当网络窃密成为全球性安全挑战
需要怎样的防护思路
□齐向东
就在2016年保密技术交流大会暨产品博览会开幕前一周,笔者读到一则新闻,美国正式指控俄罗斯窃取其民主党全国代表大会及一系列机构和要员的电子邮件,意图干扰正在进行的大选。俄罗斯方面很快进行驳斥,美俄的口舌之争真相难辨,但有一点可以肯定:自斯诺登事件后,通过网络实施的窃密活动已不止一次严重波及国家政治及安全,业已成为全球性的安全挑战。
近些年来,全球网络窃密态势持续发酵。美国政府问责办公室的报告显示,自2006年以来,联邦政府的网络安全事件增长了1300%,这些攻击通常在地理上分布较为分散,技术上呈现出多样化趋势,复杂性和动态程度极高。就在今年2月,黑客攻击了美国联邦调查局、国土安全部,窃取了20000名联邦调查局及9000名国土安全部员工的信息。
不难看出,即使是对美国这种网络安全技术走在世界前列的国家,窃密泄密形势也依然不容乐观。而近两年,我国作为APT(高级持续性威胁)攻击的主要受害国,多个省市及领域都受到了不同程度的影响。为应对网络攻击窃密的威胁,亟须构建安全保密的新思路、新体系。
众所周知,黑客组织入侵某一机构,最短只需要几秒、几分钟,重要敏感信息往往在数小时内就会被窃取, 但我们发现入侵、数据泄露,并采取应对措施却可能在几天、几周甚至几个月后。或者直至被第三方告知,才知道发生了窃密事件。这些反应迟缓的背后暴露的正是防护思路和防御体系的短板。
传统的防护系统是对已知威胁进行有效拦截,而对未知的漏洞和程序往往无法检测和定位。随着更具针对性的高级威胁的增加,这其中主要包括APT攻击、零日漏洞等,我们面对的攻击者很可能是国家级的黑客组织,他们深谙行业规则,伪装性极强,长期潜伏在网络世界中,伺机发动周期性攻击,窃密的手法和行动更加隐蔽。
同时,在“互联网+”时代,传统的安全边界正在失效,网络安全的范畴被极大拓展,需要防护的不仅是计算机,还有打印机、复印机等终端,以及正在出现的各种联网的新型工业控制系统。
可以说,面对新型、频发的高级威胁,没有任何机构能够提供绝对安全的防护。新形势下,除了做好基础的防护措施外,更有效的防御是在最短时间内检测到高级威胁的攻击,及时启动响应和处置机制,将重要敏感信息的泄露损失降到最低。
从被动防护转向主动检测与响应,这是一场安全理念的转变,越来越多的安全人士开始把安全建设的重点转移到后者。而想要实现快速检测与响应,掌握丰富的数据非常重要。在现有环境条件下,通过单点发现攻击的真实意图也许并不容易,只有当更多的关联点连接在一起,才能看到冰山一角下掩盖的真相。
而想要找到更多的关联点,就不得不提到“数据驱动安全”的理念,其思路就是用大数据的方式解决当前的安全挑战。一方面,通过海量的互联网安全数据,形成丰富的威胁情报,可以更快发现甚至预防安全事件,及时推送给用户的安全设备,避免或减少信息泄露,甚至还可形成追踪溯源的能力。
另一方面,通过帮助用户对本地网络或终端进行全面的数据采集,一旦出现异常状况,就可以迅速与威胁情报形成关联比对,进行有效识别及防御。当内网或计算机终端发现安全漏洞、数据泄露等问题时,能够及时发现、积极处置,为国家机关、军工企业、部队、科研单位等提供技术支撑及服务。
在网络窃密威胁面前,没有人能单打独斗解决安全问题。而在整个行业面临颠覆式创新之际,如何进一步统筹各个主体的资源,在数据、智能和产业方面协同联动,共建安全协调体系,也是当下亟须思考的问题。
摘自《保密工作》2016年第11期
|