2014年,,隨著國內外信息安全形勢的不斷升溫,,信息安全再次被提高到國家戰(zhàn)略的高度上。那么,,在信息安全領域,,有哪些是值得我們關注的熱點趨勢?在第一屆啟明星辰ADLab(積極防御實驗室)長老會上,安全研究人員2014年的信息安全形勢及未來發(fā)展趨勢做了深入分析,。
大數(shù)據(jù)[注]安全
云的概念已被炒了幾年,,亞馬遜、微軟,、百度,、阿里等具備主機集群的企業(yè)已經(jīng)將虛無縹緲的概念落實成切實可用的服務。國內外云同步,、云播放,、云查殺的服務已經(jīng)開始服務于普通消費群體。存儲和計算資源的廉價化和互聯(lián)網(wǎng)企業(yè)的成功案例引來了更多的中小企業(yè)參與到云建設和消費當中,。出于安全考慮,,更多企業(yè)傾向于建立自己的私有云[注]。計算和存儲能力的激增也使得用戶可以著手處理以往無法處理的,、大規(guī)模的數(shù)據(jù),。互聯(lián)網(wǎng)公司通過不同途徑采集用戶的行為及數(shù)據(jù)喜好,,帶來更具像化的身份刻畫和廣告定制投放,。大數(shù)據(jù)可以作為安全問題的熱點區(qū)域,反過來也可以作為安全問題分析的有效工具,。大數(shù)據(jù)安全正在向模塊化,、平臺化及易用化的方向發(fā)展,量變產(chǎn)生質變的過程在悄悄進行中,。
源碼安全
無論是工業(yè)界還是學術界,,自動化的源碼審計一直是塊難啃的蛋糕。想深入研究,,其門檻極高,,從事該領域的研究員經(jīng)常面臨無法讓非專業(yè)人員聽懂自己報告的窘境,。國外有Coverity、Fortify等知名廠商的源碼審計產(chǎn)品,,而國內還是一片空白,。斯諾登事件發(fā)生之后,安全產(chǎn)品國產(chǎn)化的思想已呈星火燎原之勢,。國產(chǎn)化的源碼審計工具也悄然出現(xiàn),,其可以充分照顧國內軟件的開發(fā)現(xiàn)狀,如代碼中中文字符的支持,,以及國人編寫代碼的編程習慣,。源碼審計目前還局限于發(fā)現(xiàn)已知類型的缺陷,對于那些違反邏輯約束或需要繁雜配置規(guī)則的缺陷,,現(xiàn)今商業(yè)化的方法還難以做到自動化地有效檢測,。未來的發(fā)展中,還需要引入統(tǒng)計的思想,,從檢測對象中推導出規(guī)則,,進而發(fā)現(xiàn)未知類型的缺陷。
系統(tǒng)安全
系統(tǒng)安全一直是漏洞挖掘和分析人員最為關注的研究領域,。微軟作為被挖掘和逆向最多的研究對象,,多年的防范積累也讓他們在安全領域有了發(fā)言權。今年Blackhat大會對如今流行的Sandbox技術實現(xiàn)進行了詳細討論,,并有針對性地闡述了IE瀏覽器內的Sandbox原理和繞過思路,。Windows平臺下,0day利用大部分都依托于IE的運行環(huán)境,,SandBox相當于漏洞利用成功時最后的一道門檻,。
伴隨XP的停止更新,內存補丁技術被炒熱,。微軟出于軟件兼容性考慮,,很早就推出了內存補丁概念。對于安全研究人員,,一方面可以利用內存補丁簡捷的配置文檔快速定位漏洞所在代碼;另一方面內存補丁作為操作系統(tǒng)的一部分也可能成為新的攻擊面,,如木馬的自啟動。
操作系統(tǒng)的防護策略隨時間積累變得復雜,,但雜亂中難免有疏漏,。未來系統(tǒng)安全研究需要更廣泛深入的逆向分析。另外,,自主而不是模仿也是未來需要考量的方向,。比如,國內如火如荼的APT[注]攻擊檢測未見得覆蓋的全面,,單純的效仿并不能有效防范針對中國的攻擊,,現(xiàn)今關于APT攻擊檢測的討論都還比較局限于國內的攻擊手段,。未來的系統(tǒng)安全和防范應該更多考慮自主性的方案,脫離被牽著鼻子走的困境,。
工業(yè)控制系統(tǒng)安全
工業(yè)控制系統(tǒng)的安全與工業(yè)控制系統(tǒng)自身的特點和發(fā)展是分不開的,。工業(yè)控制系統(tǒng)與傳統(tǒng)的IT系統(tǒng)不同,它強調可用性,,保密性和完整性排在其次,。最早,工業(yè)控制系統(tǒng)是封閉的專用系統(tǒng),,所以安全問題沒有暴露出來,。隨著信息技術和自動化控制的融合,以及企業(yè)管理的需求,,越來越多的控制系統(tǒng)開始聯(lián)入企業(yè)的內部網(wǎng),,而企業(yè)的內網(wǎng)又由于商務的需求和互聯(lián)網(wǎng)連在了一起,,于是提供了黑客入侵控制系統(tǒng)去遠程控制生產(chǎn)的可能,。2010年發(fā)生在伊朗核電站的“震網(wǎng)”病毒為工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘。隨著下一代工業(yè)控制系統(tǒng)與Internet互聯(lián),、互通的發(fā)展趨勢,,工業(yè)控制的安全問題將更加嚴重。
美國作為信息化和工業(yè)自動化最發(fā)達的國家,,擁有信息技術和工業(yè)自動化技術的主導權和話語權,,在工業(yè)控制系統(tǒng)的信息安全研究都居世界領先水平。美國的“網(wǎng)絡風暴”演習模擬了一些關鍵基礎設施遭受大型網(wǎng)絡攻擊的情景,。美國國土安全部,、能源部、國家實驗室共同推動了美國工業(yè)控制系統(tǒng)信息安全工作的開展,。我國政府也高度重視工業(yè)控制系統(tǒng)的安全,,中央國家安全委員會、中央網(wǎng)絡安全與信息化領導小組的成立也預示著工業(yè)控制系統(tǒng)的安全將受到更大的關注,。
目前致力于工業(yè)控制系統(tǒng)的安全解決方案可分為兩類:一種是以自動化控制廠商為代表,,提出在自動化控制產(chǎn)品上增加安全功能;另一種以傳統(tǒng)的網(wǎng)絡安全廠商為代表,借鑒已有的安全防護方案,,并將其應用于工業(yè)控制系統(tǒng)中,。
多層安全架構
當前各種新型攻擊方法層出不窮,為了達到目的,,各種攻擊技術也是呈現(xiàn)“組合”趨勢,。面對這種情況,單一廠商提供的解決方案無法應對所有威脅并做出實時反應,。因此,,為了及時有效的防護,,各廠商需要將競爭關系轉變?yōu)楹献麝P系,分享威脅情報,。多方合作在構架解決方案時也應逐漸摒棄以前傳統(tǒng)的通過單層安全架構或者單點安全方案達到防御目的的模式,,進而采用多層安全架構,整合必要安全元素,,構建多方位,、立體、縱深防御體系以應對新型安全威脅,。
本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]。