科技战持续蔓延,是时候重新审视网络安全了. 2019-05-29
图片来源@视觉中国
文 | 张国果
随着华为被美国列入“实体清单”,坏消息接踵而来。
海康威视遭遇美国供应商断供不久,美国国土安全部就向美国企业发出警告,中国制造的无人机可能令企业数据面临风险,大疆岌岌可危……很明显,此次两大经济体之间的博弈,钢铁和大豆只是预演,信息化与网络安全领域才是主战场。
在芯片和操作系统“惨遭不幸”之后,网络安全这道屏障还会固若金汤吗?
最后一道屏障
科技战一旦大规模蔓延,网络安全将面临严峻的威胁。
在一些重要的领域,例如能源、有色金属、精密机械制造等行业,一旦出现商业机密外泄,很容易给企业带来毁灭性的损失,甚至威胁到国家利益。
因网络漏洞受到黑客攻击从而威胁国家安全的例子数不胜数。
2010年,伊朗核设施遭遇来自国外的“震网”病毒攻击,美国利用MS10-046、西门子SIMATIC WinCC系统0 Day漏洞攻击铀浓缩设备,直接导致该国核设施1000多台离心机瘫痪——不少国外机构及媒体推论,这背后一个主要原因就在于,伊朗核设施相关信息控制系统缺乏自主防护能力。
2015年圣诞节的前两天,乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电。这次停电不是因为电力短缺,而是遭到了黑客攻击。黑客利用欺骗手段让电力公司员工下载了一款恶意软件“BlackEnergy”(黑暗力量)。该恶意软件最早可追溯到2007年,由俄罗斯地下黑客组织开发并广泛使用,包括用来“刺探”全球各国的电力公司。
2017年“想哭”病毒爆发后,网络攻击发生了一些新的变化。
网络攻击不再重视个人电脑,而是大规模侵占学校、医疗、公众事务甚至机场的网络设施,直接锁死公用网络,造成的危害几何级上升。事实上,银行、政府、大型企业、军事设备、基础设施的网络也接二连三被攻克。针对非个人网络的大规模攻击正在成为渐渐主流。
网络战时代,国家重要网络基础设施跟整个民用网络密不可分,所有网络攻击是无差别的攻击,目的就是打击基础设施,最后让整个社会停摆。
如果网络攻击让你家里停电、打不了车、飞机停飞、高铁停运,这样的网络战效果比传统作战效果更好。
总而言之,随着技术的发展,互联网没有变的更安全,反而是网络攻击的技术越来越先进,破坏力愈发强劲。
对于当下的中国而言,种种不利因素叠加,网络安全问题格外凸显。
第一,中国目前用了很多“别国”的系统,不少重要基础设施、信息系统和个人计算机中采用的核心零部件属“非国货”,存在着木马、漏洞和后门等严重安全风险,这就为国外监视和控制提供了可能,给国家的网络安全埋下很大隐患。
处理器、操作系统等核心部件均有可能被“做手脚”,从而可能通过预设的操作监控用户行为、窃取敏感信息、造成病毒爆发等,导致个人的隐私、企业信息的安全甚至国家的安全均难以得到保证。
第二,随着信息化不断提升,最近几年大数据、云计算、人工智能、物联网、移动通信各种各样信息化技术,用得越多,给网络安全带来巨大的压力。系统越复杂,对安全防护能力的要求就越高。
根据研究机构Gartner 公司的调查,2017年全球有84亿台物联网产品正在使用,比2016年增长31%,预计到2020年将达到204亿台。预计到2020年,物联网预计将产生惊人的经济影响,其市场规模高达8.9万亿美元,如果安全问题不能够很好解决,那么物联网设备所承担的风险将无法估量。
中国在科技上的迅速发展,让智能设备数量的爆炸式增长,中国有 5 亿台电脑,15 亿部手机,未来甚至可能有百亿规模的智能设备,面对新形势,需要有新的安全策略来应对。
现状不容乐观
中国在信息化投入上不比其他国家低,但我们在网络安全方面投入严重不足。
2017年,安全领域创业企业总融资额创新高。据不完全统计,网络安全领域当年全球投资300亿美元,国内仅为5.4亿美元;据分析,在欧美发达国家和地区,企业在网络安全方面的投入占IT方面投入达到10%-13%,国内仅1%-3%。
与投入相比,中国工业企业对自身企业安全建设水平却“迷之自信”,在一项企业网络安全调查中,36.7%的被调查者认为自己所在企业网络安全建设水平达到行业领先;仅有2.9%的被调查者认为自己所在的企业网络安全建设水平处于“裸奔”状态。就实际情况来看,工业企业对自身安全建设程度普遍“自我感觉良好”,实际上是一种过度乐观的状态。
