“你的GPS被‘劫持’了!”
這並非科幻電影中的場景。現實中,在我們越來越多打開手機的GPS定位來預定外賣、打車或解鎖共用單車時,由於GPS發射的信號未經加密,“駭客”可以利用SDR(software defined radio,軟體定義的無線電)設備偽造衛星信號,發射到指定的區域內,進而影響這一范圍內的目標設備。這時,你的手機可能會被“定位”在一個你從未去過的地方,時間設置也可能“穿越”到過去或未來。
日前,由亞信安全承辦的C3安全峰會上,記者就在現場演示環節遭遇了一次GPS“劫持”,而這暴露出的不過是網路安全威脅的“冰山一角”。近年來,駭客攻擊層出不窮,資訊竊取和數據洩露事件頻頻發生,尤其是今年肆虐全球的勒索病毒,再次給人們敲響了網路安全的警鐘。那麼,網路安全領域有哪些新動向?會産生什麼影響?我們又該如何應對?
當物理世界和虛擬世界打通時,對虛擬世界的攻擊可作用到物理世界
未來的物聯網城市什麼樣?科學家們是這樣描繪的:一切都變得越來越智慧,路上行駛著自動駕駛的汽車,空中有無人機送貨,股票外匯交易、城市服務與管理、緊急救援、食品安全保障都需要通過裝載GPS的設備來實現。如果這些設備的GPS被“黑”,造成的影響和損失可不是那麼簡單。
市場機構預計,到2020年,全球將有500億台物聯網設備。屆時隨著5G通信技術和物聯網的大規模應用,萬物互聯將成為現實,物理世界和虛擬世界被打通,對虛擬世界的攻擊可作用到物理世界,基礎設施也將會面臨更加嚴峻的安全威脅。
中國行動通訊集團資訊安全與運作中心總經理張濱認為,物聯網時代將有兩個“無處不在”:一是物聯網的應用無處不在,智慧家居、智慧交通、智慧城市將從各個方面影響人們的生活;二是它所帶來的風險也將無處不在。“物聯網把傳統的資訊技術和運營技術的風險結合在了一起。而隨著物聯網應用的碎片化,不管是傳感層、接入層,還是平臺層、核心層,都面臨風險滲透的可能。”
目前,個人隱私、家庭安防等領域都是物聯網安全的“重災區”。亞信安全首席技術官張偉欽介紹,今年年初,奧地利一家酒店的電子門禁系統就曾多次遭到駭客的攻擊,使得客人無法進入或走出房間。酒店只得向駭客支付了價值1500歐元的比特幣,然而,駭客在獲得贖金以後,還在系統留下了“後門”,這意味著他們隨時都可以捲土重來。最後,酒店不得不考慮更換為傳統的鑰匙鎖。
物聯網時代的安全風險還會呈現“全鏈條”的特點,從終端、管道一直到雲端,都將面臨風險挑戰。“理論上講,物聯網設備都會有作業系統和標準,有標準就會有漏洞,就會給攻擊者可乘之機。”張偉欽説,尤其在雲和應用伺服器取代企業系統成為核心繫統以後,攻擊的對象也不再是終端的設備,而是雲。因此如果無人駕駛汽車被攻擊或“劫持”,目標很可能不只有一輛汽車,而是馬路上的“車流”,所以對雲和應用伺服器的安全威脅更值得警惕。
資訊技術研究諮詢公司加特納全球研究總監張毅認為,從整個網路安全的格局來看,雲端佔據著重要的地位,尤其是國外廣泛使用的公有雲,更像是住進一座公寓,裏面住著很多房客,很難知曉這些房客會不會給大家帶來風險。
人工智慧可用來強化網路安全防護,機器學習技術成功截獲“想哭”勒索蠕蟲
隨著人工智慧的發展,網路安全廠商正在積極探索機器學習在安全數據挖掘、網路安全、威脅檢測等方面的應用,通過人工智慧來強化網路安全防護。
早在1986年,美國斯坦福研究中心就提出用數據統計來檢測入侵行為。亞信網路安全産業技術研究院副院長童寧介紹,過去識別安全威脅時,可以根據一維特徵,最簡單的就是黑白名單的技術——定性是壞人,就是壞人;也可以根據二維特徵,比如字符串的匹配,只要請求裏包含某一類型的數據,就會被認定為非法;更靠譜的是多維技術,比如可以讓一個程式運作,通過觀察其真實行為來判定是否有破壞性。用於判斷的特徵維度越多,判斷也就越準確,當然成本也就越高。機器學習正好可以大展身手。
