这两天关注了中国互联网安全大会(ISC2017)的朋友,应该会有这样一个感受:互联网,可真是不安全啊……
无论是世界各地专家的警告,还是周鸿祎的“大安全”理论,似乎都在诉说着一个可悲的现实:随着技术的发展,互联网没有变的更安全,反而是网络攻击的技术越来越先进,破坏力愈发强劲。
有意思的是,在讨论这个现状时,似乎大部分专家与企业主,都会提到上半年曾经席卷全球的“勒索病毒”事件。
回头看看那次事件,会发现它不仅是一场升级版的黑客攻击,更重要的是这次事件向我们展示了网络攻击的规则和逻辑已经变了。当我们继续挥舞刀枪棍棒的时候,猛然抬头,面前竟然站着手持步枪的敌人。
把勒索病毒事件看作一个分水岭,会发现我们需要升级的不是技术,而是常识。
一场勒索病毒过后,大家都老了
传统的网络安全防护,基本逻辑是端对端的攻击拦截。主要防护对象是数据库和终端,主要目的是组织系统侵占和信息数据泄露。
但这种“端点防护”的思路恐怕会很快彻底成为过去。
物联网攻击、工程化黑客武器本身并不是十分新颖的概念。但直到全球范围内大规模爆发勒索病毒,才让行业内外惊觉这些概念已经不再停留在论文和实验中,而是能够货真价实的威胁世界安全,造成巨大的财产损失,甚至人身伤害。
回顾那次事件,会发现有一些构成传统网络攻击的基本要素被改变了:
攻击目标变了。黑客不再重视个人电脑,而是大规模侵占学校、医疗、公众事务甚至机场的网络设施,直接锁死公用网络,造成的危害几何级上升。事实上,银行、政府、大型企业、军事设备、基础设施的网络也接二连三被攻克。针对非个人网络的大规模攻击正在成为渐渐主流。
武器化程度提高了。勒索病毒的源头,是美国官方针对Windows等系统自行研发的黑客武器泄露造成的。从结果逆推回去,这次事件也让我们看到了国家和军队参与网络战、构建网络攻击武器并非阴谋论,而是货真价实的事情。甚至有消息称CIA会与互联网巨头合作,在系统中预留可以被攻击和劫持的漏洞,作为网络战的武器基础。不管出于何种原因,这类军事化、系统化的网络战武器确实出现在了人们面前,并且被证明远非一眼的防火墙+防御软件可以抵挡。
黑客攻击的门槛低了。美国的军事化武器最终成了勒索病毒,是因为武器库被黑客攻击并泄露。这些武器又被公开售卖甚至开源。假设这类事件接二连三的上演,那么只要是有心干票大的,初级黑客也可以利用网络武器变身恐怖组织。
罪犯更加难以追踪。比特币和代理服务器,已经成为了今天黑客组织的标配。收款不露痕迹,地址难以追查,似乎让这个神秘兵种变得毫无成本。
这些变化,都体现在一次令人措手不及又少有办法的勒索病毒中。这次事件之后,全球网络安全产业的相关从业者也许真切体验到了”一夜之间就老了“。
令人无力的并不是这次事件本身,而是以此看到网络攻击与安全问题有太多的花样和可能。互联网安全,正在彻底迎来一场混乱而又崭新的战斗。
网络安全的新铁人三项
虽然太多因素都在变,但总结起来不难发现,对于网络安全企业来说,尖锐的挑战主要来自三个方向:
漏洞经济产业链:从勒索病毒,再到层出不穷的盗号、劫持与网络攻击,无数攻击方式其实根源都来自同一个东西:漏洞。当然了,”从古至今“的网络攻击都是找漏洞。但近几年围绕着数据库和系统语言的漏洞,正在生成以暗网、比特币甚至开源平台为助力的产业链条。这是众多看似艰难,实则轻易的网络攻击的基础。
围绕着漏洞本身,形成了潜伏挖掘;针对特定漏洞的平台化武器生产;数据泄露与售卖;攻击用服务器贩卖等;经验教学与目标共享等等各司其职的产业分工。全世界各地的黑客与组织在暗网进行比特币交易。风险很低,并且可以轻易获取发动特定攻击所需的种种要素。
