万众瞩目的RSA大会已经开始,今年的主题是:伟大密码(Great Cipher)胜于利剑。会议上,EMC公司执行副总裁兼EMC信息安全事业部RSA执行主席亚瑟·科维洛表示,此次在成都举办的RSA大会,他希望安全产业从诸葛亮的时代中,学会很多才智,打造全新的安全理念,并且重视合作与联盟,推动安全产业的进一步发展。
亚瑟·科维洛的演讲内容非常具有中国特色,我们不妨来看看详细内容。
欢迎大家参加在中国举办的第三次RSA信息安全大会。
RSA及其母公司EMC,都很高兴能够参与并支持中国的经济发展,并且目睹全中国各地的均衡发展。这就是为什么去年EMC在成都新开设一家卓越研发中心,也是成都成为今年RSA信息安全大会举办地的原因。
汉朝灭亡后形成了魏蜀吴三足鼎立的局面,当时成都是蜀汉的一个部分,处于传奇人物诸葛亮的英明领导之下。蜀汉在土地面积和资源方面的优势不是特别明显,但天才诸葛亮认为,进攻是最好的防御。由于他设计修建的山口运用了卓越的工程技巧和智慧,整个山区防线很难被突破。他之所以被称之为大师,不全是因为他对敌斗争的巧妙计策,更多的是因为他足智多谋、埋伏设置得精妙。
在诸葛亮所在的时代,还可以找到很多类似之处,我们要向他学习的地方还有很多。
在过去十年间,作为一种无处不在的通信方式,互联网逐渐盛行,随之而来的是,数字内容总量飙升,带宽成倍增长,精明的用户发现了移动设备和应用程序,各个机构开放了自己的基础设施,得到了很高的生产力。最重要的是,就像我们谈到诸葛亮的智慧,就像官方机构一样,罪犯和黑客也在利用其可恶的优势。IT部门一直在很多无效控制的网络边界周围建设安全的基础设施。
这当然不能反映出诸葛亮的所有智慧。
但是,当我去年跟很多人,包括首席信息官、董事会成员谈话时,大家都认为创建一个新的网络安全模型意义重大。是怎样一个安全模型呢?一个以智能为基础且囊括许多组成部分的安全体系。首先从定性方面看,是对风险的透彻理解。其次是以技术为导向,利用基于模式识别和预测分析的灵活控制,并利用大数据分析,来解析从多种来源得到的数据,从而获得及时可操作的信息。此外是对拥有可以操作系统的配套技能的人员的需求。最后,以智能为基础的安全需要大规模的信息共享。
那么是什么原因阻碍了对该模型的采纳?安全预算的惯性算一个原因。很长一段时间以来,各机构会花费80%的预算在预防上,15%花在监测和检测上,还有5%花在响应上。现在想想你自己的预算如何分配的。
这样分配预算的问题是,绝大多数的费用仍然放在预防性的、基于网络边界的、静态不灵活的技术上。即使是花在监测上的费用,也比花在网络入侵防御系统(IPS)上的要多,仍然属于基于网络边界的技术。在这样一个开放的时代,我们也能够预料到成功的网络入侵,即便相关的预算不可避免,我们必须转移费用支出。在没有重新平衡这项费用的情况下,转移重心就会变得越来越困难,如果还没有准备好,你就要具备及时发现网络入侵的能力,以及快速响应的能力,以避免损失。
还有什么原因阻碍了采纳该种安全模型?响应能力,不只是技术问题。我们都面临着一个严重的技术短缺的困境。近期研究结果显示,23%的企业承认他们的IT部门内存在安全技能"短缺问题"。据我所见,其余的都在撒谎。据Frost&Sullivan公司估计,2010年全球安全专业人员的数量为225万人。到2015年,该数字将增长近一倍至425万人。从哪里找这么多安全专业人员呢?