機器在“有監督的學習”之後,通過對數據的消化、吸收,會提取出一些重要的特徵指標。用這些特徵就可以判斷一個新的文件究竟是不是惡意文件,速度效率也都能得到大幅度的提升。
童寧表示,利用網路威脅數據資源,結合大數據、智慧演算法與專業的風險分析平臺,就可以用多種高度倣真的機器學習演算法來判斷一個文件是否可信。“機器學習技術應用成功的關鍵在於持續高品質的安全數據、高水準的網路安全專家以及機器學習數據專家。”他介紹説,目前機器學習已應用於惡意程式及勒索病毒的防治、垃圾郵件防治、高級威脅態勢感知以及網路反欺詐等網路安全防護實踐,並及時截獲了“想哭”(WannaCry)勒索蠕蟲等安全威脅。
但童寧也表示,面對機器學習安全技術,還應該保持謹慎的態度。“將機器學習真正地運用於安全威脅之中還需要長期的技術積累,威脅時時在變,機器也要時時學,學習的過程中還要面臨精度提升的問題。”
也有專家表達了擔憂,網路安全領域的人工智慧也可能變成一把“雙刃劍”:如果駭客使用了人工智慧的惡意軟體,就能更輕鬆地弄清楚它周邊的環境,並模倣系統中用戶的行為,從而造成更大的危害。甚至未來也可能出現人工智慧的防禦措施與進攻手段在網路安全空間決一勝負的情況,而人類往往只能作壁上觀。
維護網路安全要形成合力,由被動防禦向主動保護髮展
近年來,儘管打擊網路犯罪的行動取得了一定成效,但全球網路安全形勢依然嚴峻。據亞信安全統計,2016年,僅勒索病毒家族的數量就從29個暴增至247個,足足增長了752%,讓網路犯罪集團大賺了10億美元。在我國,網路犯罪已佔犯罪總數的近1/3,且每年還在大量增加。據統計,去年,僅電信網路詐騙就立案63萬起,佔全部刑事案件的近10%。網路安全威脅正在呈現出複雜化、産業化的趨勢。
“網路安全的觀念需要調整。”亞信安全董事長何政認為,“過去講,誰的東西誰負責保證安全。但是在資訊技術不斷演進、網路安全形勢日趨嚴峻的今天,靠單一主體的力量很難實現,只有齊抓共管,互相配合,才能形成相對可靠的立體保障格局。”
今年6月1日起正式施行的《中華人民共和國網路安全法》(以下簡稱《網路安全法》)是我國網路安全領域的第一部基礎性法律。中央網信辦網路安全協調局副局長高林表示,網路安全已經成為國家長治久安的戰略問題之一。維護網路安全是全社會的共同責任,推動《網路安全法》的貫徹落實要形成合力,充分發揮各個行業網路運作單位、網際網路企業、專家學者及廣大網民在維護網路安全方面的重要作用,提高我國網路安全水準。要讓網路安全意識進機關、進鄉村、進社區、進學校,調動全民網路安全的主動性和參與性。
亞信安全CEO張凡指出,應對有組織的網路攻擊,除了要打破各自為戰的局面,還需要轉變防護觀念,由被動防禦向主動保護髮展,建立一體化的防禦體系。
“比如站在城市安全的角度,我們要保護的是基礎設施,不能等到已經發生了嚴重的事情再來‘救火’。必須在駭客發動第一步攻擊時就要聯動到整個體系上的安全策略。” 亞信安全通用安全産品中心副總經理劉政平認為,網路攻擊很可能是低頻、高速的,不能總被威脅“牽著鼻子走”。
他介紹説,“目前四川省公安機關啟動的網路安全態勢感知平臺就能夠在充分尊重原始數據的基礎上,用圖形或地圖等可視化的方式,把威脅的來源、攻擊的手段、主要的風險、可能影響的範圍,甚至未來的趨勢勾畫出來,做到對網路空間實時、動態地主動防護。”
(責任編輯:王擎宇)