在全新的互聯網安全形勢影響下,原有的網絡安全防護技術體系已基本失效,必須通過創新的方法來迎接和應對這些新的挑戰。為了搭建一個最新信息安全技術與解決方案的交流平臺,9月23日,由中國互聯網協會和國家計算機網絡應急技術處理協調中心(CNCERT/CC)指導,360公司主辦的2013中國互聯網安全大會(ISC)在北京國家會議中心舉行。
360將發布神秘“天眼”
會上,主辦方360公司董事長兼CEO周鴻祎發表演講,對網絡安全進行了重新定義。他指出殺毒軟件已經成為網絡安全中很小的組成部分。用戶在使用電腦的時候,開機速度變慢、操作反應遲緩都會被認為是“安全問題”。周鴻祎表示,目前網絡安全已經不單單是一家企業能夠滿足的,隨著未來安全威脅不斷擴大,360非常希望能和安全行業的同行大家共同合作,也很愿意把360公司好的技術,特別是在終端方面一些好的產品理念與大家來分享。
周鴻祎透露,360將發布神秘產品“360天眼”。他介紹,國外有一家專門做APT防御的公司“fireeye”剛剛上市,美國國防部等都在用該公司的產品,大概原理就是把企業的流量關進沙箱運行,層層分析后再將安全流量導出,未知程序禁止。360公司已經有同類的產品“360天眼”,即企業全流量偵聽和未知威脅捕獲產品,已經通過國家權威部門的測試,產品很快就會發布。
網絡安全成為全球性問題
“毫無疑問,網絡安全已經成為新的戰場,那些虛弱的網絡必然會傷害到國家的創新”。9月23日,國際資深網絡安全專家詹姆斯·劉易斯在ISC上表示,“網絡時代沒有人是絕對安全的,就好像斯諾登告訴的一樣,但我們可以創造一個更安全的網絡空間”。
詹姆斯·劉易斯是中美網絡安全“二軌對話”的主持人,奧巴馬政府的“網絡安全智囊”。作為國際公認的資深網絡安全專家,他認為互聯網已成為全球經濟中最重要的基礎設施,但是當前的互聯網設計并不安全,由此給國家和社會帶來諸多安全威脅。
針對一觸即發的網絡戰爭和日益增長的網絡威脅,詹姆斯·劉易斯卻也表示出了謹慎的樂觀態度,他說:“網絡空間和互聯網并不難管制”,國際社會正在定義在網絡空間中負責任的行為,目標是讓網絡空間正規化。
另外,大會還邀請了高德納(Gartner)咨詢公司研究副總裁彼得·福斯特布魯克和反病毒測試公司AV-Test公司CEO安德烈亞斯·馬克思等重量級嘉賓出席大會并發表演講。
《互聯網時代的企業安全發展趨勢》報告出爐
在本屆ISC上,國際著名信息技術研究分析公司Gartner攜手360發布了名為《互聯網時代的企業安全發展趨勢》的報告。報告指出,到2020年,以預防為主的安全策略將是無效的或徒勞的。信息保護、快速響應和情報共享將成為信息安全策略基礎的重心。報告還指出中國企業網站安全問題嚴峻:75.6%國內網站存在高危漏洞,缺乏統一管理易形成“木桶效應”,需要建設立體防御體系才能有效解決。
研究表明,到2020年,企業所面臨的安全威脅將會更加多樣化,不僅僅是企業資產,員工個人也可能遭到直接的攻擊。另外,雖然有些企業采用了統籌協調的安全管理,但有些企業的安全管理仍相對松散,因此針對每種不同的具體情況,企業應對攻擊的響應方式也會有所不同。為此,360公司特與Gartner共同合作,通過此次報告希望能夠對大數據、云計算與移動互聯網時代下,企業安全面臨的主要挑戰與未來趨勢進行總結,并針對企業用戶提出具有針對性的建議。
移動網絡安全成焦點
隨著移動互聯網的普及,移動安全問題也成為此次大會的焦點之一。在9月23日下午舉辦的ISC移動安全高峰論壇,座無虛席,吸引了許多業界人士參與。
在論壇上,360首席科學家、北萊羅納州大學蔣旭憲教授同360移動研究院高級研究員周亞金發表了題為“定制Android操作系統的安全隱患”的演講,并在現場演示了黑客如何利用定制手機引發的漏洞,導致惡意程序任意偽造來自銀行的短信。
演示過程中,在座嘉賓看到,這些銀行短信并非真實銀行所發,而是由惡意程序偽裝而來,且銀行短信內容及發送號碼可被任意控制,也就是說,除銀行短信外,還可偽裝成親友號碼等更多的釣魚短信,使接收用戶喪失安全警惕,因此該類漏洞所出現的惡意程序具有非常大的迷惑性。
結果顯示,當前手機廠商的定制會引入非常嚴重的安全漏洞。惡意軟件可利用這些漏洞來獲取系統權限,后臺靜默安裝應用以及發送釣魚短信等等。同時,在分析的手機中,64%到85%的漏洞都是由于廠商的定制所造成的。不僅如此,同一廠商的安卓手機的漏洞并不一定會隨著新型號的發布而減少。相反,新發布的手機有可能比舊型號的手機有更多的漏洞。
周亞金現場用一部紅米手機做了演示,利用紅米的一個漏洞,獲得了最高控制權限,幾秒鐘后,手機內的聯系人、短信等各種信息,都被上傳到了后臺。周亞金表示類似的情況在定制系統中廣泛存在,安卓手機的安全問題應該得到大家的廣泛重視。
除移動安全外、本屆ISC還舉辦了企業安全、新興安全威脅技術、APT攻擊、軟件安全、云計算、web安全論壇、網絡犯罪與防范、基于云的數據災備恢復與存儲安全等多場專題論壇,吸引了來自海內外的互聯網、金融、電信、能源、工業制造業、信息技術、公共安全等行業的相關人士近萬人次出席本次大會。各信息安全領域的頂尖專家,分別在9個分會場進行超過50節次的專題演講。