面对高度互联下的新态势,企业信息安全管理需要新的策略思路。
在酒店办理了入住手续,安顿妥当后打开电脑,连接Wi-Fi,查收邮件……在连接Wi-Fi的时候出现一个弹窗,告诉你“需要更新Adobe Flash以便正常显示Wi-Fi设置对话窗口”。这时如果你不假思索地点击“OK”,你可能就此中招了。
这是最近几年活跃的DarkHotels (黑暗酒店)网络间谍攻击行动的典型步骤:首先侵入一家酒店的内部网络,在酒店客人登陆Wi-Fi时欺骗其下载安装一款伪装成“Adobe Flash更新”之类合法软件的后门程序,成功之后进而自行下载安装更多的监视和信息窃取工具,然后开始自动收集系统信息,并窃取键盘记录,寻找各种账号密码及其他机密信息。
随着芯片、软件和连接变得越来越无处不在,黑客们也有了越来越多的“用武之地”,信息安全遭遇的威胁也日益增加。如何保护和管理全面数字化和高度互联所产生的海量信息,全面有效地防御各种风险和威胁,成为企业密切关注的课题。
信息安全威胁可谓愈演愈烈。赛门铁克《互联网安全威胁报告》的统计显示,2013年全球范围发生的数据泄露事件较上一年增加了62%,信息安全专家将2013年称作“大规模数据泄露年”;2014年的数据有待汇总,但从迄今已经发生的情况看,可以预计肯定会再创新高。另外,IDC的研究数据显示,中国企业移动管理解决方案市场正在进入快速发展的轨道,2014年的市场空间达到3550万美元,2014~2018 年复合增长率约为25%。
赛门铁克移动部门产品副总裁Michael Lin认为,快速发展的市场背后是企业实实在在的硬需求,主要表现在:帮助企业推进BYOD(自带设备),让员工个人的手机和平面电脑等设备安全、顺畅地嵌入企业工作环境:帮助企业管理、保护移动App和数据;以及为企业提供保护措施应对移动恶意软件、灰色软件的潜在威胁,帮助企业保护隐私和保障工作效率。为此,安全解决方案需要做到能够实时地为企业提供信息保护、威胁防护和可付诸行动的情报。
与人人都拥有的移动设备比较,物联网的发展状况没有那么直观地被普通公众觉察到。根据思科互联网业务系统集团(IBSG)的研究数据,今天接入互联网的“人”和“物”的数量分别是70亿和90亿,而到2020年,接入互联网的“物”的数量将达到500亿之巨。
然而,物联网的发展也隐含着信息安全管理方面的巨大挑战。这些威胁实际上已经在我们身边存在。例如,日益流行的运动跟踪记录App和设备每天都在产生大量的个人信息和数据,这些设备和信息如果有别有用心的黑客盯上,其安全性需要打个问号。赛门铁克的研究表明,由于很多设备和相应的数据管理存在漏洞,让黑客可以很容易地对用户进行跟踪,以及盗取包括密码在内的个人私密信息。
不久前,法国EURECOM学院的科研人员对超过3.2万个嵌入式设备的固件映像做了分析,发现超过1.4万个物联网设备,从路由器到闭路电视监控系统(CCTV)等等不一而足,都存在各种安全隐患,包括零日攻击漏洞、后门、不安全的密码和密钥等。
有的物联网病毒看上去很神奇。很多人认为,电脑只要不连网,黑客就拿你没办法,因为恶意软件总不能跨越“air-gapping”(空气间隙)吧?但是一种叫“air-gapping”的病毒已经出现,它可以通过声波,经由麦克风和声卡等外围设备来感染目标设备。
赛门铁克太平洋地区资深技术总监Sean Kopelke认为,目前大量存在的物联网安全隐患,原因在于在系统设计阶段没有很好地重视和认真规划信息安全管理。物联网安全需要端到端的解决方案,需要统一规划三个层面的安全体系,一是服务层面的设备管理、威胁情报和安全分析;二是网络系统层面的登陆控制、App沙盒以及针对恶意软件和外部入侵的侦测和防护;三是设备和网关层面的认证、数字或电子签名保护代码、App沙盒以及针对外部入侵的侦测和防护;同时,要设计和管理好贯彻整个体系的身份和密钥系统。
文/岳占仁
关注读览天下微信,
100万篇深度好文,
等你来看……
