网络安全的昨天、今天、明天

智慧棒

世界末日的“爽约”，让我们可以一起从2012迈入2013年。然而，对于今年信息安全业来说，却堪比末日。但是还好，我们有机会审视过去，总结经验，继续前行。即将过去的2012，比以往任何一年都要热闹。从亚马逊到雅虎的账号泄露，从美国中情局到以色列政府网站的DDoS攻击，再从Mac OS到Android的安全威胁持续加大。值此辞旧迎新之际，我们一起来回顾一下2012网络安全的大事，并希望能以此引起用户和信息安全厂商的思考。
企业数据安全须“以人为本”
纵观全年，企业信息安全事故频发。企业、政府、金融机构等都不同程度地遭受信息泄露、DDoS和APT攻击的威胁，甚至出现大规模用户数据泄露的情况。数据泄露的发生，不仅是对用户的威胁，更是对企业信誉的威胁。
以亚马逊1月份的数据泄露事件举例，虽然黑客未能拿到完整的信用卡信息，但是凭借盗取的客户姓名、邮箱地址、账单及送货地址、手机号码、信用卡号后四位以及用户密码等信息，足可以进行有效快速的社会工程攻击。今年8月的苹果iCloud事件实在是对于社会工程学攻击的较好呈现。黑客成功在与苹果客服人员的电话中伪装成为了Mat，获取了客服人员的信任，以此重置了Mat的账户密码，进而擦除了关联设备的全部数据，对Mat造成了严重的损失。
对于隐私数据的保护，用户自身也要给予更多地重视。Mat的苹果账户并未遭到黑客通过暴力手段入侵，只是通过生活中信息碎片的拼组，结合专业的社会工程学实践，就完成了此次攻击。因此，安全中的人因工程也被更多的提起。可以看到的未来，机器终究不能代替人，因此人才是网络安全中关键一环，既是最强的武器，也是最短的短板。企业敏感数据随时可能因为内部员工的一个无心之失而曝于人前。不论是对于企业还是个人用户来说，加强安全意识的培养都是重中之重。
移动互联网安全是一个时代的话题
长久以来，人们最经常关注的安全威胁都是来自Windows平台，但事实上移动安全也是一个重大的安全威胁。有数据显示，全球Android设备的数量已经接近PC的数量，再加上智能手机的大范围应用，也促使移动互联网市场显现出其巨大价值，从而吸引越来越多的黑客注意到这片市场。安全问题也将伴随着移动互联网时代的发展而继续突显。
Android由于其平台的开放性，也因此成为了黑客攻击的首选目标。而Android平台的病毒在入侵设备系统时，还可劫持安全软件，让移动设备上的安全软件失去防护作用。这是一个很危险的信号，表明了移动平台的病毒进入了一个更加复杂的阶段。随着移动设备硬件水平的提升，传统互联网的安全威胁也终将移植到移动互联网中。在今年年中时，有研究专家发现，Android 设备已经开始利用雅虎邮件服务发送垃圾邮件。这也是Android设备被用于僵尸网络的表征。
诚然，Google Play相比于Apple App Store来说可能对于应用的审查不严格，但是在很大程度上是可以保证Google Play中的应用是安全可靠的。调查研究显示，发展中国家的使用者对于手持移动设备所采取的安全措施比发达国家少，因此更大几率感染恶意软件。再加之用户通过某些软件自行获取root权限，从非官方应用市场下载并安装破解软件，这也是在为恶意软件的入侵铺路。
安全技术企业Sophos在其2013安全威胁报告中，将Android称为“现如今最大的攻击目标”。根据安全公司BitDefender的调查数据显示，将近41%的Android设备受到恶意软件的攻击。在2012年发现的木马中有94.35%的都是针对Android手机的。该公司同时认为，这些数据在明年还会持续高涨，甚至2013年可能成为“移动手机恶意程序元年”。
从间谍病毒到网络战争
Stuxnet、Flame、Shammon和Gauss，这些近年著名的计算机病毒已经很明显地服务于政治目的。中东地区为Stuxnet、Flame、miniFlame、Shamoon和Gauss等病毒的重灾区的原因，从目前的国际局势也可端倪一二。美国国防部长利昂·帕内塔在8月的讲话中就说到要警惕“网络珍珠港”的发生。特别指出了对于水、电供应网等等的关键基础设施的网络袭击要特别警惕，因为它们一旦发生了，将对工业基础设施产生极大的破坏力甚至威胁民众生命。
