2015年网络空间安全七大趋势
来源:中国外包网 时间:2014-12-31

安全牛近日发布的《2014年网络安全大事记》记述了2014年发生的重大安全要事,其文尾的最后一段话这样写道:“这就是即将过去的2014,未来的2015将发生什么、改变什么、扬弃什么,让我们拭目以待!”

那么,未来的这一年即将发什么呢?在我们“拭目以待”的同时,安全牛依据过去已经发生的事情和相关资料,结合相关专业领域标杆人物的评论,对未来一年中将会发生的网络安全大事做出一些推测,希望能带来一定的参考和借鉴作用。

趋势一:安全漏洞不可避免

尽管《大事记》在漏洞一节表达了漏洞出现的不可预知性,但我们可以知道的是它一定会出现。而且,随着安全意识和安全编程标准被人们逐渐接受,新开发的软件和系统中出现重大漏洞的可能性变小。重大漏洞将更多的出现在过去开发出来的,但已经得到普及和广泛流行的软件、系统或协议中。

尤为需要注意的是所谓“长老级”和“功能型”的漏洞,前者是指埋藏在系统中多年未被发现的漏洞,后者是指本来是系统为了方便用户而提供的功能,但由于应用环境的变化和技术的飞速发展,被黑客发现并加以利用因而成了漏洞。

按照这个思路,明年将有可能爆出通信协议和操作系统级别的严重漏洞,同时,那些建立在通信协议和传统操作系统之上的,成熟期较早并在目前得到广泛应用的软件和系统可能性较大,比如Java,安卓。至于智能家居或可穿戴设备,虽然生产商缺乏安全考虑,但由于未得到大规模应用,尽管可以预见很多漏洞的发现,但巨大影响力的漏洞无法形成。

“操作系统级别的漏洞每年都会有,新的严重漏洞出现的可能性依然很大,但漏洞利用越来越难。”——Keen Team CEO王琦


趋势二:信息泄露在劫难逃

人类生活越来越依靠现代科技、互联网、移动互联网和物联网,以及随之而来的大数据和云服务,加上黑客行为的组织化和产业化,下一次重大信息泄露事件的发生可以说是板上钉钉。

新兴社交网络和电子商务由于与互联网紧密相关,较早的具备一定的安全认识和网络基础,因此发生重大隐私泄露的可能性较小。目前网上泄露出的个人信息,多为用户自行泄露或被黑客利用撞库技术而得到。

相比而言,医疗行业、物流行业、零售业等传统行业,其数据大多是用户的真实身份,而且这些行业的网络安全意识落后,信息技术基础薄弱,随着线上业务与线下业务的交融,这些行业必将是隐私泄露的重灾区。

此外,云服务的快速普及和应用,越来越受到恶意黑客的关注。而且其完全依赖在线服务和一套登录口令对应所有信息存储服务的特性,更有可能使其曝发出大规模的恶性信息泄露事件。

“信息泄露屡发不止,根源不在于数据安全技术,而在于收集用户信息的服务商不重视保护用户隐私信息,并且法律上对这些服务商没有严肃追究刑责。”——明朝万达总裁王志海


趋势三:攻防技术的矛与盾

攻击者的技术也在不断进化。从自动化工具、边信道攻击和图片密写技术,到零日漏洞、APT攻击和社会工程。

同样,随着网络攻防强度、频率、规模,以及影响力的不断升级,未来的安全技术将逐渐朝自动化、智能化、定制化和整体化等方向发展,在单点防护和检测上越来越深,同时在整体防护上更加系统和智能。不仅能够防范已知的攻击,还能够感知即将发生的威胁,预先采取措施。

提到社会工程,不得不强调“人”的重要性。人是需要处理事务的,不断发展的事务以及人的思想认识中的“漏洞”永远无法避免,社会工程学的威力正在被发挥到极致。“道高一尺,魔高一丈”的斗争不断上演,这是一个矛与盾的寓言,也是一个永不停息的猫和老鼠的故事。

“攻防对抗是信息安全最重要的内容,背后是人和人的较量。随着对抗的发展,其中也逐渐呈现出像SR-71侦察机和燃料空气炸弹一样或精妙或宏大或优雅或暴力的智慧之美。”——腾讯玄武实验室负责人于旸


趋势四:互联网巨头进军企业市场

从互联网公司来看,BAT3全部拥有基于云服务的大数据,自然而然的云安全和大数据安全是四国火拼的最为重要的战场。

各家的云服务用户的基础是各自基因的用户,百度是搜索引擎、阿里是淘宝和阿里巴巴,腾讯是QQ,360则是360杀毒和安全卫士。各自的用户发展到现在,已经达到基本平衡的状态。如果要有大的变化,比较大的可能是从企业级市场入手。这里谈的市场已经超出安全市场,而是以安全市场为入口的互联网市场。

