“你的GPS被‘劫持’了!”
这并非科幻电影中的场景。现实中,在我们越来越多打开手机的GPS定位来预定外卖、打车或解锁共享单车时,由于GPS发射的信号未经加密,“黑客”可以利用SDR(software defined radio,软件定义的无线电)设备伪造卫星信号,发射到指定的区域内,进而影响这一范围内的目标设备。这时,你的手机可能会被“定位”在一个你从未去过的地方,时间设置也可能“穿越”到过去或未来。
日前,由亚信安全承办的C3安全峰会上,记者就在现场演示环节遭遇了一次GPS“劫持”,而这暴露出的不过是网络安全威胁的“冰山一角”。近年来,黑客攻击层出不穷,信息窃取和数据泄露事件频频发生,尤其是今年肆虐全球的勒索病毒,再次给人们敲响了网络安全的警钟。那么,网络安全领域有哪些新动向?会产生什么影响?我们又该如何应对?
当物理世界和虚拟世界打通时,对虚拟世界的攻击可作用到物理世界
未来的物联网城市什么样?科学家们是这样描绘的:一切都变得越来越智能,路上行驶着自动驾驶的汽车,空中有无人机送货,股票外汇交易、城市服务与管理、紧急救援、食品安全保障都需要通过装载GPS的设备来实现。如果这些设备的GPS被“黑”,造成的影响和损失可不是那么简单。
市场机构预计,到2020年,全球将有500亿台物联网设备。届时随着5G通信技术和物联网的大规模应用,万物互联将成为现实,物理世界和虚拟世界被打通,对虚拟世界的攻击可作用到物理世界,基础设施也将会面临更加严峻的安全威胁。
中国移动通信集团信息安全与运行中心总经理张滨认为,物联网时代将有两个“无处不在”:一是物联网的应用无处不在,智能家居、智慧交通、智慧城市将从各个方面影响人们的生活;二是它所带来的风险也将无处不在。“物联网把传统的信息技术和运营技术的风险结合在了一起。而随着物联网应用的碎片化,不管是传感层、接入层,还是平台层、核心层,都面临风险渗透的可能。”
目前,个人隐私、家庭安防等领域都是物联网安全的“重灾区”。亚信安全首席技术官张伟钦介绍,今年年初,奥地利一家酒店的电子门禁系统就曾多次遭到黑客的攻击,使得客人无法进入或走出房间。酒店只得向黑客支付了价值1500欧元的比特币,然而,黑客在获得赎金以后,还在系统留下了“后门”,这意味着他们随时都可以卷土重来。最后,酒店不得不考虑更换为传统的钥匙锁。
物联网时代的安全风险还会呈现“全链条”的特点,从终端、管道一直到云端,都将面临风险挑战。“理论上讲,物联网设备都会有操作系统和标准,有标准就会有漏洞,就会给攻击者可乘之机。”张伟钦说,尤其在云和应用服务器取代企业系统成为核心系统以后,攻击的对象也不再是终端的设备,而是云。因此如果无人驾驶汽车被攻击或“劫持”,目标很可能不只有一辆汽车,而是马路上的“车流”,所以对云和应用服务器的安全威胁更值得警惕。
信息技术研究咨询公司加特纳全球研究总监张毅认为,从整个网络安全的格局来看,云端占据着重要的地位,尤其是国外广泛使用的公有云,更像是住进一座公寓,里面住着很多房客,很难知晓这些房客会不会给大家带来风险。
人工智能可用来强化网络安全防护,机器学习技术成功截获“想哭”勒索蠕虫
随着人工智能的发展,网络安全厂商正在积极探索机器学习在安全数据挖掘、网络安全、威胁检测等方面的应用,通过人工智能来强化网络安全防护。
早在1986年,美国斯坦福研究中心就提出用数据统计来检测入侵行为。亚信网络安全产业技术研究院副院长童宁介绍,过去识别安全威胁时,可以根据一维特征,最简单的就是黑白名单的技术——定性是坏人,就是坏人;也可以根据二维特征,比如字符串的匹配,只要请求里包含某一类型的数据,就会被认定为非法;更靠谱的是多维技术,比如可以让一个程序运行,通过观察其真实行为来判定是否有破坏性。用于判断的特征维度越多,判断也就越准确,当然成本也就越高。机器学习正好可以大展身手。
