Home > -Chinese-, Cloud, Security > 2010年安全回顾-写于RSA2011之后

2010年安全回顾-写于RSA2011之后

August 6th, 2011 Leave a comment Go to comments

【注】好长时间没有更新了,在新浪微博上活动了一阵子,熟悉了一下新媒体 :) . 想更新一下博客,又没有新的话题,只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后,主要是为了完成绿盟技术内刊的任务。请各位朋友指正。

2010年安全回顾

摘要:Stuxnet、WikiLeaks、3Q大战影响深远,本文从这三件安全事件延伸开来,综合云计算和云安全、安全海量数据挖掘,以及虚拟世界安全等方面,对安全行业的前沿技术进行简述和讨论,这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年!

关键词:2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP
0 前言
2010不寻常!2010是十二五的规划年!2010云计算风起云涌!
从政府到工业界、学术界的共同追逐,再到IT行业的百家争鸣,云计算成为最为热门的IT词汇,云安全也随之备受瞩目,一跃成为信息安全业界的制高点。
这一年发生了很多安全大事,比如Stuxnet的爆发,让国家关键基础设施安全的概念更加实实在在;Wikileaks爆发,在为整个社会提供无穷谈资的同时,更为信息安全业界带来了启示;发生于年末的360-QQ大战,着实是一场没有硝烟的“战争”,停战并不意味着和平,却呈现出一种现状,根本的网络游戏规则和监管体系还没有建立起来;业界标志性会议RSA经过多年努力,终于在中国成行,笔者也有幸第一次成为RSA Speaker;百度网站被劫持虽然不是什么高科技安全事件,却给人心悸的感觉 —— DNS已经成为关键基础设施的一部分,必须保护!
这一年为很多安全技术和模式的创新,提供了前所未有的原动力,这些创新从云计算的安全、软件即服务(SaaS)或安全即服务(SECaaS)、虚拟化安全,到安全度量、安全信誉和态势感知、蜜罐技术、应用生命周期安全、合规性,再到移动互联网安全、社会网络安全,以至虚拟世界安全,等等等等。
本文将从安全事件和安全技术动向两个方面,对刚刚过去的2010年进行一个简要的总结。

1 动感:安全事件
2010年不平静。这一年发生很多令人震惊或印象深刻的大事情,技术控读者请看[Top10]总结2010年的十大入侵技术,市场控读者请参考[Cisco][Trend][Rising][CCERT],消息控读者请访问弯曲评论上天融信和网域的有关报道评论[Topsec][Leadsec]。本文剪取其中的三件来作为2010的标签。
1.1 Stuxnet
作为一个“蠕虫”,Stuxnet的确具有划时代的意义,这个评价一点都不过分。在2011年的RSA大会上,Symantec的CEO Salem特别提到了Stuxnet,指出Stuxnet将游戏从原来以间谍情报为主,提高到针对性地实施“破坏”的新阶段 [Salem]。卡巴斯基实验室创始人及CEO尤金•卡巴斯基先生说,“我认为这是一个具有划时代意义的转折点,它将我们带入了一个新纪元,因为以往的网络攻击仅仅是个别的网络罪犯,而现在恐怕已经进入网络恐怖主义、网络武器和网络战争时代了。” [Stuxnet2]
这并不是危言耸听,在公开报道的分析材料中,Stuxnet使用4个0-Day漏洞、中间人攻击、可以通过USB盘传播、拥有两个伪造的数字签名证书… (有关Stuxnet的详细传播工作原理技术细节,请参见维基百科链接[Stuxnet1][Stuxnet2][Stuxnet3][Stuxnet4])。 从这些资料看,Stuxnet的出现并不令人意外,只是再现了人们以前的担心忧虑。Stuxnet的爆发,使得各个国家都不得不重新审视关键基础设施(CII)的防渗透能力,以及在此基础之上的制衡和对抗能力。
1.2 WikiLeaks
WikiLeaks,也就是维基泄密,数据“泄露”的内容本身是一方面,更重要的是,整个事件的过程牵动了整个世界。
Wikileaks是一个大规模文档泄露与分析的来源网站,其中的内容不可追查,也不被审查 [Wikileaks1][Wikileaks2]。Wikileaks看似很像维基百科,任何人都可以发表评论,使用并不需要拥有任何特别的电脑知识,告密者可以不受追踪的匿名发布文档,用户可以公开讨 论文档,剖析其可信性和真实性。用户还可以讨论最新材料,阅读并书写解释性的背景材料或相关内容。一份政治相关文件及其真实性,可由数千人共同厘清。
Wikileaks提供了高阶加密技术,以确保其匿名性与不可追踪性,因为文档提供人士的身份泄漏,无论在政治影响上,还是在法律打压或身体暴力上,都可能使他们面临到严重的威胁。因此,有必要采用先进的加密与发布技术,将此类风险降至最低。
WikiLeaks的影响不期而至地延伸到了RSA2011大会上。Anonymous组织是Wikileaks的拥护者。在会前有消息传出,HBGary Federal公司的首席执行官Aaron Barr已经掌握这个秘密国际组织的成员资料,并准备与联邦调查局的调查合作来调查揭露他们的身份。这个消息激怒了Anonymous组织,他们 对HBGary Federal公司进行多种网络攻击,并最终迫使HBGary退出了RSA2011大会,故事更多细节和讨论可以参见[Chenxi]。
其实在RSA2011大会之前,已经发生的一系列相关的大规模拒绝服务攻击, Wikileaks很像床头凌晨的“闹钟”[Wakeup1][Wakeup2],这让各种关键信息基础设施(CII)的责任人和运营组织,不得不严肃考虑尽快提升面对DDoS的防护和应急处理能力。
1.3 3Q大战
3Q大战 – 360和腾讯之间的这场网络战争将数亿用户卷入其中,“弹窗大战”惹起众怒,“一个非常艰难的决定”迅速成为网络热词流行语,较为详细的过程回顾请参见互动百科上的“3Q战争”条目[3Q1]。这场战争对社会和业界带来的反思是深远的,不管是从市场垄断和商业竞争有关的立法和司法角度、还是从科技创新、技术规格和第三方检测认证等等。在工信部介入调停后,腾讯和奇虎都表示改正错误,尊重用户的隐私和选择,创造更为“合作”的业界环境。
虽然这个“休战”的结果留下了很多“未了”的遗憾,但是如果3Q战争能够引起公众的警惕、主管机关和业界的真正反思与行动,则业界幸甚,3Q,Thank you!

