即將過去的這個(gè)2015年的8月無疑可以稱得上是安全圈的“黑八月”,而相較于之前安全事件層出不窮的“黑五月”而言,“黑八月”的意義則完全不同。之所以這么說,是因?yàn)檫@個(gè)8月,無論是國際上還是在國內(nèi)安全界盛會(huì)不斷,精彩紛呈。
繼月初國際頗負(fù)盛名的世界黑客大會(huì)DEFCON和世界黑帽大會(huì)BlackHat相繼舉辦之后,國內(nèi)安全圈也迎來一波一波安全盛會(huì)的高潮。國內(nèi)久負(fù)盛名的XCon首次聯(lián)手KCon黑客大會(huì)成功舉辦,首屆HackPWN安全極客狂歡節(jié)舉行,一場場干貨十足的演講,一時(shí)間讓白帽黑客們迎來了近年來最大的饕餮盛宴。而通過這一系列安全界的盛會(huì),我們對(duì)于目前的安全發(fā)展趨勢及焦點(diǎn)也可以窺見一二。
安全問題或讓萬物互聯(lián)成噩夢
萬物互聯(lián)時(shí)代不可抵擋地到來,安全成未來關(guān)注焦點(diǎn)。據(jù)Gartner和麥肯錫等調(diào)研機(jī)構(gòu)的預(yù)測,2015年全球連接到互聯(lián)網(wǎng)上的設(shè)備將達(dá)49億臺(tái),而到2020年將超過 260 億臺(tái)。而在萬物互聯(lián)迅速到來的同時(shí),其中的安全隱患或?qū)⒔o我們帶來更大的影響。
在BlackHat和DEFCON上,大量智能設(shè)備甚至智能汽車被曝出諸多安全漏洞。通過利用這些漏洞,黑客甚至可以控制行駛中的汽車。而與此相同,黑客們同樣可以任意控制交通紅綠燈、劫持無人飛機(jī),甚至可以控制狙擊步槍的子彈發(fā)射。如果你覺得這些場景離我們過于遙遠(yuǎn),那么在首屆HackPWN安全極客狂歡節(jié)上,白帽黑客現(xiàn)場演繹破解手環(huán)、豆?jié){機(jī)等,這會(huì)讓你清醒地意識(shí)到這一切并不是危言聳聽。
與此相關(guān),無論是我們?nèi)粘I钪衅匠J褂玫南匆聶C(jī)、烤箱、智能電視、還是逐漸興起的智能家居系統(tǒng)等,這些流行智能設(shè)備都能被輕而易舉地破解。而據(jù)惠普安全曾經(jīng)做過的一份調(diào)查顯示,目前逐漸興起的智能電視、網(wǎng)絡(luò)攝像頭、自動(dòng)調(diào)溫器、噴水滅火器、門鎖、家用報(bào)警器、體重秤等物聯(lián)網(wǎng)設(shè)備,平均每款就存在25個(gè)安全漏洞。而隨著數(shù)十億有著安全漏洞的設(shè)備接入互聯(lián)網(wǎng),當(dāng)這些以往只會(huì)在電影大片中看到的場景成為現(xiàn)實(shí),其帶來的將是難以估量的災(zāi)難性后果。
對(duì)于智能設(shè)備制造商而言,他們的產(chǎn)品在設(shè)計(jì)中更加關(guān)注的是用戶的使用體驗(yàn)和實(shí)用性,而對(duì)安全方面的考量確實(shí)十分欠缺。而即便是在安全公司和白帽黑客們發(fā)現(xiàn)產(chǎn)品的漏洞及安全隱患后,因?yàn)橹悄茉O(shè)備廠商安全響應(yīng)機(jī)制的缺乏與極度地不完善,這些問題得到響應(yīng)和解決的時(shí)間也十分漫長,有些甚至無從解決。而這與當(dāng)下尚未建立起物聯(lián)網(wǎng)時(shí)代的安全響應(yīng)生態(tài)鏈不無關(guān)系。
