科维洛：应对高端威胁的高级防御战略

　　【IT168 资讯】11月2日消息，RSA2011大会今日在北京召开，作为本届大会的主题，延续了年初在美国的主题：“Alice & Bob”。IT168安全频道现场专题报道了此次大会。

▲点击这里查看专题报道

　　EMC执行副总裁兼RSA EMC信息安全事业部执行主席亚瑟.W.科维洛演讲（以下为全文）：

▲EMC执行副总裁兼RSA EMC信息安全事业部执行主席亚瑟.W.科维洛

　　各位早上好，我本人欢迎各位光临RSA大会。

　　今天早上我要借此机会为本次会议即将展开的讨论提出一个讨论框架。首先我会谈一谈IT环境如何变化，然后我会讲到安全系统必须如何使用这些变化，最后我会讲讲必须怎么做才能促进数字化世界和电子商务世界中更多的信任和合作。

　　世界各地的组织都面临着海量信息。去年数字化宇宙中的所有信息接近了2个ZETTABYTE，即过去十年实现了指数的增长，到2020年底，这一数字将增长44倍。但RSA和EMC公司并没有将数字化信息的增长看作需要控制的问题，我们认为数字化数据的增长可以催生出更好的产品和服务，将为能够很好利用这些数据的组织创造出新的经济价值。在现实中除了数据海量增长外我们进行电子交易和分享数字化信息的数量也在急速增加，同时交易和信息分享速度本身也在加快。这是因为出现了一大批基于网络的应用，迁移到云计算以及迅速、广泛的应用，移动消费电子产品，而这种情况特别出现在中国。AI媒体咨询公司去年发现1亿多中国人参与了移动付费交易，其总价值超过1000万元人民币。到今年年初，也就是说9个月之前，已经有3.3亿中国人成为网上银行服务的注册用户。正如赵司长所指出的，中国的上访人数数量大大增加，到2013年中国的移动付费用户数量将达到4亿以上，交易总值约2400亿元人民币。中国移动支付市场成熟的迅速程度是惊人的，它凸现了数字经济中更为根本的变化。也就是说我们可以更广泛的获得受欢迎的产品和服务，同时创新可以带来新的便利。因为有了信息技术，我们前所未有的相互关联，不仅仅是作为消费者或者社交网络的朋友而相互关联，同时在宏观层面上相互关联，作为全球连接的资本市场、商品市场和供应链上的交易伙伴而相互关联。我们所有人面临的挑战就是企业在数字化宇宙中的过度扩张带来了新的脆弱性，而这种脆弱性会被攻击者借机利用。

　　2011年全球各个角落的网络攻击占据了新闻标题，包括3月份美国的RSA和澳大利亚政府受到的攻击，4月份是索尼公司，6月份是谷歌公司，9月份是欧洲的DG，10月份是日本的议会。这些网络攻击出现在头条中，广为人知。在网络威胁不断升级的时代，他们只是冰山一角，如果简单把这些头条新闻归为一类就忽视了一个事实，也就是这些网络攻击涉及不同的攻击者，有不同的动机，使用不同的方法。但是将它们综合起来看，确实提醒我们，传统的信息安全措施不再有效，或者说还不够有效。今天各个组织还在利用常规的安全方法就像马奇诺防线一样来保护自己，而他们的对手则会绕过马奇诺防线。网络攻击者正在利用新的信息技术，更快、更敏捷，更狡诈的轻松的绕过外围的防御。例如，0日恶意软件正在通过网络钓鱼传播，其形式基本是一份貌似非常合理的电子邮件附件或链接。这种附件或链接对传统的外围防御，IDS和防病毒是隐型的，攻击目标不知不觉就下载了恶意代码，然后再您的IT环境周围搭建的防御墙就已经被攻击者侵入了。此类攻击的一个隐含意义是所有的人都已经成为新的边界突破点。