2 生机:安全技术
2010年孕育新技术,2010年是一个多产年。
从直接感受来讲,云计算、移动互联网、物联网、泛在网、三网合一、三屏合一、绿色IT、甚至还有IBM的智慧星球,似乎都在2010年都找到了感觉,都找到了自己的拥护者和未来5年的成长依据。对于网络信息安全业界来说,似乎每个技术都会带来大把的安全挑战和商机,但国内安全市场主要还是“老几样”。“时髦”不是我们想要的,“先烈”也不是。
这里不做全面的或者系统的总结,仅探讨云计算云安全、安全海量数据挖掘、虚拟世界安全三个话题,作为2010年安全技术和模式创新的注解。

2.1 乱花渐欲迷人眼 – 云计算和云安全迅速升温
在2009年前后争论云计算是不是个趋势,甚至是不是一个阴谋等,可能还是个话题[XLG],在2010年,云计算已经成为一个命题 ,继续争论什么是云计算,试图论证哪个才是更准确定义,已经成为无谓的举动。相反地,如果您拿出如何利用云计算(虚拟化、SaaS、弹性架构、自服务、多租户等),实现了什么客户价值的实际分析或案例,您一定能赢得掌声。
在云计算进入不少国家重要发展战略的同时,云安全也顺理成章地成为众所瞩目的焦点。因为解决不了云计算的安全问题或安全担心,云计算就无法进入大规模应用,无法承担关键基础设施的责任。
在RSA 2011大会上,云安全再次成为热点。云安全联盟CSA宣布了2011年的几个重要研究项目,包括云安全指南新版本3.0、云安全事件响应CloudSIRT、CSA知识认证CCSK、GRC Stack、可信云计算TCI等。云安全联盟各地分会组织雨后春笋般出现,企业成员数量已经接近90,个人会员数量将近17000人。
云安全联盟认为,云计算的短期价值有被高估的可能,但其长期价值却被低估了。