之所以出现这种矛盾情形,中国网络安全公司的不争气难逃干系。
国内网络安全业界长久以来一方面极力推崇自主研发、自主创新;但在具体的产品实践中,则又体现出自主研发创新能力和意愿的不足,贴牌与OEM在行业内成为一种通行法则。而一些有一定自主研发能力的厂商,也通过OEM的方式补齐一个完整的产品线,从而来扮演全能力的解决方案供应商形象。
按照传统安全公司的做法,对付网络攻击只是建立防火墙,安装入侵检测的设备,这都是以销售为目的来推销产品,事实上无法从根本上解决网络战的安全问题。
不仅如此,由于中国网络安全产品的特殊性,全民对于网络安全的认知存在偏差。
国内的互联网安全厂商,崛起于互联网免费模式,而各互联网寡头也纷纷跟进。国际的免费安全模式更多的是靠个人用户免费来获取用户口碑,而在商业用户和企业用户收费的模式;而国内的模式实际上更多是迎合国内用户更在意支出成本而忽视自我权益的价值取向,以免费服务形式引导用户必须同意分享部分轻量级的隐私以及托管入口与流量的控制权。
这种模式导致中国网络设备使用者的用户体验造成了一定的伤害,普遍对国内安全企业提供的网络安全服务存在不信任。
但在基于免费的安全服务,接受这种推荐就是用户要付出的代价。这也互联网安全厂商必须维持巨大的装机量才能保证生存,因此难免出现在用户控制权上的缠斗和相互绞杀,甚至有可能出现与灰色渠道和分发体系的“媾和”。而这显然已经与安全行业应有的企业品质有所冲突。
迈入2019年,网络安全风险加剧,网络安全人才缺口也不断加大。
根据《第十一届网络空间安全学科专业建设与人才培养研讨会》得出的结论,“我国网络空间安全人才年培养规模在3万人左右,已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。而根据普华永道的报告,2019年网络安全人才缺口可能达到150万。
人工智能时代,机器虽然可以取代一部分机械重复的,但短期难以改变这个行业劳动密集的属性,人才缺口越来越大同样对中国网络安全提出了严峻的挑战。
复杂多变的网络环境意味着更多的预判、更多的辨识和更多的定制化,意味着更多的人。虽然有点诡异,但要承认在面对复杂的网络攻击环境时,人的综合判断力与应对能力是软件无法比拟的。
尤其在物联网攻击层面,实时监控、快速止损等操作都是目前机器无法取代的。为了应对黑客的低门槛高效率,最简单的方式还是培养足够多的白帽子与之对攻。
网络安全任重道远
面对日益复杂的网络环境和层出不穷的网络攻击威胁,国家、企业升级的不仅是技术,而是常识。
中国的网络安全的希望必须首先寄托在网络安全产业的发展之上,必须有一批具有核心能力的强力企业,而这一点正在为更多人认同。
时代在变,企业必须从传统意义上保护终端的安全思路走出来,变成保护数据、保护交互、保护硬件工作等方方面面的网络安全思路,要用顶层思维审视所面临的难题。
这就意味着,在整个国家的网络安全防御系统上,需要有一个顶层的设计,数据需要打通。现在个人用户电脑里装了各种各样的安全软件,单位花钱装了各种各样的网络安全设备。如果今天这些数据没有打通。网络安全企业看到的只是局部,无法判断是恶意软件,还是来自其他国家的网络攻击。只有通过聚合网络安全大数据能力,才能真正看清楚网络发生了什么。
网络安全领域受到数据不足的困扰,这很大程度上是因为公司企业极不情愿报告负面消息。如果以往数据泄露及网络攻击的相关数据能跨企业共享,网络防御就能得到极大提升。
2017年6月1日,《网络安全法》落地实施,这是我国首部网络安全相关立法;这意味着,国家法治保障体系建设已初具规模。
2019年3月7日,国务院国有资产监督管理委员会发布了新版《中央企业负责人经营业绩考核办法》,该办法将于自2019年4月1日起施行。与旧版的考核办法不同的是,新的考核办法中增加了对网络安全事件的考核要求。
由此可见,国家层面已经网络安全已经成为国家安全最重要的组成部分之一,接下来,就需要企业主体的责任和担当,以确保相关法律法规的落地执行。
较量无声,对抗无形,每时每刻,就在身边。我们生活在一个和平的国家,而不是一个和平的世界。居安思危,是永不过时的话题。(本文首发钛媒体)