大规模网络攻击催生新的防御措施
几年前,网络攻击最多只是件令人头疼的麻烦事,而现在却已对国家安全构成了不小的威胁。有组织的犯罪团伙利用这种转变,将黑手伸向了网上银行和电子商务领域,数以百万计的金融单位因此遭受损害。更糟糕的是,黑客在与政府发生冲突后常常会破坏政府网站,而政府在日常工作中也常常会违规监视商业活动。甚至有人恐慌网络恐怖分子会利用互联网对电站等基础设施进行致命打击(见本刊第八期《摩尔的“法外之徒”》)。网络安全问题对经济的影响有多大,很难用具体数字加以说明。但美国联邦调查局表示,2008—2009年问,因美国网络犯罪而导致的损失上升了112%。
网络攻击者通常会利用计算机中的系统漏洞(见第82页《黑客的优势》)。电子商业活动之间的相互依存越来越紧密,重要的国家基础设施越来越倾向于利用网络资源,使得黑客攻击带来的威胁变得日益严峻。为了防范风险,专家们不断开发新的防御技术,一些组织机构提高了内网安全级别,防止来自内部的恶意攻击;然而由于攻击的分散性,由一个国际性的安全组织来统筹安全工作显得尤为必要。但是这样的多边协议一直很难达成(见第84页《网络安全的全球性僵局》)。——史蒂芬·卡斯
黑客的优势
没有人能幸免于网络攻击。今年1月,谷歌承认自己的系统遭到入侵,重要资料遭窃取。4月,有消息称黑客窃取了印度政府的军事机密。此外,有关信用卡账号和私人信息被窃取的报道不绝于耳。我们的电脑系统为何如此脆弱?
阿卡迈公司(Akamai)首席安全架构师和高级信息安全专家安迪·埃里斯(Andy Ellis)认为,这与大多数软件的架构有关。阿卡迈公司位于马萨诸塞州坎布里奇市,从事互联网基础架构业务。从事构建系统的公司产品有很多功能是用户根本用不到的,其安全问题过后才会想到,一旦某个模块存在漏洞或缺陷,便给了黑客可趁之机。
缓冲区溢出是常被黑客利用的漏洞之一。当程序收到的来自网络的数据包超过程序预设的容量时,多出的数据被存放在内存的其他区域。通过诱发缓冲区溢出,可使系统运行不正常,甚至是执行恶意代码。
攻击者也会欺骗用户安装一些恶意软件,比如在邮件内嵌入虚假网站链接。有时候攻击来自内部。专家称,部分企业内网安全策略要么松懈要么实施不严,给那些恶意用户留下了窃取资料危害雇主的机会。
击败黑客的希望还是有的。如今的很多程序可以自动安装安全更新,不需要用户任何操作。反病毒公司通过各种途径对恶意软件特征进行识别,从而在新病毒出现时能够更快响应。云安全解决方案提供商已经开始提供在线防火墙服务,通过数据过滤阻止病毒访问用户数据中心(见第88页“安全威胁带来机遇》)。
遗憾的是,许多组织没有及时应用这些更新。一些功能性软件如工资管理软件属于定制产品,很难在新系统上及时更新。据白帽安全公司(WhiteHatSecurity)创始人和首席技术官杰雷米亚·格罗斯曼(Jeremiah Grossman)估计,目前约有1/3的网络运行于已知有漏洞的系统中。白帽安全公司位于加州圣克拉拉,从事网站风险管理业务。
格罗斯曼表示,研究人员正在寻找新的解决方案,例如将更新不及时的软件用系统保护层加以保护,或想办法使商业活动在受感染的计算机上也能安全进行。但只要人们还在开发新软件,新的漏洞就会不断出现。
——埃里卡·诺恩
安全评估
对于两台运行着不同操作系统、浏览器或其他软件的电脑而言,根本无法衡量哪台计算机更安全。这使政府和企业很难决定要把钱花在什么地方,甚至花多少钱。很难判断某种安全产品是否真正有效还是营销得好。
以病毒扫描软件为例!这种软件能够自动扫描恶意软件,但仅限于已经被识别的恶意软件。因此即使安装了这种软件也不能确定系统肯定没有病毒,只能说没有病毒库内已定义的病毒。但是如今大部分为害甚广的攻击都是来自未知的恶意代码,包括今年年初谷歌遭遇的那次。
