安全发展已经快二十年了,当大家仍然关注脆弱性或是威胁变化的时候,环境已经悄悄的发生了变化,关注安全的人发生了变化,我们也从狭窄的局域网升级到了Internet,我们面对的不再是单纯的溢出攻击,我们面对的是变化莫测的恶意软件。新的形势不仅需要技术层面的提高,更加需要我们转换安全建设的思路,今天就和各位一起分享安全未来发展的一些思考。 一、从单一关注数据与系统安全转向多关注需求的网络世界安全 这个世界上究竟谁在关注安全?他们又为什么关注安全呢?在2000年我做安全咨询的时候,面对的客户主要是技术支撑部门,他们还仅仅关注于自己所维护系统中的数据与网络安全。但是在这几年包括未来的很长时间,安全的需求关注点已经发生了根本性的变化。我们不妨先看看不同的角色关注什么样的安全。 (1)自2007年4月27日,爱沙尼亚重要的政府、银行、媒体网站遭遇了三轮空前的黑客攻击。 (2)公安部((关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》; (3)2007年9月24日,撰写熊猫烧香病毒程序的李俊被法院以破坏计算机信息系统罪一审判决有期徒刑4年; (4)某运营商大规模建设全国性DDoS流量清洗工程; (5)成都某酒吧女老板遭人肉搜索误伤; 图1 需求的转变 从这些案例看到,安全已经受到不同角色的关注,从国家安全部门关注的是安全责任,政府监管部门关注的是可信秩序,运营商关注的是安全效益,公众关注的是隐私权益。 同角色的需求存在着很大的差异,这些差异导致了安全已经从原来的技术保障部门关注上升到了多关注的层面。其实这种需求关注的转变影响着整个安全产业,就拿运营商而言,单纯追求商业价值已经不是其唯一的目标,例如中国移动已经把承担社会责任作为企业的一项使命,运营商的客户不仅仅包括消费者或是企业,也会包括国家,政府,包括社会多群体,满足多种安全需求会引导整个运营商未来的安全建设。这是安全未来发展中需要转变的第一点。 二、从关注脆弱性转向关注结构性安全 谈到安全发展,前段时间我也在和很多业内的朋友聊这个问题,大家都不约而同的谈到了脆弱性的发展,我们不妨先看看现阶段的脆弱性有什么新的变化。列举一些案例: (1)系统、应用漏洞的数量飞速增长; (2)针对应用、第三方软件的漏洞越来越多; (3)消除默认安全隐患,安全基线逐渐应用; (4)针对应用、第三方软件的补丁管理系统将逐渐应用; (5)安全管理制度的完善,内控的要求使得安全意识逐渐提高。 图2 应用漏洞越来越多 我们可以发现脆弱性在应用以及第三方软件上越来越多,那是不是我们今天不断消除了脆弱性就能够从概念上引导未来的安全方向呢?答案是否定的。为什么呢?我们不妨看看,传统的IT技术很少考虑安全问题,所以普遍性的存在脆弱性,基本上可以说现在的安全产品都是为IT产品的脆弱性在服务,大家更加关注与加固、补丁、扫描或是监控,其技术特点也是依附性质的。 随着应用以及第三方软件的不断增多,单纯的补丁是无法解决问题的。在绿盟科技长期为客户服务的过程中,尤其是针对运营商、金融、能源等这些供应链严重依赖IT系统的客户,如果不从IT产品供应商角度应用新的软件工程学,改善产品的安全质量,从结构上消除脆弱性问题,那么目前的安全产品只能疲于奔命,追赶脆弱性的步伐。 如何从结构上消除脆弱性呢?我们不妨看看国内外这方面的一些工作: (1)IEEE STD 1471; (2)美国国防部的C4ISR, DODAF和GIG; (3)北约组织的NATO; (4)美国电子政务公众服务体系结构FEA; (5)中国的TCAF。 这些工作都是试图从软件体系架构上来关注结构性安全,这才是消除脆弱性的根本途径。绿盟科技参加了TCAF标准化委员会的标准制定工作之后对此具有更加深刻的认识。 图3 TCAF(Trusted Cyber Architecture Framework) 不过建立一套完善的体系架构是一项长期的工作,所以在现阶段我们也不能忽视对于脆弱性的跟踪。就拿绿盟科技刚刚推出的中国移动配置核查系统,就是为了满足《中国移动设备通用安全功能和配置规范》而设计的产品,这套规范的出台对于如何规避设备缺省配置的脆弱性有着很好的指导意见。 