然后,还有什么问题呢?坦白地说,政府间的合作并不充分。美国和中国都制定了保护其知识产权以及和平使用网络的相关政策,但作为世界上两个最大的经济体,拥有最多的互联网用户,这两个国家需要做更多工作把这些政策转化为行动,从而引领世界其他国家和地区前行。
为什么没有出现这种情况?接下来就是阻碍采用新安全模式的最后挑战,缺乏了解。不只是政府,整个媒体、消费者和公共机构和私人机构都缺乏了解。
之所以存在这些力量阻碍对安全模式的采纳,是因为安全模型不足以快速从基于网络边界的安全向基于智能的安全过渡,而且对手又变得更加复杂。
关于该做什么的困惑比比皆是,不管是复杂的机构还是简单的机构,对此的困惑有增无减,多数是关于人员资质问题。这是最可怕的是,大小不是问题。这里,我来举个例子说明一下网络安全成熟度的频谱。从左到右,这四个区块分别表示最不成熟到最成熟。
在控制这个类别中,还在采用最初级的方法,不能发现问题,或看得不够远。他们只想绕开问题。给我一个盒子或一个软件,我设置完就没事了。
我把这些称之为蒙在鼓里的问题。如果他们没有完全被攻破,他们不是一个僵尸网络中的一个节点就很庆幸了。
在合规这一类中,机构只想勾选一个框,告诉他们已经合规。他们有严格的监管体系,更关心的不是在做什么事情,而是关心形式问题。他们似乎并不了解的是,一个良好的治理模式,彻底了解风险和相关的减灾能力,将把做正确的事摆在首位,合规只是一个副产品。
公平地说,他们通常是受到来自上级或监管机构的极大压力。
在IT风险这一类中,组织了解威胁的危害,并采取正确步骤,以创建其安全基础设施。这个类别仅稍稍落后于企业风险类别。
已经达到商业风险类别的机构成熟度水平最高,他们有机会改变商业模式,以最大程度地利用移动性和云,使其安全基础设施协调一致。IT风险类别是战术性的,商业风险类别则是最成熟、最集中、最具战略性。
为什么你应该关心不断扩大的差距?首先,不太成熟的类别不只是中小规模的组织。其中一些公司规模还相当大,这些公司可能是贵公司关键基础设施的一个部分,或关乎贵国经济增长和健康的宝贵知识产权。这是一个老生常谈,我们的强大程度取决于我们最薄弱的环节,我们前所未有的相互依存着。对我们其中一个的攻击有可能成为对我们大家的攻击。
这就是为什么我们必须按照诸葛亮的智慧来理解我们所处的环境。我们必须积极适应并作出相应改变。
因此,我建议:
首先,现在是时候推动基于智能的安全了。一开始我们就应理解,我们开展的风险评估,不仅仅是由内而外,还会由外而内。换句话说,现在不只是你需要保护什么,更重要的是你的对手如何出现在你面前。为了符合成本效益,我们需要从脆弱性、可能性和重要性的几个方面来看待风险。然后,我们就可以重新评估预算,并平衡开支的优先次序。总之,我们要一切从零开始,针对无效技术和没有得到充分利用的技术缩减投资。幸运的是,最近由RSA委托进行的一项研究表明,各个组织开始克服其自身的预算惯性问题。现在的预算,70%用于预防、20%用于监控,10%用于响应。我们正朝着正确的道路前进。最终,应对复杂的、有针对性的攻击最好的防御,就是分层防御。分层防御并不是一系列孤立的控制。分层防御的重点必须放在对态势感知、深入了解和环境敏捷的控制,以阻止、侦测和击败这类攻击。
阻止、侦测和击败。在这个充满高级攻击的世界里,企业不仅需要平衡这三个要素之间的投资,还要改变针对三个要素的解决办法。
在企业重新平衡的过程中,分层防御这个概念应该如何发挥出来?
阻止:我们都需要更加积极主动地进行防御。这里有两个简单的例子。
例如,我们要更加积极主动地使用数据丢失防护(DLP)的方法,来识别那些没有受到足够控制的敏感数据存储,以及给最重要的系统和流程加标签,从而给我们提供更多参考信息,来平衡投资,并探讨未来攻击(的防御问题)。双因素认证具有很大的威慑力,但却不能阻止零日劫持木马。所以,必须通过增强风险分析,来识别异常行为。控制需要增加彼此的价值。
侦测层这段时间正在发生着最显着的变化。如果你想知道"合规驱动"的组织与"风险驱动"的组织之间的区别,就看他们对待这个元素的态度。传统上,利用诸如防火墙、IDS、IPS、防病毒等手段发出警报的组织,希望能收集深刻见解,而这些技术由于缺乏内容和情境,根本无法侦测到异常情况。完全绕过这些防御措施的现代攻击情境,不易被那些基于签名的检测机制所发现。重重伪装,隐匿在合法流量之中,并且对露出的数据进行加密或混淆,从而逃避分类引擎。
