1.威胁由网络层转向应用层
如今,许多行业用户将大量有价值的客户数据存储于在线数据库,通过网络应用与外界交互。不论是电子政务、通信、金融、电子商务抑或是小小的个人博客,基于Web和数据库的应用系统已经逐渐成为主流。在我们享受这些信息系统带来便利的同时,也必须正视其带来的安全和威胁:
(1)随着Web应用系统不断地建设及陆续投入运行,这些Web应用程序所带来的安全漏洞越来越多;
(2)使用者安全意识的培养跟不上Web应用的普及速度,加上Web应用本身的粗放式特点,使攻击成为了简单的事情;
(3)目前基于Web的各种应用直接承载有各类虚拟资产,而这类虚拟资产可以方便的转换为现实经济价值。很显然,此类应用系统将会成为以经济利益为驱动的攻击首选;
(4)随着技术的不断提高,攻击工具日益专业化、易用化、攻击方法也越来越复杂、隐蔽,防护难度较大、导致各类攻击者活动越来越猖獗;
然而与之形成鲜明对比的却是:原有安全解决方案无一例外的把重点放在网络层,致使当应用层攻击(如:SQL注入攻击、跨站脚本攻击、恶意代码等等)发生时,传统的网络层安全设备,如防火墙、IDS/IPS等形同虚设,根本无能为力。根据Gartner的报告,目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击,其中最常见的攻击技术就是针对Web应用的SQL注入和钓鱼攻击。据安恒信息风暴中心的统计显示,国内网站安全性令人担忧:65.5%的网站存在安全漏洞,其中,29.2%的网站存在高危安全漏洞;8.7%的网站遭到篡改,33.7%的网站被植入了后门。平均每天有 3500 多家网站遭到 35 万次的各类漏洞攻击;每天有超过 600 余家网站遭到1180 多万次的流量攻击。政府网站是漏洞攻击的首要目标,而企业网站则是流量攻击的首要目标。跨站脚本漏洞和 SQL 注入漏洞这两类高危安全漏洞仍然是占比最高的网站安全漏洞, 二者之和超过网站所有漏洞检出总次数的一半。
2.网络攻击趋势变化
当前攻击者也由过去的单兵作战,无目的的攻击转为有目的、有针对性的攻击,并且形成一整套以攻击者为中心的“传、攻、销”的经济产业链。境外情报机构、企业公司和犯罪团伙都愿意付钱买下有关安全漏洞——以及如何加以利用——的信息。各种信息网络犯罪每天充斥在我们生活当中,信息网络犯罪已经达到了一个前所未有的高度,违法犯罪类型和形式趋于多样化、隐蔽化、复杂化。那么如今的信息网络犯罪攻击技术已经达到什么样的程度了呢?
(1)Web应用安全与数据泄漏
从2014年春运第一天12306爆用户信息泄露漏洞,年中最严重的是泄露了130万考研信息,到年底12月25日12306用户数据遭泄露,账号密码身份证信息被售卖。不论是通过不安全的第三方平台还是继续遭受2012年年底的“泄密门”时间持续影响,过去的2014年都是数据泄密的高发持续增长期,使用失窃账户密码依然是非法获取信息的最主要途径,而这里面三分之二的数据泄露都与漏洞或失窃密码有关。
攻击者的目标明确、趋利化特点明显,针对不同Web应用网站所采用的攻击手段不同,攻击者入侵一个目标站点的时候,首先会看该站点是否存在利益价值。目前攻击者的商业攻击主要针对在线购物网站、社交网站、网络游戏、大型论坛、慈善机构、电子政务、金融证券网站等网站。比如攻击者可以通过入侵缺乏防护措施的政府网站挂“黑链”,因为政府网站在搜索引擎中占据的权重较高,攻击者可以通过植入脚本木马进行网页篡改,将自己指定的网站或代码插入到政府网站的正常页面中,从而提供其在搜索引擎中的排名靠前并盈利。
现在的大型网站一般都使用第三方开发公司的商业网站管理内容系统,虽然一般情况下这些商业网站每年也会聘请安全服务机构进行安全风险评估,部署大量安全产品,但是狡猾的攻击者会绕道先攻击网站的开发商,获取到商业网站管理系统的源码,然后进行分析挖掘漏洞,再转回头攻击之前的目标商业网站。同时攻击者会利用挖掘到的商业漏洞攻击其他商业网站或者出售该漏洞。
攻击者们通过入侵各个站点,把这些站点的用户数据库整体下载下来,这个叫做“拖库”;然后再把这些数据库里的个人信息拿来进行网络诈骗或者层层出售,这个叫做“洗库”;最后攻击者们通过某些渠道相互共享出来,找到各自用户信息的共同点和关联之处,取得完整用户的完整个人信息,再用这些信息进一步去尝试其他攻击目标网站或者个人,这个叫做“撞库”,最后偷取用户游戏账号、银行账号、证券交易账号、密码等,窃取用户的私有财产。
