2015：信息安全向何处去

　　一个管理者都再熟悉不过的场景：在酒店办理了入住手续，安顿妥当后打开电脑，连接Wi-Fi，查收邮件……在连接Wi-Fi的时候出现一个弹窗，告诉你“需要更新Adobe Flash以便正常显示Wi-Fi设置对话窗口”。这时如果你不假思索地点击“OK”，你可能就此中招了。

　　—这是最近几年持续活跃的DarkHotels（黑暗酒店）网络间谍攻击行动的典型步骤：首先侵入一家酒店的内部网络，在酒店客人登陆Wi-Fi时欺骗其下载安装一款伪装成“Adobe Flash更新”之类合法软件的后门程序，成功之后进而自行下载安装更多的监视和信息窃取工具，然后开始自动收集系统信息，并窃取键盘记录，寻找各种账号密码及其他机密信息。

　　防不胜防吧？随着芯片、软件和连接变得越来越无处不在，黑客们也有了越来越多的“用武之地”，信息安全遭遇的威胁也日益增加。此时如何保护和管理全面数字化和高度互联所产生的海量信息，全面有效地防御各种风险和威胁，成为企业密切关注的课题，同时也是巨大的挑战。那么，在接下来的2015年，在信息安全，尤其是企业级的信息安全领域有哪些重大的趋势和相关课题需要我们的决策者充分关注？在12月3日~4日赛门铁克公司举行的“Inside Symantec”媒体研讨会上，赛门铁克的多位高管和专家重点从以下几个维度为我们做了解答。

　　信息安全威胁可谓愈演愈烈。赛门铁克《互联网安全威胁报告》的统计显示，2013年全球范围发生的数据泄露事件较上一年增加了62%，所以信息安全专家将2013年称作“大规模数据泄露年”（Year of the Mega Breach）；2014年的数据有待汇总，但从迄今已经发生的情况看，可以预计肯定会再创新高。

　　尤其值得企业注意的是，针对性攻击（Targeted Attacks）的规模在大幅增加，频次上2013年较上一年增加了91%，攻击者锁定的目标更加精准，另外每次攻击持续的时间也变得更长。而从企业信息安全管理的角度来看，应对针对性攻击的任务显得更加严峻：超过2/3的信息泄露是在30天之后才被发现，平均4个月之后漏洞才得以修复。

　　而2014年新出现的多个严重漏洞，例如Heartbleed和Shellshock，都在提醒安全管理者永远不要放松警惕。其中于2014年春天宣布发现的OpenSSL“Heartbleed”安全漏洞，让攻击者可以轻易地读取系统的运行内存，从而获得个人账户信息、个人数据和密钥。赛门铁克《互联网安全威胁报告》的统计显示，77%的合法网站都存在让黑客们有机可乘的漏洞。赛门铁克公司网络安全服务产品管理总监Graham Ahearne指出，众多迹象表明，更多类似事件将会在2015年内发生，信息威胁制造者和安全管理者之间的对抗会上升到一个新水平上。

　　Graham Ahearne指出，面对上述新的形式和挑战，为了更好的保障信息安全，我们需要一些新的思路。首先是要意识到，被攻击和泄露是不可避免的。毕竟黑客和犯罪分子们有着强大的技术和经验，而且他们只要成功一次就可以了，而作为信息安全的守护者则需要始终成功。这本身就是一个不对等的游戏。所以，各类组织都要做好一旦发生被攻击事件的准备。

　　第二，相应的，各类组织也都要具备一套综合的安全策略和技术，不仅要把威胁阻挡在大门之外，而且需要识别出那些已经在门内的威胁，并且强有力地将之彻底根除。

　　具体而言，这个综合的体系应该包括五个部分：1、识别（Identify）：在可能的攻击实施之前加以识别；2、防护（Protect）在攻击发生的时候最大程度地保护企业资产，减轻受损；3、检测（Detect）：发现并修补系统漏洞，侦测并阻挡外部入侵；4、响应（Respond）：威胁发生时加以有效遏制和修复；5、恢复（Recover）：让企业运营回复正常，同时更新安全管理系统。

　　而从控制点的角度，则需要同时关注电邮、主机（包括桌面和移动）和网络三大区域，确保三者都具备有效的安全防护和控制能力，同时也必须确保各个区域内所有行为的公开和透明。

　　移动安全需要创新的统一化解决方案

　　随着企业界纷纷开始在信息系统中部署移动设备，移动安全已经从几年前的边缘需求变成企业的核心需求。企业安全主管们开始认真地考虑这些问题：

　　“如何有效保护个人拥有的设备上的企业App和数据？”

　　“如何防止企业数据泄露到未经授权的App？”

　　“如何在不牺牲安全和用户体验的情况下尽量提升基于移动设备的生产力？”

　　“如何应对日益加剧的移动安全威胁？”

　　IDC的研究数据显示，中国企业移动管理解决方案市场正在进入快速发展的轨道，2014年的市场空间达到3550万美元，2014-2018 年复合增长率约为25%。赛门铁克公司移动部门产品副总裁Michael Lin认为，快速发展的市场背后是企业实实在在的硬需求。这些需求可以归纳为三大方面：1、帮助企业拥抱BYOD，让员工个人的手机和平面电脑等设备安全、顺畅地嵌入企业工作环境：2、帮助企业轻松地管理、保护移动App和数据；3、为企业提供强大而有效的保护措施，来应对移动恶意软件、灰色软件的潜在威胁，有效地帮助企业保护隐私和保障工作效率。为此，安全解决方案需要做到能够实时地为企业提供信息保护、威胁防护和可付诸行动的情报；同时，面向未来，需要能够提供统一的集成化的安全解决方案，能够统一管理桌面设备和移动设备的安全。

