注:本文是为大家即将看到的新一期绿盟科技技术内刊的卷首语,预先晒一下,欢迎转发拍砖.
有道是“昔日王谢堂前燕,飞入寻常百姓家”,2010年以来沸沸扬扬的APT攻击,到2012年已经不再是国家对抗、网络战等似乎只有军队和政府机构才关注的威胁,越来越多的案例将APT引入了普通商业机构也需要严肃考虑的网络威胁,这些APT和各种定向攻击、或我们姑且称之为准APT、NAPT,或者通过特定的0-day漏洞制作的特定利用入侵关键信息系统,或者有针对性的进行了“免杀”、“躲避”等技术来穿透反病毒系统和IPS/IDS系统的防护,短平快,偷取重要情报和商业机密。不夸张地说,有重要价值的信息资产,就会有APT或定向攻击的潜在威胁。
威胁实实在在,我们又有什么武器来还击呢?
编者认为或许可以从三个角度来勾画2013年的网安战略地图,第一是各种下一代安全产品,第二是安全管家服务MSS和安全SaaS或SECaaS,第三是工业控制系统的安全。
下一代安全产品主要是指具备应用和用户感知能力、统一检测引擎和虚拟执行技术、白环境和灰度检测技术、云中安全智能、快速威胁响应和升级能力等特征的安全产品。相对于传统的防火墙、反病毒、入侵检测等产品,下一代安全产品的对抗能力、智能性、响应速度都大为提高,在对抗APT的战斗中非常关键。
MSS服务并不是新鲜事物,早年的MSS主要是安全设备的简单维护管理或相关的人力外包。但是在下一代安全产品的语境下,MSS服务是NG安全产品能够发挥最大效力的理想伙伴,可以使明显加速对威胁的响应速度,从而减小受害时间窗口。SECaaS则可以视为网络安全产品的“云”化,下一代安全产品具备了在“云”中集成多种安全智能的能力,所以,SECaaS是网络安全产品在云计算时代的一种天然的进化,必将在未来网络攻防武器库中扮演重要角色。
工业控制系统是APT的主战场之一、没有之一可能有些夸张。不同于普通的网络环境,工业控制系统有自己独特的物理环境、协议、管理制度、ICT产品供应链和生态环境等,因此也有自己独特的网络攻防地貌,识别其典型的漏洞和威胁无疑是启动工业控制系统攻防研究和建设的第一步。
希望本期的十二篇文章能够给您带来2013年的一些共鸣和启发。
2012年1月,绿盟科技研究院发布2011年的安全回顾与展望年度报告,报告中总结了过去一年的安全热点事件和攻防态势。以下是报告的摘要:
2011年的安全格局看似杂乱无章,从宏观观之,则又井然有序。
攻击者的目标逐渐聚焦在两个方面:实施破坏和窃取信息。前者又逐步演化为两种趋势,针对网络空间的应用和服务使用分布式拒绝服务攻击(DDoS),针对物理世界的关键信息基础设施(CII)则采用高级持续威胁(APT)攻击。本文从DDoS的发展和趋势,针对关键基础设施的APT攻击以及利益驱动的数据泄漏三方面进行回顾和分析。
近年来DDoS攻击的规模持续增加,其复杂度不断提高,而发动攻击的代价或难度则越来越低,攻击的动机也逐渐以经济利益为主。造成这种现象的原因在于政府治理的缺失和技术发展的局限。关键基础设施防护和工业控制系统安全成为各国政府的防范重点已经多年,但是面对APT攻击任何保证似乎显得都有些无力。一方面,工业控制系统的安全性在体系、管理、运维及研究等方面均亟需完善;另一方面,对APT的防护也需要各国政府、科研机构、应用厂商和防范主体的多层次合作。从一系列相关事件中可以看出,攻击者的目标选择、协作组织和影响范围均体现出明显的系统性趋势。
本年度数据泄漏事件在国内外均层出不穷,影响越来越大。数据泄漏基本上可以分为窃密、泄密和失密三种类型,而在数据的存储、传输和使用阶段则分别存在不同的泄露方式。数据泄漏涉及信息系统的几乎所有组成部分,而市场上可得的数据泄漏保护(DLP)技术只能提供防护工作所需能力的一个子集。只有在Web应用、数据库、网络和主机系统、桌面等各方面,结合技术和管理,充分利用专业安全提供商的各种资源,多方努力,才能高效地做好数据安全防护工作。
2012年的信息安全发展会同时体现在不同层面:伴随新技术产生的安全热点、新应用带来的安全关切、新模式引发的行业变革都将对安全领域产生重大影响。此外,云安全和安全的智能化趋势,以及由此引发的“下一代安全”思潮也值得关注。
未来的一年依然将是多事之秋,行业和每个从业者都将同时面对机遇与挑战。
关键词:分布式拒绝服务攻击DDoS,关键信息基础设施CII,工业控制系统SCADA,高级持续威胁ATP,数据泄漏保护DLP
点击下载2011年安全回顾与展望
Global and local regulations are evolving across all industries and sectors. Here is a selection of the ever-increasing number of regulatory frameworks:
- All sectors and industries –
