企業(yè)網(wǎng)D1Net 訊
“雙11“的線上電商熱潮剛過,雙12又在掀起一股線下移動支付的潮流??粗髬寕兡弥謾C在超市、大賣場排著長隊等待付款,不得不令人感嘆,移動互聯(lián)網(wǎng)早已不再是年輕人的專利。
但在盡情地購物的同時,你的銀行密碼、個人證件信息、聯(lián)絡信息等可能成為暴露在黑客面前的網(wǎng)絡攻擊目標。
這樣的故事,并不遙遠。就在去年美國雙11“黑五”期間,美國零售巨頭Target被曝出超過4000萬信用卡和借記卡賬務信息被盜,最終影響人數(shù)達7000萬。 Target表示,此次事故造成的損失達到1.48億美元。
在這個移動互聯(lián)的時代,信息安全,已經(jīng)成為一個全民問題。
“事實上,如今的網(wǎng)絡攻擊技術比起20年前沒有大的變化,不同的是一旦被攻擊成功,造成的影響和損失變得格外巨大。”網(wǎng)絡安全廠商Palo Alto Network大中華區(qū)銷售總裁徐涌在接受筆者采訪時表示。
移動互聯(lián)網(wǎng)蓬勃發(fā)展的背面:信息安全愈加嚴峻
當喬布斯這樣的硅谷創(chuàng)新者把計算機變成了個人消費品,讓手機行業(yè)真正進入了智能化時代,普通人的信息消費成本大大降低,使得全球信息量有了爆炸式的增長。這也讓信息安全面對更大的挑戰(zhàn)。徐涌向筆者列舉了以下數(shù)據(jù):
“過去12月,全球范圍內有48%的電子商務和在線零售機構,以及41%的金融服務機構,都因為網(wǎng)絡犯罪丟失了金融相關信息。
根據(jù)紐約金融服務局對全州154銀行的網(wǎng)絡安全狀況進行了為期1年的持續(xù)調查,過去3年里,紐約州大多數(shù)銀行都遭受過網(wǎng)絡入侵或企圖入侵的威脅。在網(wǎng)絡入侵導致的各類問題中,銀行賬戶被盜占46%,身份信息被盜占18%,電信網(wǎng)絡中斷占15%。”
在中國,個人信息遭泄露的事件亦頻頻發(fā)生。2012年CSDN論壇用戶數(shù)據(jù)被盜, 2013年10月,如家等連鎖酒店2000萬條客戶信息遭泄露,2014年年初攜程“泄密門”……相信這些事件很多人都還記憶猶新。
信息安全問題越來越受到國家的高度重視。2009年,個人信息安全首次被我國刑法納入保護。在今年10月提交的《中華人民共和國刑法修正案(九)(草案)》中,全國人大又進一步加強了對個人信息保護力度,明確規(guī)定了不管是個體還是單位,只要導致用戶信息泄露產(chǎn)生嚴重后果,都將承擔刑事責任。
攻守之間:如何打好信息安全攻堅戰(zhàn)
除了法律上對于責任的追究以及對用戶合法權益的維護,在技術上如何真正加強信息安全的防線更是重中之重。
對此,徐涌認為,攻擊技術在過去20年并沒有發(fā)生實質性地提高或改變,但是以“APT”(可持續(xù)性攻擊)為代表的攻擊手段開始流行,讓網(wǎng)絡攻擊方式變得更為系統(tǒng)而綜合,這令企業(yè)更加防不勝防,同時,由于互聯(lián)網(wǎng)的普及,攻擊后產(chǎn)生的利益或者說傷害變得無比巨大。
本文開頭提到的“Target信用卡泄露”是第一起因為APT攻擊而造成巨大損失的事件。Target的CIO和董事長、總裁兼首席執(zhí)行官都因此引咎辭職。
徐涌表示,黑客仔細研究了Target的供應鏈各個環(huán)節(jié),然后選定了Target的一家第三方供應商為目標,通過竊取員工的個人信息,獲得系統(tǒng)權限,接著在POS系統(tǒng)中植入軟件,感染了所有刷卡機,截取了刷卡機上的信用卡信息,最后成功入侵數(shù)據(jù)中心,竊走了所有的用戶信息。
APT攻擊所涉及的都是釣魚、漏洞、植入后門等常見的攻擊技術,但是通過對這些犯罪手段地綜合性運用,最終成功繞過企業(yè)安全防線,造成了嚴重損失。
這正是APT的最可怕之處。它以一種“Kill Chain”(威脅殺傷鏈)的攻擊手法,通過一系列的策劃活動,可以從企業(yè)供應鏈的任何一個網(wǎng)絡節(jié)點入侵,從而盜取珍貴信息資料。這意味著不僅僅是企業(yè)本身,還有企業(yè)之間多年經(jīng)營建立起來的商業(yè)互聯(lián)結構也成為了被攻擊的弱點。
徐涌認為,這是未來幾年擁有敏感信息的行業(yè)所面臨的巨大挑戰(zhàn),“顯然你很難一下子彌補全部的漏洞,而且這種攻擊方式?jīng)]有特征碼能掃描, 傳統(tǒng)的病毒防護手段失效。”
誰是當下能拯救摩根大通的公司?
