爱华网引领网络安全产业变革 9月23日,由中国互联网协会和国家计算机网络应急技术处理协调中心(CNCERT/CC)指导,360公司主办的2013中国互联网安全大会(ISC)在北京国家会议中心举行。作为国内规模最大的信息安全专业会议,ISC由互联网安全主题会议、专业技术论坛等多种形式组成,汇聚了近百位全球顶级信息安全专家,一起聚焦新时代的安全变革。 随着移动互联网的普及,移动安全问题也成为此次大会的焦点之一。360首席科学家、北莱罗纳州大学蒋旭宪教授、360移动研究院高级研究员周亚金发表了题为“定制Android操作系统的安全隐患”,并在现场演示了黑客如何利用定制手机引发的漏洞,导致恶意程序任意伪造来自银行的短信。这些银行短信并非真实银行所发,而是由恶意程序伪装而来,且银行短信内容及发送号码可被任意控制的,也就是说,除银行短信外,还可伪装成亲友号码等更多的钓鱼短信,使接受用户丧失安全警惕,因此该类漏洞所出现的恶意程序具有非常大的迷惑性。 结果显示,当前手机厂商的定制会引入非常严重的安全漏洞。恶意软件可利用这些漏洞来获取系统权限,后台静默安装应用以及发送钓鱼短信等等。同时,在分析的手机中,64%到85%的漏洞都是由于厂商的定制所造成的。不仅如此,同一厂商的安卓手机的漏洞并不一定会随着新型号的发布而减少。相反,新发布的手机有可能比旧型号的手机有更多的漏洞。 周亚金现场用一部红米手机做了演示,利用红米的一个漏洞,获得了最高控制权限,几秒钟后,手机内的联系人、短信等各种信息,都被上传到了后台。周亚金表示类似的情况在定制系统中广泛存在,安卓手机的安全问题应该得到大家的广泛重视。 360认为,在全新的互联网安全形势影响下,原有的网络安全防护技术体系已基本失效,必须通过创新的方法来迎接和应对这些新的挑战。本届ISC旨在为国内外关注互联网安全的行业同仁,搭建一个最新的信息安全技术与解决方案的交流平台。 此次互联网安全大会还得到了网络安全应急技术国家工程实验室、灾备技术国家工程实验室、OWASP、Gartner等众多国内外知名机构的支持与深度参与,同时引入SyScan360等专业安全前瞻性技术峰会,与会规模、专业度及影响力均开创了国内信息安全会议的最高先河。 360将发布神秘“天眼” 移动网络安全成焦点 在本届ISC上,Gartner携手360发布了名为《互联网时代的企业安全发展趋势》的报告。报告指出,到2020年,以预防为主的安全策略将是无效的或徒劳的。届时,信息保护、快速响应和情报共享将成为信息安全策略基础的重心。中国企业网站安全问题严峻:75.6%国内网站存高危漏洞,缺乏统一管理易形成“木桶效应”,需要建设立体防御体系才能有效解决。研究表明,到2020年,企业所面临的安全威胁将会更加多样化,不仅仅是企业资产,员工个人也可能遭到直接的攻击。另外,虽然有些企业采用了统筹协调的安全管理,但有些企业的安全管理仍相对松散,因此针对每种不同的具体情况,企业应对攻击的响应方式也会有所不同。 360公司董事长兼CEO周鸿祎指出杀毒软件已经成为网络安全中很小的组成部分。用户在使用电脑的时候,开机速度变慢、操作反应迟缓都会被认为是“安全问题”。周鸿祎 表示,目前网络安全已经不单单是一家企业能够满足的,随着未来安全威胁不断扩大,360非常希望能和安全行业的同行大家共同合作,也很愿意把360公司好的技术,特别是在终端方面一些好的产品理念与大家来分享。 周鸿祎透露,360将发布神秘产品“360天眼”。据悉,国外有一家专门做APT防御的公司“fireeye”刚刚上市,美国国防部等都在用该公司的产品,大概原理就是把企业的流量关进沙箱运行,层层分析后再将安全流量导出,未知程序禁止。360公司已经有同类的产品“360天眼”,即企业全流量侦听和未知威胁捕获产品,已经通过国家权威部门的测试,产品很快就会发布。
