随着在“互联网+”时代的到来,企业不仅需要更迅速的响应业务需求,也需要加大控制安全风险。特别是移动互联网的爆发式增长,给企业的IT安全体系提出了严峻考验。今年1月份,机锋论坛2300万用户数据遭泄露;5月28日,携程网页面和App“瘫痪”,近12个小时后才恢复正常;此后,艺龙网、招商证券等网络平台相继出现使用故障。根据Verizon发布的《2015数据泄露调查报告》显示,在过去一年中,全球总共涉及79790个安全事件,超过2千(2122个)确认的数据泄露(Data Breach),诸多的数据泄漏事件已经将企业的信息安全推到了风口浪尖。
作为消费者而言,莫名收到垃圾短信、骚扰电话,你的个人信息很可能已经被泄露。12月21日,360互联网安全中心发布2015年度中国网站安全报告,报告称,中国最大的漏洞播报平台补天漏洞平台显示,由于网站漏洞一年或导致55亿条信息面临泄露,而网站漏洞修复率却不足一成。北京成为遭受漏洞攻击最为严重地区。
报告称,从2015年1月1日到11月18日,补天平台共收录各类网站安全漏洞37943个,从漏洞类型看,“SQL注入”、“弱口令”和“信息泄露”是类型最多的漏洞,其中,弱口令已经占到漏洞类型第二位,补天漏洞平台安全专家鲍宇介绍,很多网站管理者用“123456”这样的简单密码,很容易被猜出。
在2015年(截至2015年11月18日)补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能泄露的个人信息量(简称可能泄露信息量)高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄漏了8条以上的个人信息。另据中国互联网协会发布的《中国网民权益保护调查报告》显示,近一年来,网民因个人信息泄露、垃圾信息、诈骗信息等现象,导致总体损失约805亿元。纵观信息泄露的途径,可归结为以下几种:
1、网购泄露个人信息。360“补天”漏洞响应平台近日曝出近200家网上商城存在信息漏洞,这些漏洞极易被不法分子利用来获取用户资料。大多消费者都不同程度地受到骚扰短信、电话诈骗等形式的侵害。
2、快递信息泄露。快递公司信息系统存在管理漏洞,容易被不法分子利用盗取消费者信息来倒卖给行骗人员或直接施行诈骗和广告短信骚扰等。据菜鸟网络监测,2015年,国内主流快递企业信息泄露、系统遭受攻击等事件出现上千起。
3、移动应用数据泄露。据悉,移动应用程序正成为新的数据泄露主体,2014年国家信息安全漏洞共享平台收录1710个涉及移动互联网终端设备或软件产品的漏洞,这都可能成为不法分子获取用户信息的入口,各类订票、社交、浏览器、论坛等APP都曾发生过数据泄露现象。
4、各类互联网金融应用成为信息泄露的主要渠道。互联网金融发展形成的第三方支付、P2P网贷等多种的金融模式,涉及资金较多,容易被不法分子盯上,但国内的网络安全技术及安全防护机制却未与金融市场的发展相匹配,漏洞一旦被不法分子利用,将造成不可挽回的损失。
而作为企业级在信息安全市场上威胁也不断的加深,随着移动互联网、物联网的不断演进,颠覆了人们的生活方式。然而对于攻击者而言,万物互联同样意味着可攻击的目标增多,攻击方法在创新,“攻击面”在迅速扩大,相对应的信息安全防御链条则越来越长,防御思想也在不断进化,信息安全防御面临很大的创新压力。
随着消费者购买越来越多的智能手表、活动追踪器、全息耳机及其他物联网设备,提高设备安全的需求将变得更加迫切。市场调研公司Gartner发布的《物联网概述(Agenda Overview for the Internet of Things)》报告中提到,到2020年,大约有300亿个互联设备将在行业中得到广泛使用,物联网将渗透至企业中的每一个角落。毫无疑问,物联网设备市场将会不断扩大,但低成本硬件平台和操作系统的差异性仍将导致该市场较为分散。随着市场领导提供商的崛起和特定生态系统的发展,针对物联网设备的攻击将会逐步增加。近年来在移动领域,针对Android平台的攻击已经屡有发生。系统制造商们正在针对它们所支持的生态系统加强安全防护开发,例如苹果公司的HomeKit等。
