赵先生是长三角地区一家小有名气的工程公司的经理,9月23日他来到北京,不是为了任何工程的竞标,而是参加中国互联网安全大会。他告诉《经济参考报》记者,作为一个“搞工程”的,他参加此次大会的目的只有一个———“为了不让公司再中‘黑枪’”。
赵先生说,自己的公司工程质量优秀,而且价格合理,在长三角建筑圈内已经打出了一片天地,每年大大小小的工程竞标总能有所斩获。但在过去半年内,公司连续三次竞标都输给了区域内的同一家竞争对手。让人奇怪的是,每次竞争对手,总能以略微低于自己公司的报价中标“就好像知道我们的底细一样”,赵先生这样说。
今年7月,赵先生的公司搬迁,在重组公司IT系统,进行例行安全维护时,维护人员发现,早在一年前公司的IT系统就被黑客渗透,包括之前三次竞标标书在内的大量公司信息被窃取“虽然不能证明是竞争对手所为,但这却为我们拉响了‘红色警报’”,赵先生这样说。
在此次中国互联网安全大会上,像赵先生这样前来为公司的信息安全寻医问药的企业主不在少数。而在此次大会上,企业级信息安全也成为了众多企业主、安全专家热议的话题,众多参会者,特别是曾遭遇“黑枪”的企业更是坦言,面对层出不穷的网络攻击,企业信息安全正在全面拉响红色警报。
大型企业纷纷中招
据第三方调查机构G artner最新网络安全报告显示,目前在中国工商总局注册的企业超过1100万家,随着社会信息化进程的加速,信息化技术在这些企业运营过程中的作用越来越重要,而企业信息化过程中所暴露的安全问题也越来越受到关注。敏感信息泄露、重要数据被破坏、业务系统被非法控制、商业信誉遭到恶意言论攻击等行为,已经成为企业正常经营中存在的重大安全隐患。特别是利用互联网进行的网络攻击,轻则损害企业的经济利益,重则造成重大的社会影响,甚至危及国家安全。
值得注意的是,不仅仅是赵先生这样的中小企业面临着巨大的信息安全风险,越来越多的大型企业也成了各类网络攻击的靶子,并且纷纷中招。
2012年6月,黑客组织Sw agger Security发动攻击,随后宣布成功入侵了华纳兄弟和中国电信的网络,并将两家公司的相关文件和安全证书公之于众。对此,Sw agger Security还调侃道:“对于他们来说,幸运的是我们并没有摧毁他们的基础设施而让千百万用户无法使用通讯服务”。
尽管Sw agger Security和相关方并没有公布此次网络攻击造成的损失,但部分安全专家认为,从Sw agger Security的表态看,他们似乎具有让华纳兄弟和中国电信的网络彻底瘫痪的能力,不管事实是否如此,对于这两家公司而言,重建一个安全可靠的网络都将花费天文数字,如果网络瘫痪其后果令人不寒而栗。
美国媒体报道,2012年10月,汇丰银行在全球多个地区的网站遭到黑客攻击。其中,香港汇丰银行网站上的个人理财客户一度无法登录。汇丰银行在伦敦的总部随后公告称,旗下全球服务于香港时间2012年10月19日商务11时恢复,客户的个人数据并没有造成影响。同期,美国银行、富国银行等多家美国银行相继遭受到类似的黑客攻击,网上理财服务均无法正常登录。随后,一个黑客组织宣布对攻击事件负责。
对于上述攻击行为,有互联网安全专家告诉《经济参考报》记者,看似黑客没有对这些银行造成实质性的损害,但可以想象的是,如果黑客的攻击不仅针对这些银行的理财服务,而是针对更多的普通用户,一定会引起巨大的恐慌。
G artner报告还指出,近年来披露出的针对大型企业的网络攻击案例显示,一些企业开始越来越多地使用不法网络攻击来打击自己的竞争对手,或者直接窃取对手的商业机密,以保持自身的竞争优势。
2012年2月Sw agger Security宣布对苹果的供应商富士康进行了网络攻击,随后公布了大量富士康高层和富士康客户的信息和密码,其中包括富士康CEO郭台铭的电子邮件和密码。
Sw agger Security宣称,有了这些信息和密码,就可以假冒微软、苹果、IBM、英特尔、戴尔等富士康的客户名义向富士康下假订单。多数安全专家认为,一旦这些信息被别有用心的人所利用,将可能扰乱富士康的正常生产,并有可能迫使其客户以“安全”为由,选择其他的代工厂商。
在互联网安全大会上,更有安全专家假设,如果有人掌握了郭台铭的电子邮箱,就可以很轻松地了解富士康的生产细节和财务状况,能够在市场上精准地对富士康的股票进行买空卖空;或者通过了解苹果、微软等公司的产量,来进行股票买卖进而获利。
新型攻击防不胜防
让多数企业头疼的是,新型网络攻击不断出现,企业更加防不胜防。此次会上,多位参会专家向《经济参考报》记者介绍,近年来出现的新型网络攻击A PT (高级持续威胁,A dvancedPersistentT hreat)对大型企业,特别是银行等金融机构的针对性正在日益加强,对其造成的威胁也越来越大。
参会的金融界人士指出,和西方国家相比,我国银行等金融机构所采用的IT系统安全防护相对薄弱,但却储存有大量具有价值的金融信息,因此很有可能在未来成为A PT集中攻击的对象。
