网络入侵频繁 有利于安全技术的发展

　　几年前，思科公司首席安全官（CSO）John Stewart忙于四处灭火，解决最新爆发的计算机病毒或蠕虫。但随着安全系统的提升和网络威胁的不断变化，Stewart的工作内容随之变化。最近，Stewart和他的团队新锁定的目标就是觊觎公司隐私的网络入侵者。Stewart领导思科公司全球安全小组及其他与安全相关的小组，他和他的员工一起为公司的网络提供安全保护，而这个网络中拥有大约5万名用户、6万台PC，还有超过5万个VoIP电话。

　　在思科的工作经历印证了权威所说的只有在各个方面日积月累的努力才能保证世界级大型组织机构的安全。Stewart要面对企图通过安全漏洞获得金钱利益的犯罪组织。这些入侵者现在以应用为目标的入侵行为日益增加，超过了以操作系统代码为目标的入侵行为。但Stewart说，企业所面对的最大的威胁是无组织的数据。最近，Stewart接受了CNET News.com的采访并解释了他所担忧的事情以及可能的解决数据泄露的方案。

　　记者：是什么让您希望能够休个假？

　　John Stewart：世人认为没有新闻就是最好的消息，从而自欺欺人。事实上，从某种角度看入侵威胁成为主流焦点也是一件好事。它引起了人们的关注，并提醒每个人入侵威胁将是一个值得思考的问题。但是现在来看，僵尸网络并没有进入防御计划范围之内，入侵者采用的是缓慢的入侵方式。虽然没有发送大量垃圾邮件，没有生成大量的控制链但这并不表明网络是安全的，相反可能有全新的更具侵略性的入侵方式觊觎着我们的网络。

　　记者：您所说的是雷达扫描下，目标明确的入侵吗？

　　John Stewart：目标明确或者不明确的入侵都能被雷达发现。一种是显而易见的，以组织机构为目标。另一种入侵虽然表现不活跃，被感染的向量也还很传统，不会立即导致计算机马上显示任何病态特征，但也是致命的。它在一段时间内会保持沉默，只是向外发送信息，尽快的占用CPU和硬盘，并迅速向外传播。由于这种攻击意图不容易被发现，所以没有人知道它们的目的就是获得信息，这就很不容易被发现。坦白地说，它们的技术水平正逐步成熟起来。

　　记者：权威人士称消费者正受到僵尸网络的袭击，入侵者的目标是不是在于盗取企业的商业机密？僵尸网络对于思科来说是否构成威胁？

　　John Stewart：我们具有与消费者同样的问题，但是与消费者的网络相比，我们的信号机制能使我们更快的控制局面。我们还有一个能够保护我们的网络，这与免费开放的互联网是不同的。我们企业拥有专职团队以及IT专家。

　　记者：也就是说您之所以能够对付僵尸网络是因为做好了充足的准备。

　　John Stewart：完全正确。

　　记者：所以在思科内部不存在僵尸网络的问题？

　　John Stewart：我可不能这么说。僵尸网络是可以管理的。一般来说，如果有僵尸现身，我们会发现的。但并不是我们的网络中不会出现僵尸，而是我们能够很快发现并将其关闭。这对于消费者来说是不同的。

　　记者：如果僵尸网络得到了控制，您还担心什么别的问题呢？对于那些目标明确的袭击，您是如何处理的？或者您是否知道什么时候发现才算无药可救？

　　John Stewart：现在，我会说还没发现针对此类袭击的解决方法。安全行业主要为我们提供很多查明问题的能力，但是无法知道这些问题之间的关系。如果你能够发现不同类型的系统之间的联系，那么就能很快发现问题。还有一个让我寝食难安的问题就是不断变化的目标。操作系统厂商一直都是靶子，但由于操作系统厂商在不断改进，所以入侵者又瞄上了应用程序范畴。应用程序是或下载数据的，但也是无组织的。

　　记者：您是否担心Office应用中的零日攻击？

　　John Stewart：我的确不放心。我对中捆绑的任何第三方都不放心，例如：PDF缺陷，即时消息蠕虫等等。这是一项复杂性远远超过操作系统缺陷的工作。基于这个问题还有基础架构方面的问题，所有的网络开发者都在向存储数据的网络扔出一个又一个应用程序。

　　记者：您的工作角色是不是将会从扑灭大火的消防员转向防止火灾发生的消防栓？

　　John Stewart：我觉得我的角色已经发生了变化。我们依然在灭火，但是三年以前你永远不会知道接下来会发生什么。之前，我在努力发现最新遭到感染的计算机，发现它被人动了什么手脚，并将其关闭。这就是灭火，但是现在我主要不是负责这方面的问题。现在我们所处理的都是潜移默化的火情，不是霹雳火也不是森林大火。我所处理的是以敏感数据为目标，而不是大面积的爆发的，我甚至不担心大面积爆发的威胁，所以我觉得自己并不像是一位消防队员。

　　记者：您是否相信桌面系统上那些类似白名单或者黑名单等应用？

　　John Stewart：对我来说，白名单比黑名单更为重要。您可以在白名单中找到让您充满信心的因素，可以知道应用是安全的，至少你有理由断定所安装的应用的来源是已知的。如果出现任何问题你知道应该去找哪个厂家。从另外一方面来说，黑名单能够自动避开某个从来没有出现过的应用。我更愿意关注那些未知的应用，这些应用可能是好的，也可能是不好的，但是我们会区别对待。

　　记者：您是否使用白名单或者黑名单一类的工具？

　　John Stewart：从某方面来说，思科Security Agent就有一点像是白名单工具。它会告诉我们哪些行动和应用已经获得了许可。

　　记者：您如何看待现在随处可见的可以保护企业敏感数据不被泄露的工具？

　　John Stewart：我们也遭遇到一些无组织的数据发生泄露的问题。这是一个新兴的重要市场。我已经在留意这个市场，因为在数据中心，如果你知道某些数据有可能流失，就需要设定一些范围并进行保护。同样地，如果你拥有某个沟通工具，借用这个工具您能够满怀信心的进行企业之间的数据交流，那么您就应该确保交流进行时所传输的数据仅限于需要传输的数据。

　　记者：目前还没有解决办法吗？

　　John Stewart：目前还在研究之中，很多家企业都以不同的方式接近这一目标。有些企业可能退回到主机时代，也就是所有数据都处于可以控制的环境；另外一些企业可能会认为数据需要移动和处理，并声称只有符合某种标准的数据才可以进行移动。

　　记者：如果您能为安全和您的工作许一个愿的话，您会许下一个什么样的愿望？

　　John Stewart：我希望能有一个标准开放，普遍采用的数据标识机制。这个机制能够决定数据迁移的标准。一旦这一标准制定完成，每个发出信号的系统都能查找这些标识，然后你就能够知道数据是否到达了不正确的位置。你知道数据是如何移动的，如果数据流向不对，你还可以重新指定方向。例如，你能够发现某个本不应该获得数据的点成为了数据流向的目的地。你可以让网络监控传递中的数据，无需监控数据内容，只对数据的级别进行监控。

　　记者：现在已经有这样的机制吗？

　　John Stewart：现在只是非常初级的阶段。微软、Adobe和Open Office都在努力，但是他们都还没有完成这个开放标准的基本组成部分。