注:感谢 @鲍博士 和各位同事的共同努力,继去年年底我们发布半年一期的安全威胁态势报告后,2012年上半年的安全威胁态势报告呈现在大家面前。昨天晚上到今天早上,微博上看到了很多同仁的热情转载、评论、和建议,非常感谢。我们继续努力。
2012年已然过半,毁灭世界的洪水尚未到来, 然而在安全行业,一道道巨浪却震撼异常。如果说Flame被发现只是给世界带来Duqu之后的又一次震撼,那么华盛顿邮报的报道足以让人寒彻骨髓。攻击技 术不再只是猎枪中的弹药,国家级的力量足以让它成为威力无比的炮弹。与之相比,不同规模的攻击者,无论是技术还是组织都在快速进步。
针 对这些安全威胁形势的变化以及层出不穷的安全事件,绿盟科技安全研究院发布上半年安全威胁态势报告。当企业和组织调整安全策略时,可以从中发现外部因素中 的关键点。安全威胁态势报告从背景、目标、手段和来源四个角度对威胁态势进行了分析,并得出了一系列观点。其中有的显而易见,有的则出人意料:
- 观点1:新增漏洞数量呈逐年上升趋势。
- 观点2:新增的高风险漏洞逐渐减少,而低风险漏洞则明显增加。
- 观点3: “获取用户权限”、“拒绝服务攻击”及“信息泄露”类漏洞占多数。
- 观点4:“注入”和“跨站脚本”类漏洞逐步减少,“失效的身份认证和会话管理” 以及“安全配置错误”不断增加。
- 观点5:IPv6漏洞不容忽视,半数以上可用于DDoS。
- 观点6:WEB应用中同样存在主机漏洞,特别是“远程信息泄露”。
- 观点7:WEB站点遭入侵后,仅有四分之一会在一年内进行修补,超过六成未进行修补且被再次入侵。
- 观点8:中国境内近一半DDoS攻击的受害者位于北上广地区。
- 观点9:大部分DDoS攻击将目标锁定在互联网与运营商企业。
- 观点10:DDoS攻击不一定来自外部。
- 观点11:消耗业务服务器连接仍然是最主要的DDOS攻击类型。
- 观点12:Syn Flood攻击依旧是DDoS攻击的主流方法,其次是Http Get。
- 观点13:恶意URL主要位于中国和美国,中国的北京和广东是高发地区。
- 观点14:恶意代码中木马类占总数的八成以上。
欲知更多观点与内容,可参阅:绿盟科技安全威胁态势报告2012H1。
注:前些时候接受了一个《计算机产品与流通》杂志的采访,采访后报道的题目定为“迎来一场速度之战”,转贴如下。请各位朋友指正。原文链接: http://www.spn.com.cn/post/t-1_t2-8_nid-409697.html
要谈安全市场的发展趋势,就必须回顾国内安全市场的发展历史。一个业界共识是,中国的安全市场发展大约从2000年起步,至今历经11年,这个过程中主要经历了四个发展时期。
既2000年前的导入期,安全专注于防火墙和防病毒隔离;2000年至2003年是第二阶段,开始重视PDR模型(即Protection(保护)、etection(检测)、Response(响应)是入侵检测的一种模型),防火墙、反病毒、入侵检测和漏洞评估、安全服务成为市场主导;2004年至009年是第三阶段,关注点从简单的防止攻击和入侵,发展到应用和数据安全开始重视安全运维和流程,内部控制安全体系从”老三样(防火墙、防病毒、入侵检测和漏洞评估)”发展到基于AAAA的综合防御体系。而在2009年之后,安全市场进入第四个阶段,随着云计算的发展以及相关的安全需求,跨入云安全时代。
由此可见,目前正处于安全市场发展的第四阶段,在这一阶段,大量的安全威胁层出不穷,各种攻击已经带有明显的逐利特征,安全的防护已经扩展为云端、网络层、客户端三层体系,安全从过去的单向静态防护正在向双向的动态的防护转变,这些特征将在2012年有更加明显的显现。
这种形势下,对于安全厂商而言,就提出了新的要求,即如何在替客户节省成本的同时,更快速的做出安全防护响应,这里面既包含了厂商对于威胁信息的快速获取能力,又包含了厂商对这些信息做出快速应对的能力。安全厂商之间竞争正在成为一场反应速度的比拼。除了在技术上的投入之外,安全厂商要想获得更快速的响应能力,还必须具备以下几个因素,即企业要有勇于创新,充满热情的文化底蕴;其次要具备一定的规模;最后,安全厂商要有更开放的心态、体系、和合作模式,在安全领域内与第三方形成专业分工和合理的利益分配。这些都将成为2012年安全厂商打造核心竞争力的关键。
上周美国管理预算办公室OMB、总统网络安全特别协调员Howard、国土安全部联合发布文件,调整明确了在网络空间安全方面的任务分工:
Under various national security and homeland security Presidential directives, and pursuant to its statutory authorities, DHS oversees critical infrastructure protection, operates the United States Computer Emergency Readiness Team (US-CERT), oversees implementation of the Trusted
Internet Connection initiative, and takes other actions to help secure both the Federal civilian government systems and the private sector. At the same time, OMB has a number of
cybersecurity responsibilities, principally in connection with FISMA. The Cybersecurity Coordinator leads the interagency process for cybersecurity strategy and policy development. Read more…