2.2 青冥浩荡不见底 – 安全海量数据挖掘
网络安全系统需要处理的带宽,正在以摩尔定律的速度增长,自身产生的数据信息也同样快速增长。在几年前的工业界,安全海量数据处理几乎等同于安全事件管理SIEM或安全管理中心SOC,主要集中在如何高速准确的收集大面积分布式的安全事件,如何正则归一化处理,如何进行空间、时间等多维度的相关分析,如何提高SIEM/SOC系统的安全信噪比(SNR)等。
在2010年6月份召开的Gartner安全风险管理峰会上,Joseph Feiman做了主题为“From Security Silos to Security Intelligence”的演讲,介绍企业安全智能(ESI)的概念,说明各个IT和安全系统间存在的信息孤岛,并强调了打通孤岛的商业价值,预测传统的SIEM需要上升到企业安全智能的高度。
事实上,工业界的实践也从另外一个角度发觉到了这个趋势 ,安全信誉和安全态势方面的研究与应用,开辟了安全海量数据的价值市场。
维基百科将信誉定义为“一个人、一群人或一个组织,根据某一特定标准,对一组实体的看法”。近年来,安全信誉技术被拓展到反病毒、反恶意软件、反钓鱼、恶意网站监视和告警等很多安全领域[LXH],而安全信誉的置信度最为关键。数据量、数据寿命、数据可信度、数据关联性等,则是置信度的基础[McAfee]。
网络安全态势感知,是大规模网络的安全研究的一条新思路。与SIEM/SIMS系统不同,态势感知关注的是网络安全状态的动态变化及发展趋势,不仅要实时展现网络安全状态信息,而且更为关注态势变化趋势所造成未来的可能威胁,以及考虑如何应对调整资源及策略。从某种意义上说,态势感知是在基于网络全局风险和未来威胁状况的评估结果上,进行安全资源合理配置及安全策略调整的决策支持系统。安全事件的分析结果,也就是SIEM/SIMS的输出,可以作为态势感知系统评估网络安全状态的输入信息。
安全信誉技术和安全态势感知技术的结合,将会对下一代的安全检测和防护技术、关键信息基础设施保护(CIIP)等,产生深远影响。

2.3 小荷才露尖尖角 – 虚拟世界的安全
网络虚拟世界正在迅速丰满起来,一场无声细雨般的身份革命,正在你的身边悄悄发生。在Google中搜索“网络虚拟世界安全”结果条数高达62万,“网络虚拟社会安全”搜索结果条数高达36万,百度中这两个搜索的结果更是令人吃惊,分别为480万和112万。
所谓网络虚拟世界,是与现实社会并存的一种新形式[Cyber1],是现实社会主体以虚拟方式,在计算机网络中开展互动、相互作用,进而形成的社会关系体系,其主要特征包括空间虚拟性、跨地域性、高度开放性、匿名或身份模糊性、管理自治性等。在网络虚拟社会里,人们往往依据自身兴趣、爱好等价值取向,交换信息、宣泄情感,并形成相对稳定的虚拟社区群落。
而现实社会中人们的弱点,包括色情引诱、贪心、虚荣心、信任感、懒惰习惯、同情心、迫切性、好奇心等,都同样会被映射到虚拟社会中来,欺诈、恐吓、攻击、谩骂、侵入、盗窃等物理世界的威胁,也如影随形,现实社会的各种特征都已经出现在虚拟世界中。
当前的网络安全,或者说传统的网络安全,一直致力于解决IT基础设施和应用等安全威胁,这些威胁直接依附于物理世界。但是,随着网络规模的迅速扩大,信息总量的飞速上升,虚拟身份变得异常复杂,虚拟财产的“真实”价值对于物理世界而言,已经变得举足轻重…
技术、政治、经济、社会各种因素,都促成并加速带来这场革命的一些基本要素,信息变得非常容易收集、储存、交换和处理。很多国家和商业机构出于各种理由,大量的收集各种信息,而这些信息可以用来预测某个人的行为、需求或者倾向爱好。
在迅速演化的虚拟世界中,“身份” 不再和“姓名”必然关联。新型的“身份”可能是基于网络上留下的某些踪迹,不管是浏览了某些网站,或是做了某些选择。新“身份”可能和移动电话的SIM卡、信用卡,以及聊天工具中使用的假名或网名有关(Facebook, Twitter, 微博, QQ, 各种聊天博客工具等),也可能和邮件地址、IP地址、Word文件中的某个字段等等。在某些国家,传统的身份证件已经被具备RFID芯片的生物证件所替代。
虽然形式发生了变化,但新“身份”和传统的名字具有相似的特性 ,这个特性 可以把目标从一群人中区别开来,或者将其认定为某个社区或类别。这些变化不仅仅给个人隐私带来了大量隐患,而且虚拟空间(甚至物理空间的)的权限、责任、职责、信誉等,都和这些“虚拟身份”有关,一旦这些“虚拟身份”得不到有效安全保护,在未来的某个时刻,你可能突然“被死亡”,“被犯罪”,“被解雇”,“被离婚”,….
网络安全的未来,虚拟世界的安全,才刚刚开始!