　　按照赛门铁克的战略布局，企业移动安全解决方案将围绕网络/网关、设备、Apps、数据这4个维度构建，而赛门铁克强大的信息安全情报平台、动态的情景化政策引擎以及强制执行平台层将共同为上述各个维度上的产品和服务提供强有力的支援，最后协同打造出理想的系统效果。

　　物联网安全需要从设计入手

　　与人人都拥有的移动设备比较，物联网的发展状况没有那么直观地被普通公众觉察到。所以看到下面这组数据很多人会留下深刻印象：根据思科公司互联网业务系统集团（IBSG）的研究数据，今天接入互联网的“人”和“物”的数量分别是70亿和90亿，而到2020年，接入互联网的“物”的数量将达到500亿之巨。

　　物联网通过智能感知、识别技术与普适计算、广泛应用于网络的融合中，也因此被称为继计算机、互联网之后信息产业发展的第三次浪潮。在为人们的工作和生活带来高度互联和智能化的同时，物联网的发展也隐含着信息安全管理方面的巨大挑战。

　　这些威胁实际上已经在我们身边存在。例如，日益流行的运动跟踪记录App和设备每天都在产生大量的个人信息和数据，这些设备和信息如果有别有用心的黑客盯上，其安全性需要打个问号。赛门铁克的研究表明，由于很多设备和相应的数据管理存在漏洞，让黑客可以很容易地对用户进行跟踪，以及盗取包括密码在内的个人私密信息。

　　法国EURECOM学院的科研人员不久前对超过3.2万个嵌入式设备的固件映像做了分析，发现超过1.4万个物联网设备，从路由器到闭路电视监控系统（CCTV）等等不一而足，都存在各种安全隐患，包括零日攻击漏洞、后门、不安全的密码和密钥等。

　　有的物联网病毒看上去很神奇。很多人认为，电脑只要不连网，黑客就那你没办法，因为恶意软件总不能跨越“air-gapping”（空气间隙）吧？但是一种叫“air-gapping”的病毒已经出现，它可以通过声波，经由麦克风和声卡等外围设备来感染目标设备。

　　赛门铁克公司太平洋地区资深技术总监Sean Kopelke认为，目前大量存在的物联网安全隐患，原因在于在系统设计阶段没有很好地重视和认真规划信息安全管理。物联网安全需要端到端的解决方案，需要统一规划三个层面的安全体系，一是服务层面的设备管理、威胁情报和安全分析；二是网络系统层面的登陆控制、App沙盒以及针对恶意软件和外部入侵的侦测和防护；三是设备和网关层面的认证、数字或电子签名保护代码、App沙盒以及针对外部入侵的侦测和防护；同时，要设计和管理好贯彻整个体系的身份和密钥系统。

　　在线信任的未来

　　“在互联网上，没有人知道你是一只狗。”—大家对Peter Steiner的那幅漫画都会记忆犹新。这幅漫画最早发表在1993年7月5号的《纽约客》杂志，当时正值互联网开始向大众普及的元年，反映了人们对互联网虚拟空间信任体系建设的疑虑。20年过后的今天，情况如何了？

　　应该说，网络空间已经今非昔比。1995年，呼应在线信任的市场需求，VeriSign公司成立，为网站提供数字证书服务。当时全世界总共只有几千个网站，用户可以比较容易地管理自己的ID和密码。根据统计，今天的一个普通用户在网络空间中会有24个以上的ID，但是只有4个左右的密码。

　　赛门铁克公司太平洋地区高级主管系统工程师Nick Savvides认为，在线信任管理体系需要一次模式的转换，来因应网络空间的发展趋势。过去的模式是网站单向地向用户和消费者证明自己的真实可靠性，但是现在，不仅商家甚至政府都想要在网上提供更多的产品和服务，用户也越来越想要在网上消费得更多，所以在线信任亟需发展为双向互信的模式。

　　而目前普遍的解决方案有两种：一是公钥基础设施（PKI）+动态口令（OTP）；二是ID联合登陆，例如用QQ账号登陆其他网站。这两种方案都存在问题，对于已经罹患“身份验证疲劳症”的消费者来说，前者体验不佳，后者虽然意在改进用户体验，但同时增加了安全隐患。为了做到不牺牲用户体验同时保证网络安全，服务商应该做更多的工作。例如，结合用户行为数据分析帮助进行身份确认，也可以使用“赛门铁克身份验证和ID保护”之类的软件将身份验证结合到个人手持设备当中，或者考虑结合手机上的生物识别功能来帮助确认身份。

　　双向机器认证（Machine To Machine Authentication）具有很多到独特的优点，因此应用日益普及。只要做好前期注册，它在使用中就不需要用户记住密码，不需要储存和核对生物体征信息，因而提供了很好的用户体验，另外还可以轻松地添加对新设备的支持。

　　Nick认为，虽然我们在线信任体系方面做了大量的工作，包括模式的优化，技术的改进，也包括线上快速身份验证联盟（FIDO）开放行业标准等举措，但是总会有信任和安全体系覆盖不到的间隙存在，这就需要靠一个强大的全球威胁情报和风险分析体系来加以弥补。

　　这也正是赛门铁克的核心能力所在。目前，赛门铁克在全球部署了4个安全运营中心（简称SOC，分别在英国、印度、澳大利亚和美国），通过一个强大的数据收集和分析平台来提供高级的安全监控和管理服务。赛门铁克的数据分析平台对来自各种内外部来源的恶意软件元数据进行分析，目前已经在数据库引擎上累计加载了150 TB的数据，每天分析的安全事件超过2.15万起。看看这些天文数字，再看看SOC监控屏幕上随时映入眼帘的实时威胁信息，你会深切地体会到，我们的信息世界的确是鲜花与荆棘同在。