三、从关注面向威胁转向关注面向能力 其实与脆弱性一样,大家在关注安全问题的时候都不可避免的会问,现在的威胁有什么变化,我们不妨看看现在威胁的变化: (一)外部威胁 (1)关注点从网络、系统转移到应用、数据库、Web; (2)由于社会化网络包含的信息价值高,所以针对SNS攻击将会越来越多; (3)针对特定行业的应用软件的攻击逐渐增多,如SAP; (4)攻击者不会放过任何一个热点,热点引发人们关注,哪里人多,攻击就去了哪里。 (二)内部威胁 (1)安全教育会使得内部威胁逐渐减少; (2)内部威胁作案将更隐蔽; (3)内外勾结作案需要小心, (4)身份认证与审计会降低内部威胁的数量。 长期以来,大家做安全都在做一件事情,什么事情呢。就是不断的消除脆弱性和威胁本身,包括对脆弱性和威胁的危害进行评估,其实这件事情和现实社会一样,我们无法消灭犯罪分子,也没有办法把所有的凶器都没收了,那我们该做什么呢?其实我们需要的是一种能力,一种即使黑客存在、威胁存在,可以避免其运行造成危害的能力,我们还需要一种能力,是一旦发生危害行为,我们能够发现的能力;不仅如此,我们还需要对安全事件的应急能力;甚至我们还需要能够通过对那些危害行为实施定位、发现、取证包括执法这样的威摄能力。 图4 运营商骨干网异常流量清洗中心 举个例子,绿盟科技帮助客户建立的全网流量清洗系统。这套系统并不能消除利用IPV4或是HTTP协议发动的DDoS攻击,但是它为运营商,包括类似于银行等用户提供了几种能力: (1)提供了针对异常流量分析、异常流量清洗、防御能力调度及用户自服务的保障能力; (2)提供了针对发动异常流量攻击行为的监管能力; (3)提供了针对影响基础架构、客户应用等流量攻击的应急能力; (4)提供了对大规模流量攻击的行为发现、定位,跟踪,取证和打击犯罪的威慑能力; 虽然我们知道,安全威胁永远不会消失,但是拥有这些能力再辅以法律,威胁对我们的危害将会大大降低。可见,关注能力的建设渐渐会成为了运营商安全工作的重点。 四、从关注点的安全转向关注大范围网络环境的安全 以前我也和一些IT界的朋友谈到了安全发展的变化,他们问我,不管你怎么说,安全到最后还不是买一堆安全产品保护好自己的内部网络就可以了吗?其实大部分人部有这种观点,这让我想起最近碰到的一个客户,他负责单位的安全检查,最近他们又要开展安全大检查,他就咨询我们:每次检查时候,员工都不相信我的检查结果,能不能给我一种方法或者一个工具,我直接渗透进去,这不就有效果了吗? 这种观点其实忽视了当今安全发展的特点,目前的安全威胁已经不仅仅是像地鼠打洞一样的直接攻击内部网络了,而是通过大范围网络环境下的各类技术手段造成危害,我们的防护也不仅仅是装上了防盗门、铁栅栏就高枕无忧了。我曾经对那位客户开玩笑说,你可以建立一个挂马网站,然后通过邮件让员工访问这个网站,那些中了木马的员工显然系统存在着脆弱性。虽然这种方式在实行的时候存在着一些管理上的障碍,但是这确实就是目前黑客攻破内部网络最常用的方式。 再举个我们公司自己的例子,大家都知道绿盟的扫描器系非常好的产品,以前的我们扫描器主要是扫描内部网络用来发现系统的脆弱性,不过在通过网页挂马攻击内部网络开始盛行之后,我们已经尝试建立了利用云计算概念的WEB信誉列表。通过云计算的各个节点扫描那些存在挂马可能的站点,建立了可信网站列表,我们利用这样的列表来保护内网的用户不遭受挂马的威胁。 其实刚才所说的全网DDoS流量清洗、包括正在研究的僵尸网络发现、蜜网系统,都是通过大范围网络环境的安全建设来达到区域性防护的目的,其中,一些新的概念,诸如云计算都被很好的应用在安全当中。 这就是我们与大家分享的安全发展的第四个变化,安全从原来的关注自己的一亩三分地渐渐向关注大范围网络环境来发展,这点对于拥有网络基础架构的运营商而言更为重要。 五、小结 安全的发展其实经历了很多阶段,从最初的技术层面向需求层面不断演进,正是由于需求关注点的多样化,从而导致了安全从原来的关注威胁和脆弱性,转变为开始不断关注体系结构、关注能力建设。随着Interent的日益广泛应用,以及新兴的诸如云计算、SOA等新型软件架构的盛行,安全不再是局限于建造局域网里的“铜墙铁壁”,安全的目标转化成如何在大范围网络环境下建立运营安全和可信秩序。 |