值得關(guān)注的信息安全發(fā)展趨勢(shì)
2014年,隨著國(guó)內(nèi)外信息安全形勢(shì)的不斷升溫,信息安全再次被提高到國(guó)家戰(zhàn)略的高度上。那么,在信息安全領(lǐng)域,有哪些是值得我們關(guān)注的熱點(diǎn)趨勢(shì)?在第一屆啟明星辰ADLab(積極防御實(shí)驗(yàn)室)長(zhǎng)老會(huì)上,安全研究人員2014年的信息安全形勢(shì)及未來(lái)發(fā)展趨勢(shì)做了深入分析。
大數(shù)據(jù)安全
云的概念已被炒了幾年,亞馬遜、微軟、百度、阿里等具備主機(jī)集群的企業(yè)已經(jīng)將虛無(wú)縹緲的概念落實(shí)成切實(shí)可用的服務(wù)。國(guó)內(nèi)外云同步、云播放、云查殺的服務(wù)已經(jīng)開(kāi)始服務(wù)于普通消費(fèi)群體。存儲(chǔ)和計(jì)算資源的廉價(jià)化和互聯(lián)網(wǎng)企業(yè)的成功案例引來(lái)了更多的中小企業(yè)參與到云建設(shè)和消費(fèi)當(dāng)中。出于安全考慮,更多企業(yè)傾向于建立自己的私有云。計(jì)算和存儲(chǔ)能力的激增也使得用戶可以著手處理以往無(wú)法處理的、大規(guī)模的數(shù)據(jù)?;ヂ?lián)網(wǎng)公司通過(guò)不同途徑采集用戶的行為及數(shù)據(jù)喜好,帶來(lái)更具像化的身份刻畫(huà)和廣告定制投放。大數(shù)據(jù)可以作為安全問(wèn)題的熱點(diǎn)區(qū)域,反過(guò)來(lái)也可以作為安全問(wèn)題分析的有效工具。大數(shù)據(jù)安全正在向模塊化、平臺(tái)化及易用化的方向發(fā)展,量變產(chǎn)生質(zhì)變的過(guò)程在悄悄進(jìn)行中。
源碼安全
無(wú)論是工業(yè)界還是學(xué)術(shù)界,自動(dòng)化的源碼審計(jì)一直是塊難啃的蛋糕。想深入研究,其門檻極高,從事該領(lǐng)域的研究員經(jīng)常面臨無(wú)法讓非專業(yè)人員聽(tīng)懂自己報(bào)告的窘境。國(guó)外有Coverity、Fortify等知名廠商的源碼審計(jì)產(chǎn)品,而國(guó)內(nèi)還是一片空白。斯諾登事件發(fā)生之后,安全產(chǎn)品國(guó)產(chǎn)化的思想已呈星火燎原之勢(shì)。國(guó)產(chǎn)化的源碼審計(jì)工具也悄然出現(xiàn),其可以充分照顧國(guó)內(nèi)軟件的開(kāi)發(fā)現(xiàn)狀,如代碼中中文字符的支持,以及國(guó)人編寫(xiě)代碼的編程習(xí)慣。源碼審計(jì)目前還局限于發(fā)現(xiàn)已知類型的缺陷,對(duì)于那些違反邏輯約束或需要繁雜配置規(guī)則的缺陷,現(xiàn)今商業(yè)化的方法還難以做到自動(dòng)化地有效檢測(cè)。未來(lái)的發(fā)展中,還需要引入統(tǒng)計(jì)的思想,從檢測(cè)對(duì)象中推導(dǎo)出規(guī)則,進(jìn)而發(fā)現(xiàn)未知類型的缺陷。
系統(tǒng)安全
系統(tǒng)安全一直是漏洞挖掘和分析人員最為關(guān)注的研究領(lǐng)域。微軟作為被挖掘和逆向最多的研究對(duì)象,多年的防范積累也讓他們?cè)诎踩I(lǐng)域有了發(fā)言權(quán)。今年Blackhat大會(huì)對(duì)如今流行的Sandbox技術(shù)實(shí)現(xiàn)進(jìn)行了詳細(xì)討論,并有針對(duì)性地闡述了IE瀏覽器內(nèi)的Sandbox原理和繞過(guò)思路。Windows平臺(tái)下,0day利用大部分都依托于IE的運(yùn)行環(huán)境,SandBox相當(dāng)于漏洞利用成功時(shí)最后的一道門檻。
伴隨XP的停止更新,內(nèi)存補(bǔ)丁技術(shù)被炒熱。微軟出于軟件兼容性考慮,很早就推出了內(nèi)存補(bǔ)丁概念。對(duì)于安全研究人員,一方面可以利用內(nèi)存補(bǔ)丁簡(jiǎn)捷的配置文檔快速定位漏洞所在代碼;另一方面內(nèi)存補(bǔ)丁作為操作系統(tǒng)的一部分也可能成為新的攻擊面,如木馬的自啟動(dòng)。
