【网络安全·大咖谈】
光明网记者 李政葳
“永恒之蓝”勒索蠕虫席卷150多个国家、乌克兰电网遭遇系列黑客攻击……在过去的一年里,这些重大的网络安全事件,给全球各行各业带来了难以估量的影响。
2017年国家网络安全宣传周即将举行,有关“网络安全”的话题即将引发一轮业界热议。近一年里,网络空间的攻防对抗出现了哪些新变化?伴随物联网、大数据、人工智能发展,网络安全领域又出现了哪些新挑战?让我们听听周鸿祎、齐向东、范渊、叶晓虎等这批互联网界大咖们怎么说。
●齐向东:
亟需建立“人+系统”新安全体系
“过去的12个月里爆发的很多网络安全事件,都有一个显著的特点,就是用传统的技术方法和产品,不能防止这些灾难的发生。”360企业安全集团董事长齐向东分析,由传统技术、产品构成的系统,多数采用已知样本、已知攻击、已知漏洞特征等相关技术,来进行扫描、辨识和阻断网络攻击,“防止这些网络攻击需要采用人+系统的方法,并且人起到关键性作用”。
齐向东还提到,传统的检出率、误报率、漏报率的观点已经过时了,当网络攻击大面积发生、损害随机产生时能防住99%的攻击,即使漏掉了1%,损失是可承受的。但是,今天面对APT(高持续性威胁)攻击时,目标是毁掉一个基础设施,比如水厂、电厂或者盗窃一批关键数据,哪怕是只漏掉万分之一,损失都是不可承受的。
“过去的12个月里,85%的网络安全事件来自内部人的疏忽、大意和故意。人,还是关键。”近日举办的第五届ISC中国互联网安全大会上提出了“万物皆变,人是安全的尺度”的主题。“也就是说,人,对网络安全起着决定性作用。”齐向东说。
接受光明网等媒体采访时,齐向东还提到了“数据驱动安全2.0”的概念。他表示,“数据驱动安全2.0”利用云端安全能力和安全运营平台,将数据的安全价值赋能设备与人,驱动设备协同联动的同时让人更加智能。云端、设备和人三部分协同联动的新一代安全体系,能全方位提升防御内外部安全威胁和业务风险的能力。
具体来说,第一,云端是安全运营和能力中心,基于数据的云端安全能力平台和安全运营平台,将数据转换为安全价值,为设备和人安全赋能;第二,数据驱动设备间协同联动,提升设备能力,抑制安全风险,减少响应时间,降低运营成本;第三,人是新一代安全运营的核心,通过充分利用云端能力,结合本地设备协同联动,提升研判分析、追踪溯源、响应处置和运行维护水平。
●周鸿祎:
网络攻击向物联网、车联网和工业互联网发展
“5月份爆发的勒索蠕虫攻击事件是网络安全的分水岭,标志着大安全时代的到来。”360集团董事长周鸿祎表示,大安全时代呈现出网络战不宣而战、漏洞是重要武器、没有攻不破的网络、工业互联网成为攻击目标、网络犯罪和网络恐怖主义的潘多拉盒子被打开等五大趋势。
“随着物联网、车联网和工业互联网的发展,这些行业开始成为网络攻击的目标。”周鸿祎表示,去年10月的美国互联网断网事件就是由恶意软件控制了近百万摄像头组成的僵尸网络,攻击美国的解析服务商造成的;另外,在物联网、车联网和工业互联网领域内,开始使用一些人工智能技术,使用人工智能技术发展无人化的系统,一旦被劫持将带来更多、更严重的安全问题。
周鸿祎认为,今天已经不是一个计算机安全的时代,也不再是孤立地谈信息安全时代;安全问题已经泛化,已经进入了一个新的“大安全时代”;网络安全已经不仅仅是网络本身的安全,而是一个安全的集合,它包括了国家安全、社会安全、基础设施安全、城市安全,甚至是人身安全。
