“黑八月”為我們帶來哪些安全啟示?
即將過去的這個2015年的8月無疑可以稱得上是安全圈的“黑八月”,而相較于之前安全事件層出不窮的“黑五月”而言,“黑八月”的意義則完全不同。之所以這么說,是因為這個8月,無論是國際上還是在國內安全界盛會不斷,精彩紛呈。
繼月初國際頗負盛名的世界黑客大會DEFCON和世界黑帽大會BlackHat相繼舉辦之后,國內安全圈也迎來一波一波安全盛會的高潮。國內久負盛名的XCon首次聯手KCon黑客大會成功舉辦,首屆HackPWN安全極客狂歡節舉行,一場場干貨十足的演講,一時間讓白帽黑客們迎來了近年來最大的饕餮盛宴。而通過這一系列安全界的盛會,我們對于目前的安全發展趨勢及焦點也可以窺見一二。
安全問題或讓萬物互聯成噩夢
萬物互聯時代不可抵擋地到來,安全成未來關注焦點。據Gartner和麥肯錫等調研機構的預測,2015年全球連接到互聯網上的設備將達49億臺,而到2020年將超過260 億臺。而在萬物互聯迅速到來的同時,其中的安全隱患或將給我們帶來更大的影響。
在BlackHat和DEFCON上,大量智能設備甚至智能汽車被曝出諸多安全漏洞。通過利用這些漏洞,黑客甚至可以控制行駛中的汽車。而與此相同,黑客們同樣可以任意控制交通紅綠燈、劫持無人飛機,甚至可以控制狙擊步槍的子彈發射。如果你覺得這些場景離我們過于遙遠,那么在首屆HackPWN安全極客狂歡節上,白帽黑客現場演繹破解手環、豆漿機等,這會讓你清醒地意識到這一切并不是危言聳聽。
與此相關,無論是我們日常生活中平常使用的洗衣機、烤箱、智能電視、還是逐漸興起的智能家居系統等,這些流行智能設備都能被輕而易舉地破解。而據惠普安全曾經做過的一份調查顯示,目前逐漸興起的智能電視、網絡攝像頭、自動調溫器、噴水滅火器、門鎖、家用報警器、體重秤等物聯網設備,平均每款就存在25個安全漏洞。而隨著數十億有著安全漏洞的設備接入互聯網,當這些以往只會在電影大片中看到的場景成為現實,其帶來的將是難以估量的災難性后果。
對于智能設備制造商而言,他們的產品在設計中更加關注的是用戶的使用體驗和實用性,而對安全方面的考量確實十分欠缺。而即便是在安全公司和白帽黑客們發現產品的漏洞及安全隱患后,因為智能設備廠商安全響應機制的缺乏與極度地不完善,這些問題得到響應和解決的時間也十分漫長,有些甚至無從解決。而這與當下尚未建立起物聯網時代的安全響應生態鏈不無關系。
必須承認的是,在萬物互聯的當下,智能設備如雨后春筍般興起,而安全作為其中重要一環尚處于被忽略的地位,而如若不能及時將安全這一重要鏈條及時鏈接起來,萬物互聯的時代也將成為我們的噩夢。
工控安全浮出水面 國內外黑客齊關注
工控安全在近兩年逐漸被越來越多的提起與關注。縱觀國內安全廠商,不少專注工控安全的廠商異軍突起,而以往綜合性的安全廠商也紛紛在這一領域開始布局發力。可以預見的是,工控安全勢必將成為未來安全圈密切關注的重點。
在近期一系列安全圈盛會上,工控安全也成為火熱的話題。據悉,在XCon盛會上,來自俄羅斯的黑客、卡巴斯基全球CTO便分享了其對智能電網所存在的安全隱患的議題。他提出,隨著越來越多電網設備暴露在互聯網上,而相關的安全防護甚至意識層面幾乎為零,這為黑客提供了十分便利的可乘之機。而一旦這些智能電網的關鍵部件設備被黑客掌握,輕則進行敲詐勒索,重則可以引發暴恐行為,后果都將是不堪設想的。
而在KCon大會上,工控安全也是其中一項重要議題。值得一提的是,這一議題的演講者之一也是KCon史上最小的黑客,一位初中二年級的小黑客。這位小黑客從電網、自來水、通信、智能樓宇甚至天氣監控等方面舉出詳盡的案例,呈現了當下不堪一擊的工控行系統安全問題,不禁讓在場的黑客們也感到不寒而栗。而這位小黑客也犀利地指出了工控安全問題的關鍵所在:工控網絡在設計之初更多是關于功能性的考量,而對安全性幾乎沒有過多的重視;二是這些漏洞一旦被別有用心之人所利用,便會引發不可估量的安全事件。而從這位小黑客所列舉的諸多工控網絡入侵案例來看,“產網不分”是最根本的原因所在。
的確,隨著互聯網的高速發展,過去相對封閉的工控網絡也逐漸接入互聯網,特別是在國內,近年來隨著“兩化融合”腳步的加快,越來越多的工控系統網絡在接入互聯網的同時,也將關鍵的部件暴露在互聯網之上,而對其的安全保護措施卻幾乎為零。
不過隨著這一問題逐漸被認識到,越來越多的安全廠商也已開始布局研究,工控安全必將在未來很長一段時間內成為安全圈一個重要分支。
當然,“黑八月”所帶來的安全盛宴遠不止這些,移動安全、基于大數據的行為分析技術、WEB層面的安全攻擊與防御等等都是其中不斷的精彩議題。而不可否認的是,信息安全正在越來越被國家、企業及全社會所重視,在安全威脅挑戰不斷的時代,安全產業在經受“最壞時代”考驗的同時,迎來的也將會是“最好時代”的發展契機。