操作系統(tǒng)的防護(hù)策略隨時(shí)間積累變得復(fù)雜,但雜亂中難免有疏漏。未來(lái)系統(tǒng)安全研究需要更廣泛深入的逆向分析。另外,自主而不是模仿也是未來(lái)需要考量的方向。比如,國(guó)內(nèi)如火如荼的APT攻擊檢測(cè)未見(jiàn)得覆蓋的全面,單純的效仿并不能有效防范針對(duì)中國(guó)的攻擊,現(xiàn)今關(guān)于APT攻擊檢測(cè)的討論都還比較局限于國(guó)內(nèi)的攻擊手段。未來(lái)的系統(tǒng)安全和防范應(yīng)該更多考慮自主性的方案,脫離被牽著鼻子走的困境。
工業(yè)控制系統(tǒng)安全
工業(yè)控制系統(tǒng)的安全與工業(yè)控制系統(tǒng)自身的特點(diǎn)和發(fā)展是分不開(kāi)的。工業(yè)控制系統(tǒng)與傳統(tǒng)的IT系統(tǒng)不同,它強(qiáng)調(diào)可用性,保密性和完整性排在其次。最早,工業(yè)控制系統(tǒng)是封閉的專用系統(tǒng),所以安全問(wèn)題沒(méi)有暴露出來(lái)。隨著信息技術(shù)和自動(dòng)化控制的融合,以及企業(yè)管理的需求,越來(lái)越多的控制系統(tǒng)開(kāi)始聯(lián)入企業(yè)的內(nèi)部網(wǎng),而企業(yè)的內(nèi)網(wǎng)又由于商務(wù)的需求和互聯(lián)網(wǎng)連在了一起,于是提供了黑客入侵控制系統(tǒng)去遠(yuǎn)程控制生產(chǎn)的可能。2010年發(fā)生在伊朗核電站的“震網(wǎng)”病毒為工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘。隨著下一代工業(yè)控制系統(tǒng)與Internet互聯(lián)、互通的發(fā)展趨勢(shì),工業(yè)控制的安全問(wèn)題將更加嚴(yán)重。
美國(guó)作為信息化和工業(yè)自動(dòng)化最發(fā)達(dá)的國(guó)家,擁有信息技術(shù)和工業(yè)自動(dòng)化技術(shù)的主導(dǎo)權(quán)和話語(yǔ)權(quán),在工業(yè)控制系統(tǒng)的信息安全研究都居世界領(lǐng)先水平。美國(guó)的“網(wǎng)絡(luò)風(fēng)暴”演習(xí)模擬了一些關(guān)鍵基礎(chǔ)設(shè)施遭受大型網(wǎng)絡(luò)攻擊的情景。美國(guó)國(guó)土安全部、能源部、國(guó)家實(shí)驗(yàn)室共同推動(dòng)了美國(guó)工業(yè)控制系統(tǒng)信息安全工作的開(kāi)展。我國(guó)政府也高度重視工業(yè)控制系統(tǒng)的安全,中央國(guó)家安全委員會(huì)、中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的成立也預(yù)示著工業(yè)控制系統(tǒng)的安全將受到更大的關(guān)注。
目前致力于工業(yè)控制系統(tǒng)的安全解決方案可分為兩類:一種是以自動(dòng)化控制廠商為代表,提出在自動(dòng)化控制產(chǎn)品上增加安全功能;另一種以傳統(tǒng)的網(wǎng)絡(luò)安全廠商為代表,借鑒已有的安全防護(hù)方案,并將其應(yīng)用于工業(yè)控制系統(tǒng)中。
多層安全架構(gòu)
當(dāng)前各種新型攻擊方法層出不窮,為了達(dá)到目的,各種攻擊技術(shù)也是呈現(xiàn)“組合”趨勢(shì)。面對(duì)這種情況,單一廠商提供的解決方案無(wú)法應(yīng)對(duì)所有威脅并做出實(shí)時(shí)反應(yīng)。因此,為了及時(shí)有效的防護(hù),各廠商需要將競(jìng)爭(zhēng)關(guān)系轉(zhuǎn)變?yōu)楹献麝P(guān)系,分享威脅情報(bào)。多方合作在構(gòu)架解決方案時(shí)也應(yīng)逐漸摒棄以前傳統(tǒng)的通過(guò)單層安全架構(gòu)或者單點(diǎn)安全方案達(dá)到防御目的的模式,進(jìn)而采用多層安全架構(gòu),整合必要安全元素,構(gòu)建多方位、立體、縱深防御體系以應(yīng)對(duì)新型安全威脅。