2015信息安全趋势和任务

2014年，中共中央网络安全和信息化领导小组成立，由此掀起了信息安全的热潮。在已经来临的2015年，无论是政策导向还是技术演进，我们都不得不关注信息安全的发展趋势，明确我们的任务。

2014年岁末，据国外媒体报道，索尼影业遭到黑客攻击，公司办公室内的所有电脑均无法操作。索尼创建的十多个Twitter营销账号似乎也遭到了攻击，不停发送内容相同的消息。

据称，黑客们已经从索尼影业获得了大量敏感文件，其中一些文件在打包压缩后被发送到了互联网上。此次攻击影响了索尼影业的日常办公。有报道称，索尼影业的员工们无法发送电子邮件，无法使用电脑，甚至无法接听电话。一名索尼影业的员工对国外媒体表示，他们处于完全瘫痪的状态中……

信息安全是永远的话题。攻击对象在变化，攻击方式在变化，攻击技术在变化，唯一不变的，就是对恶意攻击的坚决抵抗和不妥协。

2014年2月27日，中共中央网络安全和信息化领导小组第一次会议召开。中央网络安全和信息化领导小组的成立，被认为是中国开始高度重视信息安全，希望在信息安全领域有所作为的标志性事件。

由此，中国的信息安全热潮被掀起。驻足回首，我们看到，在已经走过的2014年，信息安全市场正在逐渐成长;登高远眺，我们又会发现，在已经到来的2015年，信息安全领域将呈现更多的变化，值得关注。

威胁质变

互联网正在改变世界。同样，它也在改变人们对信息安全的认知。

互联网、移动互联网、物联网的不断演进，颠覆了人们的生活方式。然而对于攻击者而言，万物互联同样意味着可攻击的目标增多，攻击方法在创新，“攻击面”在迅速扩大，相对应的信息安全防御链条则越来越长，防御思想也在不断进化，信息安全防御面临很大的创新压力。

360公司副总裁曲晓东认为，从索尼影业被攻击等近期频发的一系列安全事件看，现在的安全威胁已经发生了“质”的变化。

“攻击者不再是某些个体，而是有组织的团队;攻击也不再是漫无目的行为，而是瞄准了特定目标;攻击也不再是为了炫耀技术，而是为了潜伏并窃取有价值的信息;攻击者从利用已知的工具和漏洞发展到越来越多地利用未知工具、零日漏洞甚至社会工程学等综合性手段。”曲晓东告诉记者。

持类似观点的，还有山石网科产品市场总监贾彬。他表示，像索尼这样的大型企业，一定拥有比较完备的信息安全防护措施和手段，但是仍然无法避免被攻陷。这就说明，恶意攻击正在升级，给企业的安全防护带来了更大的挑战。

“真正可怕的是，‘攻’进步了，‘防’却没有跟上。”曲晓东说。

启明星辰首席战略官潘柱廷告诉记者，木马、病毒、钓鱼等常见的攻击方式仍然有效，而诸如DDoS等蔓延式的攻击也很难防范，伴随网络带宽的进一步增加，2015年甚至可能会出现1TB流量的DDoS攻击。更为重要的是，APT攻击呈现出泛化的趋势，出于商业竞争的目的，它将更多地出现在企业之间。

不可否认，无论是防病毒还是防攻击，无论是已知威胁检测还是未知威胁检测，安全似乎一直处于后知后觉的状态——发现威胁、分析威胁、形成具体的或通用的特征规则，然后才能对这个威胁进行防御。所以，在面对复杂、未知、定向攻击等高等级安全威胁时，传统安全的防护方式频频失手，缓不救急。

曲晓东认为，以前的信息安全重点强调的是边界安全，在网络的边界上设一些网关类的安全产品，像防火墙、IPS、IDS等。通过这些人为设置的“墙”把攻击挡在企业网络的外围，让它无法进入企业内部。然而随着互联网的发展，企业要想设置并充分利用这堵“墙”越来越困难。

员工的手机、平板电脑等个人终端设备在办公时可以连接到企业的网络，到机场就可以连接到机场的网络，如果这台终端在公共网络中感染了病毒和木马，再回到企业内网时，那么病毒和木马的攻击就有可能不经过企业边界的安全设备而进入企业内网。

其实，万物互联远不止智能手机可以随时随地接入网络这样简单。大量可联网智能设备的涌现，以及原先封闭的、与互联网物理隔离的工业控制系统逐渐采用通用协议接入互联网，都存在着巨大的安全风险。

