自去年史上最大的用户信息泄露事件(塔吉特)以来,又接连发生了多起信息泄露的安全事件。仅从8月到现在,就有UPS快递、CHS(社区医疗系统)、火狐开源、苹果iCloud、家得宝等信息泄露事件相继爆发。是黑客与安全人员之间存在技术方面的差距吗?为什么成功的入侵事件越来越多?
1、 互联网海纳百川,防御战线全面扩张
全球互联网已经成为当今世界推动经济发展和社会进步的重要信息基础设施。包括云计算、移动互联网和万物互联网,极大的推动了互联网的边界扩张,可能被攻破的网络节点不断增多,由此带来的安全挑战前所未有。
1.1云计算促进产业融合,平台类型多样
传统产业与互联网加速融合
云计算正在改变传统产业运行的模式,带来了服务模式的革命。云计算将传统制造业变为绿色低碳和资源节约型产业,将政务、交通、旅游、医疗等行业变成工业流水线一样的高效产业,强化了互联网对这些产业进行管控的实时性和高效性,全面提升了全社会整体信息化水平,加强了这些传统产业与互联网融合的程度,促进了互联网产业的商业化、多元化、个性化。中国软件评测中心作为国内权威第三方评测机构,基于测试即服务模式搭建了我国首个在线测试技术云平台-中国测试云(www.cstccloud.org ),致力于云计算领域的测试和研究。
互联网平台类型多样
互联网上汇聚的计算资源、存储资源、数据资源和应用资源正随着互联网规模的扩大而不断增加。大数据的产生使得互联网正在从传统意义的通信平台转化为海量的数据信息平台。云计算促使互联网不止是一个传统的通信平台,同时还是一个数据平台和计算平台,实现了互联网的平台类型多样性,使得互联网具备了通信传输功能、数据存储功能和海量数据计算统计功能。
1.2移动互联促使终端及应用激增
移动终端的飞速发展将传统的PC互联网拓展成移动互联网,终端类型的移动性激发了人们对移动性数据的需求。由于不同人群对移动性数据的依赖程度、获取方式、用途的不同,又进一步刺激了互联网应用走向多元化、个性化、移动化和商业化。移动终端设备普,越来越多的人希望在移动的过程中高速地接入互联网,获取急需的信息。移动互联网应用是未来发展前景巨大的互联网应用。在未来将有更多的定位感知服务可通过移动设备的应用程序来实现。正如中国软件评测中心的移动互联网可信应用测试平台-利猫网(www.licat.com )就是顺应这一移动大潮,对移动应用的全生命周期提供360度监控,并提供专业的安全加固服务。
1.3万物互联促使终端形态和服务模式多样
移动互联网之后,一个最重要的时代要开始了——那就是万物互联。“IoT-万物互联”将是互联网未来的发展趋势。不仅手机、电脑、电视机等传统信息化设备将连入网络,家用电器和工厂设备、基础设施等也将逐步成为互联网的端点。万物互联的时代正在到来。任何设备都可以接入互联网成为终端设备,促使互联网终端设备的形态千变万化,促使传统商品具备了互联网属性,具备了提供互联网服务的能力,由此拓宽了互联网的服务模式和服务能力。
万物互联拓宽互联网终端设备的形态
互联网不仅仅是人之间的连接、手机之间的连接,而是能够把今天我们所有各种各样的设备,大到工厂里的这种发电机,车床,小到家里的冰箱、插座、灯泡,到每个人身上带的戒指、耳环、手表、皮带等所有的东西都可以连接起来。所有的设备,它都会内置一个智能的芯片和内置的智能操作系统。通过这种技术改造是所有这些设备都变成了互联网的终端设备。因此,我们可以说万物互联网拓宽了互联网终端设备的形态,改变了传统互联网终端设备只包含笔记本电脑、台式机和服务器的格局,使终端设备的形态多元化、个性化、移动化。
万物互联网拓宽互联网的服务模式
万物互联是对中国传统产业的一个变革,利用IoT技术你可以把传统的商品变成智能的。基于IoT技术,传统企业就不仅仅是利用互联网来获取信息、发布信息和出售商品,它可以利用IoT的技术,让每个产品都变成具有互联网体验的产品,它可以让商业模式变成从一次性买卖的模式变成提供互联网服务的模式。万物互联加强了传统商业和产业与互联网的融合,拓宽了传统互联网的服务模式,促进了互联网的商业化。
2、 网络安全攻防回报不对称
近年来曝出的黑客攻击事件的影响越来越恶劣,涉及的资产损失越来越惨重,导致网络用户对网络安全问题惶恐不安,用户利益岌岌可危。为什么防守越来越被动?