印度有一个数据安全理事会DSCI(Data Security Council of India),CEO是Kamlesh Bajaj先生。他在达拉斯世界网络安全大会上作为特邀嘉宾多次主持会议。会后,Kamlesh把主要观点和动议编辑成一份白皮书,有EWI公开发行.
这份报告站位比较高,很系统地从网络空间安全有关的威胁、立法、政府、商业等各种角度做了总结回顾,改变了不少我们以前对于印度在网络安全方面的看法,推荐阅读。
下面是文档中使用的Kamlesh的官方简介:
Kamlesh Bajaj is the Chief Executive Officer of the Data Security Council of India and Head of NASSCOM Security Initiatives. He has over 30 years of experience in various capacities in the IT industry. Over the last two years, he has led the development of best practices for data protection, promoted their use by IT and business-process outsourcing companies in compliance with regulations of client countries. He was the Founder Director of the Computer Emergency Response Team in the Indian Ministry of Communications and IT. He has also served as Deputy Director General of the National Informatics Centre. He led several large projects in finance and banking, most notably the Customs EDI Project that introduced near-paperless operations in custom houses in India. Dr. Bajaj began his career as a Software Engineer at CAE Electronics in Canada. He is also a Fellow at the Institution of Electronics and Telecommunication Engineers, India, and at the National Academy of Sciences, India.
Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft,他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。
总体上感觉,与RSA安全大会相比,Gartner大会偏重于“未来”,按照Gartner自己的会议定位,是意图在“战略”和“执行”,在“技术”和“业务”,之间取得平衡。会后我认为Gartner实现了自己的目标,下面把我的一些观感和大家分享。
1 会议的涉猎范围非常广泛,从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性(Resilience)企业、绿色地球、安全情报、到云计算职业人生规划等。
2 云计算和云安全,在Gartner的分析师和这次峰会的演讲者中,已经转向了实现和How的部分 Read more…
【注】本文节选自为即将发布的绿盟技术内刊,我被邀写一写新的动向,于是捉刀砍向最近关注的ICT供应链完整性,或大家更喜欢“安全”。这个话题在这篇初次提到,又在这篇再次涉及到,这次的内容稍微丰富了一些,希望能够给大家在工作研究之余,多一些参考。
1、什么是供应链安全?
供应链安全并不是一个新词汇,在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入,供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下,政府权威机构和业界发起了一系列的安全增强活动。例如,由美国国土安全部海关与边界保护局(CBP)推动,与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT(Customs-Trade Partnership Against Terrorism)成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划,于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统,以确保供应链从起点到终点的运输安全,安全讯息及货物状况的流通,从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同?
相对于IT和电信来说,信息通信技术(ICT)是个相对较新的词,虽然关于其定义,也有一些争论,读者可以参见维基百科,也可自行使用百度或Google搜索相关结果。
在转型的时代主题下,电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同,最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释:“ICT- Information Communication Technology, The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合,ICT促成了超越空间的快速信息交换。从字面意义上看,反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 Read more…
继续开会!