Stuxnet震惊世人之处在于病毒对于工控系统和基础设施的大规模冲击，并且造成严重后果。而这一事件也为我们敲响了对于工控系统和网络战争防范的警钟。工业基础设施与人们的生活休戚相关，一旦被黑客攻击并加以破坏，所带来的后果可想而知。今年发生的几起严重的病毒事件，都是有针对性的。而且，病毒的复杂度也较以往有明显的提高，比如Flame。而Shamoon病毒不仅像Flame一样盗取磁盘数据之后上传到网络，还可以删除磁盘中包括主引导记录在内的全部文件，使得主机完全瘫痪。而Gauss病毒也同样具备摧毁关键基础设施的能力。将近3000台Gauss受感染的计算机分布在黎巴嫩、以色列及巴勒斯坦等地区。从Gauss病毒感染的地区来看，针对性的意味很重。卡巴斯基实验室在对Stuxnet、Flame、Gauss等等间谍病毒的深度剖析之后认为，极有可能是出自同一个或几个病毒工厂，这几款攻击工具都可以说是国家级赞助网络间谍与网络战的实体呈现与操作。不论美伊等政府对于网络战的看法如何，网络战争都已经悄然展开。网络空间也将成为继陆、海、空之外的第四片战场。
技术的革新在每时每刻发生着，任何用到信息安全中的新技术，都有可能成为下一个阶段对于安全的挑战。整个“末日”年，对于信息安全产业来说，可谓是最好的一年，也是最坏的一年。云计算、移动互联网、虚拟化、大数据等都给信息安全产业带来了足够大的市场，同时也充满荆棘。
趋势展望
重新审视移动安全
由于巨大的经济利益驱使，基于移动平台的恶意软件还会继续针对Android进行开发，并且在明年还会迅猛增长。另外，移动浏览器仍然是安全短板之一。虽然，开发者一直在智能手机浏览器的易用性和安全性之间博弈，但是他们仍然会为了提升浏览器的响应速度而放弃大多数安全功能。另一方面，有调查表明，移动设备用户比PC用户访问钓鱼网站的频率高三倍。移动浏览器必须在将来寻求方法来保证信息通信的安全性，而不是一味的精简软件设计。
移动支付仍需提升安全性。尽管越来越多的互联网公司推出了移动钱包，移动支付等服务和相关应用，但是消费者仍然对于用手机支付现实世界的交易保持着很高的警惕性。消费者对于将他们自己的银行卡号等和金钱有关的信息存于移动设备之上一直持有很高的怀疑态度和不信任。这种情况一定程度上是由于安全性导致的。谷歌和一些在线钱包公司使用NFC技术进行支付，但是这个协议仍需继续完善，以防作为攻击中的短板。另一方面如何在移动设备丢失之后保障支付信息不被泄露也将是未来的研究方向。
云安全快速成长，安全与威胁并存
将数据存储在云中可能确实更安全，但是对于攻击者来说也更具吸引力。云计算的落地，使得更多的公司将企业信息依托于云服务来提升安全保障水平。尽管提升虚拟化基础设施建设水平极大降低了大规模信息泄露事故的发生，但是云中存储的海量数据的巨大价值仍然吸引着黑客的眼球。
将数据存储到云中，我们并不需要做很多安全工作，因为云服务提供商已经做的够好了。但是，一旦他们失败了，这个影响也会很严重，比如盛大云今年出现的磁盘损坏事故。授权,包括帐户恢复,是一个云服务的明显弱点。只允许授权用户访问数据仍然是一个困难的和具有挑战性的问题。
另外，DDoS攻击已经瞄准了云服务。今年6月份， 有黑客使用DDoS攻击了CloudFare的云服务。在明年，还会有更多种类的攻击以云服务为目标，毕竟存储在云中的数据所蕴含的价值实在太大了。
医疗安全
医疗机构也通过不断的信息化建设来提升医疗水平和对于患者的响应速度。但是，当病人的数据放到网上时，就不得不面临更大的风险。10年前，纸质的医疗记录伴随着患者整个就医过程。然而现在，越来越多的医院将纸质记录数据化，以此来更好的分析患者的病情以及整个地区或国家的健康情况。
然而，联网的不只是用户数据，更包括了医疗设备。医疗设备也日趋先进，通过机器的调整和混合以达到对于药品计量的精确使用，比如微量注射泵。一旦关键医疗设备被黑客入侵，患者将直面死亡的威胁。
因此，明年的医疗安全，在医疗机构的信息防泄漏以及内外网隔离，防入侵方面，也将成为发展方向之一。