过去,发生如下情况则表明系统被入侵:文件被删除、网站被更改、系统无端崩溃、弹出诈骗信息等。而今,黑客作案手法更为隐秘,在用户不知情的情况下进行资料窃取或远程操控。正是由于这种隐秘性,要想统计遭到入侵的电脑数量已经很难,更不必说统计由此带来的经济损失了。
但是,依旧有人坚持不懈地努力着。美国国防部下属国防分析研究院的爱达荷国家实验室以及麻省理工学院林肯实验室开展的一系列研究项目,正致力于开发衡量网络安全的各种方法。若这些项目成功地创建出一批标准化度量手段,那些生产优质商品的软件公司将很容易从他们的研发投资上获取回报,而不是与那些只有高营销预算和爱吹嘘蒙骗的公司分享公平的竞争环境。此外,我们进步的同时黑客们也在提升攻击技术。
——西姆松·加芬克尔
通过测试寻找漏洞
2010年,仅在头两个月就有1223种新漏洞被开源漏洞数据库(Open Source Vulnerability Database)收录。该数据库专门收集用户上报的各种软件安全问题。对于依靠软件运营的公司而言,系统内存在几千个漏洞也就不足为奇了。
但是,波士顿电脑安全公司Rapid7执行副总裁科里·汤姆斯(Corey Thomas)认为,漏洞不等于实际意义上的风险。他表示,漏洞不会轻易被黑客发现,也就不会构成威胁。
去年,Rapid7公司收购了一个名为Metasploit的开源框架,该框架可以测试系统存在的安全漏洞,帮助企业远离安全威胁。Metasploit的研究人员及其开源社区内的用户群策群力,通过各种手段如收看新闻报道、监测专门用于捕获恶意软件的系统等,发现可能被黑客利用的漏洞。研究人员随后开发出模块,观察受攻击的系统如何反应。这些模块工作原理与恶意软件类似,不同之处在于侵入系统后模块的运行是可控的,从而用户可以识别风险而不会对系统造成影响。
通过销售基于Metasploit开发的产品或提供额外服务,Rapid7公司可实现盈利。但Metasploit模块的开放性和易获得性也带来了相应的问题。Rapid7担心收购Metasploit会引发用户的反对,因这项工具有可能为黑客所用。汤姆斯的理由很简单 “你是想公开这些信息,好让自己也了解了解,还是想让它们隐藏,只被黑客发现和利用呢?”
Rapid7公司基于Metasploit开发的第一款产品集成了测试步骤,让不懂技术的用户也能自行检查系统。现在该公司正在开发更多产品,帮助用户更好地识别系统问题并有效修复。
——埃里卡·诺恩
网络安全的全球性僵局
第一个对抗网络犯罪的国际协定《欧洲网络犯罪公约》于6年前生效。此公约致力于协调各国法律和推进调查合作。但这项公约自签订后就一直无新的进展。
目前仅有包括美国在内的30个国家批准了此项公约。中国和巴西尚未在公约上签字。最麻烦的是俄罗斯——被互联网基础架构公司阿卡迈认定为2009年网络攻击发起数最多的国家——也拒绝签字,原因是其反对公约中的允许国外调查机构绕开政府直接与网络运营商接触这一条款。
缔结公约止步不前,网络犯罪却愈演愈烈。特别是云计算的出现,使数据转移变得更容易,查明攻击来源变得更困难。欧洲的一些政客认为欧盟应该设立一个统一的网络安全监管机构。有些专家认为国家之间应该一对一地达成协定。 “我们应该与那些不跟我们站在同一立场上的国家斩断合作,不追求必须由各国政府批准的统一的约定。”文尼·马科夫斯基(VeniMarkovski)表示。马科夫斯基在保加利亚拥有一家因特网服务提供公司,同时也是互联网名称与地址分配机构(ICANN)的俄罗斯代表。
各大国代表近期多次集会,商讨双边协定的相关事宜。华盛顿国防大学国家安全政策和技术中心高级研究员查尔斯·巴里(CharlesBarry)表示,不缔结条约,网络会更不安全,因为黑客们清楚,自己可以恣意妄为却不会被抓捕。“至少在主要的网络使用国家达成哪些行为属于犯罪的共识是要优先考虑的。”他说。
——大卫·塔尔博特