Enterprise Risk Management (ERM), Electronic discovery (e-discovery), Financial Statements (IFRS,GAAP), Sarbanes Oxley (SOX), EuroSox, Customer Data Privacy and Protection (EU e-privacy), Business Continuity Management, Data Protection Act (EU, UK, Germany), IT Security, IT Controls and Compliance (ITIL, CobiT, ISO), Payment Card Industry Data Security Standard (PCI DSS). Read more…
在云计算时代,基于IP的安全策略效用将大打折扣,随时随地的数据和服务访问要求安全访问控制要能够基于“用户”和“数据”。同时,为了强化“用户”和“数据”的访问控制,双因子认证将会变得更加普遍,甚至成为缺省设置,例如网络访问与下一代身份证ID之类的硬Token结合在一起。当然,为了保护公民隐私,在实名制的ID认证和实际的网络身份之间有必要在技术上实现一种匿名层(Anonymization)…
上面都是技术层面上的讨论,事实上,最为脆弱的部分并不在于技术,而是在于社会工程打击的目标 – 缺少安全意识和技能的“人”。就如同大家在车站机场商场等公开场合到处可见的“注意保管您的随身物品”提醒牌,互联网上要安全冲浪、保护隐私最重要的就是要有“意识”。撇开普通老百姓,从政府、企业、组织等高度来看,就是要让安全意识从安全经理和安全主管那里,外延到最高管理层、财务和业务负责人、所有的普通员工等。
这是个典型的“说起来容易做起来难”的事,难在有钱有权的没有动力,有动力没有资源。大洋对岸从去年开始设立了全国的安全月 – 十月份。今年的主题是 – 我们共同的责任 (Our Shared Responsibility)。这个事情值得我们借鉴。
今天在浏览Beaker的博客时,看到一则很有趣的活动。Beaker在推动一个叫做Hackid的公益项目 – 安全从孩子们抓起。
Hackid通过举办以孩子们为主的技术沙龙和动手活动,来激发孩子们对于基础电子、互联网、创新等的兴趣,提高孩子们的动手能力,提升孩子们对于互联网基础知识的了解…下面是其官方页面中的活动内容介绍: Read more…
最近美国IT企业并购可谓遍地开花,这边Intel刚刚宣布购买McAfee,那边Dell和HP还在为存储服务商3PAR打的不可开交(让我想起去年NetApp和EMC争夺Data Domain的案例),3PAR的股票从两个星期前的10美元不到已经涨到接近28美元。今天华尔街日报又传出安全厂商ArcSight正在和Oracle, IBM, HP, EMC和CA等潜在买家接洽,消息传出后ArcSight的股票(ARST)应声涨了30%。
Arcsight的潜在买家中没有Cisco,这让我比较吃惊。ArcSight是做SIEM (Security Information and Event Management)的,和Cisco的MARS直接竞争,我一直觉得Cisco是ArcSight最合适的买家。Symantec的产品和ArcSight也有很好的整合度,本来也是一个潜在的买家,不过在Mcafee被收购后,它自身可能也难逃最终被收购的命运。相对而言,ArcSight产品的整合度和Oracle的Enterprise Manager或者HP的OpenView就没有那么高。
信息安全这几年来一直是一个增长很快的领域,并且正在成为企业整体解决方案中不可或缺的一部分,这也是为什么近几年IT巨头纷纷出手收购安全公司。此外,独立的安全公司规模往往较小,比较容易被收购。比如安全行业的”巨头” Symantec的市值也不过110亿美元,为IBM的1/15,HP的1/9,Oracle和Cisco的1/10。抚今追昔,下面我们来看看最近几年美国的IT巨头们都收购了哪些安全企业:
IBM:
- 2010年7月:BigFix (Security Management)
- 2009年11月:Guardium (Database Security)
- 2007年6月:Watchfire (security testing)
- 2006年 8月:ISS
Cisco:
- 2009年12 月:Scansafe (Saas WebSecurity)
- 2007年11 月:Securent (Entitlement Management)
- 2007年1月: IronPort (Email and Web Security)
HP:
- 2010 年8月: Fortify (Software Security)
- 2009年11月:3Com (Tippingpoint)
- 2007年6月:SPI Dynamics (Web Security Testing)
Intel:
EMC:
- 2009年5月:Configuresoft (Change and Compliance management)
- 2006年6月:RSA Security
最后来说说我比较熟悉的Oracle:
Oracle除了今年5月份收购英国的数据库防火墙公司Secerno外,其在安全领域的并购主要集中在身份管理(Identity Management)领域。当然,Oracle对Sun和BEA的收购也为其带来了一些安全产品。 目前Oracle在安全方面的产品主要集中在Database Security,Identity Management和Enterprise Manager这三个产品线。尤其在Identity Management领域,在收购Sun后,Oracle俨然已经成为这个领域最有实力的厂家。
抚今追昔之后,让我们再来展望一下未来,看看还有哪些安全企业可能被IT巨头们收入囊中。下面是几个我认为最可能被收购的安全公司:
- Symantec (SYMC): Symantec除非自己做大做强,否则难逃被并购的命运。不过其110亿美元的市值有些高,使得眼下其被收购的吸引力不大。估计等它的股票再跌一跌,到市值相对便宜的时候就会有IT巨头出手。
- Sourcefire (FIRE): 不到7亿美元的市值,今天Arcsight的消息出来之后其股票也跟着涨了11%,来看华尔街对其被收购的预期比较大。
- Fortinet (FTNT): 13亿美元的市值。Fortinet的创始人早期创立了Netscreen,后来卖给了Juniper,不知道若干年后会不会把Fortinet再卖给Cisco或者Juniper?
- Palo Alto Networks (private):小型的防火墙公司,产品很有特色。不知道会不会被Cisco或者Juniper收入囊中。
- Qualys (private):一直有Qualys将要上市的传言,不过近来美国股市表现不佳,短期内其上市的可能性不大。如果拖延太久而VC又想早日套现的话,Qualys也很可能被收购。
Last week, Symantec(NASDAQ:SYMC) acquired the security businesses of VeriSign (excluding iDefense). There have been tons of news reports and comments by market observers and analysts. In general, given that both negative and positive comments are valid, the below chart gave a different perspective to evaluate the acquisition strategy of Symantec.
It’s a 5 year stock price chart of Symantec, with comparison against that of CA(NASDAQ:CA), McAfee(NYSE:MFE), and Nasdaq.
The overall changes in 5 years are:
- Symantec down by: -35.14%
- CA down by: -30.60%
- McAfee up by: +21.87%
- while Nasdaq up by: +9.67% Read more…
Another way of thinking about it, specifically that if you want security then you must control the future, if you want to control the future then you must be able to draw conclusions from what you know, if you want to draw conclusions then the basis for those conclusions must be reproducible, and if you want reproducible bases you have to have a measurement regime.
- Dan Geer
- Good enough is good enough.
- Good enough always beats perfect.
- The really hard part is determining what is good enough.
- by Ravi Sandhu
You can download the whole paper here.
This morning, you might have noticed that the blog title was changed to “Cloud & Telecom Security”. Yes, it’s true.
From one or two years ago, my interests and focus have changed to around cloud computing and telecom or ICT security, while P2P was touched very occasionally. I believe the new title can reflect the new focus better and hope you like it.