　　中国互联网发展情况统计报告显示，中国互联网用户中有2.17亿人曾是木马和病毒受害者，另外1.2亿人有密码被盗的经历，中国用户中每十个人就有一个人曾是网络欺诈受害者，这种情况是不可接受的。当然也有好消息，信息安全产业已经开始发展，领先的安全团队已经做好部署，他们的技术和能力必须像攻击者一样快速、敏捷，同时要比攻击者更聪明才能应对他们的狡猾。变得更聪明的要素就是了解你的对手，了解他们的冬至和方法。要了解风险在何处你必须意识到谁可能发出攻击，为什么攻击，如何攻击。而且你必须超越自己的领域，根据计算机网络应急技术小组发布的中国互联网安全报告，网络安全事件的跨国特点变得越来越突出。

　　去年计算机网络应急技术小组发现，对中国进行木马和网络钓鱼攻击等非法行为利用的恶意域名有一半注册在海外，远在美国、印度、土耳其，还有比较近的是紧临中国大陆的台湾地区。而且手段最高潮的攻击者往往利用第三国业已被攻击的域名来掩盖他们的踪迹。换句话说，这种跨国攻击非常的复杂，让我们来看一看今天活动在世界各地的三类攻击者。首先是受意识形态引导的追求曝光率的黑客，他们想要向公司或者政府传达非常响亮的信息，他们希望看到他们的信息通过全球媒体网点即刻向全世界广播，不管是网站的漏洞还是缺乏一般的信息安全控制还是防火墙失效，这些团体努力寻找任何外围防御体系的漏洞，他们经常与内部人士合作。第二类是网络罪犯，他们建立松散的联系还是严密组织起来其目的都是窃取信息资产然后迅速出售变现。比较典型的做法是将基于平台的犯罪软件和零日漏洞拍卖给出价最高的买方，一个犯罪集团可以买下僵尸网络工具包，地下服务供应商购买防弹托管和无法追踪的注册域名等等。对网络犯罪而言，一切无外乎金钱和速度，他们会找到您最薄弱的环节加以利用。

　　第三类同时是最可怕的攻击者是正规的组织。如今正规组织制造出了最高级的威胁，但是随着威胁环境的不断变化，其他类型的攻击者很可能也会具备同样的能力。这些高级的攻击无外乎其隐秘性、复杂性。通过社交工程，攻击者搜集各种情报，时候要经过数月的的准备才会发动攻击。他们会先了解公司和政府机构的哪些最终用户拥有他们想要的资产，他们的活动很难察觉。因为他们往往会利用一个受到侵害的组织来攻击另外的组织。网络攻击开始可能会使用基本的恶意软件和各种工具与其他类型的攻击者没什么不同。如果必要的话他们会以真正的零日漏洞发起攻击，其可怕之处在于攻击背后集中的大量资源以及他们发起攻击的效率。一旦进入组织内部他们就会蜇伏起来，随着目标的推移他们会开发目标网络和安全架构的影射和库存。经验会告诉他们他们想要的信息驻留在何处，不管在数据库还是文件共享中。与网络罪犯不同，他们想留在你的网络内部，监控事件响应的情况，以便评估你的防御反映，相应的调整自己的行为，直到他们得到自己想要的东西。

　　所有这些攻击者带来风险的隐含意义是IT组织始终面临着持久、动态和智能的威胁。我们必须克服这些威胁以便各组织有信心利用信息来驱动创新、进行合作、获得市场认可并且实现经济增长。不幸的是面对这一新的威胁局面，过去的信息安全技术是不够的。许多信息安全技术已经不再新鲜，他们的价值大大降低，所以我们作为信息安全的专业人员，需要改变我们的思维方式，信息安全必须从现有的、常规、不协调的静态单点产品向更为高级的安全系统发展。我们需要采用已经开发和正在开发的安全创新，跟上信息技术的创新和威胁升级的步伐。

