2009年安全業(yè)界的熱點(diǎn)在哪里�����?
信用卡處理公司Heartland Payment Systems在2009年1月20日聲明�����,曾有黑客于2008年入侵了其系統(tǒng)并盜取信用卡信息�����,高達(dá)上億用戶的信用卡信息可能被盜�����。Heartland首席財(cái)務(wù)官Robert Baldwin說:“我們上周發(fā)現(xiàn)了被入侵的證據(jù)�,并立即知會了聯(lián)邦執(zhí)法部門以及信用卡品牌運(yùn)營商�����。
著名安全專家Andrew Jaquith在其相關(guān)的評論文章中(Andrew以其著名的”安全度量“一書而廣為人知)有一個(gè)引人矚目的預(yù)測:互聯(lián)網(wǎng)攻擊者的目標(biāo)將會從成千上百萬的”散戶“轉(zhuǎn)向”服務(wù)提供者“���。因?yàn)楹笳叩摹睌?shù)據(jù)質(zhì)量“更高��,更容易獲利����。級別越高的”服務(wù)提供者“的攻擊價(jià)值也就越大。例如��,Paymentech, First Data, Alliance Data System,等的價(jià)值就比某個(gè)單獨(dú)的”支付卡提供商“要來的高�����,而”支付卡提供商“又要比某個(gè)單獨(dú)的”商家“的攻擊價(jià)值來得高����。
Visa公司在不久前的一篇聲明中強(qiáng)調(diào)了其對于”商家“和”支付卡服務(wù)商“符合PCI-DSS的最后期限:
- Feb.1 2009, Level 1的”服務(wù)商“必須全面符合 PCI-DSS (按照Visa,”服務(wù)商“按照處理交易的數(shù)量分為兩個(gè)等級: Level 1 >300,000 Transactions per year; Level 2 <300,000 Transactions per year)����。
- Sept.30 2009, 禁止Level 1 & 2 的”商家“在處理完交易后存放支付卡信息(按照Visa,”商家“按照交易數(shù)量分為四個(gè)等級: Level 1 > 6M per year; Level 2 6M <> 1M per year; Level 3 20K <> 1M per year; Level 4 < 20K per year)����。
- Sept.30 2010, Level 1 的”商家“必須確保全面服務(wù) PCI-DSS .
上下兩相對應(yīng),可以看出業(yè)界對于電子商務(wù)���、支付卡安全等擔(dān)心和安全增強(qiáng)行動�。雖然PCI-DSS在中國還不廣為人知,沒有得到特別的推廣和重視���,但是可以相信的是��,與支付卡和電子商務(wù)相關(guān)的攻擊威脅卻不會有什么不同��。這對我們普通用戶意味著什么呢��?
灰色經(jīng)濟(jì)一直是這幾年業(yè)界的熱點(diǎn)����,它改變了業(yè)界很多的游戲規(guī)則�,也是現(xiàn)在木馬、蠕蟲�、間諜軟件肆虐的背后驅(qū)動力。如果灰色經(jīng)濟(jì)的進(jìn)攻重點(diǎn)有所改變�,或許也對終端安全這邊產(chǎn)生一些”平衡“效果。
2009年安全是大年還是小年���?前景是”多“是”空“
兩年前的一篇新聞稿引用我的觀點(diǎn)說:”國內(nèi)知名電信安全專家趙糧博士非常感慨,他甚至用“悲觀之極”這個(gè)詞語來形容目前業(yè)界在尋找可靠的IP安全策略時(shí)所遭遇的困境�。在趙糧看來,用純粹的技術(shù)手段解決電信網(wǎng)絡(luò)的安全問題已經(jīng)是一個(gè)不可能完成的任務(wù),從本質(zhì)上就與傳統(tǒng)封閉模式對立的IP網(wǎng)絡(luò)無處不在的特性讓我們已經(jīng)無法預(yù)知威脅將來自于何方���?!?我不想再多評論這篇舊新聞����。矛盾的對立雙方本來就共生共發(fā)展的,一方的消失也意味著另外一方的毀滅���?;ヂ?lián)網(wǎng)(也包含了電信網(wǎng))將會生存并發(fā)展下去�,安全威脅將會發(fā)展蔓延下去,安全產(chǎn)業(yè)也將發(fā)展成長下去���。
著名安全專家Bruce Schneier在Telecom Asia的一篇專訪(”Living in an insecure world“��, P24, September 2008)中提到��,他本人對于未來網(wǎng)絡(luò)安全的前景表示極度樂觀(extremely optimistic)��。他認(rèn)為網(wǎng)絡(luò)安全如同社會�,殺人盜竊等各種犯罪行為從很久很久以前已經(jīng)伴隨著人類有數(shù)千年的歷史了���。雖然我們?nèi)匀粺o法根除甚至制止這些犯罪��,但并不妨礙社會的發(fā)展和進(jìn)步���。我們雖然生活在有犯罪��、并不安全的世界�����、社會里����,但沒有關(guān)系���。社會是有相當(dāng)?shù)膹椥院妥晕一謴?fù)能力的����。 The same thing happens for all threats, and life goes on.
前些時(shí)候有個(gè)帖子介紹了如何在金融危機(jī)時(shí)刻保護(hù)安全預(yù)算�����,在舉目哀鴻遍野����,IT預(yù)算普遍壓縮的今天,安全廠商們的市場發(fā)展和收入取決于IT部門的安全預(yù)算�。令人欣慰的是,在與業(yè)界朋友們的交談中了解到很多企業(yè)的IT預(yù)算并沒有這次金融危機(jī)而遭到大幅壓縮��,而某些企業(yè)反而因此啟動一些安全增強(qiáng)項(xiàng)目�����。另外�,在上面PCI-DSS的強(qiáng)制符合性過程中,應(yīng)該也會產(chǎn)生相當(dāng)?shù)捻?xiàng)目機(jī)會�。