6月9日,CSO杂志在纽约举办了一次以数据保护和加密为主题的论坛,邀请到了若干位CSO/CISO/CPO谈企业的数据保护和加密相关策略实施等。赞助商中除了“一个都不落下”的McAfee之外,还有办RSA大会的RSA, 电信行业中第一个出版安全报告的Verizon,以及几家做数据安全管理产品的startup公司。
做报告和Panel的几位CSO/CISO/CPO都口若悬河,坚定地认为并强烈推荐 – 加密->所有的笔记本、U盘、智能手机、Data-at-rest、Data-in-motion、…. 为什么? 因为这样你可以睡觉时安稳些,有人掉了电脑,你不用上媒体、回答监管机构的询问,因为数据是加密的… 这个观点我是支持的了,因为有过那样的教训。尤其是“当用户数据泄漏需要向当局汇报并通知受害者”逐渐成为法律时,事情就更加严肃了。
Read more…
信任 – 的确是网络安全的一个核心概念。关于这个概念有很多讨论,可是很少看到有准确的定义或者较为深入的探讨。ISECOM的Pete Herzog做了一个漂亮的工作。他给“信任”定义了十大属性,尝试使用数学、数字的方式来定义、测量信任。这个工作酷不酷?
Pete之前有个很著名的项目 – OSSTMM(Open Source Security Testing Methodology Manual)- 一个很棒的项目。Pete现在的头衔是ISECOM(Institute of Security and Open Methodologies)的合伙创始人和MD。下面是ISECOM的概要说明: Read more…
今年是绿盟科技成立十周年,也是中国跌宕起伏的网络安全业界发展最为关键的十年。以下文字节选自笔者撰写的“中国网络安全发展十年”中第三部分-发展。
中国的安全业界走过了她重要的十年,防火墙、入侵检测、安全专业服务、安全管理中心SOC、AAA/AAAA、应用安全、Web安全、数据安全、云安全… 回首这一个个脚印,我们希望理清道路的脉络,发现其内在的“导航仪”,希望能看清未来的的方向。
本节希望通过下面四个话题的讨论和读者一起产生一些“脑力激荡”和启发。
从本质上说,安全威胁是安全业界得以产生、得以生存的原动力,是网络攻防矛盾中最变化多端的一方。从每年各个权威结构发布的威胁报告上,可以不断的阅读发现到人类的创造力和新思维。
安全业界发展的十年中,处于对立面的威胁方也完成了从孩童期到成熟期的发育,从单纯的好奇、挑战、成名等发展到基于投入回报ROI的、有组织的、具有很强针对性的入侵攻击。
在经济利益驱使下,为了获得更大的商业利益,网络安全威胁呈现了下面的一些特点: Read more…
这两天读到著名安全专家Dan Geer的文章 – “Nothing Ventured, Nothing Gained”, 里面有几点很有趣的地方,忍不住和大家分享一下。
1 Dan创造了一个“新颖”的价格指数 – 安全价格指数C-SPI。大家在媒体上已经对消费价格指数CPI和工业价格指数PPI很熟悉了,也知道它们正在天天悄悄上涨,侵蚀大家辛苦赚来的辛苦钱。这个安全价格指数是什么呢?参看右图。大家都知道有个叫做灰色市场或地下市场的地方,在那里有很多新奇的商品,有信息数据服务,比方说电子邮件地址了、电话号码、信用卡号、银行账号什么的;有信息发送业务,例如发送垃圾邮件、垃圾短信什么的;有情报业务,例如0-day漏洞什么的;也有较为凶悍的,让Yahoo, Baidu什么的服务中断多长时间什么的… 在Symantec、McAfee、IBM/ISS等的全球威胁报告中也经常发现关于该市场的报告。可是Dan的这个C-SPI让人感受到专家和学问的力量。 看看右图,这个指数在悄悄的上升中。价格上升有多方面的原因,除去像中国房市价格这种“观赏勾结浪倍维艰”非市场因素之外,笼统的说,就是供需关系:
- # 很多个人或组织大量涌入该市场,寻求数据情报服务等,导致供不应求,价格上涨
- # 数据情报服务提供者们手中的“产品”生产不够快,成本上升了,或者由于防守一方进步了,或供应链上的从业者减少,或…,或… Read more…
第一届Worldwide Cybersecurity Summit在达拉斯召开,演讲人名单上不乏重量级人物,美国白宫信息安全特别协调员Howard Schmidt、Dell公司的创始人董事长CEO Dell、大名鼎鼎的信息安全思想家Bruce Schneier、德勤的CEO James、Verisign创始人Addison Fischer、微软可信计算业务单元的副总裁Scott(这位老兄演讲很棒,RSA2010上的Keynote也不错)等,另外,还有来自多个国家的高级政府官员,例如日本NISC(国家信息安全中心)的副主任Yasuo和Nozomi,加州的CIO Teri Takai、加拿大国家空间安全总局局长Robert Dick、法国网络信息安全局局长Patrick Pailloux、爱沙尼亚司法部长Rein Lang、亚美尼亚前总理Armen等等吧。没有演讲,有幸认识的政府官员还有明尼苏达州的CIO Gopal Khanna、新加坡军方C4 Operation Group长官Col Dan、等。参会名单上还有长长的高官和名人,不再赘述。
