即将过去的这个2015年的8月无疑可以称得上是安全圈的“黑八月”,而相较于之前安全事件层出不穷的“黑五月”而言,“黑八月”的意义则完全不同。之所以这么说,是因为这个8月,无论是国际上还是在国内安全界盛会不断,精彩纷呈。
继月初国际颇负盛名的世界黑客大会DEFCON和世界黑帽大会BlackHat相继举办之后,国内安全圈也迎来一波一波安全盛会的高潮。国内久负盛名的XCon首次联手KCon黑客大会成功举办,首届HackPWN安全极客狂欢节举行,一场场干货十足的演讲,一时间让白帽黑客们迎来了近年来最大的饕餮盛宴。而通过这一系列安全界的盛会,我们对于目前的安全发展趋势及焦点也可以窥见一二。
安全问题或让万物互联成噩梦
万物互联时代不可抵挡地到来,安全成未来关注焦点。据Gartner和麦肯锡等调研机构的预测,2015年全球连接到互联网上的设备将达49亿台,而到2020年将超过260亿台。而在万物互联迅速到来的同时,其中的安全隐患或将给我们带来更大的影响。
在BlackHat和DEFCON上,大量智能设备甚至智能汽车被曝出诸多安全漏洞。通过利用这些漏洞,黑客甚至可以控制行驶中的汽车。而与此相同,黑客们同样可以任意控制交通红绿灯、劫持无人飞机,甚至可以控制狙击步枪的子弹发射。如果你觉得这些场景离我们过于遥远,那么在首届HackPWN安全极客狂欢节上,白帽黑客现场演绎破解手环、豆浆机等,这会让你清醒地意识到这一切并不是危言耸听。
与此相关,无论是我们日常生活中平常使用的洗衣机、烤箱、智能电视、还是逐渐兴起的智能家居系统等,这些流行智能设备都能被轻而易举地破解。而据惠普安全曾经做过的一份调查显示,目前逐渐兴起的智能电视、网络摄像头、自动调温器、喷水灭火器、门锁、家用报警器、体重秤等物联网设备,平均每款就存在25个安全漏洞。而随着数十亿有着安全漏洞的设备接入互联网,当这些以往只会在电影大片中看到的场景成为现实,其带来的将是难以估量的灾难性后果。
对于智能设备制造商而言,他们的产品在设计中更加关注的是用户的使用体验和实用性,而对安全方面的考量确实十分欠缺。而即便是在安全公司和白帽黑客们发现产品的漏洞及安全隐患后,因为智能设备厂商安全响应机制的缺乏与极度地不完善,这些问题得到响应和解决的时间也十分漫长,有些甚至无从解决。而这与当下尚未建立起物联网时代的安全响应生态链不无关系。
必须承认的是,在万物互联的当下,智能设备如雨后春笋般兴起,而安全作为其中重要一环尚处于被忽略的地位,而如若不能及时将安全这一重要链条及时链接起来,万物互联的时代也将成为我们的噩梦。
工控安全浮出水面国内外黑客齐关注
工控安全在近两年逐渐被越来越多的提起与关注。纵观国内安全厂商,不少专注工控安全的厂商异军突起,而以往综合性的安全厂商也纷纷在这一领域开始布局发力。可以预见的是,工控安全势必将成为未来安全圈密切关注的重点。
在近期一系列安全圈盛会上,工控安全也成为火热的话题。据悉,在XCon盛会上,来自俄罗斯的黑客、卡巴斯基全球CTO便分享了其对智能电网所存在的安全隐患的议题。他提出,随着越来越多电网设备暴露在互联网上,而相关的安全防护甚至意识层面几乎为零,这为黑客提供了十分便利的可乘之机。而一旦这些智能电网的关键部件设备被黑客掌握,轻则进行敲诈勒索,重则可以引发暴恐行为,后果都将是不堪设想的。
而在KCon大会上,工控安全也是其中一项重要议题。值得一提的是,这一议题的演讲者之一也是KCon史上最小的黑客,一位初中二年级的小黑客。这位小黑客从电网、自来水、通信、智能楼宇甚至天气监控等方面举出详尽的案例,呈现了当下不堪一击的工控行系统安全问题,不禁让在场的黑客们也感到不寒而栗。而这位小黑客也犀利地指出了工控安全问题的关键所在:工控网络在设计之初更多是关于功能性的考量,而对安全性几乎没有过多的重视;二是这些漏洞一旦被别有用心之人所利用,便会引发不可估量的安全事件。而从这位小黑客所列举的诸多工控网络入侵案例来看,“产网不分”是最根本的原因所在。
的确,随着互联网的高速发展,过去相对封闭的工控网络也逐渐接入互联网,特别是在国内,近年来随着“两化融合”脚步的加快,越来越多的工控系统网络在接入互联网的同时,也将关键的部件暴露在互联网之上,而对其的安全保护措施却几乎为零。
不过随着这一问题逐渐被认识到,越来越多的安全厂商也已开始布局研究,工控安全必将在未来很长一段时间内成为安全圈一个重要分支。
当然,“黑八月”所带来的安全盛宴远不止这些,移动安全、基于大数据的行为分析技术、WEB层面的安全攻击与防御等等都是其中不断的精彩议题。而不可否认的是,信息安全正在越来越被国家、企业及全社会所重视,在安全威胁挑战不断的时代,安全产业在经受“最坏时代”考验的同时,迎来的也将会是“最好时代”的发展契机。