但目前,企业市场的基础主要还聚拢在传统的安全专业厂商,如天融信、启明星辰、绿盟、卫士通、北信源等,各种硬件设备、软件工具、解决方案等安全产品和服务掌握在此类企业的手中。但随着互联网服务的无孔不入,四大巨头已经开始侵入到传统安全业务中来。明年将会有更多的安全公司被更大的企业兼并联合,或投资,或入股、或收购。

“企业IT正走在云化、移动化、消费化的大路上,企业安全在2015年是否将在这几个技术制高点上决战?是传统完成自我颠覆还是被颠覆,正如文始所言,让我们拭目以待。”——绿盟科技首席战略官赵粮


趋势五:漏洞奖励、众测服务持续升温

近年来,几乎所有提供在线服务大型互联网公司都成立了自己的安全应急响应中心(SRC),而这些SRC最重要的作用之一就是给白帽子提供一个漏洞提交的平台。

此外,第三方漏洞平台的作用也不可小觑。首先,第三方漏洞平台的出现以及产生的影响和效果,激起了各大公司争相建立SRC的浪潮。再者,第三方漏洞平台相比于厂商自己的SRC,其优势在于更加公开、中立和范围广。

值得关注的是,始源于漏洞奖励基础之上的众测服务也开始逐渐被行业认可。对新兴服务一向反应谨慎和缓慢的重要行业,也开始逐渐接受众测服务,并收到良好效果。预期明年,在一些在线服务应用比较广泛的重点行业如金融、支付领域将会有更大的动作。而另一些尚未实施过众测服务的重要行业、央企则可能进行试探性的尝试。

“众测的崛起有着重大意义,意味着企业安全观的更加成熟。过去企业与白帽子的关系是正负对抗,结果往往还是负数。现在企业主动与白帽子合作,结果就成了1+N,这对整个安全行业都是好事。”——乌云网创始人方小顿


趋势六:网络安全立法指日可待

网络安全法规出台的缓慢已经成为我国网络信息发展的重大羁绊,但立法的进程快慢又与公众思想的成熟度密切相关。即使目前已有的一些地区或部门的规章制度,在实践中也难以正常地操作执行。多年来,民间协会、研学机构、人大会议、政府部门一直都在关注和筹备着网络安全立法工作。

今年2月27日,习近平总书记在主持召开中央网络安全和信息化领导小组第一次会议时要求,“要抓紧制定立法规划,完善互联网信息内容管理、关键基础设施保护等法律法规,依法治理网络空间,维护公民合法权益”。10月底,十八届四中全会通过了《中共中央关于全面推进依法治国若干重大问题的决定》。《决定》提出加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为。

网络安全立法,尽管存在各种监督管理、执行操作上的难度,但国家最高领导机构已经明确指出立法的方向,并敦促加快立法进程,这种推动力度前所未有。因此可以大胆预见,2015年有可能看到立法草案的出台。

“网络安全相关法律法规的出台,将有效推动创建网络法制社会,实现‘依法建网、依法用网、依法管网’,有效保障网络社会规范、有序、安全、文明运行。”——公安大学警务信息工程院院长李欣


趋势七:网络空间战争危及国家安全

2014年国家支持的黑客攻击事件频发,其中最大的一起莫过于索尼影业遭攻击,包括员工信息、财务信息、通信邮件及影片剧本等多种数据泄露,此事牵动了朝鲜政府、美国总统、韩国总统及中国外交部。正在由一场普通的企业信息泄露事件,演化成国际政治事件。

虚拟世界已经和现实世界密不可分,这也正是“网络空间”(Cyber)一词的含义所在。做为国家安全极为重要的一部分——工控安全,更是极易遭到敌对势力攻击的目标。截止到目前,全世界各地发生的攻击关键基础设施的严重事件至少数百起,或民间或政府的网络间谍活动遍布互联网,欧美大国情报机关监控全球互联网的行为几近公开,数十个国家纷纷成立了网络部队。网络战争已不再遥远。

由于网络空间的攻击更为隐蔽、难以确定来源以及成本低但影响或收获大等特点,这种攻击形式肯定会被越来越多的国家采用。明年,国家支持的黑客活动将愈演愈烈,很有可能爆发出更加严重的网络攻击事件,并进一步造成国与国之间的政治危机。

“大国间的相互尊重和规则的达成,取决于相互伤害的能力,网络空间的规则也注定要这样建立起来。中国在网络空间的问题上具有双重特质,在对抗中显示出能力不足的尴尬,但在发展中却有着空前体量和勃勃生机。”——安天实验室首席技术架构师肖新光