硬件的新希望
由于不同系统下软件的配置存在差异,使得安全系数难以衡量(见第83页《安全评估》),人们开始将且光转向了硬件,通过硬件实现更简易更有效的黑客防范。
方法之一是使用智能卡或USB身份卡,取代以往的用户名和密码。美国国防部使用这种方法控制敏感网站的通道,并对电邮进行数字签名和加密。另一种方法是配备可信任平台模块(TPM),这是一种可安装于电脑内的微晶片,只有指甲盖那么大。TPM已经在许多笔记本、台式电脑、Xbox游戏控制器等终端设备上有所应用,这是其优势之一。TPM的模块赋予系统唯一的序列号,同时提供存储密钥的安全空间,从而替代以往的密码。
TPM区别于智能卡和USB身份卡的另一个特征是,它可应用于远程认证中,用户可以向远程计算机证明自己的系统未遭第三方篡改。基于其应用的广泛性,人们认为这是通过硬件实现安全的首选。
遗憾的是,目前支持这些模块的应用程序相对不多,行业内和学术界的人士正在努力改变这一现状。例如,麻省理工学院教授斯里尼·德瓦达斯和他的学生已经证明,TPM微芯片可以在不要求操作系统安全的情况下提高安全级别。这是非常重要的一步,因为如今的操作系统太过复杂,很难实现绝对安全。MIT的技术可以应用于网上银行,加强安全性。去年,德国慕尼黑理工大学的研究人员展示了将模块与OpenlD结合使用的技术。OperID是一种授权协议,被越来越多地用于博客和小型社交网站中。
要想拆解这种芯片要费很大力气,前美国陆军计算机安全专家克里斯多夫·塔尔多夫斯基曾在今年2月份展示过拆解全过程。先用酸腐蚀掉芯片的外壳,再用防锈剂去掉了内部保护性网孔,后用细针打开通信通道,才读出芯片的机密信息。这种破解攻击可以远程操控网站或冒充电脑用户,但无法大规模实施。
——西姆松·加芬克尔
病毒大爆发
2008年11月,C0nficker蠕虫病毒首次爆发,此后出现多个复杂变种。该病毒专门攻击Windows操作系统的漏洞,通过网络和u盘进行传播,数百万计算机很快遭到感染。这张由网络安全公司Team Cymru制作的图显示了到2009年1月被这种病毒感染的计算机数量。病毒感染后很难清除,部分原因是由于病毒能够屏蔽杀毒软件,阻止用户从杀毒软件官网下载病毒更新。微软因此悬赏25万美元寻找病毒制造者。
——史蒂芬·卡斯
强大的密码技术
现行许多数据安全依靠加密技术来实现,利用公式简单但逆运算困难的数学函数,如将两个大质数相乘,由于因数分解结果很多,如果不知道其中一个质数,就很难得到结果,至少我们现在的电脑做不到,即便动用最顶级的超级计算机进行破解也需要数千年的时间。
但对于量子计算机而言这却是小菜一碟。在量子计算机中,1个字节不只是以0或1的形式存储,它可以是0和1之间的任意数值。量子计算机的真正应用可能还需要几十年,但已经出现了简单的演示样机。一些研究人员警告说,量子计算机的出现将宣告传统加密技术的终结,同时现有的和已有的信息都将暴露,而这些信息曾是作为永远的秘密被存储下来。设想一下,20年后电脑将能读取我们今天存储的医疗信息。
人们建议使用替代的加密技术。例如,基于栅格的加密技术,其优势在于,难以判定一个给定多维栅格内的可能的最短矢量,即便是量子计算机也要花上一番功夫。虽然能够破解栅格加密技术的电脑尚需要很多年才能出现,但未雨绸缪,人们应当开始着手在网络上部署这种新的密码技术。
——罗伯特·雷蒙斯
安全威胁创造了机遇
10年前,购买防病毒软件、防火墙和入侵检测系统是当时企业进行系统防护所采取的普遍做法。而今,随着攻击种类的不断增多,防护产品不断细化,已经扩展到了70多种,如专门用于保护网络应用程序的防火墙、防止企业内部数据丢失的系统等。与此同时,每一个子市场业务的多元化趋势也在不断加强。2009年,行业巨头之一赛门铁克公司生成了290万个与恶意软件有关的独立软件签名或数字模式,这一数据与上一年相比增长了71%。
