趙先生是長三角地區一家小有名氣的工程公司的經理,9月23日他來到北京,不是為了任何工程的競標,而是參加中國互聯網安全大會。他告訴《經濟參考報》記者,作為一個“搞工程”的,他參加此次大會的目的只有一個——“為了不讓公司再中‘黑槍’”。
趙先生說,自己的公司工程質量優秀,而且價格合理,在長三角建筑圈內已經打出了一片天地,每年大大小小的工程競標總能有所斬獲。但在過去半年內,公司連續三次競標都輸給了區域內的同一家競爭對手。讓人奇怪的是,每次競爭對手,總能以略微低于自己公司的報價中標。“就好像知道我們的底細一樣”,趙先生這樣說。
今年7月,趙先生的公司搬遷,在重組公司IT系統,進行例行安全維護時,維護人員發現,早在一年前公司的IT系統就被黑客滲透,包括之前三次競標標書在內的大量公司信息被竊取。“雖然不能證明是競爭對手所為,但這卻為我們拉響了‘紅色警報’”,趙先生這樣說。
在此次中國互聯網安全大會上,像趙先生這樣前來為公司的信息安全尋醫問藥的企業主不在少數。而在此次大會上,企業級信息安全也成為了眾多企業主、安全專家熱議的話題,眾多參會者,特別是曾遭遇“黑槍”的企業更是坦言,面對層出不窮的網絡攻擊,企業信息安全正在全面拉響紅色警報。
大型企業紛紛中招
據第三方調查機構Gartner最新網絡安全報告顯示,目前在中國工商總局注冊的企業超過1100萬家,隨著社會信息化進程的加速,信息化技術在這些企業運營過程中的作用越來越重要,而企業信息化過程中所暴露的安全問題也越來越受到關注。敏感信息泄露、重要數據被破壞、業務系統被非法控制、商業信譽遭到惡意言論攻擊等行為,已經成為企業正常經營中存在的重大安全隱患。特別是利用互聯網進行的網絡攻擊,輕則損害企業的經濟利益,重則造成重大的社會影響,甚至危及國家安全。
值得注意的是,不僅僅是趙先生這樣的中小企業面臨著巨大的信息安全風險,越來越多的大型企業也成了各類網絡攻擊的靶子,并且紛紛中招。
2012年6月,黑客組織Swagger Security發動攻擊,隨后宣布成功入侵了華納兄弟和中國電信的網絡,并將兩家公司的相關文件和安全證書公之于眾。對此,Swagger Security還調侃道:“對于他們來說,幸運的是我們并沒有摧毀他們的基礎設施而讓千百萬用戶無法使用通訊服務”。
盡管Swagger Security和相關方并沒有公布此次網絡攻擊造成的損失,但部分安全專家認為,從Swagger Security的表態看,他們似乎具有讓華納兄弟和中國電信的網絡徹底癱瘓的能力,不管事實是否如此,對于這兩家公司而言,重建一個安全可靠的網絡都將花費天文數字,如果網絡癱瘓其后果令人不寒而栗。
美國媒體報道,2012年10月,匯豐銀行在全球多個地區的網站遭到黑客攻擊。其中,香港匯豐銀行網站上的個人理財客戶一度無法登錄。匯豐銀行在倫敦的總部隨后公告稱,旗下全球服務于香港時間2012年10月19日商務11時恢復,客戶的個人數據并沒有造成影響。同期,美國銀行、富國銀行等多家美國銀行相繼遭受到類似的黑客攻擊,網上理財服務均無法正常登錄。隨后,一個黑客組織宣布對攻擊事件負責。
對于上述攻擊行為,有互聯網安全專家告訴《經濟參考報》記者,看似黑客沒有對這些銀行造成實質性的損害,但可以想象的是,如果黑客的攻擊不僅針對這些銀行的理財服務,而是針對更多的普通用戶,一定會引起巨大的恐慌。