今天著名安全媒体SCMagzine公布2010年各安全奖项入围名单,最后的大奖将于2010年3月2日在旧金山公布。
从这次的入围名单上看,安全大厂如Cisco,Juniper,Symantec,等成为最大的赢家,到处闪现他们的身影。功夫不负有心人,这次Cenzic, HyTrust,e-DMZ, Palo-Alto等新秀也终于展露头角。BigFix能够获得优秀安全公司入围,你觉得有些惊奇吗?Dave Cullinane凭借云安全联盟CSA的快速成长和成功,荣获最佳CSO/CISO入围。
希望看到我们中国的企业也成为国际战场的逐鹿者!
Reader Trust Awards
Best Anti-Malware Solution
Astaro Internet Security for Astaro Security Gateway
AVG Technologies for AVG Internet Security Business Edition
Cisco for Cisco IronPort S-Series Secure Web Gateway
ESET for ESET NOD32 Antivirus 4
McAfee for McAfee Web Gateway
Symantec Corp. for Symantec Endpoint Protection Small Business Edition Read more…
By this acquisition, HP enters enterprise networking market with strong threat management product line from Tippingpoint.
The vulnerability and threats research of DVLabs will greatly improve HP’s capability and image at these areas, so that HP’s competition against IBM will become more effective. X-Force of ISS is one of the critical advantages of IBM over HP, at overall one-stop IT arena.
Historically, after the acquisition of an independent security company, their selling model and focus will change to more aligned with major businesses. As for HP’s scenario, their security product lines, including the IPS/UTM, focuses on their global enterprise customers and outsourcing partners. The security department, mostly, will lose some momentum to find and obtain new customers, instead, they will be more interested at existing customers, bundled within other bigger IT/service orders. Read more…
Categories: -English-, Cloud, Security, Telecom Tags: 3Com, Cisco, Cloud, HP, Huawei, IBM, IPS, Security, Tippingpoint
Actually, the whole thread was originated with a message at discuss@securitymetrics.org “Request for ideas” by Dimitrios Stergiou. Dimitrios likes to have some recommendations for his master program. By a sudden idea, I dropped him a message to recommend him to work on this true or false problem at security metrics.
It’s true or false: 70% of security incidents are due to insider threats?
I just read one book, “The New School of Information Security”, by Adam Shostack, Andrew Stewart, Addison-Wesley, 2008, where I found one interesting argument by the authors. The authors doubt the statement that 70% of security incidents are due to insider threats. You know, many consultants and books, articles regard this statement as one basic hypothesis at security. What’s your idea about it?
Completely a surprise, I found Adam, Andew, Dan and many experts jumped in to this discussion thereafter. A lot of fresh ideas emerged at discussion threads. In order to get more experts into this topic, I submitted a discussion at SecurityMetrics group, LinkedIn.
This RSA/IDC report has some information related to this topic – Insider Risk Management: A Framework Approach to Internal Security(Thanks to Hammud). It is a good reference. In summary it told us two things that: Read more…
That’s an excellent post on the vision of WAF and vulnerability assessment. I agree to the points that “accuracy” should be the top priority of remote web assessment and integration between VM and WAF.
However, this gives us another hint – we need a commonly adopted standard format to exchange the message – similarly what the industry did on IDMEF before. It’s not an optimistic goal from historical perspective. So in short term, before that standards, integration inside one single vendor and product alliance will be the pioneer on the automation/ integration between VM+WAF.
CNCERT/CC 2009 Conference
CNCERT/CC 2009 Conference will be held at Oct.21, Changsha, Hunan Province, China. This is the consecutive 6th conference since 2004. Here is the English agenda.
This annual event is generating more and more influence to not only China information security community, society, industry, but also the related parties at Asia Pacific and even worldwide. You can find a number of famous regional CERT organizations and reps from carriers, large enterprises, vendors, say, SingCert, ThaiCert, VNCert, China Telecom, China Mobile, China Unicom, ICBC, CCB, etc. Read more…
10月13日到14日, 两周后, SC Magazine举办的World Congress大会将在纽约举行. 会议地点: Read more…
Recent Comments