□文/張淩齡
企業缺乏風險抵禦能力,損失慘重
現在,世界各地網絡安全隐患層出不窮,網絡環境惡劣。黑客組織規模及采用的攻擊技術手段日益精進,網絡犯罪波及範圍、嚴重程度呈現逐步擴大的趨勢,網絡犯罪變得更加專業化、規模化、組織化,甚至以ISIS為代表的恐怖組織也加入了網絡攻防戰。
網絡是信息化建設的基礎,企業步入信息化必須要保證網絡的安全與穩定。然而随着信息技術的發展,企業計算機網絡系統的安全将受到更多的威脅。
資料顯示,面對洶湧而來的網絡安全危機事故,企業損失慘痛。
2016年7月,日本最大的旅遊公司JTBCorp稱,黑客竊取了公司793萬條護照、家庭住址和電子郵箱地址信息。JTB發言人确認護照号碼中有約4300份仍在有效期内。據安全公司Cylance分析,此次數據洩露是因為該公司雇員缺乏安全意識,打開了僞裝成全日空公司發送的釣魚郵件及附件文檔,并感染了惡意木馬PlugX(Korplug),随後黑客通過植入Elirks木馬後門得到此電腦訪問權。
2016年5月,俄國黑客盜取2.73億郵箱信息以1美元價錢販賣。根據TheGuardian的消息,一名俄國黑客盜取了2.723億郵箱信息,其中包括4000萬個雅虎郵箱、3300萬微軟郵箱以及2400萬個谷歌郵箱。
2015年10月,英國寬帶服務提供商TalkTalk表示,該公司受到了嚴重的網絡襲擊,導緻2210萬用戶個人信息洩露。
2015年9月,網絡曝光非官方下載的蘋果開發環境Xcode中包含惡意代碼,會自動向編譯的App應用注入信息竊取和遠程控制功能。經确認,包括微信、網易雲音樂、高德地圖、滴滴出行、鐵路12306,甚至一些銀行的手機應用均受影響,AppStore上超過3000個應用被感染。
2015年6月,美國人事管理局宣布遭到黑客大範圍攻擊,共造成2210萬人的數據遭到洩露,包括社保賬号、住址信息、薪資狀況、背景調查信息等。
2015年2月,美國大型醫保企業Anthem稱,約8000萬客戶信息遭洩露。
據IBM發布的《2015年英國數據洩漏損失調查報告》顯示,2015年英國平均每家公司因黑客攻擊造成損失已達237萬英鎊。信息安全機構Ponemon發布的《2015年網絡犯罪損失報告》稱,2015年美國平均每家企業因網絡犯罪損失已達到1540萬美元,較2010年的650萬美元已成倍上漲。
企業信息化建設面臨諸多問題亟待解決
由于我國企業信息安全工作還不夠成熟,基礎薄弱,企業在加強信息化安全建設中,面臨諸多問題亟待解決。
1.信息網絡結構和邊界風險。有些企業在信息網絡結構上存在核心交換機選型不合理等問題,如核心交換機是一台二層交換機,網絡的安全問題隻有通過應用系統去解決。另外,企業的信息以各種方式與互聯網連接,内部行政辦公網、業務網、Internet網不同域之間是否進行有效的訪問控制實現隔離及如何進行隔離,網段劃分是否合理,路由是否正确,網絡的容量、帶寬是否考慮客戶上網的峰值,網絡設備有無冗餘設計等都與掃描攻擊、DOS攻擊、非法侵入等安全風險密切相關。
2.蠕蟲和病毒的侵害。計算機蠕蟲和病毒是最常見的安全威脅。随着病毒變得更加智能、更具破壞性,其傳播速度也更快,甚至能夠在片刻間感染整個辦公場所,而要清除被感染計算機中的病毒所耗費的時間也更長,可能對企業造成嚴重的後果。雖然企業可以通過防病毒軟件和為操作系統打補丁來防範,但是企業中的防病毒軟件隻能查殺病毒,卻不能有效地阻止病毒的傳播;入侵檢測系統可以檢查出蠕蟲在網絡上傳播,卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。企業各個安全産品單獨工作,無法系統地查殺病毒并防止病毒傳播。所以,企業網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防範。