对于大安全时代的趋势,周鸿祎预测,大安全意味着网络战时代来临,网络战本质是漏洞,车联网、工业物联网等应用场景面临潜在威胁;另外,军民融合在网络安全产业是必然趋势,也将是安全产业的巨大机会。
“过去的网络防护依赖于技术体系,一味地堆砌设备,重金打造的防线看似固若金汤,实际不堪一击,因为安全不仅仅是技术问题,更是人的问题。”周鸿祎表示,搭建安全体系时需要基于人来建设业务体系设计和安全技术体系,通过人与技术的协同,建立以人为核心的安全体系和安全生态。
●范渊:
攻、防不平衡明显,企业须加强全要素数据采集能力
最近,杭州安恒信息技术有限公司董事长兼总裁范渊所在公司正在帮助一家热电厂处理勒索病毒的变种问题。他说,该厂的病毒爆发后通过PAC(新型控制器)接口传到水污传控,然后再到主控系统。
这则案例让他感受颇为深刻。“在网络安全面前,很多传统领域都难做到独善其身,即使是相对比较隔离的领域。而且几乎每隔一年,不管是攻击方式还是防守方式,都会发生很大的变化。”范渊说。
针对网络空间安全的态势感知,范渊认为,就是对网络状态发生变化的要素进行获取、理解、显示和预测。具体来说,一是具备全要素数据的采集能力。因为面对网络安全的威胁,攻与防呈现出明显的不平衡,所以必须要对每一块的数据拥有采集能力,否则漏掉任何一块就有可能导致重大问题。
二是全方位感知和检测能力。这里有两个核心的要素,即能力要素和性能要素。三个是APT(高持续性威胁)深度流量分析能力。比如,某市发现有木马病毒的高频攻击,通过ATP分析迅速定位,最终三个人组成的非法黑产团伙被查获。
除了对全网的感知、分析、防控等能力外,还有就是外部威胁情报能力。比如,当发现某个IP正在攻击,需要对其进行判断,包括过去在很多库里的暗链、漏洞、指纹等,可以将其称之为“数据大脑”。
另外,还有一个是大数据的分析关联能力。大数据本身不产生价值,但是它提炼过程便产生了价值,在安全方面也是一样;目前,人工智能、机器学习、深度学习不断发展,但随着现在大数据真正能力的完善,使得在安全上的价值开始真正的实战化。
●叶晓虎:
企业安全是动态过程,需要持续监控分析
互联网技术发展给传统金融业带来了一股新风,在推动其创新变革的同时,其外部安全形势也日趋复杂和严峻。“2017年上半年,从攻击源的角度看,60%的攻击源来自GDP排名前十的国家。”绿盟科技高级副总裁叶晓虎说。
叶晓虎认为,从网络安全的角度来看,网络攻击活跃、勒索事件频发,勒索产业也日趋成熟,勒索软件发展的数量越来越多,并且出现了利用系统漏洞进行自动传播的趋势;另外,物联网终端的设备数量呈爆炸式增长,黑客一定会利用物联网终端的安全问题发动攻击。
面对越来越复杂的威胁与挑战,企业安全体系如何构建?“十多年前,我们觉得部署几台设备和一些规则就可以了,但是实践证明现在不可行。安全不是静态的,而是一个动态的过程,需要持续的监控与分析。因此,要把日常工作中产生的数据积累起来,并对这些数据进行持续的监控与分析,以这些数据为基础,建设包括态势感知、综合防御、预警监控、应急处置、协同运营等多种能力。”叶晓虎说。
传统企业和安全厂家如何更好地协同运营?叶晓虎认为,首先要改变对服务的观念,改变预算的决策机制和结构;第二是企业需要将安全运营能力和开发进行整合;第三攻防本质是对抗,对抗的背后是攻防双方的能力的较量,安全厂家需要积累更深厚的安全能力,才能够有效提升对抗水平和速度。