布漏洞的事情,所以廣大的白帽子們就會自行公布這些漏洞。從防御的角度講,黑客肯定不愿意漏洞被公布,因為這些漏洞信息在黑市上可是搶手貨。
經(jīng)過多年的反復爭論之后,幾年前有那么一兩家安全公司已經(jīng)開始決定支付給白帽子封口費。作為交換,安全公司將與涉及到的廠商共同協(xié)作,檢查補丁是否能夠及時完成,而該廠商的客戶是否能夠比普通公眾提前得到詳盡的漏洞信息。比如,在四年前的CanSecWest應用安全大會上,Tipping Point就將1萬美元的年度獎頒給能夠黑掉指定系統(tǒng)的白帽子。近年來,發(fā)現(xiàn)漏洞給予報酬的程序已相當成熟。舉例來說,在微軟2009年12月的補丁,共發(fā)布了5個IE漏洞補丁(+本站微信networkworldweixin),而這些漏洞都是在iDefence 0 day項目激勵程序的作用下被發(fā)現(xiàn)的。而去年以來,360和Geekpwn也分別通過“庫帶計劃”和高額獎勵去激勵廣大白帽子發(fā)現(xiàn)漏洞。
數(shù)據(jù)泄露愈演愈烈
十年來,全球泄密事件層出不窮。從索尼PSN泄密、富士康iPad圖紙泄密,再到今年的Target數(shù)據(jù)泄露和蘋果手機iCloud私密照片外傳事件等,無論是相關公司的規(guī)模、泄露信息的重要性還是泄密事件的發(fā)生頻率,2014都遠超過往年。
這表明,企業(yè)核心數(shù)據(jù)的價值已被攻擊者廣泛認同,他們將堅定地花費更多的成本去非法獲得企業(yè)和個人的核心數(shù)據(jù)。而另一方面,許多企業(yè)和個人防泄密意識還不夠,對核心信息的價值以及信息防泄漏的認識還不足,由于成本原因,很多企業(yè)還糾結于建設網(wǎng)絡安全究竟是“掙錢”還是“花錢”的問題。為了防范Target此類數(shù)據(jù)泄漏,美國支付卡行業(yè)協(xié)會(PCI)曾在2005年提出12條規(guī)定,要求其商業(yè)成員必須遵守??v使PCI安全委員會每兩年會更新這些規(guī)定,其中包括對信用卡數(shù)據(jù)的端到端加密,但是在安全業(yè)界,廠商們已經(jīng)從層出不窮的泄密事件中看到了更深度的問題所在。加密和PCI不能解決所有的問題,單純審計也沒有任何意義。只有從全局的視角出發(fā),對安全問題進行統(tǒng)籌規(guī)劃、統(tǒng)一管理,整合運用審計、權限管理、透明加密等防泄密功能,根據(jù)涉密程度的不同(如核心部門和普通部門),部署力度輕重不一的梯度式防護,將技術、管理、審計進行有機的結合,構建起企業(yè)網(wǎng)絡安全平臺,使得成本、效率和安全三者達到最優(yōu)平衡,才能實現(xiàn)真正意義上的網(wǎng)絡安全。
安全未來 無限可能
人類總是對未來充滿好奇,在惡意軟件APT[注]等地下經(jīng)濟愈演愈烈的黑云壓城面前,安全技術和安全業(yè)界有沒有能力有效對抗威脅,并保護社會和經(jīng)濟?
著名安全思想家Bruce認為網(wǎng)絡安全如同殺人盜竊等犯罪行為。已經(jīng)伴隨人類數(shù)千年的行為,雖然我們無法根除這些行為,但并不妨礙社會的發(fā)展和進步。我們雖然生活在有犯罪、并不安全的社會里,但社會有相當?shù)膹椥院妥晕一謴湍芰Α?/p>
云計算[注]、虛擬化、SDN[注]、移動安全,這些名詞尚待消化,然而安全威脅卻已悄然入侵。這個世界,唯一不變的就是“變”,從這十年的發(fā)展來看,網(wǎng)絡安全經(jīng)歷了關注安全技術、關注人的行為、關注管理、關注整體解決方案到最近回歸本質的關注信息本身的整體安全平臺這五個過程,技術、體系、理念都在不斷進步和完善,不斷的加固著企業(yè)的網(wǎng)絡安全防護體系。但是,技術不斷在進步,威脅不斷在產(chǎn)生,網(wǎng)絡安全的范疇和焦點亦在不斷的變化。未來網(wǎng)絡安全關注的焦點是什么?這個問題恐怕要留給時間來回答。