为了应对这一复杂性,大型安全公司收购了一些小型安全公司,以增强自身实力。根据分析公司451集团的数据,赛门铁克在过去三年内花费27亿美元收购了10家公司,包括从事邮件防护工作的MessageLabs公司和加密服务提供商PGP公司。McAfee公司则花费了11亿美元收购了7家公司,包括从事邮件防护工作的MX Logic公司。即便如此市场依然是零散的:据IT咨询公司Gartner的研究,去年,排名前五的五家安全软件公司的总收益占据了行业的47%,而2007年这一数字是55%。
安防工作的复杂性给那些提供安全托管服务和云计算服务的公司带来了商机。例如,IBM和SecureWorks公司的专家可为客户提供企业防火墙日志监测、入侵检测系统代管、垃圾邮件过滤、网络应用程序保护等服务,费用按月收取。这种业务日益受到欢迎,尤其是云计算系统,硬件全部放置在云端。Forrester咨询公司的一项调查显示,受访企业中有四分之一选择将邮件过滤业
务外包。这一数字预计在今年将增长到1/3。
随着具备网络访问功能的设备(如智能手机、电器仪表等)的不断增多,处于安防需要此类设备将给安全公司带来了更多商机。去年,iPhone和Android系统手机遭到了多个简单恶意程序的攻击。程序员开发出一些概念验证程序,如僵尸网络等,控制遭感染的移动设备。Lookout和Zenpfise等公司能够帮助客户锁定手机,防止遭到类似攻击。传统的防毒软件公司也瞄准了这块市场。据ABI咨询公司的估计,移动设备的安防市场额到2014年可达到40亿美元。
——罗伯特·雷蒙斯
公司观察:上市公司
Akamai
开展私有数据网络服务
创始时间:1998年
管理层:保罗·萨冈(Paul Sagan,首席执行官),迈克尔·阿弗甘(MichaelAfergan,首席技术官)
雇员:1750人
盈利:8598亿美元
研发:4370万美元 市值:69亿美元
技术:Akamai公司的安全业务构建于它的软硬件之上,这些软硬件应用于私有内容分发网络中。这个网络允许高流量网站的用户镜像他们遍布世界的内容,比如视频或者Web应用,可以为访问者带来更快的传输速度。由于公司在流量通过网络时已经监测过以上因素,这样,即时为客户添加安全功能就相对简单了。比如,其Web应用防火墙能在恶意攻击到达客户的基础设施之前,阻止它们。市场:Akamai公司预计,其安全功能将能拓展市场——通过将新产品销售给现有客户,比如那些活跃在媒体、电子商务以及金融业务领域。策略:该公司以某种方式来打造平台,随着Web应用越来越多加入云,这个平台就会帮助公司避免出现问题和漏洞。该公司期望,其围绕内容分发而建立起的声望和资源,能吸引到对基于云的安全产品感兴趣的客户——这些客户最终也会决定购买该公司的内容分发服务。挑战与展望:Akamai公司预见到,当客户选用多个安全服务厂商时。整合不同业务就变的很困难。它计划继续拓宽上门服务业务的范围。
亚马逊
销售基于云的存储与处理业务
创始:1994年
管理层:杰弗里·贝佐靳(Jeffrey Bezos,首席执行官),安德鲁杰西(AndrewR,Jassy,亚马逊Web业务高级副总裁)
雇员:2.43万人
盈利:245亿美元
研发:12亿美元
市值:559亿美元
技术:除了其作为网上最大的零售商,亚马逊还是云计算业务的供应商,提供基础安全保障的即时存储与处理业务。公司通过维护备份、物理上防止未授权者访问数据中心,以及当数据在亚马逊的基础设施间传输时,阻止其被拦截。市场:亚马逊Web服务对新兴公司和小型企业最具吸引力,因为它能使这些公司免去许多成本消耗,包括像为托管Web应用而建设基础设施等事情。但是,公司也为大型机构提供服务器。策略:亚马逊利用它的云服务来增强和保护它的品牌形象,其零售网站为它的云服务做了强力的广告。公司计划提供构建于其基础处理与存储产品之上更为细致的服务。挑战与展望安全问题,是企业不愿进驻云的头号因素,亚马逊必须维持住其能保护客户数据的形象。
