“后棱镜门时代”的网络安全新风口
2016-08-30孙冰
孙冰
互联网正在成为我们这个时代不可或缺的基础设施,随着互联网与各个行业深度融合,“互联网+”时代下,网络安全和信息安全正在成为公司、行业乃至国家维度上一个非常重要的话题。网络安全不再只是技术问题,而是业务问题,更是一个万亿规模、正在风口上的大市场。
“互联网+”正在打破数字边界
坐拥全球数量最庞大的网民群体,世界前10大互联网公司中中国已占据4席,尤其是“互联网+”被提出并上升为国家战略,越来越多的传统行业开始与互联网进行深度融合,互联网的影响力正在以几何级数增长……中国无疑已经是一个“互联网大国”。但是,与互联网飞速发展形成鲜明对比的是,网络安全领域却明显发展滞后。
普华永道的一项网络信息安全状况调查结果显示:2015年,中国大陆和香港企业检测到的信息安全事件平均数量高达1245次,与2014年相比攀升了517%。
市场研究机构Gartner 发布的数据则显示,2015年全球信息安全支出达833.78亿美元,其中北美地区339.38亿美元,西欧地区为225.14亿美元,而大中华区为32.15亿美元,与经济体量明显不相称,仅为美国的9%。
“不管是‘互联网+,还是‘+互联网,或是‘产业互联网,都意味着互联网与传统行业之间将形成不可逆的融合大势,这个事业正在如火如荼地进行着,越来越多的传统行业都感受到:这世事真的已经变了!”亚信安全董事长何政告诉《中国经济周刊》记者。
“但是,当‘互联网+打破企业与数字世界的边界后,很多企业对风险毫无准备,也没有概念,不知道自己的数据资产是多么的宝贵,也没有意识到可能会面临危险。对于网络安全,大家思想上的误区很大,比如对只花钱但不赚钱的网络安全服务不重视,即便是要在网络安全上投入,也更情愿买看得见摸得着的设备。”何政说。
在何政看来,目前国内很多传统企业的信息系统,都很脆弱。“医疗行业、物流行业、零售业等传统行业,其数据大多是用户的真实身份,但这些行业的网络安全意识相对落后,信息技术基础薄弱,随着线上业务与线下业务交融,这些行业逐渐成为隐私泄露的重灾区。”何政表示。
国家卫计委信息办副主任高燕婕也非常同意何政观点。“最近几年,‘互联网+医疗发展得非常迅速,电子化和网络化渗透至医院的各个环节,大家明显感觉到医疗环境的改善,但我们对信息系统的依赖性越来越高,同时也要求医疗机构的信息系统具有更高的可靠性、稳定性和响应度。”高燕婕说。
较量升级:从偷盗窃取到敲诈勒索
“即使最领先的反病毒厂商也不得不承认,传统反病毒软件已死。杀毒软件很难阻止针对特定目标的攻击,比如高级持续性威胁(APT)和网络钓鱼等。”中央情报局前CTO Bob Flores告诉《中国经济周刊》记者,“今天的网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,一种技术只能解决一方面的问题,而不是万能的。”
确实,随着大数据、云计算、人工智能……技术的普遍应用,网络安全也正在迎来新的挑战。“网络勒索正处在历史最高水平,2016年无疑将是一个网络勒索年。”CLOUDSEC云安全联盟全球理事Jon Clay告诉《中国经济周刊》记者。
过去,黑客和网络攻击者通常是先盗取用户的密码,然后攻入账户、窃取数据信息,最后再去互联网的黑市上销售这些数据信息以获得丰厚收益。可是最近几年,他们发现似乎不用那么复杂,他们转而采用另外一种更简单粗暴的方法:网络勒索。
根据研究公司Malware bytes的调查,目前网络上60%的恶意软件都是勒索软件。因为网络勒索非常有利可图,可以给攻击者带来每年上百万美元的净收入。据Malware bytes公司委托Oster man所做研究的最新数据表明,2015年一共有39%的公司受到过勒索软件威胁。在这39%的公司当中,有40%的公司选择了支付赎金。