“我们把这种现象叫‘边界模糊’或者‘边界消失’，这对传统的企业安全提出了严峻的挑战。如果企业的边界模糊了或者边界消失了，那么部署在企业网络边界的‘墙’就形同虚设。”曲晓东说。

潘柱廷指出，如何保障工业控制系统安全对用户和厂商都是个挑战。对于安全厂商而言，由于工业控制系统的封闭和不通用，使防护方案的研发成本极高。而且，工业控制系统很容易成为高级威胁的攻击目标，因为它一旦出现安全问题，将有可能酿成严重的事故。

“毫无疑问，高级威胁将成为未来安全事件的主流。”曲晓东判断。

智能应对

道高一尺，魔高一丈。在信息安全的攻防大战中，双方此消彼长的较量从来没有停止。如果安全威胁真的发生了质变，那么我们的安全防御体系应该如何应变呢?

潘柱廷给出的答案是大数据。

“哪个安全厂商率先掌握了大数据技术，哪个厂商就掌握了技术不对称的优势。”潘柱廷告诉记者，在攻防类安全实践中，核心任务就是威胁检测。防护一方的首要工作就是检测出威胁，只有将威胁及时、顺利地检测出来，才能让后续的防御工作有效进行。如果能够在企业网络中尽可能多地采集数据，把更多的异常数据纳入到检测的范围，并通过大数据技术进行分析，无疑会大大增加威胁检测的成功率。

当然，应用大数据技术完美实现威胁检测可以说是一个美好的愿景。但是，它需要解决的新问题就是如何把在企业网络中采集到的海量的、多维数据进行有效分析，从而提取有价值的信息。近年来，山石网科一直在强调智能安全的理念。在记者看来，所谓智能，必然要和大数据技术紧密联系在一起，以有效的大数据分析作为基础，才能实现真正的智能。

贾彬介绍，相对于基于特征匹配的传统威胁检测方式，新的智能安全应该是基于网络行为分析的。这是因为，攻击者会采取不同的攻击方式、不同的工具、不同的木马变种，特别是一些高等级的攻击者会针对攻击目标定制开发攻击工具，让攻击过程变得更加隐蔽，难以察觉。然而，任何一个网络攻击都会具有扫描、植入、传输等相对固定的攻击行为。对企业而言，如果防护系统能够对企业的正常业务行为进行学习，从而在日常监控中发现与正常业务行为不匹配的异常行为，就能更加高效地发现威胁。

曲晓东则强调，面对如今的IT环境，单纯依靠封堵的方法已经很难抵御网络攻击。除了大数据技术之外，为了应对企业边界模糊或边界消失带来的安全挑战，需要采用“云+端+边界”的立体化解决方案，只有“云+端+边界联动”的综合立体防御体系才能帮助企业灵活、快速、最大限度地减少来自高级安全威胁的影响和损失。

安全协作

“现在，为了利益最大化，攻击方都能够联合起来。那么，作为保护企业信息安全的中坚力量，安全厂商为什么不能联合起来呢?”潘柱廷发出呼吁。

事实上，面对升级的安全威胁，除了创新的安全防御技术和策略，还有重要的一点就是协作。通常，为了保证对技术的足够投入和专业性，安全厂商往往只专注于信息安全的某一个或某几个领域，而且往往专注的安全厂商也更容易获得用户的信赖。但是，信息安全防御的链条越来越长，已经鲜有厂商能够提供覆盖全链条的安全防御解决方案，这时，安全协作就显得更加重要。

“在美国，安全厂商之间的协作司空见惯，一家很小的厂商都可以共享到大厂商的安全数据。”潘柱廷表示，厂商协作首先要落地的是安全数据的共享。目前，启明星辰已经开始和国内其他知名安全厂商进行安全数据共享，这对研究攻击行为，保障企业信息安全具有重要的意义。“此外，针对DDoS这样的攻击，我们也在呼吁成立‘反DDoS’联盟。因为这种攻击从用户的角度很难防御，如果通过某种联盟的形式，可以从攻击发起端进行限制，将很大程度上改善目前对抗DDoS攻击的局面。”潘柱廷说。

“在国内信息安全产业链条中，大厂商之间的合作较少，同时充满了低水平、同质化的竞争，从而形成利润率低、技术水平低的恶性循环。360公司进入企业信息安全领域，给产业带来了新技术、充裕的资金、开发用户体验更好产品的能力。”曲晓东认为，360公司进入企业信息安全市场后，与其他安全厂商进行了一系列合作和整合，给整个产业带来了新的机遇，也造成了鲶鱼效应。