今年10月,美國摩根大通銀行承認,在最近一次針對該銀行的網(wǎng)絡攻擊中,7600萬家庭用戶和700萬小型企業(yè)的聯(lián)絡信息被泄露。 在此次攻擊發(fā)生之前,摩根大通董事長兼首席執(zhí)行官杰米·戴蒙曾公開表示,摩根大通將每年在網(wǎng)絡安全方面投入2.5億美元,并在2014年底前安排1000名工作人員負責此事。
以摩根大通如此的投入,依然防不勝防。這對企業(yè)的信息安全提出了一個大難題,究竟要花多少錢,需要怎樣的技術才能防守住類似于APT這樣的新型攻擊?
“Palo Alto Network是當下唯一能夠應對這樣攻擊的公司。”這句話并非來自Palo Alto Network的自夸,而是美國知名投資家和股市評論員Jim Crame在電視上對摩根大通遭攻擊之事的評價。
徐涌表示,Palo Alto Network之所以得此贊譽,是因其一直走在企業(yè)安全領域的前列。早在2008年,Palo Alto Network就率先提出了“下一代防火墻”的概念,如今,Palo Alto又先人一步,對這一概念進行升級,提出了下一代的企業(yè)安全平臺。
“傳統(tǒng)補丁式技術演進運維成本很高,不能解決應用級的安全技術,而縱向的積木式演進需要多次開包,導致CPU性能下降,而且擴展性差,無法應對APT這樣的組合式攻擊。Palo Alto提出的企業(yè)安全平臺能實現(xiàn)針對APT攻擊的Kill Chain的全面防御覆蓋。”
該企業(yè)安全平臺包括三大組成部分,下一代防火墻、威脅智能分析云和下一代端點安全防護(Endpoint Protection)。其中,Endpoint Protection讓企業(yè)防線從網(wǎng)絡端口延伸到終端,如果以Target為例,就是將防護延伸到刷卡POS機。對于沒有特征碼的攻擊手段,通過邏輯來判斷用戶行為的合理性,一旦被認為有惡意,則威脅智能分析云將截住信息包,并將攻擊行為通知所有的終端和防火墻。”
Palo Alto Network在中國
去年,Palo Alto Network在大中國區(qū)業(yè)務增長率是128%。目前Palo Alto Network的用戶已經(jīng)涵蓋制造業(yè)、教育行業(yè)、汽車業(yè)、高科技行業(yè)、金融業(yè)等眾多領域。徐涌透露,中國最大的數(shù)通產(chǎn)品設備制造商、最大的PC公司、最大的軟件外包企業(yè)都采用了Palo Alto Network的方案,而在金融行業(yè),Palo Alto Network的足跡則遍布了中國前六大銀行的境外分支機構。
令人意外的是,雖然Palo Alto Network全球研發(fā)中心位于美國,但其中一半以上的員工均來自中國大陸,全球研發(fā)主管更是清華畢業(yè)。筆者以為,這或許是對信息安全領域中國力量崛起的另一種極佳詮釋。