3.系統安全風險。系統安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。不管使用哪一種操作系統都存在大量已知和未知的漏洞,這些漏洞可以導緻人侵者獲得管理員的權限,可以被用來實施拒絕服務等攻擊。特别是Windows作為世界範圍内的主流操作系統,自然受到黑客更多的注目與青睐。
4.信息日常傳遞風險。企業的日常信息數據在網絡中傳輸時面臨着多種安全風險,例如:被非法用戶截取,從而洩露企業機密,或者被入侵者非法篡改,造成數據混亂、信息錯誤從而造成工作失誤等。此外,入侵者還有可能假冒合法身份,發送虛假信息,給正常的生産經營秩序帶來混亂,造成企業損失。
5.信息安全管理措施不到位。企業因配置不當或使用過時的操作系統、郵件程序等,造成企業内部網絡存在入侵者可利用的缺陷。當廠商通過發布補丁或升級軟件來解決安全問題時,許多用戶因安全風險意識不足而未對系統進行同步升級。有些信息系統采用開放的操作系統,安全級别低,又沒有附加安全措施,難以抵禦黑客和信息炸彈的攻擊。雖然當前很多企業盡管采取了一些安全措施,但安全保護措施較為零散,缺乏整體性與系統性,對于企業網絡信息安全保護缺乏統一的、完善的安全體系,這是引發安全問題的主要源頭。
5.企業信息管理革新明顯滞後技術發展。相對于信息技術的發展與應用,企業管理革新處于落後狀況。有的企業引入了先進的業務系統、管理系統,而管理模式未能實施有效革新,最終導緻了信息系統未能發揮預期的、應有的作用。
7.用戶身份認證和訪問控制不夠。在實際應用中,企業部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制;部分應用系統沒有一個統一的用戶管理,無法保證賬号的有效管理和安全;同時因缺乏嚴格的驗證機制,導緻非法用戶使用關鍵業務系統;不同業務系統之間缺少較細粒度的訪問控制。
8.員工安全意識不足。企業的安全與每位員工密切相關,員工的安全意識又能夠促進企業安全工作的運行。有關資料顯示,企業管理者們最擔憂的并非來自外部競争對手的黑客攻擊,而是内部威脅。員工安全意識不足,增加了黑客進攻的機會和信息洩露的風險,這都将給企業網絡信息安全埋下隐患。如:共用口令、随意複制及傳播企業内部信息等行為。
9.企業信息資産管理風險較高。在激烈競争的市場環境中信息資産的安全風險較高。一般來說,信息資産經常處于公共的介質中或處于流動狀态,這就使信息資産的複制成本較低,從而導緻企業擁有和控制的信息資産的安全性很差。沒有安全保障的信息資産,談不上資産價值。信息資産具有工程性和社會性的軟硬屬性,短期無法量化,價值的确認存在風險,管理的過程中也存在類似風險。
企業信息化安全建設首先要從自身做起
加強企業安全防護能力,首先要從企業自身做起。企業用戶需要保護的業務越來越多,聯網的業務越來越多。而用戶的專業安全人員不足,并且短時間難以改善。
美國SANS研究所發布報告稱,通過調查770家企業後得出結論,約三分之一的企業無抵禦網絡威脅的手段,主要原因是因為缺乏培訓、預算不足以及稱職員工缺失。
