网络信息安全的发展趋势遐想

互联网行业变迁迅速,我们这一代IT人都是亲眼目睹、亲身经历的。当驱动着和支撑我们的日常生活、学习和工作的各类应用、数据都分布于云端之后,未来还会发生什么呢?世界将走向何处呢?

您可能觉得这个话题太大,远离了我们的视野范围。其实“人无远虑、必有近忧”,至少对我来讲,在网络信息安全领域,我们需要有一定的远见。昆明亭长朗然科技有限公司创始人董志军总结说:本人做了多年网络安全技术工作和企业信息安全咨询工作,经历过一波又一波安全控制产品和技术的热潮,目睹着一批又一批一夜暴富的安全厂商和竞争失利暗淡出局的昨日黄花。

说到这儿,相信您也会深有同感并心生感叹,我们都希望能够预见未来,以便做出正确的决策。安全领域的未来将是怎样的呢?

首先,云端的优势越来越明显,而终端也越来越多样化和移动化,传统的接入管道和网络边界的会逐渐变成人们视而不见的基础设施,虽然不会消亡,但不能一直处于扩充态势。这样看来,那些内网安全、网关安全之类的措施,与云端化和移动化大趋势不够契合,所以在未来的日子,这些类型的产品也会成为配角,需求少了,厂商的日子也会越来越艰难。

其次,随着消费者对隐私保护的关注、运算能力的增强、安全证书的降价普及,加之防线路窃听和中间人攻击的刚需,端对端的加密传输必将大行其道。这样一来,那些靠协议分析的网络安全产品将失去用武之地。虽然加密保护了消费者的隐私和数据传统的安全,但是却不被监管机关喜欢,他们需要能实时解密的利器,以便进行追踪和审计。处于云端的服务商自然必须得向管理当局提供特殊的用于解密的密钥,但是管局显然不会满足于解密大众的主流化网络应用,其实我们也知道,管理当局直接让服务商派专员入驻提供现场服务的情形更为常见。只是,管理当局真正想要的宝贝是对常规性的加密协议进行解密的利器,目前估计也只有美国的监管机构有这个能力,但是这种能力我国早晚得拥有,而且是不公开的拥有。这里面关键的不见得是技术难题,而是整合能力,那些和政府机构关系密切的厂商如何能抓好这个机会,必将挖出一个大金库。

最后,终端安全已经被360和BAT这些大腕们搞到没一点儿利润空间,所以有不少厂商将目光放到云端安全。这里面可以搞的创新就很多了,把传统的网络安全服务搬到互联网云端是最快捷的了。但是这里面有个问题,是网络安全厂商的顾客们往往是政企大客户,受制于互联网保密等法规的限制,他们不可能完全开放地拥抱互联网。所以,互联网安全的消费者主流只能是非政府控股的机构——大量的中小企业和个人家庭用户,而他们的信息化水平和互联网安全意识太低,似乎只相信360和BAT。想搞定又能搞定360和BAT的,又有多少呢?当有这个水平的时候,或许早被人高薪挖去了。剩下的那些只靠整几个WEB安全漏洞,忽悠稍小一点又能有钱的互联网服务商,意欲从中分一杯羹。说到Web安全,很多渗透测试人员自称“安全专家”也不脸红,说到底就是一个会使用扫描探测工具和远程溢出工具的“脚本小子”,根本不懂WEB软件编程,和开发人员聊报告的时候就瞎吹,你说东他说西,说到底,就是厚着脸皮把客户吹晕……

唉,其实说来惭愧,笔者曾经就是这种“渗透测试人员”,只是还有一点良心,觉得做这些渗透测试工作不实在、心里不踏实,还给真正有能力的白帽黑客团体抹黑。要说在业界咱也接触过不少真正的高手,这些高手们话不多,却干活很利索,还经常鼓励人们多学习新东西,多分享新知识。

咱没什么领先的科技知识分享,但是至少可以分享一些对信息安全未来的看法。以后的网络信息安全,必将是一种内嵌式的安全,也就是说安全将成为应用的一部分,没有全面知识体系和深厚的技能积累,只能做些简单的低端的活儿,甚至没有机会。托工业文明、IT互联网和改革开放的福,现在的日子还算是太平和富足,除了吃饱穿暖这些早已经被满足的基础需求,似乎也没有什么是必须的了。年轻的信息安全人,勿贪图享受和玩乐,也勿行尸走肉得过且过,行动起来吧,喜欢与人交流的,可以多学习信息安全管理体系,喜欢与机器交流的,可以多学习各种IT技术……

虽然我不喜欢分享黑客技术,但是并不表示没有分享的或不能够进行分享,而是我更愿意分享反黑客的方法。对此,我们创作了信息安全管理者快速课程,以帮助各类安全管理专员和行业从业人员,从宏观的层面,了解信息安全管理相关的知识,以及反黑客的更广泛更普遍的方法。即使您更喜欢玩儿技术,而不是与人打交道,您也可以了解一些无妨。