参加本次大会的360副总裁谭晓生向《经济参考报》记者介绍,所谓“A PT”,是近年来兴起的一种新型网络攻击方式,根据目前全球范围内披露的A PT攻击案例,银行等金融机构已经成为其最主要的攻击目标,被攻击案例次数仅次于各国政府部门被攻击的次数。目前,包括韩国、瑞士等国的金融机构均报告遭受A PT攻击,出现不同程度的金融信息泄露。
谭晓生介绍,A PT一般会以恶意邮件、木马等传统网络攻击形式发起攻击,一旦攻破金融机构工作人员的电脑,将一步步渗透进金融机构IT系统的核心,窃取金融机构最具价值的金融信息,甚至对其IT系统进行控制。这一过程一般较为缓慢,可以持续3到5年,因此发现和预防都十分困难,对金融机构造成的损失也难以估量。
2013年3月20日,韩国爆发大规模A PT攻击,此前潜伏在多家韩国金融机构中的病毒突然爆发,致使多家银行的内网电脑黑屏、网络冻结,信息系统几乎瘫痪,等到业务完全恢复,已经是四五天之后。事后,有网络安全人士在调查后发现,多种迹象表明此次发起A PT攻击的病毒,至少在半年前就已通过各种渠道,潜伏在被攻击的银行中,这说明攻击者早就瞄准了攻击对象,并策划了周密的攻击计划。
尽管韩国媒体称,这次大规模攻击并没有给韩国银行造成太大损失,但据参会的互联网安全领域专家介绍,“至少遭到攻击的韩国银行的IT系统已不再安全,为了确保金融信息安全,需要更新所有系统,包括基层员工的电脑,甚至手机。每一家银行付出的花费将是10亿美元级别。而在更新系统期间,银行储户的钱还有被‘偷’的危险”。
趋势科技(中国区)网络安全监测实验室报告显示,2013年已侦测到针对国内金融机构的A PT攻击,并发现了被命名为“证券幽灵”的恶意病毒。该威胁极具“智能”,针对金融行业IT管理人员和网络服务节点服务器进行攻击,并寻找金融机构的系统漏洞进行全网控制。一旦将金融机构的内部网络控制,病毒的非法行为将被视为正常通信和授权操作,其后续可能造成的金融信息泄露危害不可估量。一旦全面触发,金融用户将面临历史上从未遭遇过的沉重打击。
中字头银行参会人士告诉《经济参考报》记者,目前国内银行IT系统的安全性不容乐观,尽管目前尚未出现被攻击的案例,但由于储存有大量金融信息,在未来很有可能遭受大量A PT攻击。特别是今年已经检测到针对金融机构的A PT攻击案例,这意味着包括银行在内的国内金融机构,正在进入被攻击的高危阶段。
企业急建“防火墙”
面对巨大的信息安全风险,多数企业已经意识到了其可能带来的巨大损失,正在开始积极建立各自的网络安全“防火墙”。
太平洋保险集团(以下简称“太保”)首席信息安全管理专家张军介绍,从2012年统计报告来看,造成安全事件的应用漏洞占了总体漏洞的88.7%,全球平均下150天以上受漏洞影响企业占55%,其中教育、通讯、金融和保险等行业影响较大。这些数据已经给国内企业拉响了企业信息安全的红色警报。包括太平洋保险在内的很多大型企业,对企业信息安全越来越重视,并做出了实质性的安全防护。
张军介绍,太平洋保险很早就制订了应用安全方面的标准和规范,并开始实施系统上线的黑客的扫描,同时部署了主动防护系统。在运维阶段,太保对电商的应用进行定期检查,发现问题立刻纳入了公司漏洞管理和缺陷管理进行分析和跟踪;在治理方面,太保形成了较为完善的IT治理架构,2012年成立了集团IT中心下设五个功能领域来防范各类信息安全问题;在安全验证方面,主要由安全部和测试部共同实施,采用自动和人工两种方法进行安全验证,一是对漏洞进行扫描,及时发现漏洞和跨站等问题。二是利用手工验证方式进行功能验证,发现一些异常处理权限控制、文件管理和汇报管理等,与一些不符合设计要求的地方。并对漏洞进行及时封堵。
事实上,像太保这样具有自建企业信息安全防护体系的企业并不多,多数企业仍需要网络安全公司提供相应的服务。而目前随着企业对信息安全需求的日益加大,国内主流安全厂商正在积极开发新一代的企业级信息安全“防火墙”。
360C EO周鸿祎介绍,目前360已经完成了对国内多家有实力的中小互联网安全厂商的收购,并针对企业需要推出了多款企业级安全产品和服务。未来360还将联合其他业内企业,共同为国内企业提供可靠的安全服务。在本次大会上,360公布了正在研发的企业级安全服务“天眼”,可以把企业的各类流量关进“沙箱”中运行,层层分析后再将安全流量导出,防止未知程序对企业IT系统进行破坏。目前,类似的产品已在美国等国家被大量使用,而360的“天眼”已经通过国家权威部门的测试,将很快服务于企业级用户。
网康C E O袁沈钢和绿盟科技副总裁吴云坤则在大会上透露,网康和绿盟科技已经研发出新一代防火墙产品。新一代防火墙不但能够帮助企业预防传统网络攻击,还能有效地预防新型网络攻击对企业IT系统造成侵害。更重要的是,下一代防火墙产品可以根据用户的特定需要进行定制,将极大地增强用户的网络和信息安全。
多位参会专家表示,随着A PT等新型网络攻击的出现,企业对自身信息安全的需求会越来越大。G artner报告显示,我国企业级安全需求巨大,在国家工商总局注册的超过1100万家企业中,绝大多数企业已接入互联网,但却缺少安全可靠的IT系统。会上,有互联网安全厂商负责人表示,根据欧等国家的经验,在未来两三年内,国内企业的信息安全意识将快速觉醒,多数大中型企业会开始建立专门的信息安全体系,以及与之配套的防护措施。