机器在“有监督的学习”之后,通过对数据的消化、吸收,会提取出一些重要的特征指标。用这些特征就可以判断一个新的文件究竟是不是恶意文件,速度效率也都能得到大幅度的提升。
童宁表示,利用网络威胁数据资源,结合大数据、智能算法与专业的风险分析平台,就可以用多种高度仿真的机器学习算法来判断一个文件是否可信。“机器学习技术应用成功的关键在于持续高质量的安全数据、高水平的网络安全专家以及机器学习数据专家。”他介绍说,目前机器学习已应用于恶意程序及勒索病毒的防治、垃圾邮件防治、高级威胁态势感知以及网络反欺诈等网络安全防护实践,并及时截获了“想哭”(WannaCry)勒索蠕虫等安全威胁。
但童宁也表示,面对机器学习安全技术,还应该保持谨慎的态度。“将机器学习真正地运用于安全威胁之中还需要长期的技术积累,威胁时时在变,机器也要时时学,学习的过程中还要面临精度提升的问题。”
也有专家表达了担忧,网络安全领域的人工智能也可能变成一把“双刃剑”:如果黑客使用了人工智能的恶意软件,就能更轻松地弄清楚它周边的环境,并模仿系统中用户的行为,从而造成更大的危害。甚至未来也可能出现人工智能的防御措施与进攻手段在网络安全空间决一胜负的情况,而人类往往只能作壁上观。
维护网络安全要形成合力,由被动防御向主动保护发展
近年来,尽管打击网络犯罪的行动取得了一定成效,但全球网络安全形势依然严峻。据亚信安全统计,2016年,仅勒索病毒家族的数量就从29个暴增至247个,足足增长了752%,让网络犯罪集团大赚了10亿美元。在我国,网络犯罪已占犯罪总数的近1/3,且每年还在大量增加。据统计,去年,仅电信网络诈骗就立案63万起,占全部刑事案件的近10%。网络安全威胁正在呈现出复杂化、产业化的趋势。
“网络安全的观念需要调整。”亚信安全董事长何政认为,“过去讲,谁的东西谁负责保证安全。但是在信息技术不断演进、网络安全形势日趋严峻的今天,靠单一主体的力量很难实现,只有齐抓共管,互相配合,才能形成相对可靠的立体保障格局。”
今年6月1日起正式施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)是我国网络安全领域的第一部基础性法律。中央网信办网络安全协调局副局长高林表示,网络安全已经成为国家长治久安的战略问题之一。维护网络安全是全社会的共同责任,推动《网络安全法》的贯彻落实要形成合力,充分发挥各个行业网络运行单位、互联网企业、专家学者及广大网民在维护网络安全方面的重要作用,提高我国网络安全水平。要让网络安全意识进机关、进乡村、进社区、进学校,调动全民网络安全的主动性和参与性。
亚信安全CEO张凡指出,应对有组织的网络攻击,除了要打破各自为战的局面,还需要转变防护观念,由被动防御向主动保护发展,建立一体化的防御体系。
“比如站在城市安全的角度,我们要保护的是基础设施,不能等到已经发生了严重的事情再来‘救火’。必须在黑客发动第一步攻击时就要联动到整个体系上的安全策略。” 亚信安全通用安全产品中心副总经理刘政平认为,网络攻击很可能是低频、高速的,不能总被威胁“牵着鼻子走”。
他介绍说,“目前四川省公安机关启动的网络安全态势感知平台就能够在充分尊重原始数据的基础上,用图形或地图等可视化的方式,把威胁的来源、攻击的手段、主要的风险、可能影响的范围,甚至未来的趋势勾画出来,做到对网络空间实时、动态地主动防护。”