作为网络安全领域高层次、大规模的年度盛会,第四届中国互联网安全大会开幕在即,网络安全话题也自然成为目前业界关注的焦点。今年的网络安全面临哪些新形势?万物互联(IoT)时代,如何保证智能产品的安全性?企业保护自身网络安全最需要注意什么?针对这些问题,360公司副总裁兼首席隐私官谭晓生在接受《人民邮电》报专访时,为记者分享了其精彩观点。
安全大环境:用户感知变淡,后果却很严重
移动互联大潮滚滚而来,作为互联网安全专家,谭晓生为记者分析了IoT时代给安全大环境带来的新变化。
谭晓生首先回顾了网络安全的发展史,20年前病毒是主要的威胁,会导致系统工作不正常,机器不能启动,这种情况下把病毒杀掉就解决了用户的问题。10年前,流氓软件在用户使用电脑的时候会弹出广告骚扰。然后是木马开始流行,木马进来后会偷用户的游戏币,涉及一点点的钱财。而现在这个时代用户面对的安全问题越来越多的是个人信息被偷或者遇到侵财类的诈骗,手机里装个木马,目的是为了把用户手机银行的验证码拿走,转账的时候转到另外一个地方,还有一部分是为了获得用户的通讯录等信息,进一步进行诈骗。谭晓生表示,原来在PC时代,用户中病毒、木马的经历应该会很多,三天两头一不小心就中招了,所以那时用户的安全感知是非常强的,但如今用手机的时候,用户中木马的经历却少很多,因此安全感知越来越淡,但用户却有可能遭遇财产类的损失。“虽然概率很小,但一旦中招却有可能一辈子挣的钱都没了,这个后果很严重!”
谭晓生进一步解释说,如今的安全问题类型和安全威胁和原来不一样,用户往往很久以后才可能知道出问题了。比如黑客把通讯录和短信偷走,这些数据被偷走以后一直在黑客的数据库里,等到这个黑客真正拿出这些收集到的数据进行诈骗等攻击时,攻击的成功率会非常高。所以现在的安全威胁不是立马兑现的,用户不会觉得今天手机中丢了信息,会马上损失什么。“问题就在这儿,人的特点是如果不是立马有危害的东西就不重视,但真正出现问题的时候再去防御就很难防了。”谭晓生感叹道。
概念转换:从安全产品到产品安全
对很多企业来说,IoT是个机遇,包括车联网、智能家居、可穿戴设备、VR等都有着巨大的市场潜力,但对于网络攻击者而言,越来越多的智能设备连接入网,其实客观上为黑客或网络不法分子提供了更多的攻击途径,对于这个矛盾,谭晓生表示,IoT肯定让整个世界的攻击面扩大了,可被攻击的点扩大了,安全厂商需要积极跟进这方面的安全研究,通过及时发布研究报告等方式,让整个行业意识到其中有很大的威胁,通过曝光这种形式反过来倒逼IoT厂商改进其产品的安全。
谭晓生介绍了攻击智能设备最常见的三种方式:一是通过无线联网,不管是通过蓝牙、WiFi还是ZigBee,因为智能设备要和其他设备产生通信,这就产生了第一个攻击点,它的通信协议如果不安全,就容易被破解。二是智能设备的管理系统,比如通过手机可以管理一个智能硬件,这个手机和智能设备直接连接,它会连接到一个平台上,对这个平台进行攻击,下达控制指令,篡改控制指令,这个智能设备也就被攻击了。三是手机上有控制智能设备的App,App如果有 洞或者App和控制平台之间的协议有 洞,只要仿冒一个身份发一个指令,通过控制平台就可以间接实现攻击。
对于这方面的安全问题,360公司早就开始有所行动。谭晓生透露,360公司其实是国内最早搞摄像头安全研究的,这些研究成果会提供给摄像头厂商,告诉其摄像头有什么样的 洞,该如何改进。“大家知道,360公司也是第一个在全球破解特斯拉的企业,去年某一款国产电动车我们也对它进行了破解,我们还给国内不止一个汽车厂家提供安全服务,从车载通信模块、车机等方面进行整体安全评估。”谭晓生表示,车被远控,人身安全就会有问题,对于汽车企业来说,如果发生这样的事情对其品牌的影响会是致命的。“我们和厂商是站在一条线上的,更多的是及早发现问题、修补问题,我们的策略是做安全研究,发现问题,提出改进建议,帮助用户建立一个安全运营体系。”
但谭晓生也坦承,目前安全领域尚未有应对此类攻击的灵丹妙药,“这不像对付病毒,装一个针对性的杀毒软件就行了,应对智能设备的攻击没法这样做”。对此,谭晓生提出了一个概念转换:从安全产品到产品安全。他解释说:“过去买一个杀毒软件装进去,或者买一个盒子隔离网络,我就能相对安全,这是做安全产品;如今你的产品从设计阶段就要考虑到会遇到什么攻击、协议是不是安全、固件更新机制是不是有问题、控制平台是不是有 洞,这一系列问题从一开始就必须考虑,在设计、制造、检验这一系列过程中怎样把安全的因素都嵌入进去,这个产品必须造出来相对就是安全的产品,而不是事后去打补丁。而且在今后产品运营的生命周期里要建立一个安全运维体系,而不仅仅是卖出去就完了,要提供持续的服务,并且这种服务首先是安全的。”
面对IoT带来的新的安全挑战,谭晓生呼吁,这绝对不是安全厂商一家可以搞定的,从产业链上下游,从部件生产到整机生产,再到今后的安全运营,需要大家的协同。“在这个协同中需要给安全厂商一个位置,这是很重要的!”
做安全:还是要从最基础的工作开始
在分享了关于IoT安全问题的诸多观点后,谭晓生话锋一转:“IoT安全,大家都觉得这个词特别热,新概念容易吸引人的注意,但对于做安全防御来说,它并不是最重要的事情。”他强调说,做安全,要想能解决大部分的问题,还得把一些最基础的活儿干好。
谭晓生表示,要把安全防线建好,得从四个方面的基础工作入手:
第一个基础工作是把 洞管理做好, 洞管理做好了以后,攻击难度就很高了。“逼着黑客用0day 洞攻击的时候,攻击成本就很高了,能够实施攻击的人一下子就少了。”
第二个基础工作是网段划分。“这就像在非典期间搞隔离,把非典病人都隔离到医院,这种隔离是防止威胁传播的非常有效的东西。对攻击者来讲,拿下一台终端,一进来却发现寸步难行,除了这个网段别的都去不了,网段之间还有各种各样的检测,就可以把威胁隔离在一个小的区域。”
第三个基础工作是用户身份管理和用户权限管理。“虽然这项工作比较繁琐,但把这个事做完以后,你会发现攻击者进来也是寸步难行。”
第四个基础工作是数据备份。“比如遇到敲诈者病毒,这是非常完美的一种‘商业模式’,它相当于现实中的绑架,绑架了你的数据,你不交钱就销毁数据,数据就找不回来了。针对这种攻击,最好的方法是数据备份。这也是特别简单的活儿,但弄完了以后很多对你的侵害都没有用了。”
在谭晓生看来,这些基础工作真的是企业安全最需要关注的。他说:“搞安全有一点,特别苦,这些基础的活儿有多少人愿意干?这就是最大的问题,人们会觉得这些事情挑战性不大,但恰恰是这些最基础的工作才能构筑坚固的防线!”