原因一: 攻、防技术人员收入悬殊
黑客攻击有获利快,短期收益高等特点,而反观国内各大网络安全公司的薪酬情况,以及国家对网络安全防护人员的培养力度,攻击网络漏洞所获取的收益要远高于到网络安全公司上班所得到的报酬。加之法律不健全和惩罚力度不够,安全技术人员很可能会因为利益的驱使最终走向黑客的阵营。
2014年上半年,包括eBay在内的大牌零售商以及Neiman Marcus等多家酒店的用户信息遭到入侵泄漏,这些信息包含了大量用户的信用卡数据,这将带来无法估量的经济损失。网络犯罪的经济和技术成本较之过去已大幅度降低,功能丰富的工具包和完善的服务繁荣着中国的网络黑市。想进入这个圈子和利用网络谋取利益的人越来越多,因为他们看到许多人通过这种方式获利颇丰。随着攻击成本的降低,网络交易的繁荣,巨大的利益驱动着黑客阵容的不断增大,这是安全防护人员的收入水平无法企及的。
原因二: 公众对攻防荣誉理解不对称
国内的民间组织或国家开办的网站在互联网上主要在报道黑客攻击的安全事件和发布漏洞信息。却很少有专门的网站去公布互联网上发生的安全防护工作和成功的防护案例。由于对黑客攻击事件的宣传力度远大于对安全防护工作的宣传力度,很容易给公众一个偏颇的舆论导向,令广大的网络用户产生国家对安全防护工作不作为、不到位的误解,容易导致网络用户对国家网络安防失去信心。
3、 攻击难度降低
同类应用泛化、攻击方法的简化、恶意工具的普及和用户防范意识薄弱都导致了网络攻击难度的降低。
3.1网络攻击的自动化程度越来越高
当网络安全专家用“自动化”描述网络攻击时,网络攻击已经开始了一个新的令人恐惧的“里程碑”,就像工业自动化带来效率飞速发展一样,网络攻击的自动化促使了网络攻击速度的大大提高,极大的降低了网络攻击难度,使得没有网络安全知识的人经过简单的学习就可以操纵工具进行网络安全攻击。以前需要依靠人工启动工具发起的攻击,现在发展到由攻击工具本身主动发起新的攻击。随着分布式攻击工具的出现,攻击者可以很容易地控制和协调分布在Internet上的大量已经部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
3.2防火墙被攻击者渗透的情况越来越多
配置防火墙目前仍然是防范网络入侵者的主要保护措施,但是,现在出现了越来越多的攻击技术,可以实现绕过防火墙的攻击,例如,黑客可以利用Internet打印协议IPP和基于Web的分布式创作与翻译绕过防火墙实施攻击。
3.3安全威胁的不对称性在增加
Internet上的安全是相互依赖的,每台与Internet连接的计算机遭受攻击的可能性,与连接到全球Internet上其他计算机系统的安全状态直接相关。由于攻击技术的进步,攻击者可以较容易地利用分布式攻击系统,对受害者发动破坏性攻击。随着黑客软件部署自动化程度和攻击工具管理技巧的提高,安全威胁的不对称性将继续增加。
3.4用户防护意识不足
由于用户越来越多地依赖网络提供各种服务来完成日常相关业务,攻击者攻击位于Internet关键部位的网络基础设施造成的破坏影响越来越大。对这些网络基础设施的攻击,主要手段有分布式拒绝服务攻击,蠕虫病毒攻击、对Internet域名系统DNS攻击和对路由器的攻击。尽管路由器保护技术早已成型,但许多用户并未充分利用路由器提供加密和认证特性进行相应的安全防护。除了安全防护技术能力的提高外,安全策略的思考,用户防护意识的提高,这些正是大多数技术人员所缺乏的。
4、 攻击风险降低
网络安全攻击层出不穷,越演越烈的原因不只是因为利益的趋势,还有一个重要的原因是由于网络安全攻击犯罪的技术隐蔽,取证困难,惩处力度不够,以及法律的缺失造成的攻击风险降低。
4.1攻击技术隐蔽
目前攻击工具的开发者正在利用更先进的思想和技术来武装攻击工具,攻击工具的特征比以前更难发现。相当多的工具已经具备了反侦破、智能动态行为、攻击工具变异等特点,这些特质造成了攻击技术更加隐蔽。