Dell在2009年9月份以39亿美元高价收购Perot Systems,IT服务实力大增。在2010年2月份布鲁塞尔进行的第七届世界安全大会WSC上,其服务业务总裁Peter Altabef就做了题为“Balancing Cyber Threats and Cyber Benefits”的Keynote。这次在Dallas的网络空间安全大会,Dell更是成为最高级赞助商,创始人/董事长/CEO Michael Dell亲自出场,热情演出。虽然Dell自己讲这次高规格资助主要原因是会议在德州,Dell是德州的企业云云。但是,在Dell的战术板上,EWI和网络空间安全大会或许就是打响其服务品牌登陆作战的突破口。 Read more…
在2010年4月12日,云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立,这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。
CSA-GCC成立的宗旨有三,分别简述如下:
其一:构建平台,促进沟通。帮助大中华地区(中国大陆、香港、台湾)以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通,增进了解;
其二:合作开发,共建共赢。各个地区都有各个地区的特点,GCC希望能够促进业内的合作,在标准规范模板等方面起到催化剂和组织者的角色。
其三:引进来,走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来,为国内同行提供借鉴,少走弯路,提高效率;另一方面,增进与国际同行的沟通交流,消除误解,把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去,对国际业界的健康安全成长做出贡献。 Read more…
在前面的帖子里提到过EWI东西方研究所。从名字上看,总感觉 EWI – “东西方研究所”这个名字有些神秘感,不知道它是哪个方面的。下面是从EWI发布的官方文档上的简要解释:
东西方研究所是一家国际性、非党派、非营利性政策研究机构,主要研究应对重大和平问题的对策。该所成立于
1980年,致力于构建互信、提升领导能力、积极促进合作。该所在纽约、布鲁塞尔和莫斯科均设有办事机构。
从官方网站和发布的文档上还可以发现大家熟悉的名字 – 胡锦涛(中国国家主席),杨洁篪(中国前外交部长),George W Bush(美国前总统),等。这些高层政治人物,在EWI的使命任务中和我们所在的网络安全联系了起来。
EWI东西方研究所研究的是广义上的“安全”,我们的网络安全,或者网络空间安全,是广义安全的一个分支。尤其是在网络空间安全被越来越多的国家、政治家们视为重要国家竞争力和安全保障的关键环节后,这个“包含”显得非常顺理成章。Karl是EWI网络空间安全的首席科学家,我们在前面的帖子中已经介绍过了。
从这份报告可以大致看出EWI东西方研究所的主要使命和工作内容。 Read more…
昨天,在全民搞网络空间安全、政府商业机构一起宣贯的大好形势下,国土安全部DHS又有新举措 – 号召业界公司机构和个人踊跃参加,献计献策,目标是如何提高全民安全意识…
The Department of Homeland Security is working with many organizations, both individually and through the National Cyber Security Alliance, to find ways of raising public awareness of cybersecurity. As we develop strategies and messages that will resonate with various groups, we want the benefit of your ideas on how you would get the word out to your colleagues, or your friends, or your parents and children. This competition will gather and share publicly the best, most creative ideas for making the public more cyber secure, cyber smart, and cyber assured.
目标挖掘的方案建议包括在下列方面的好点子: Read more…
Recent Comments