漏洞经济的特征,是一个很小的漏洞可以招来各种各样的袭击与劫持,甚至意想不到角落钻出来的风险。如何应对漏洞产业带来的”血槽“效应,是网络安全业的先决挑战。
大数据催生的复杂局面:在更多数据上传云端完成处理,各种各样的数据库之间形成复杂联系的今天,如何应对数据矩阵之间的网络攻击似乎成为了一个新的难题。利用分布式攻击来劫持数据库,再通过数据库之间的关联引发连锁反应,是今天黑客的常规手段。
但这种网络安全隐患的应对难点,在于各数据库之间往往遵循水桶效应,防护最弱的数据集会影响其他数据库的防护。完整上传云端,且进行复杂数据勾连的用户信息、身份信息,就像身处一个漆黑而危机四伏的房间里,随时有被攻克的可能。
准物联网攻击时代降临:从去年东欧某国电力网络被黑客瘫痪,到勒索病毒袭击市政、机场和医疗网。针对泛物联网的攻击正在逐步升级。这种攻击模式,难点在于难以快速修补漏洞,且造成的即时损失特别巨大。在车联网、工业物联网高速发展时期,未来物联网袭击可能造成的影响或许只会加剧。
由于物联网对应的是实打实的物理世界,与人身财产安全的关系也更加紧密,试想假如恐怖分子劫持了无人驾驶车辆那将多么可怕。而针对物联网预测、防护和应急处置方案,都还处在缺乏标准的空白阶段。
需求催生供给,新的挑战当然会影响行业本身的走向。需要应对如此多挑战的互联网安全产业,接下来可能有哪些变化?
安全产业如何改变?
从传统意义上保护终端的安全思路走出来,变成保护数据、保护交互、保护硬件工作等方方面面的网络安全思路,或许就像周鸿祎说的那样,人是安全的尺度。
从围绕终端到围绕人,是一场鸿沟跨越赛。这里蕴含的真正商机,在于企业、政府、公共网络、基础设施网络都需要全新的安全服务思路与确实能解决问题的网络安全技术。
在市场重点、支撑技术和国际环境的改变下,网络安全产业的公司接下来最可能面临四种变化:
预判与检验为主的定制服务成为刚需。通过观察物联网攻击和大规模劫持等案例,我们会发现对于大企业和公共网络来说,应对这类攻击不是靠被动防御,而是靠主动预判。毕竟这类攻击都是以漏洞为准心,一旦发动就将带来不可逆的损失。
所以单一防火墙无法满足大企业等客户的需求,而是必须获得以攻击预判、不定期检验为主的定制化服务。就像微软就在推动以检验预测为主的云计算安全服务。这种模式下,企业将与服务商产生更多链接,为服务而非软件付费。
网络安全变成劳动密集型产业。更多的预判、更多的辨识和更多的定制化,意味着更多的人。虽然有点诡异,但要承认在面对复杂的网络攻击环境时,人的综合判断力与应对能力是软件无法比拟的。
尤其在物联网攻击层面,实时监控、快速止损等操作都是目前机器无法取代的。为了应对黑客的低门槛高效率,最简单的方式还是培养足够多的白帽子与之对攻。
与人工智能深度结合。可以看到,今天网络攻击的特点是更加多元化、工程化,甚至会在匪夷所思的硬件端口展开攻击。而人工智能的弹性识别、机器学习、多任务处理能力是应对这些问题的目前最优解。接下来网络安全+AI恐怕会成为主流。
小而美的解决方案成为赛点。相比于打包模式的防火墙和防御软件过于粗糙,适用于垂直场景,在某个特定节点提供高水准解决方案似乎更受行业重视。国际巨头也更青睐收购这些小的场景技术集成在自身服务体系里。这也给白帽子创业提供了新的机遇。
总体来看,随着技术爆炸,网络安全关系里的三方:攻击者、防御者、被保护者都迎来了巨大变化。
攻击者更加产业化、拥有的武器更加先进,准入门槛更低。相应的,防御者被要求提供综合保护服务,拥有识别、判断,甚至主动回击的能力。而被保护者的变化,来源于逼不得已开始重视自身多元利益。
乱战刚刚开打,未来还十分不确定。从长远来看,网络安全能力甚至是经济与军事竞争的核心部分。所以魔道之间,斗法难休。