短短一周之内,接连三件大事“刷爆”安全圈。
11月3日,工信部正式发布印发《工业控制系统信息安全防护指南》的通知,备受关注的工控安全标准不再“各执一词”;
11月7日,《中华人民共和国网络安全法》正式颁布,对个人信息的保护和网络安全运营者的业务,从道德自觉首次提高到法律规范;
11月9日,美国大选唐纳德·特朗普获胜,黑客对政客内幕的揭露首次影响到一个国家的选举进程。
网络安全和物理空间的融合仍在不断扩大。除了体现在相关法律制定上的各国政府对安全的重视,安全行业也面临着巨大的挑战。外部“纷繁复杂”的安全威胁,以及安全厂商自身从封闭到开放、从独立研究到数据/技术共享,再到安全新生态的构建。这种艰难的前行,无疑是一种进化。
去年首次举办的中国互联网安全领袖峰会(CSS)大会,已经提出“加速互联网安全和产业的深度融合,构建安全新生态”的目标。在今年大会主会场的致辞中,腾讯公司副总裁丁珂更是对“让安全的生态持续、合理、智慧地成长”,提出了三个条件:
- 坚持合作开放,提升连接的深度和广度;
- 加速技术创新,共享科学技术成果,合力应对网络安全威胁;
- 促进产业融合,完善常态化协作机制。
丁珂
腾讯推动的中国互联网安全开放平台成员已超过百家,涵盖反诈骗、隐私保护、支付安全等领域。通过各行业的数据/技术共享,以及重要威胁信息的互通互联机制,让应对安全威胁成为一种‘生理反应’;并从开放合作、技术创新和产业融合三方面同时发力,建立一个智慧生长的安全生态新体系。
今年7月,腾讯安全联合实验室成立,涵盖玄武、科恩、湛泸、云鼎、反病毒、反诈骗和移动安全七大实验室。其中,玄武实验室负责人,漏洞挖掘的顶尖专家于旸,畅谈了他对“信息安全进化”的认知。
安全进化论
同物理空间的诞生(粒子->星辰)类似,于旸认为数字空间也是从某一“基本粒子”开始的,而安全在之前也更多是“微观”层面的问题。某处代码或某个配置文件的错误,引起了微观的安全问题,影响了微观的对象。
但是,随着对象的粒度逐渐变粗,对象间的联系也更加复杂,安全问题开始出现在协议、设备、系统甚至是业务层面。传统的安全问题仍然存在,新的问题却已经随之进化出来。而且,问题之间,在大部分情况下没有明显的相互关系。
于旸提到了两个典型的例子,运营商曾经的“短信保管箱”服务一度使得银行的第二安全因子——短信验证码失去意义;遗失手机的SIM卡成为重置邮箱口令,继而拿到完整Apple ID账户信息,到最终解锁iPhone的关键。
安全威胁在进化,安全问题的发现和防护方式也必须跟随。这对于安全从业人员和研究者是非常大的挑战,也蕴含着非常大的机会。
无独有偶,高通的副总裁Alex Gantman在谈及移动安全所面临的现状和挑战时,也谈到了进化。但不同的是,Alex提及的是高通在“产品安全性”进化过程中的感悟。
首先是“否认”、“愤怒”和“讨价还价”。在使外部安全研究人员“闭嘴”的想法彻底被社会的负面舆论淹没后,企业会试图通过通过承诺在产品的未来版本中加入某些安全功能,来寻求斡旋的余地。但是,也仅停留在此。
“好比医院,为病患实现更好的治疗效果,不仅是依靠功能强大的医疗设备,而更多的是在卫生条件、医疗实践经验等更为基础的问题上努力。安全也是如此。比起安全功能,我们要更多的关注一些基本的安全问题,如安全开发,数据的加密等。”
在“讨价还价”之后,是“消沉”。而只有CEO等高层的干预,才可以顺利摆脱这个过程。要明确安全要做什么,什么时候做,以及怎样做。
最后的过程是“接受”。接受安全是永远做不完,也不可能全部委托别人去做这一现状;接受稳定、定期的安全投入才会使问题得到改善;接受安全开发生命周期不会因为产品的发布而结束,而是只要还有用户使用,就要继续下去这一事实。
“消费者期望产品的厂商可以定期地提供安全性更新,这势必要求更多且连续的安全投入。同时,这也要求厂商不断开发新的商业模式,通过不断的收入流来抵消安全成本。”
进化不只表现在认知层面,还有技术的突破。
认知安全与量子革命
从深蓝到Watson,IBM在人工智能领域的技术突破与创新,一直在继续。
这次,IBM试图把在商业、医疗,甚至是时尚设计领域应用成功的IBM Watson,用到网络安全上。当然,不是简简单单拿过来就用,而是基于IBM安全对Watson在信息安全领域的大量学习与训练。目的是帮助安全分析师节省其对和安全威胁相关博文、推特、研究报告这些非结构化数据进行分析的时间和人力成本,并挖掘这些数据针对某个特定安全场景有价值的信息。
更神奇的是,具备强大认知计算能力的Watson,可以触及社交网络上人物间的交集,其在暗网中的行为,社交聊天记录所流露出的情感倾向,以及针对各特定行业的专家建议,整合归纳出结果,并以自然语言的形式,反馈给提问者,从而帮助决策。通过所学习到的案例,Watson可以提供安全运营的支持,智能资产分析,以及对高危资产的特别监控和预警。