但这还不是最可怕的。“黑客和网络勒索集团并非总是会采取固定不变的攻击套路,而是会根据个人消费者及企业的安全防御措施改变攻击方式,他们会不断想出更多新的方法使得每一次的攻击会变得更‘个人化。令人眼花缭乱的新型攻击方式,逼迫防御手段不断转型升级,同时也逼迫网络安全行业转型。”亚信安全CTO张伟钦说。
“不知不觉,‘棱镜门事件已经过去3年,但国际网络攻防对抗和冲突仍在逐步升级,跨境网络攻击活动日趋频繁,云计算、移动互联网、万物互联……也让网络防御边界日益模糊,特别是随着‘网络强国战略、‘互联网+行动计划、大数据战略、‘中国制造2025等战略的实施,可以说,网络安全已经是国家安全的核心形式之一,网络安全关系国计民生的各领域。”何政说。
但何政也指出,对于中国的网络安全产业来说,最大问题是总体规模太小,龙头企业不够大、也不够强。但目前,政府更加重视网络安全法律及政策的制定,越来越多的企业也将把网络安全防护作为重要的企业战略。
网络安全如何能“魔高一尺道高一丈”?
中国工程院院士沈昌祥:
面对全新的网络安全形势,以前那种封堵查杀、被动防护的方式已经过时了。目前“可信计算”(Trusted Computing,是指在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性)是一个热潮,它是一个防御、运算并行的“免疫计算模式”,就像人体一样,有针对病毒、癌细胞等的免疫系统,所以病毒等不会轻易入侵到人的身体中。
在这方面,中国也有大企业在跟进研究,而且中国也有自己的创新。我们经过长期的攻关,军民融合,形成了自主创新体系。比如国家电力调度系统在5年前就有了可信计算保障,有效提高“主动防御”的能力。
中国工程院院士邬江兴:
我国的网络和信息化建设经过多年发展取得了举世瞩目的成就,但是,在以美国为首的西方科技强国先发技术优势和咄咄逼人的攻势战略面前,我国网络安全水平和防御体系整体上尚处于战略弱势。
网络安全最本质的安全威胁问题是安全漏洞或者后门。“棱镜门”事件披露的黑幕信息给了我们警示:大部分后门和漏洞都是未知的。面对未知的漏洞、攻击等安全威胁,静态、相似、确定的IT系统架构成为网络空间最大的安全黑洞。被动防御只能获得后天性免疫,不断亡羊补牢、不断地找漏洞、不断地打补丁。
但生物拟态现象为破解安全网络难题提供了启示,拟态防御内生机理可以从根本上改变网络空间攻防不对称。目前,我国的拟态计算关键核心技术已经取得重大突破,为网络安全防御提出了新思路,能够有效降低未知漏洞和后门带来的安全风险。拟态安全防御的实施在降低网络空间安全风险的同时,还将扭转当前市场由国外信息技术产品主导的局面。
美国中央情报局前CTO Bob Flores:
很多企业了解网络安全风险的程度是不够的,比如网络风险是否已纳入企业当前的风险管理架构?企业有没有网络风险保险?什么是我们最重要的资产?你控制好了自己的网络安全,但你的供货商和服务提供商呢?……
一个真实的例子。一个金融企业雇佣了另外一个国家的公司开发一款软件,为了方便测试,他们把数据访问权开放给了这个第三方公司。但是这个金融企业并没有意识到,这家外包服务商所在的国家、政府也是可以无条件进入自己企业网络。
网络安全是一个业务问题,而并非是单纯的技术问题,它是任何组织从基层员工到最高层应该去讨论并设法解决的问题。但现在,这样做的公司非常少。比如,员工是否了解他们在网络风险管理中的作用?那都是安全部门和安全专家的事情吗?平均来说,当收到“钓鱼”电子邮件时,有11%的人会点击进去,所以需要对员工进行培训,而且培训之后,还要对公司内部的每一个员工,进行必要评估,看其是否在网络安全中履行了各自的职责。