反侦破是指攻击者越来越多地采用具有隐蔽攻击工具特性的技术,使得网络管理人员和网络安全专家需要耗费更多的时间分析新出现的攻击工具和了解新的攻击行为。智能动态行为是指现在的攻击工具能根据环境自适应地选择或预先定义决定策略路径来变化对他们的模式和行为,并不像早期的攻击工具那样,仅仅以单一确定的顺序执行攻击步骤。攻击工具变异是指攻击工具已经发展到可以通过升级或更换工具的一部分迅速变化自身,进而发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。同时,攻击工具也逐渐普遍地支持多操作系统平台运行。在实施攻击的时候,许多常见的攻击工具使用了如IRC或HTTP等协议从攻击者处向受攻击计算机发送数据或命令,使得人们难以区别正常的网络传输流与攻击信息流。这些具备了反侦破、智能动态行为、攻击工具变异等特点的攻击方式提高了攻击的隐蔽性,加大了识别和定位攻击的难度,造成了犯罪取证的困难,从而降低了黑客攻击的风险。
4.2攻击工具获取途径隐蔽
为了躲开执法部门的监管,地下市场的运营者使用Tor匿名网络来隐藏身份,从而谷歌、Bing等搜索引擎无法搜到。中国地下市场的黑客主要使用QQ做为通讯工具。销售黑客工具的卖家会依据产品线建立不同的QQ群组,比如DDoS工具或恶意软件。通过QQ的关键字查询,才可以搜索到贩卖黑客攻击工具的入口。通过Tor匿名网络或者QQ工具做为安全攻击工具的交易途径,都可以实现交易过程的隐蔽性。
4.3需刑事立法治理网络犯罪
打击网络犯罪,立法滞后。查处网络违法犯罪行为依据的法律依据不足。比如网络黑市中贩卖刀枪问题非常突出,由于法律不完善,这类违法犯罪不能得到及时惩处。此外,传统案件的管辖规定也难以适应网络犯罪中侦查的需要。比如,网络诈骗案取证可能跨省甚至跨国,公安机关花费大量人力物力侦办后,可能面临因案件涉案金额较低而无法刑事处罚的结果。各国的实践证明,网络犯罪治理既需要用技术手段解决,还需要用管理手段解决,更需要用法律手段解决,以法律的方式方法提升国家网络犯罪治理体系和治理能力现代化,依法办网,依法管网,依法运行,这既是发展方向,也是治理的重要抓手。我国现行对互联网直接进行规范的法律、行政法规、司法解释、部门规章和其他规范性文件共有172件(不含地方性法规)。172件中以部门规章和其他规范性文件为主,针对互联网的专门法律3件;调整行政类法律关系的有145件,而调整刑事法律关系的只有14件。总体而言,法律层级偏低,重行政轻民事和刑事。应制定融合程序与实体的独立的反网络犯罪,以及融合多种学科的信息安全法,以解决核心法律严重缺失问题。
4.4网络犯罪帮助犯应严惩
中国软件评测中心安全专家建议,由于网络犯罪行为的特殊性导致帮助行为和预备行为在网络犯罪中起主要作用,因此要注重打击网络犯罪中的帮助行为和预备行为。在网络犯罪中,技术因素作用凸显,网络社会是技术主导的社会,网络犯罪具有高度的技术依赖性,如实施网络盗窃、网络攻击时,不获得有效的木马软件或计算机病毒,犯罪难以进行。而在传统刑事犯罪评价中,实施帮助犯罪的行为人,一般作为共同犯罪中的从犯进行制裁,这是因为相对于实施行为,帮助行为危害性较小。但网络犯罪仍参照传统刑事评价则存在错位,因为提供技术性支持的帮助行为,往往在网络犯罪中起主要作用。因此,建议立法将帮助犯正犯化、将预备行为实行化。即基于网络犯罪的技术依赖性,对于网络空间中某些犯罪的技术性帮助行为,如提供网络攻击技术行为的,可考虑将其设立为新罪惩处;基于网络空间无限复制性和延展性的存在,使一些网络犯罪行为危害性倍增,刑法可以将部分预备行为提升、独立,使其作为实行行为成立新罪惩处。
5、 总结与建议
随着云计算等新技术的不断进步,万物互联产生的大数据量,这些新生事物对互联网环境的不断冲击,导致互联网的边界不断拓宽,网络环境变得复杂多变,网络安全防护形式日益严峻,保卫网络安全就是保卫国家主权。习近平总书记指出:“没有网络安全就没有国家安全”。在全球化、信息化时代,维护网络与信息安全,亟须上升为国家层面的安全战略。加强网络安全保障体系建设,建设“战略清晰”的网络安全保障体系是复杂的系统工程。从全球范围看,维护网络和信息安全,是保障我国网络信息空间不被西方发达国家所控制的安全防御战略。以美国为代表的西方发达国家,其网络安全战略已经从被动防御全面转向积极进取的主动进攻。中国软件评测中心长期致力于网络安全防护研究工作,认为应将筑高墙、堵漏洞的被动防御型网络安全应对战略,转变为攻防结合的网络安全战略,主动提升网络信息空间的防御和对抗能力。
