| |
 |
安全发展已经快二十年了,当大家仍然关注脆弱安全已经仍然性或是威胁变化的时候,环境已经悄悄的发生了变化,关悄悄的环境变化注安全的人发生了变化,我们也从狭窄的局域网升级到了局域网安全变化Internet,我们面对的不再是单纯的溢出攻击,我们面对的是变internet 面对我们化莫测的恶意软件。新的形势不仅需要技术层面的提高,软件技术层面更加需要我们转换安全建设的思路,今天就和各位一起分安全我们一起享安全未来发展的一些思考。
转变之一:单一关注的数据与系统安全,转向多关注需求安全之一系统的网络世界安全
这个世界上究竟谁在关注安全?他们又为什么关为什么安全世界注安全呢?在2000年我做安全咨询的时候,面对的客户主要安全面对主要是技术支撑部门,他们还仅仅关注于自己所维护系统中的技术维护系统数据与网络安全。但是在这几年包括未来的很长时间,安安全包括未来全的需求关注点已经发生了根本性的变化。我们不妨先看根本性已经变化看不同的角色关注什么样的安全。
自2007年4月27日,爱沙尼亚重要的政府、银行爱沙尼亚 2007 银行、媒体网站遭遇了三轮空前的黑客攻击;
公安部《关于信息安全等级保护工作的实施意公安部安全实施见》、《信息安全等级保护管理办法》
2007年9月24日,撰写熊猫烧香病毒程序的李俊2007 熊猫撰写被法院以破坏计算机信息系统罪一审判决有期徒刑4年;有期徒刑计算机系统
某运营商大规模建设全国性DDoS流量清洗工程;全国性大规模运营
成都某酒吧女老板遭人肉搜索误伤;
从这些案例看到,安全已经受到不同角色的关注安全案例已经,从国家安全部门关注的是安全责任,政府监管部门关注监管部门安全政府的是可信秩序,运营商关注的是安全效益,公众关注的是运营安全秩序隐私权益。不同角色的需求存在着很大的差异,这些差异需求这些角色导致了安全已经从原来的技术保障部门关注上升到了多关安全上升技术注的层面。
其实这种需求关注的转变影响着整个安全产业,安全这种需求就拿运营商而言,单纯追求商业价值已经不是其唯一的目运营追求已经标,例如中国移动已经把承担社会责任作为企业的一项使企业移动例如命,运营商的客户不仅仅包括消费者或是企业,也会包括不仅仅消费者运营国家、政府包括社会多群体,满足多种安全需求会引导整安全包括需求个运营商未来的安全建设。这是安全未来发展中需要转变运营安全未来的第一点。
转变之二:关注脆弱性,转向关注结构性安全
谈到安全发展,前段时间我也在和很多业内的朋安全发展时间友聊这个问题,大家都不约而同的谈到了脆弱性的发展,不约而同脆弱性发展我们不妨先看看现阶段的脆弱性有什么新的变化。列举一现阶段脆弱性列举些案例:
系统、应用漏洞的数量飞速增长
针对应用、第三方软件的漏洞越来越多
消除默认安全隐患,安全基线逐渐应用
针对应用、第三方软件的补丁管理系统将逐渐应用软件补丁应用
安全管理制度的完善、内控的要求使得安全意安全内控完善识逐渐提高
我们可以发现脆弱性在应用以及第三方软件上越脆弱性应用软件来越多,那是不是我们今天不断消除了脆弱性就能够从概脆弱性能够消除念上引导未来的安全方向呢?答案是否定的。为什么呢?为什么安全方向我们不妨看看,传统的IT技术很少考虑安全问题,所以普安全技术我们遍性的存在脆弱性,基本上可以说现在的安全产品都是为基本上脆弱性安全IT产品的脆弱性在服务,大家更加关注与加固、补丁、扫脆弱性加固大家描或是监控,其技术特点也是依附性质的。
随着应用以及第三方软件的不断增多,单纯的补应用软件随着丁是无法解决问题的。在绿盟科技长期为客户服务的过程长期客户问题中,尤其是针对运营商、金融、能源等这些供应链严重依运营尤其这些赖IT系统的客户,如果不从IT产品供应商角度应用新的软供应商应用系统件工程学,改善产品的安全质量,从结构上消除脆弱性问脆弱性安全消除题,那么目前的安全产品只能疲于奔命,追赶脆弱性的步疲于奔命脆弱性安全伐。
如何从结构上消除脆弱性呢?我们不妨看看国内脆弱性消除我们外这方面的一些工作:
IEEE STD 1471
美国国防部的C4ISR、DODAF和GIG
北约组织的NATO
美国电子政务公众服务体系结构FEA
中国的TCAF
这些工作都是试图从软件体系架构上来关注结构软件这些架构性安全,这才是消除脆弱性的根本途径。绿盟科技参加了脆弱性安全根本TCAF标准化委员会的标准制定工作之后对此具有更加深刻的委员会标准化标准认识。
不过建立一套完善的体系架构是一项长期的工作不过长期建立,所以在现阶段我们也不能忽视对于脆弱性的跟踪。就拿现阶段脆弱性忽视绿盟科技刚刚推出的中国移动配置核查系统,就是为了满移动配置系统足《中国移动设备通用安全功能和配置规范》而设计的产安全移动配置品,这套规范的出台对于如何规避设备缺省配置的脆弱性脆弱性配置如何有着很好的指导意见。
转变之三:关注面向威胁,转向关注面向能力
其实与脆弱性一样,大家在安全问题的时候都无脆弱性安全大家可避免的会问,现在的威胁有什么变化,我们不妨看看现变化我们不妨在威胁的变化:
1)外部威胁
•关注点从网络、系统转移到应用、数据库、Web数据库应用系统
•由于社会化网络包含的信息价值高,所以针对社会化所以价值SNS攻击将会越来越多
•针对特定行业的应用软件的攻击逐渐增多,如应用软件逐渐SAP
•攻击者不会放过任何一个热点,热点引发人们放过任何攻击关注,哪里人多,攻击就去了哪里
2)内部威胁
•安全教育会使得内部威胁逐渐减少
•内部威胁作案将更隐蔽
•内外勾结作案需要小心
•身份认证与审计会降低内部威胁的数量
长期以来,大家做安全都在做一件事情,什么事长期以来安全什么情呢,就是不断的消除脆弱性和威胁本身,包括对脆弱性脆弱性包括消除和威胁的危害进行评估。其实这件事情和现实社会一样,现实危害评估我们无法消灭犯罪分子,也没有办法把所有的凶器都没收犯罪分子我们凶器了,那我们该做什么呢?其实我们需要的是一种能力,一我们什么需要种即使黑客存在、威胁存在,可以避免其运行造成危害的危害可以避免能力;我们还需要一种能力,是一旦发生危害行为,我们一旦危害我们能够发现的能力;不仅如此,我们还需要对安全事件的应不仅如此能够安全急能力;甚至我们还需要能够通过对那些危害行为实施定能够实施危害位、发现、取证包括执法这样的威慑能力。
举个例子,绿盟科技帮助客户建立的全网流量清建立流量客户洗系统,这套系统并不能消除利用IPV4或是HTTP协议发动的消除利用发动DDoS攻击,但是它为运营商,包括类似于银行等用户提供了运营包括银行几种能力:
提供了针对异常流量分析、异常流量清洗、防清洗异常分析御能力调度及用户自服务的保障能力;
提供了针对发动异常流量攻击行为的监管能力监管发动异常;
提供了针对影响基础架构、客户应用等流量攻应用架构流量击的应急能力;
提供了对大规模流量攻击的行为发现、定位、大规模定位流量跟踪、取证和打击犯罪的威慑能力;
虽然我们知道,安全威胁永远不会消失,但是拥安全我们知道有这些能力再辅以法律,威胁对我们的危害将会大大降低危害我们这些。
可见,关注能力的建设渐渐会成为了运营商安全运营安全可见工作的重点。
转变之四:关注点的安全,转向关注大范围网络环境的安环境安全转向全
以前我也和一些IT界的朋友谈到了安全发展的变安全一些发展化,他们问我,不管你怎么说,安全到最后还不是买一堆最后不管他们安全产品保护好自己的内部网络就可以了吗?其实大部分大部分安全可以人都有这种观点,这让我想起最近碰到的一个客户,他负这种碰到客户责单位的安全检查,最近他们又要开展安全大检查,他就安全检查开展咨询我们:每次检查时候,员工都不相信我的检查结果,检查我们咨询能不能给我一种方法或者一个工具,我直接渗透进去,这工具进去方法不就有效果了吗?
这种观点其实忽视了当今安全发展的特点,目前安全忽视这种的安全威胁已经不仅仅是像地鼠打洞一样的直接攻击内部不仅仅安全已经网络了,而是通过大范围网络环境下的各类技术手段造成环境技术而是危害,我们的防护也不仅仅是装上了防盗门、铁栅栏就高不仅仅铁栅栏防盗门枕无忧了。我曾经对那位客户开玩笑说,你可以建立一个开玩笑建立曾经挂马网站,然后通过邮件让员工访问这个网站,那些中了访问网站员工木马的员工显然系统存在着脆弱性。虽然这种方式在实行脆弱性这种系统的时候存在着一些管理上的障碍,但是这确实就是目前黑一些存在管理客攻破内部网络最常用的方式。
再举个我们公司自己的例子,大家都知道绿盟的公司我们知道扫描器系非常好的产品,以前的我们扫描器主要是扫描内扫描器主要我们部网络用来发现系统的脆弱性,不过在通过网页挂马攻击脆弱性不过网页内部网络开始盛行之后,我们已经尝试建立了利用云计算建立利用盛行概念的WEB信誉列表,通过云计算的各个节点扫描那些存在信誉概念存在挂马可能的站点,建立了可信网站列表,我们利用这样的这样建立利用列表来保护内网的用户不遭受挂马的威胁。
其实刚才所说的全网DDoS流量清洗、包括正在研究清洗包括刚才的僵尸网络发现、蜜网系统,都是通过大范围网络环境的环境系统僵尸安全建设来达到区域性防护的目的,其中,一些新的概念区域性安全防护,诸如云计算都被很好的应用在安全当中。
这就是我们与大家分享的安全发展的第四个变化安全分享变化,安全从原来的关注自己的一亩三分地渐渐向关注大范围安全范围原来网络环境来发展,这点对于拥有网络基础架构的运营商而运营环境拥有言更为重要。
小结
安全的发展其实经历了很多阶段,从最初的技术安全技术发展层面向需求层面不断演进,正是由于需求关注点的多样化多样化层面需求,从而导致了安全从原来的关注威胁和脆弱性,转变为开脆弱性安全从而始不断关注体系结构、关注能力建设。随着Internet的日益广泛internet 日益随着应用,以及新兴的诸如云计算、SOA等新型软件架构的盛行应用软件盛行,安全不再是局限于建造局域网里的“铜墙铁壁”,安全铜墙铁壁局域网安全的目标转化成如何在大范围网络环境下建立运营安全和可运营环境安全信秩序。
|
|
|
|