在过去的几个星期中,我们的高级威胁情报小组发现了一种新的黑客技术,我们称之为"水坑",主要是躲避防护严密的网络边界。这种攻击依赖于针对特定地区的"木马化"合法网站,攻击者相信,他们希望渗透进入的组织的终端用户会访问其"木马化"的网站。这些网站包括地方公共事业(水电)网站、市政网站、学校网站,类似没有防御能力的小微组织。就像趴在水坑旁的一只狮子等待伏击猎物一样,这些木马化的网站也在默默等待终端用户使用这些日常业务的网站。在这些攻击当中,受害者通常访问的是一个受到感染的"水坑"网站,如银行、学校、公用事业。受到感染的网站,通过插入JavaScript元素,把访问的浏览器重定向到有漏洞的网站。这个有漏洞的网站检查访问的机器运行的Windows操作系统和Internet Explorer版本,然后利用Java客户端访问主机,从而安装一个远程访问木马或RAT。以前,RAT的变种被APT攻击团体用于对目标网络的内部情况进行监视,收集情报。在其他功能中,这种形式的恶意软件能够暗中操作受感染个人电脑的网络摄像头和麦克风。你的员工很容易把威胁带入公司,并接入贵公司的网络。有关网络边界防御的投资问题,我就讲这么多。
要击击败这些攻击,企业需要利用新的先进监测能力。他们需要具备的能力,不是简单地检查每个数据包的流量和每个相关的日志文件,而是要说得出这些数据的意义所在。他们要找到常用网站中的非标准流量。
" 流量中含有可疑附件或加密的有效载荷。
" 通常源于终端用户端点的流量,来自服务器。
" 表面上看起来正常的流量,其目的地不寻常(可能在观察名单上)。
一旦我们发现这些异常,我们需要具备实时挖掘问题和快速提问的能力。
" 是谁发送的这些异常?
" 我们在网络环境中哪里还看到过这种异常情况?
" 与系统有何联系?
" 我们在其他组织中看到过这种行为吗?
我们回答这些问题的速度,取决于大数据分析的情况,以及我们战胜自己的能力。除非我们有能力利用外部情报来源,对来源于组织内部的大量数据流进行分析和关联,否则,我们将无法产出具有可操作性的信息来关闭并挫败攻击。
不过,即使企业拥有了这些技术工具,还需要拥有合适的人才来使用。
因此,我不得不说,技能短缺的确是个问题。我相信,大多数企业都无法得到和留住足够的合适人才。"合适"的人才是指接受过丰富教育和培训,并在政府或行业的反诈骗机构中任职的人员。换句话说,强调安全分析的能力,弱化传统安全或IT基础设施方面的能力。幸运的是,诸如清华大学、复旦大学、中国人民大学以及位于成都的大学,如四川大学、电子科技大学、成都理工大学,这些高校的本科和/或研究生课程可以输送富有活力的青年人才。
但对于无法形成规模的企业来说,你会看到更为复杂的基于云的安全托管产品。我在这里说的不是传统的托管式防火墙和VPN。我要说的是身份管理、高级事件响应和"安全分析中心"的服务。为什么呢?因为我们不得不保护私有云、混合云和公共云的安全。所以提供安全服务是一种自然进化。不过,云提供商和云安全提供商必须给企业展示并证明,他们的风险缓解政策和控制措施在合适的服务级别中卓有成效。
至于政府间合作,我的意见是:我要重申我前些年提出的倡议,即建立政府间、供应商以及用户机构间的生态系统,共同合作促进数字世界中建立更多信任.....促进贸易伙伴之间建立更多信任......无论是两个国家或者仅仅是网络交易的合同双方。
过去我也说过,市场要想有效运作,必须互信合作,才能让买家和卖家都能找到价值并共同努力,使各方都能有所收益并繁荣发展。
在全球经济相互依存的世界里,这也意味着,市场必须在相互尊重各自知识产权的基础上运作。我认为要实现这个目标需要相当长一段时间。
世界经济太脆弱,不提前解决这个问题,风险极大。
为了推动美国在这些问题上取得进展,我建议奥巴马总统任命一个两党委员会,以全面解决这些问题。在国际上,我建议联合国担负起这些问题,惠及所有国家。
我向联合国提出的建议是,随着我们数字社会的发展,我们必须制定相应的法律和规则,让违反规则的人担负相应的责任,且这些法则适用于物理世界和网络世界。我还仍然关注,在一个大规模杀伤性武器绝不能落入恐怖分子手中的不稳定世界中,我们还必须防止大规模杀伤性网络武器的潜在扩散,这些网络武器可能会破坏重要的基础设施、金融系统和电子商务的电子网络。
这就是为什么联合国必须建立一个相当于网络威胁不扩散条约的文件,以确保网络世界的安全性和可靠性,这样才能促进持续创新、合作与繁荣。
最后,我再次引用诸葛亮经典名言:"以众待寡。"让我们大家团结一致应对这一挑战。
谢谢!