必須承認(rèn)的是,在萬物互聯(lián)的當(dāng)下,智能設(shè)備如雨后春筍般興起,而安全作為其中重要一環(huán)尚處于被忽略的地位,而如若不能及時(shí)將安全這一重要鏈條及時(shí)鏈接起來,萬物互聯(lián)的時(shí)代也將成為我們的噩夢。
工控安全浮出水面 國內(nèi)外黑客齊關(guān)注
工控安全在近兩年逐漸被越來越多的提起與關(guān)注??v觀國內(nèi)安全廠商,不少專注工控安全的廠商異軍突起,而以往綜合性的安全廠商也紛紛在這一領(lǐng)域開始布局發(fā)力??梢灶A(yù)見的是,工控安全勢必將成為未來安全圈密切關(guān)注的重點(diǎn)。
在近期一系列安全圈盛會(huì)上,工控安全也成為火熱的話題。據(jù)悉,在XCon盛會(huì)上,來自俄羅斯的黑客、卡巴斯基全球CTO便分享了其對(duì)智能電網(wǎng)所存在的安全隱患的議題。他提出,隨著越來越多電網(wǎng)設(shè)備暴露在互聯(lián)網(wǎng)上,而相關(guān)的安全防護(hù)甚至意識(shí)層面幾乎為零,這為黑客提供了十分便利的可乘之機(jī)。而一旦這些智能電網(wǎng)的關(guān)鍵部件設(shè)備被黑客掌握,輕則進(jìn)行敲詐勒索,重則可以引發(fā)暴恐行為,后果都將是不堪設(shè)想的。
而在KCon大會(huì)上,工控安全也是其中一項(xiàng)重要議題。值得一提的是,這一議題的演講者之一也是KCon史上最小的黑客,一位初中二年級(jí)的小黑客。這位小黑客從電網(wǎng)、自來水、通信、智能樓宇甚至天氣監(jiān)控等方面舉出詳盡的案例,呈現(xiàn)了當(dāng)下不堪一擊的工控行系統(tǒng)安全問題,不禁讓在場的黑客們也感到不寒而栗。而這位小黑客也犀利地指出了工控安全問題的關(guān)鍵所在:工控網(wǎng)絡(luò)在設(shè)計(jì)之初更多是關(guān)于功能性的考量,而對(duì)安全性幾乎沒有過多的重視;二是這些漏洞一旦被別有用心之人所利用,便會(huì)引發(fā)不可估量的安全事件。而從這位小黑客所列舉的諸多工控網(wǎng)絡(luò)入侵案例來看,“產(chǎn)網(wǎng)不分”是最根本的原因所在。
的確,隨著互聯(lián)網(wǎng)的高速發(fā)展,過去相對(duì)封閉的工控網(wǎng)絡(luò)也逐漸接入互聯(lián)網(wǎng),特別是在國內(nèi),近年來隨著“兩化融合”腳步的加快,越來越多的工控系統(tǒng)網(wǎng)絡(luò)在接入互聯(lián)網(wǎng)的同時(shí),也將關(guān)鍵的部件暴露在互聯(lián)網(wǎng)之上,而對(duì)其的安全保護(hù)措施卻幾乎為零。
不過隨著這一問題逐漸被認(rèn)識(shí)到,越來越多的安全廠商也已開始布局研究,工控安全必將在未來很長一段時(shí)間內(nèi)成為安全圈一個(gè)重要分支。
當(dāng)然,“黑八月”所帶來的安全盛宴遠(yuǎn)不止這些,移動(dòng)安全、基于大數(shù)據(jù)的行為分析技術(shù)、WEB層面的安全攻擊與防御等等都是其中不斷的精彩議題。而不可否認(rèn)的是,信息安全正在越來越被國家、企業(yè)及全社會(huì)所重視,在安全威脅挑戰(zhàn)不斷的時(shí)代,安全產(chǎn)業(yè)在經(jīng)受“最壞時(shí)代”考驗(yàn)的同時(shí),迎來的也將會(huì)是“最好時(shí)代”的發(fā)展契機(jī)。