例如在医疗卫生行业,随着“关怀无处不在”理念的不断发展,医疗设备的安全性也在2015年成为主流话题之一。起搏器或胰岛素泵等生命维持设备已经被许多行业人士了解会可能遭受网络攻击,但幸运的是,除了概念性验证的安全研究外,全球尚未出现此类事件的报道,但可以推测其巨大的潜在影响。移动健康概念的不断发展使新型医疗交付模式将设备移动至病人家里。但该模式会将医疗设备置于公共网络上,消费者能够通过个人设备,例如智能手机中的医疗应用使个人数据与临床信息相连。
由于网络安全威胁形势的飞速变化,在2016年,政府将不得不完善相关法规。部分国家或行业将开始制定指导方针来解决物联网设备所面临的信息使用、数据所有权和同意书风险。不可否认,无论是防病毒还是防攻击,无论是已知威胁检测还是未知威胁检测,安全似乎一直处于后知后觉的状态——发现威胁、分析威胁、形成具体的或通用的特征规则,然后才能对这个威胁进行防御。所以,在面对复杂、未知、定向攻击等高等级安全威胁时,传统安全的防护方式频频失手,缓不救急。
网络罪犯不仅技术高超、资源充足,并具有相当的毅力和耐心,能够对全球消费者、企业和政府进行高成功率的网络攻击。通过大规模盗取的私人信息,网络攻击者已将网络犯罪变为大型获利业务手段。在 2015 年,数次重大泄露事件导致数百万人身份泄露,消费者信心遭受重创。我们可以看到,在Ashley Maddison数据泄露事件发生后,一些企业对数据泄露的恢复能力已经陷于瘫痪。
针对不同工作负载和应用,企业需要不同的交付模式,以便以合适的价格灵活地满足业务需求。在利用公有云规划、建设和集成本地云环境时,企业可能会面临业务和技术上的挑战。为了无缝地集成多个云环境并能够转换云服务来满足业务需求,IT专业人士需要专业知识来转向混合IT基础架构,以提供传统、私有和公有云服务。
当然,网络信息安全保障已经成了国家层面的课题。据悉,我国的信息安全市场尚处早期,预计未来市场增速将提高到20%到30%,未来企业的网络安全意识将逐步提升,毕竟若不能给予用户以安全感,企业最终将失去广大的用户基数。但若要提升网络信息安全,单凭一己之力还不足够,需要监管部门、产业链各方通力合作,才能逐步遏制网络信息泄露带来的负面影响。一方面我们应该立法先行。根据现有法律的施行情况,对法规进行完善,加强入刑、量刑方面的条例,以增加法律威慑力及实用性,如针对信息安全泄露取证难、责任确定难的问题,规定服务商需承担举证责任或对责任界定做进一步的细化。另一方面需要从行业层面应加强监督监管。对于不诚信或漏洞频发的网站,行业层面应该给予监督警示,对于那些屡教不改、违规严重的网站,行业监管部门可以以黑名单的形式进行公示,并给予严惩,让用户可以避开这些网络安全地雷。值得一提的是,中国网络安全产业联盟近日在北京成立,企业将加强网络安全技术攻关,维护网络安全。思科在2015年网络安全调研报告中建议企业在未来从以下方面着手加强网络安全建设:
1.集成的威胁防御 – 企业面临单点产品解决方案带来的严峻挑战,需要考虑嵌入拥有无处不在的安全功能、能够在任意控制点执行的集成威胁防御架构。
2.服务填补空白 - 鉴于安全行业面临着日益碎片化、动态多变的威胁局面,同时还需考虑如何应对技能娴熟人才缺口不断扩大等问题,企业必须投资购买有效、可持续且可信的安全解决方案和专业服务。
3.全球网络治理框架 – 全球网络治理并非用于处理新出现的威胁环境和地缘政治挑战。边界问题涉及到政府如何收集有关公民和企业的数据并在辖区间共享,由于全球协作非常有限,这一问题已成为实现统一网络治理的重大障碍。要在全球范围保持业务创新和经济增长,一个涵盖多方利益相关者的协作网络治理框架将必不可少。
4.可信赖的供应商 – 企业应要求其技术供应商详细说明并展示其涵盖在产品中的安全功能,以确保其成为可信赖的供应商。这些企业必须在产品开发的各个环节贯彻这一理念,包括从供应链到其产品部署的生命周期的各个阶段。他们必须要求供应商将其声明记录在合同中,并要求更出色的安全性。
5.攻击者与安全厂商之间的创新竞赛正在加速展开,给终端用户和企业带来越来越多的风险。厂商必须谨慎开发集成的安全解决方案,帮助企业发挥主动性,协调正确的人员、流程和技术。