我们自以为给黑客布了一个复杂的迷宫,各种安全设备,作为陷阱;但是,现在深陷其中的,恰恰是迷失于企业安全人员难以处理量级的数据的收集分析,以及大量沟通成本中的我们。
除了IBM的认知安全,中国的量子革命也因为今年8月16日发射的量子卫星“墨子号”而被广泛关注。
据中科院量子物理与量子科技前沿卓越创新中心的总工程师陈宇翱介绍,量子规律的发现和利用虽然带来了物质文明的巨大进步(如核能,激光等),但对现有信息科技,尤其是因为计算能力的显著提升,对基于加密算法的身份认证、加密传输、数字签名等安全技术产生了非常大的冲击。
“所有依赖于计算复杂度的传统加密算法原则上都会被破解。”
量子通信,在密钥分发上有很好的应用前景。“单光子的不可分割性和量子态的不可复制性决定了,只要因果律(无法超光速通信)成立,量子密钥分发的安全性就得到了绝对的保障。”
“我国正在构建量子通信网络,墨子号很核心的一个目的就在于此。”据了解,目前城域量子通信网络已经在北京投入使用,包括60周年国庆阅兵关键节点间的量子通信热线,连接中南海、京西宾馆和人民大会堂三地基于量子通信的高安全通信保障体系等。目前,正在构建连接合肥、上海、济南和北京四地的光纤量子通信骨干网。据了解,量子通信信道目前已经畅通,除了合肥到上海段已开通外,其它仍在陆续上线。
“可以预见,以量子信息技术为代表的第二次量子革命,也一定会给人类物质文明带来极大的进步,同时也给了我国从模仿者转变为引领者的机遇。它对我们的重要性不亚于曼哈顿计划之于美国。”
进化还表现在企业安全理念上的突破。
企业安全新范式
作为滴滴出行的“新人”,同时也是安全界的泰斗级人物,弓峰敏在今年9月正式宣布出任滴滴出行安全战略副总裁后,还是首次在安全行业大会上发表演讲。
弓总提到了他在企业安全的两个领悟。一是“要笑到最后,才笑的最好“。企业安全人员不能总期望在攻击过程中某一个点“一击”搞定黑客,而要愿意等,往后看,因为在攻击者触及最终目标之前,可以看到的数据最多,成功狙击的可能性也越大。二是“安全生态与信息共享”。黑产有成熟的产业链,安全防护也在不断进化,利用网络空间集中管理的优势,要基于生态的防御,开发相应防护工具和产品。
企业网络安全有四大影响因素,其中IT、威胁和业务三方面的发展,会带来新的安全需求和场景,但是企业员工的安全意识这一因素往往被忽略。
“网络安全隐患,已经将个人和企业、业务作为受害者联系在了一起。网络安全已经和物理空间的安全融合,每个人都应该有安全意识,都要进入到基于生态的安全防护和自我保护中来。”
除了弓总,Check Point首席策略官Tony Jarvis也在他的演讲中特别提及,除了安全技术,还要关注人和流程。
“人在企业安全防护中充当了非常重要的角色。企业应有意识的进行安全意识培训,并开展相关演练。否则简单的点击链接,就会面临安全威胁。而相关控制体系,也应该定期的进行检查。”
除此以外,Tony还强调了事件响应的重要性,因为人工成本高昂,所以企业要进行高效的管理,并提前安排好时间表和预算。
这些攻击者会变得更加聪明和成熟,这是不可避免的。企业要在安全上有长期的投资战略。同时还要关注合规,明确现有安全框架的风险,了解安全趋势以及相关的有效应对措施。
企业网络安全生态研究报告发布
在CSS第一天主题演讲的最后,腾讯安全联合实验室、腾讯网络空间研究中心,联合中国电子技术标准化研究院发布了《 “互联网+”企业网络安全生态研究报告》。
报告指出,在网络安全威胁方面,主要提及了“移动互联网的个人信息泄露”、“云安全”、“针对工控系统的APT攻击”以及“智能终端上的应用软件漏洞”这四大焦点问题。企业网络安全外部生态在“网络安全法律法规尚不完善”、“关键信息技术产品受制于人”、“网络安全资源不足、技术手段相对落后”以及“网络安全服务体系不健全”这四方面还需提升;同时,企业自身生态在“网络安全意识”、“网络安全人才”、“网络安全管理制度体系”和“网络安全标准体系”这四方面,仍不健全。
在新技术和应用带来的新的安全挑战方面,主要集中在“安全技术与服务的云化”、“智能制造”、“大数据安全”以及“传统IT产品引入其它行业带来的安全漏洞”。在生态愿景方面,提出了“科学的游戏规则”、“开放的共同进化体”、“明晰的企业生态位”和“闭环的生态平衡系统”。
特别的,在安全管理理念上,报告提出了“轻足迹”的概念。包括“防护手段模块化”、“防御机制协同化”、“应急管理扁平化”和“处理过程快速化”。
第一天的精彩内容,小编就介绍到这里。CSS 2016的第二天,还将设立金融科技安全、智能汽车安全、国际安全技术、云安全、人工智能与网络安全、网络安全标准化、大数据应用安全、移动安全和安全极客秀9大分会场。
科技在发展,安全在进化,互联网安全领袖峰会第一天!
抢先看 首届中国互联网安全峰会(CSS 2015)