　　那么我们该从何处着手呢?我认为高级安全系统有三个突出的特征。

　　首先高级信息安全系统必须是真正的基于风险的，虽然我们这个行业谈论基于风险的安全已经有一段时间了，但事实上各个组织必须使用最新的工具，更好、更细致的了解和评估风险。众所周知，风险就是三件事，首先面对网络攻击你有多少漏洞，其次你成为网络攻击目标的可能性有多大。第三身处危险的资产价值有多高?所以如果你掌握对这些网络攻击者而言具有重大价值的信息，你很可能会被攻击。因此必须认识到，鉴于组织的开放性，漏洞的存在是必然的。那么从攻击者的角度来看，就更容易发现这些漏洞。有关你的攻击者和你的物质资产的情报可以帮助你制订减少风险的政策，让你了解工作重点应该放在何处。一定要记住管理这些风险是不断反复、不断重复的过程，因为事实和情景不断发生变化。要执行和管理这一过程，企业需要部署一个治理风险和法规遵从的框架。最新的框架应该与运营控制密切联系起来，使你可以快速的响应缺陷和漏洞，并且按照合规要求进行报告。

　　第二高级信息安全系统必须具有灵活性，现有的程序缺乏发现和阻止威胁态势感知能力和能见度，为此我们要部署基于常态、用户交易模式的理解，依靠预测分析的控制手段，以便发现高风险事件。如果各个组织能够系统的结合先进的持续监测技术，则可以更好的利用这些控制手段创造真正深入的防御。

　　第三高级安全系统必须具备结合具体情境的能力，这是什么意思呢?即使具备预测和监测能力的高级系统也只有在完整的情景下交付安全事件在能够发挥作用。换句话说，确定优先顺序和决策的成功，依靠的是掌握最佳、最全面的信息。高级安全系统不能只依赖于日志数据的传统信息安全事件管理，组织必须采用信息安全的大数据角度，其信息安全团队应该能够实时获取并且检测与安全问题有关的全部信息。要作为一个系统成功运作，就必须集合和利用来自于控制和监测设备的所有各种数据。从信息安全的角度看，大数据是指规模和格式前所未有的大量数据，搜集自企业的各个部分，相互关联、以便进行高速的分析。随着数据存储技术的能力以及分析能力和计算能力的进步，信息管理的大数据时代已经到来，这些进步结合起来使我们不必在收集及存储数据的成本和分析数据的成本及时间之间做出选择。有了这种大数据能力，安全团队将能迅速辨别出内部敌人，保护信息资产，隔离基础架构受损的部分，从而消除攻击的威胁。从本质上讲，如果你知道你会成为攻击目标这种方法可以缩小你的脆弱性窗口。

　　那么我们还需要做些什么呢?我们需要培养一个政府、厂商和用户构成的生态系统。合作建立可信的数字世，加强交易伙伴的信心。不管是国家之间还是人与人之间。这也意味着在全球经济相互依存的世界中，市场的运作必须基于各国彼此尊重知识产权。在美国，过去十年中，电子商务的崛起给现实世界保护知识产权的规则带来挑战，突然我们发现自己置身于一个虚拟的电子商务世界，没有保护数字化资产的规则和标准，只有当我们建立了这些规则，保护他人创造和拥有的软件、音乐和其他形式的数字化内容和资产的价值，我们才能够建立信任和信心，让数字化市场加速发展。我们的经验教训是，伴随着数字化信息发展，我们必须将现实世界适用的法律和行为准则延伸到网络世界。因此我们欢迎中国国际贸易谈判副代表崇权(音)的表态，他说中美英共同实现国际知识产权体系的和谐平衡发展。在今天这个不稳定的世界中，大规模杀伤性武器不应该落在恐怖分子手中，我们必须同样阻止网络大规模杀伤性武器的传播，因为这可能会破坏重要的基础设施，为此各国必须努力建立网络防扩散条约，以便建立安全可靠的网络世界。因此我们也欢迎中国常驻联合国裁军事务大使王群(音)的表态，他最近呼吁在网络空间军备控制方面进行国际合作。至关重要的是，中国应继续在这两个领域发挥领导作用。最后我想送给大家一句毛泽东主席的诗。

　　一万年太久，只争朝夕。而我给在座各位留下的问题是我们会改变思维方式吗?我们会投入资源让我们变得更快更灵活吗?全世界各国是否有无私的政治意愿来进行我们需要的合作。我们无法摆脱历史，无论如何我们将进入历史，以什么形象出现则取决于我们自己，我们应当有一个共同目标，那就是后人想起我们时会认为我们为创造可信的数字化世界奠定了坚实的基础。