如上是本人的一己之见,由于本人知识和经验有限,不管您对此文任何话题有任何的意见,都欢迎您随时通过如下方式快速联系到我。

昆明亭长朗然科技有限公司 董志军

手机:18206751343

微信:18206751343

邮箱:james@securemymind.com

QQ:1767022898

网络窃密问题处理有高招

china-usa-cyber-espionage


近年来,全球领袖大会上的一个重要议题是网络安全,可见网络安全真的成为大国外交战略上的一个重要话题。抛开国际政治,专注于经济领域,跨国网络窃密问题更受商界领袖们的关注。美国前黑人总统奥巴马在一次商界领袖圆桌会议上表示,中美双方会积极处理商业网络窃密问题。如何处理呢?需要有政治大智慧,需要有专业的技术,也需要有更可靠的招数。

在全球一体化经济大背景下,网络窃密行为无疑是双方的。美国企业界拥有领先的科技创新力,能够借用互联网优势入侵中国的大型企业以及政府决策机构,进而获得竞争上的优势。而崛起之中的中国企业界,对拥有核心科技的饥渴,以及对高端高利润市场的奋扑,无疑也会成为网络窃密的驱动力。

尽管商业网络窃密事件给企业界带来了很大的冲击,但是切断国家网络这种粗暴的做法显然对谁都没有好处,所以商业网络窃密问题会一直持续下去,网络窃密情况已经有数十年了,之前有,现在有,未来肯定还会有。

我们没有办法完全杜绝商业网络窃密事件,但是却能减少这些事件的发生。如何做呢?昆明亭长朗然科技有限公司企业网络安全顾问董志军表示:在利益纷争之下,想从源头上切断企业的窃密念头,似乎难度较大。不过,如果双方强化网络安全领域内的协同执法,建立共通的网络安全法律框架,显然能够会对国与国之间的商业网络窃密以打击。如同“猎狐行动”给外逃贪官们的震慑一样,至少那些跨国企业不敢轻易入侵对方国家的竞争者,不过显然,如果我们过于强调网络主权,实施地方保护一套,那不用使用第三国的网络跳板,直接攻击窃密,谁也没有办法。

这么看来,从国家治理的高度来解决中美之间商业网络窃密问题,最迫切的是建立双方对网络安全的共同认知,进而形成了共通的网络安全法律框架。而互相学习和交流网络安全文化是建立共知的最重要的开端。

除了通过跨国协同机制来压制商业网络窃密的罪恶念头,再有就是增加网络窃密的难度。我国显然虽是网络大国,但并非网络强国。我们的网络安全攻击水平总体上显然落后于美国很多,虽然有少量精英网络安全人才,但整体杀伤力和防御力尚不如美国网军的一个小分队。我国的网络信息安全人才的培育和选拔机制显然不够灵活,关键的原因是大专院校信息安全专业教育课程的实战性不够,而实战性较强的社会培训机构又通常传播网络安全攻防相关的黑客工具,由于过于危害国内互联网,所以得不到认可常常被打压。

如何能够让经过正统教育的网络信息安全专业毕业生能够有较强的动手能力,同时又让社会培训机构出来的学员拥有较强的网络安全守法意识呢?亭长朗然公司董志军说:我们需要在加强网络安全技术培训的同时,强化学生和学员们的信息安全法制及道德建设。从国际范围看,不管是专业的CISSP课程,还是ISO 27001,合规守法(GDPR、网络安全法、个人信息保护法等)及职业道德都有重要的篇幅内容。我们只要强化网络安全人才的守法意识宣传、职业承诺和相关监管,便能将网络安全技术更多地引导来用于正道。

增加商业网络窃密的难度,其实除了专业的网络安全人才之外,最重要的是建立全民皆兵的安全防线。网络窃密早不再是发现未知的或利用未公布的系统安全漏洞,进而获取目标信息系统中的数据,而是利用人性的弱点,发动高级可持续威胁攻击,比如利用自动化的社会工程学攻击工具、窃取员工帐户,长期潜伏慢慢渗透。根据木桶理论或围栏理论,只要有一个环节,一名员工的安全防范意识和相关措施不够,整个企业就可能轻易被大范围高强度地毯式的攻击拿下。

说到底,解决大国利益争端,化解网络安全争执,虽不是我等小民所能有所改变的,但是从身边做起倒是可以的,防范商业网络窃密的关键措施就是强化网络安全文化沟通和建立信息安全意识共知。我们有一部典型的商业网络窃密案例式动画教程,是一名实为商业间谍的“网络侦探”的自白,我们希望它能帮到您,如果您希望预览或者免费获得和使用它,请联系我们。