惠普年報也顯示,全球企業在防禦網絡攻擊方面的準備工作嚴重不足。當前,随着網絡攻擊規模和影響力的不斷擴大,企業高管必須對此予以重視,并制定出相應的方案。
面對安全風險,企業領導,技術管理人員和普通工人都必須進一步提高網絡安全意識,高度重視,确保網絡的安全、穩定運行。對于存儲在計算機中的重要文件、數據庫中的重要數據等信息都存在着安全隐患,一旦丢失、損壞或洩露、不能及時送達,都會給企業造成很大的損失。如果是商業機密信息,給企業造成的損失會更大,甚至會影響到企業的生存和發展。
其次,網絡攻擊手段越來越複雜,攻擊行為越來越多,這使得用戶必須借助專業的安全企業的幫助,才能應對安全風險。安全企業需要為企業用戶提供自身需求相匹配的安全産品、技術和解決方案,從而滿足用戶的需求。而且幾乎每個有一定規模的安全企業都有一支安全專家服務團隊,會針對企業的實際情況提供安全測試等服務。根據企業的實際需求定制化産品和解決方案。
在網絡強國戰略寫入“十三五規劃”後,中國網絡安全産業各方面都在不斷推進,并得到政府的高度重視。雖然相對于國外安全行業來說,國内安全行業起步較晚,但是有不少國内安全企業在立足用戶需求的情況下,不斷提升産品和服務與用戶的匹配度,通過不斷的技術創新,為用戶提供了優質的産品。例如:山石網科的雲•格,獲得NSSlabs推薦級的山石網科E5960下一代防火牆和華為USG6650下一代防火牆,以及今年安恒信息發布的“玄武盾”系列雲安全新品。
企業信息安全建設離不開的那些主流的安全技術
威脅情報:如果威脅情報在去年還僅僅是一個熱門詞彙,那今年就是威脅情報的逐步落地,其應用正在逐步走向成熟。威脅情報應用于信息系統的安全運維能力提升,将是未來安全研究的重點。
物聯網安全:根據Gartner報告顯示,到2020年大約有300億個互聯設備将在行業中得到廣泛的使用,物聯網将滲透至企業中的每一個角落。近兩年,物聯網安全已成為業界關注的焦點,而今天物聯網安全更是正在一步步走向落地。
加密技術:無論何時數據都是企業最核心的資源,尤其是在如今的互聯網時代,數據保護更是成為了企業信息安全防護的核心。但是今天的數據安全以及加密所面臨的難題不是技術問題,而是法律和政策上的問題,這需要政府下大力氣解決。
沙盒技術:沙盒技術與主動防禦技術原理截然不同。主動防禦是發現程序有可疑行為時立即攔截并終止運行。沙盒技術則是發現可疑行為後讓程序繼續運行,當發現的确是病毒時才會終止。
自适應安全:2015年Gartner提出自适應安全架構,并預測,功能強大、靈活高效的自适應安全會成為未來十年的科技趨勢之一,真正地為企業提供可持續、可運營的解決方案。
CASB(即CloudAccessSecurityBroker):作為部署在雲服務使用者和提供商之間的“經紀人”,CASB能夠嵌入企業安全策略,通過整合雲服務發現&評級,單點登錄,設備&行為識别,加密,憑證化等多種安全技術,在雲上資源被連接訪問的過程中并加以監控和防護。其優勢在于能夠讓用戶自由使用雲化業務時,滿足安全需求和相關的合規性監管要求。
2016年企業信息安全趨勢
1.網絡安全防護和立法将加強
2014年,中央網信辦召開專題會議讨論網絡立法問題,全國人大也将“網絡安全法”列入立法工作計劃。2016年,我國網絡安全法治建設進程将顯著加快。美國總統奧巴馬計劃将網絡安全保護的預算增加到140億美元,并表示将加強網絡安全立法,要求企業及時披露和共享攻擊數據,并對出售僵屍網絡和數據的行為加強打擊。