EMC
拥有关键加密技术
创始:1979年
管理层:亚瑟科威耶罗(Arthur Coviello,RSA安全部门总裁),布莱特·哈特曼(Bret Hartman,RSA安全部门首席技术官)
雇员:4.32万人
盈利:140亿美元
研发:16亿美元
市值:383亿美元
技术:RSA是EMC的安全部门。其核心技术是RSA算法,在全球范围被用于加密通过互联网传输的敏感信息。它应用了一项技术,使想要通信的双方能公开交换所谓的公钥。任何以公钥加密的数据都只能用双方对应的密钥解谜。RSA还提供监视公司系统的产品,恶意软件活动的证据都能被找到。市场:RSA在全球拥有超过9000名客户。公司专注于提供一套广泛的互联网安全工具,其中包括验证——使客户可以核实网上发生的交易和通信。策略:RSA的母公司EMC也看到了云计算服务业务日渐增长的重要性,并将在这个市场中开发自己的产品线。公司希望,将安全方面的专长与整体云业务整合起来,以此提升客户对产品的信心。挑战与展望:今年早些时候,科研人员对RSA算法的攻击引起了关注,不过目前,这种类型的攻击需要大量时间和资源的投入,所以还算不上实际的威胁,至少现在是如此。
微软
其热门软件是黑客最爱的目标
创始:1975年
管理层:史蒂夫·鲍尔默(steve Ballmer,首席执行官),克雷格·蒙迪(craigMundie,首席研究和战略官)
雇员:9.2736万人 盈利:584亿美元
研发:90亿美元
市值:2354亿美元
技术:微软开发出了一系列针对恶意软件的防御措施,使其操作系统更加安全。微软引进了像点对点信任(End∞EndTrust)这样的程序,这对开发更安全的网络技术是一次尝试。市场:微软的产品占据了市场的半壁江山,并在企业客户中格外受宠。其IE浏览器被全球超过半数的互联网用户使用。策略:微软的可信计算(Trustworthy Computing)计划始于2002年,而其产品在安全方面的声誉并没有太大的提高。然而,公司认为。专注于个人产品的技术改进,施展空间有限。它将目光投向点对点信任计划,解决其市场份额之外的互联网安全问题。挑战与展望:微软将继续保持对网络攻击的关注。许多用户通常迟于更新其产品新版本,这使公司很难推出改善的安全技术。对于现有平台,微软将试图教育第三方开发者从头开始为Windows设计安全应用。
F-Secure
致力于智能手机安全软件
创始:1988年
管理层:吉莫·阿尔吉奥(KimmoAlkio,首席执行官),皮尔卡·帕洛玛吉(Pirkka Palomaki,首席技术官)
雇员:720人
盈利:1.792亿美元
研发:4010万美元 市值:3.96亿美元
技术F-Sucre提供杀毒与反问谍软件等产品。这家芬兰公司的移动安全产品,用来防御智能手机上的恶意软件感染,这些产品基于一个包含所有已知移动恶意软件的数据库。市场:F-Secure早前进军移动市场,并且通过与包括沃达丰、T-Mobile、Orange以及诺基亚在内的多家公司合作,已经抢占了市场的大部分份额。它还销售用于个人计算机的安全产品。策略:F-Secure专注于提供经销商可以转售的产品和服务。这一策略对于移动运营商尤为奏效,不过公司也在个人计算机领域对宽带运营商尝试了此法。F-Secure表示,其与全球超过200家运营商存在合作关系。挑战与展望:公司认为,构建附加防火墙或者杀毒产品正在达到效能的极限。目前,该公司正在考虑将安全软件并入所有操作系统和应用程序中。公司还认为,网络攻击将把注意力转移到新目标上。比如,保护来自智能手机的位置信息就是一个越来越大的挑战。
推荐访问: 计算机