Gartner報告還指出,近年來披露出的針對大型企業的網絡攻擊案例顯示,一些企業開始越來越多地使用不法網絡攻擊來打擊自己的競爭對手,或者直接竊取對手的商業機密,以保持自身的競爭優勢。
2012年2月Swagger Security宣布對蘋果的供應商富士康進行了網絡攻擊,隨后公布了大量富士康高層和富士康客戶的信息和密碼,其中包括富士康CEO郭臺銘的電子郵件和密碼。
Swagger Security宣稱,有了這些信息和密碼,就可以假冒微軟、蘋果、IBM、英特爾、戴爾等富士康的客戶名義向富士康下假訂單。多數安全專家認為,一旦這些信息被別有用心的人所利用,將可能擾亂富士康的正常生產,并有可能迫使其客戶以“安全”為由,選擇其他的代工廠商。
在互聯網安全大會上,更有安全專家假設,如果有人掌握了郭臺銘的電子郵箱,就可以很輕松地了解富士康的生產細節和財務狀況,能夠在市場上精準地對富士康的股票進行買空賣空;或者通過了解蘋果、微軟等公司的產量,來進行股票買賣進而獲利。
新型攻擊防不勝防
讓多數企業頭疼的是,新型網絡攻擊不斷出現,企業更加防不勝防。此次會上,多位參會專家向《經濟參考報》記者介紹,近年來出現的新型網絡攻擊APT(高級持續威脅,Advanced Persistent Threat)對大型企業,特別是銀行等金融機構的針對性正在日益加強,對其造成的威脅也越來越大。
參會的金融界人士指出,和西方國家相比,我國銀行等金融機構所采用的IT系統安全防護相對薄弱,但卻儲存有大量具有價值的金融信息,因此很有可能在未來成為APT集中攻擊的對象。
參加本次大會的360副總裁譚曉生向《經濟參考報》記者介紹,所謂“APT”,是近年來興起的一種新型網絡攻擊方式,根據目前全球范圍內披露的APT攻擊案例,銀行等金融機構已經成為其最主要的攻擊目標,被攻擊案例次數僅次于各國政府部門被攻擊的次數。目前,包括韓國、瑞士等國的金融機構均報告遭受APT攻擊,出現不同程度的金融信息泄露。
譚曉生介紹,APT一般會以惡意郵件、木馬等傳統網絡攻擊形式發起攻擊,一旦攻破金融機構工作人員的電腦,將一步步滲透進金融機構IT系統的核心,竊取金融機構最具價值的金融信息,甚至對其IT系統進行控制。這一過程一般較為緩慢,可以持續3到5年,因此發現和預防都十分困難,對金融機構造成的損失也難以估量。
2013年3月20日,韓國爆發大規模APT攻擊,此前潛伏在多家韓國金融機構中的病毒突然爆發,致使多家銀行的內網電腦黑屏、網絡凍結,信息系統幾乎癱瘓,等到業務完全恢復,已經是四五天之后。事后,有網絡安全人士在調查后發現,多種跡象表明此次發起APT攻擊的病毒,至少在半年前就已通過各種渠道,潛伏在被攻擊的銀行中,這說明攻擊者早就瞄準了攻擊對象,并策劃了周密的攻擊計劃。
盡管韓國媒體稱,這次大規模攻擊并沒有給韓國銀行造成太大損失,但據參會的互聯網安全領域專家介紹,“至少遭到攻擊的韓國銀行的IT系統已不再安全,為了確保金融信息安全,需要更新所有系統,包括基層員工的電腦,甚至手機。每一家銀行付出的花費將是10億美元級別。而在更新系統期間,銀行儲戶的錢還有被‘偷’的危險”。
趨勢科技(中國區)網絡安全監測實驗室報告顯示,2013年已偵測到針對國內金融機構的APT攻擊,并發現了被命名為“證券幽靈”的惡意病毒。該威脅極具“智能”,針對金融行業IT管理人員和網絡服務節點服務器進行攻擊,并尋找金融機構的系統漏洞進行全網控制。一旦將金融機構的內部網絡控制,病毒的非法行為將被視為正常通信和授權操作,其后續可能造成的金融信息泄露危害不可估量。一旦全面觸發,金融用戶將面臨歷史上從未遭遇過的沉重打擊。