(2)0day攻击
根据路透社的报告,在一个蓬勃发展的由攻击者和安全公司开发和销售入侵工具的灰色市场,美国政府是“0day”漏洞最大的买家。路透社称,“私营公司雇佣了专业技术人员和开发人员来发现漏洞,开发利用漏洞的代码,之后拿到市场上去卖。这些0day漏洞起价5万美金。影响漏洞价格的因素包括漏洞所利用的商业系统的装机量以及漏洞能在多长时间内不被公开。
挖掘软件漏洞,在网络安全中是一个古老的技艺,世界上第一个蠕虫病毒“莫里斯蠕虫”就是病毒制造者莫里斯通过挖到的UNIX漏洞进行传播的。现在越来越多的破解者和攻击者们,已经把目光从率先发布漏洞信息的荣誉感转变到利用这些漏洞而得到的经济利益上,互联网到处充斥着数以万计的充满入侵激情的脚本小子,更不用说那些以窃取信息为职业的商业间谍和情报人员了。于是,0day有了市场。
国外很早就有了0day的网上交易,攻击者们通过网上报价出售手中未公开的漏洞信息,几年前,攻击者通常会将漏洞信息出售给微软和苹果等公司,然后由它们去修复。由于政府机构愿意付出更高的价格购买0day漏洞,迫使微软提高价格至最高15万美元。有两位意大利攻击者,他们将找到的0day漏洞细节出售给美国政府的安全机构如NSA及其对手伊朗革命卫队。
同时,攻击者也会利用白帽攻击者和专业安全研究人员分享的研究成果,并通过分析的代码或者测试程序改制成恶意软件。
当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从0day走过,但不管怎样,0day带来的潜在经济利益不可抹杀,而其将来对信息安全的影响以及危害也绝不能轻视。
(3)网络攻击工具逐渐齐全
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在发布Metasploit时,它的发布在安全界引发了强烈的地震,甚至有人把它形容成“可以黑掉整个星球”。仿佛一夜之间,任何人都可以成为攻击者,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。
经验丰富的攻击者一般都喜欢使用一些网络攻击工具来提升自己的攻击效率,而这些工具的使用,只需要非常少的技术,另外,开发人员通常将这些工具做为合法的渗透测试工具在攻击者论坛或他们的网站上免费提供。通过最近几年网络安全技术的快速发展,网络攻击工具也有了新的发展趋势。
比如现在攻击工具的自动化水平不断提高。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。在2000年之前,攻击工具需要人来发动新一轮攻击。现在,攻击工具可以自己发动新一轮攻击,比如震网病毒主要利用Windows系统漏洞实施攻击和传播,具有极强的复制能力和明确的攻击目标,一旦成功感染系统就会自动传播给其他与之相连的电脑,最后造成大量网络流量的连锁效应,导致整个网络系统瘫痪。
攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。
攻击工具具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的成熟性,与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。
(4)APT攻击
高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是攻击者以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT入侵客户的途径多种多样,主要包括以下几个方面。
——以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。
——社会工程学的恶意邮件是许多APT攻击成功的关键因素之一,随着社会工程学攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。攻击者刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。