3 结束语
本文观点见仁见智,不代表任何组织机构官方意见,限于笔者学识和所掌握信息,难免挂一漏万,优势偏颇,请各位读者明察指正。

致谢
本文所引用之网络内容已注明链接和出处,不能一一致谢。笔者特别感谢同事沈继业、吴云坤、于旸、卢小海、刘凯、刘添怡、李鸿培、王卫东等分享观点和提供素材,是他们的分享使得作者有信心完成本文。

参考文献
1.    [3Q1] http://www.hudong.com/wiki/3Q%E6%88%98%E4%BA%89
2.    [CCERT] CCERT:2010年教育网安全态势平稳, http://www.edu.cn/ccert_7414/20110216/t20110216_577904.shtml
3.    [Chenxi] http://chenxiwang.wordpress.com/2011/02/25/hbgary-anonymous-wikileaks-and-the-concept-of-openness/
4.    [Cisco] 思科发布2010年度安全报告 垃圾邮件总量回落, http://www.sootoo.com/content/88226.shtml
5.    [Cyber1] http://baike.baidu.com/view/3146537.htm
6.    [LXH] 互联网安全信誉系统技术研究报告, 卢小海, 2010, http://ccsa.org.cn/ccsafile/archives/201009/arch_3737_17499.pdf
7.    [Leadsec] http://www.tektalk.org/2010/12/06/%E4%BA%9A%E4%BF%A1%E8%81%94%E5%88%9B%E5%87%BA%E5%94%AEit%E5%AE%89%E5%85%A8%E9%83%A8%E9%97%A8%E8%81%94%E6%83%B3%E7%BD%91%E5%BE%A1/
8.    [McAfee] 迈克菲:网络安全信誉的力量, http://www.cnw.com.cn/security-cloud/htm2011/20110110_216158.shtml
9.    [Rising]《瑞星2010年度安全报告》, http://b2b.netsun.com/detail–5656236.html
10.    [SNR] http://sbin.cn/blog/tag/siem/
11.    [Salem] http://www.crn.com/news/security/229218700/rsa-symantecs-salem-calls-for-security-above-the-clouds.htm
12.    [Stuxnet1] http://en.wikipedia.org/wiki/Stuxnet
13.    [Stuxnet2]http://www.kaspersky.com.cn/KL-AboutUs/news2010/09n/100925.htm
14.    [Stuxnet3] http://www.antiy.com/cn/security/2010/r101108_001.htm
15.    [Stuxnet4] http://www.enet.com.cn/article/2010/0929/A20100929742242.shtml
16.    [Top10] http://jeremiahgrossman.blogspot.com/2011/01/top-ten-web-hacking-techniques-of-2010.html
17.    [Topsec] http://www.tektalk.org/2010/11/16/%E5%A4%A9%E8%9E%8D%E4%BF%A1-%E3%80%82%E4%BD%95%E4%B8%BA%E4%B8%9C-%E3%80%82%E5%86%85%E9%83%A8%E5%88%86%E8%A3%82/
18.    [Trend] 趋势科技中国区2010第4季度安全威胁报告, http://www.sootoo.com/content/88225.shtml
19.    [Wakeup1] http://www.nationalreview.com/articles/254177/wikileaks-wake-call-jonah-goldberg
20.    [Wakeup2] http://www.pcworld.com/businesscenter/article/212701/operation_payback_wikileaks_avenged_by_hacktivists.html
21.    [Wikileaks1] http://en.wikipedia.org/wiki/WikiLeaks
22.    [Wikileaks2]http://blog.sina.com.cn/s/blog_536492ce0100kjl6.html
23.    [XLG] http://xiangligang.blog.sohu.com/144079836.html

Be Sociable, Share!
Categories: -Chinese-, Cloud, Security Tags: , , ,
  1. No comments yet.
  1. No trackbacks yet.
CAPTCHA Image
*