中字頭銀行參會人士告訴《經濟參考報》記者,目前國內銀行IT系統的安全性不容樂觀,盡管目前尚未出現被攻擊的案例,但由于儲存有大量金融信息,在未來很有可能遭受大量APT攻擊。特別是今年已經檢測到針對金融機構的APT攻擊案例,這意味著包括銀行在內的國內金融機構,正在進入被攻擊的高危階段。
企業急建“防火墻”
面對巨大的信息安全風險,多數企業已經意識到了其可能帶來的巨大損失,正在開始積極建立各自的網絡安全“防火墻”。
太平洋保險集團(以下簡稱“太保”)首席信息安全管理專家張軍介紹,從2012年統計報告來看,造成安全事件的應用漏洞占了總體漏洞的88.7%,全球平均下150天以上受漏洞影響企業占55%,其中教育、通訊、金融和保險等行業影響較大。這些數據已經給國內企業拉響了企業信息安全的紅色警報。包括太平洋保險在內的很多大型企業,對企業信息安全越來越重視,并做出了實質性的安全防護。
張軍介紹,太平洋保險很早就制訂了應用安全方面的標準和規范,并開始實施系統上線的黑客的掃描,同時部署了主動防護系統。在運維階段,太保對電商的應用進行定期檢查,發現問題立刻納入了公司漏洞管理和缺陷管理進行分析和跟蹤;在治理方面,太保形成了較為完善的IT治理架構,2012年成立了集團IT中心下設五個功能領域來防范各類信息安全問題;在安全驗證方面,主要由安全部和測試部共同實施,采用自動和人工兩種方法進行安全驗證,一是對漏洞進行掃描,及時發現漏洞和跨站等問題。二是利用手工驗證方式進行功能驗證,發現一些異常處理權限控制、文件管理和匯報管理等,與一些不符合設計要求的地方。并對漏洞進行及時封堵。
事實上,像太保這樣具有自建企業信息安全防護體系的企業并不多,多數企業仍需要網絡安全公司提供相應的服務。而目前隨著企業對信息安全需求的日益加大,國內主流安全廠商正在積極開發新一代的企業級信息安全“防火墻”。
360CEO周鴻祎介紹,目前360已經完成了對國內多家有實力的中小互聯網安全廠商的收購,并針對企業需要推出了多款企業級安全產品和服務。未來360還將聯合其他業內企業,共同為國內企業提供可靠的安全服務。在本次大會上,360公布了正在研發的企業級安全服務“天眼”,可以把企業的各類流量關進“沙箱”中運行,層層分析后再將安全流量導出,防止未知程序對企業IT系統進行破壞。目前,類似的產品已在美國等國家被大量使用,而360的“天眼”已經通過國家權威部門的測試,將很快服務于企業級用戶。
網康CEO袁沈鋼和綠盟科技副總裁吳云坤則在大會上透露,網康和綠盟科技已經研發出新一代防火墻產品。新一代防火墻不但能夠幫助企業預防傳統網絡攻擊,還能有效地預防新型網絡攻擊對企業IT系統造成侵害。更重要的是,下一代防火墻產品可以根據用戶的特定需要進行定制,將極大地增強用戶的網絡和信息安全。
多位參會專家表示,隨著APT等新型網絡攻擊的出現,企業對自身信息安全的需求會越來越大。Gartner報告顯示,我國企業級安全需求巨大,在國家工商總局注冊的超過1100萬家企業中,絕大多數企業已接入互聯網,但卻缺少安全可靠的IT系統。會上,有互聯網安全廠商負責人表示,根據歐等國家的經驗,在未來兩三年內,國內企業的信息安全意識將快速覺醒,多數大中型企業會開始建立專門的信息安全體系,以及與之配套的防護措施。