2.DDoS攻擊規模、危害更大
2015年DDoS攻擊數量有了驚人的增長,僅僅第四季度就比前季度增長90%。2016年,DDoS攻擊的數量、規模和危害将會繼續增加。由于缺乏有效的技術手段來記錄這種攻擊,很多企業可能沒有意識到已經發生的攻擊。企業有必要将DDoS防禦措施視為整體IT安全策略中不可或缺的一部分。對于企業而言,抵禦DDoS攻擊與部署反病毒保護、針對性攻擊防禦、數據洩露措施等安全方案同樣至關重要。
3.更多數據洩露事件
2015年國内外有多次重大數據洩露事件。安全專家人士預計,随着黑客攻擊技能的泛化,攻擊工具的商品化,更多應用和系統漏洞被爆出和利用,2016将會有更多大型的數據洩露事件出現。這些事件背後,正是那些神秘而強大的黑客工具。
4.威脅情報更受重視
安全專家人士預計,2016年威脅情報将會成為未來企業安全部署的重要組成部分。專注于提供威脅情報的機構将會改變企業的安全防禦态勢,使其更加從容和有效地應對威脅。作為威脅情報的目标,企業需要更多了解黑客的動機。了解黑客的攻擊動機和策略,将有助于理解哪些類型的黑客對企業威脅最大,以及他們的攻擊方式。
5.移動設備将成企業攻擊工具
一方面移動設備的企業數據會成為黑客的目标,此外,由于移動應用具有自動登錄功能,因此移動設備将會成為證書竊取或身份認證攻擊的主要目标,并用于以後的攻擊。這些攻擊通過手機作為接入點,訪問日益增多的雲端企業應用和設備可自由存取的數據資源。
6.APT攻擊将更加普遍
2015年發生了多起由APT攻擊導緻的大型數據外洩事件,随着黑客攻擊技能的泛化,攻擊工具的商品化,這一威脅将更會更加猖獗。盡管很多政府機構和企業在安全上都投入了巨大的人力和物力,但APT攻擊仍然會滲透進這些組織,并導緻敏感數據洩露。另外,“電子郵件”成為了黑客最易取得APT攻擊成效的入口。在某些案例中,攻擊者會利用受害者的電子郵件賬号來增加他們魚叉式網絡釣魚攻擊郵件的可信度。
7.關鍵基礎設施安全風險加大
高級可持續性攻擊的目标正在從傳統的IT系統,轉向石油、天然氣、航空運輸等關鍵基礎設施的工業控制系統。近幾年大量的實際案例中,這種趨勢越來越明顯。2016年,工業控制系統的安全風險持續加大,美國、歐盟等都在采取措施加強關鍵領域控制系統安全保護。而在我國,80%關鍵系統都使用了相同的控制系統,由于依賴國外組件、安全意識低、持續接入互聯網等原因,更容易受到攻擊。
8.将出現更多利用系統和應用漏洞的攻擊
未來黑客仍将繼續挖掘像Heartbleed、Shellshock和Ghost這類潛藏已久的漏洞,這些可能比25年前就存在的漏洞更古老,但卻對系統造成了更大的風險。這些漏洞可以入侵Linux桌面終端和服務器,控制Android系統及APP連接的内容,盜取數據或利用這些移動設備發動分布式拒絕服務(DDoS)等攻擊。此外,Windows系統及其相關應用也将會陸續有高危漏洞被爆出和利用。對企業來說,一方面需要及時修改各類漏洞,同時也要盡量防範未知漏洞的威脅。
寫在最後
在雲計算、大數據時代,互聯網已成為企業傳遞信息的主流工具,使工作溝通更加便捷,工作形式更加靈活。然而,企業信息化程度越高,面臨的安全風險越大,一旦發生安全事件,所造成的損失也就越大。因此,企業必須時刻加強自身的安全防禦能力,并借助安全廠商的能力來實現專業的防護體系,而安全廠商也應時刻關注企業用戶的實際需求。總之,企業信息安全不可大意。
責任編輯:向坤
張淩齡山石網科産品市場副總裁