——利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
(5)移动互联网安全
为什么很多单位开会的时候不允许带手机?因为手机有可能变成窃听器。如果你手里拿着的是一部已经感染了恶意代码的智能手机,那么你接听和拨打的所有电话,都将被恶意代码控制者掌控,而作为普通手机用户的你,完全看不出任何端倪。
如今,人们的信息交流开始越来越多地由PC转向手机,然而,随着移动互联网的快速发展,固定互联网上原有的恶意程序传播、远程控制、网络攻击、垃圾邮件等网络安全威胁也快速地向移动互联网蔓延。这些恶意程序往往在用户不知情的情况下窃取用户个人信息,诱骗用户上当受骗,造成用户的经济损失。移动互联网已经被各种病毒、木马、恶意代码等攻击行为全面侵袭——手机上的木马可以控制调取通讯录、短信,可以对通话进行录音,然后把录音传到控制端去,还可以伪造朋友给机主发短信,或者伪造机主身份给朋友发短信……
因此,对移动互联网恶意程序进行有效的防范和控制,不断提高移动智能终端的安全能力,关系到我国移动互联网的健康发展和对广大移动互联网终端用户合法权益的保护。
(6)智慧城市面临的新型信息安全威胁
智慧城市是一项甚为复杂的大型系统工程,随着三网融合、两化融合的深入推进,物联网、云计算、大数据等高新技术的应用与发展,所面临的网络环境更加复杂,因此其信息与网络乃至应用终端的安全问题均比一般互联网的信息安全问题要多。
我国的“智慧城市”建设进入高峰期,智慧城市的信息系统特点是一把双刃剑,在给人们带来智慧城市的美好前景的同时,也带来了新的信息安全的威胁。
主要的威胁包括(但不限于):
1.恶意的网络攻击:
美国好莱坞电影《虎胆龙威4:虚拟危机》中,描述了一个恐怖分子利用网络攻击达到让一个国家陷入“全面性瓦解”的景象,而智慧城市所提倡的全面物联、透彻感知、深入的智能化,以及在任何时间、任何地点、利用任何设备登录网络,非常方便的利用云计算能力获得等特点,让恶意人员实施网络攻击变得异常简便,甚至可以让电影情节中的“全面性瓦解”有可能真正地发生。试想一下,恐怖分子如果要攻陷表面固若金汤的大国的最后防线,与其劫持飞机再续911事件,不如逮住建立于二进制系统之上的国家安全漏洞,只要一个有缺陷的程序,就可能掌握物联网应用的控制系统,实施对目标地域的水、电、油、气、交通进行完全掌控,瘫痪任意系统、控制经济命脉,再制造点导弹齐飞核弹解禁之类的威胁,该是一种多么恐怖的景象。
2.城市管理信息泄密:
智慧城市应用大部分是在公网上运行,采集并保存着城市运行和管理的海量数据,这些海量数据通过大数据分析软件的分析,为城市管理人员提供了这个城市的各种重要信息,其中一些信息具备非常高的信息价值,应该对这些信息进行很高密级的保护。然而,由于这些信息设备往往无人值守,恶意人员可能偷盗传感器件获得其存储密码和感知数据,通过多位置放置被控节点副本及发射无线干扰信号,进行物理层面攻击使网络瘫痪,还可能利用公开的智慧城市应用和方便的云计算资源,实施大数据计算,从而获取到这些机密信息,这种情况轻则会造成商业的被动和损失,重则可能会造成社会和国家安全上的威胁。
3.个人信息的泄密:
在智慧城市建设中,所谓的“大数据”,核心就是个人信息。智慧城市的建设使得城市生活的方方面面互联化了,造成了市民的个人信息在大量的网络应用上发布、原本在物理世界的生活却在网络上全面的留下足迹、个人和家庭的设施和物品通过物联网也暴露在互联网上。凡此种种,都是个人信息泄露的威胁,这样的威胁在与普通民众生活息息相关的领域给自身和相关行业造成巨大的困扰和经济损失。目前因为还处在智慧城市建设的初期阶段,对这些威胁还没有得到足够的认识,也没有安全防护的安全实践,甚至于人们普遍缺乏个人信息保护的安全防范意识。
4.业务连续性和灾难恢复方面的安全威胁:
智慧城市是城市运行和管理的高级信息化应用,这些应用发展到一定的规模后,人们会发现越来越离不开这些应用,到那个时候,如果出现智慧城市应用的运行问题或者遭受到自然的灾害影响时,城市的运行和管理将遭到重大的打击,最终将极大的影响到市民的正常生活。
综上所述,智慧城市建设除了会带来通常的信息安全问题,还可能会带来严重的社会稳定、经济利益甚至于国家安全的威胁,因此必须倍加重视与小心务实应对。