RSA2012歸來話安全—RSA總裁亞瑟.W.科維洛采訪實錄
RSA2012美國大會結(jié)束以后,RSA總裁亞瑟.W.科維洛來到了中國北京,和幾家IT和行業(yè)類媒體進(jìn)行了一輪風(fēng)趣而睿智的訪談活動。
RSA總裁亞瑟.W.科維洛
以下是現(xiàn)場的采訪實錄。
記者:我們注意到在RSA2012大會之后,很多公司都在推出移動安全方面的產(chǎn)品和解決方案,RSA公司本身有沒有這方面的產(chǎn)品和解決方案即將推出?
亞瑟.科維洛:上周RSA正是對外發(fā)布了幾款針對移動設(shè)備接入或者移動接入的身份認(rèn)證產(chǎn)品。其實我們現(xiàn)在要做增值部分,盡管我們不能直接控制移動設(shè)備本身,但我們要設(shè)置一種普遍性的控制。現(xiàn)在有一個前提要說清楚,現(xiàn)有的安全機(jī)制,是無法處理目前這種開放式的設(shè)備、平臺、架構(gòu)安全。記得我跟你說,2001年和2011年安全差別,2001年你使用殺毒軟件,只有一、兩千種病毒簽名在病毒庫中,如果2011年你的病毒簽名就太多了,數(shù)以百萬計。每天你都會看到一些臨時攻擊,它可以繞過殺毒軟件的病毒簽名,他給你發(fā)一個釣魚郵件,直接繞過防火墻。所以我們說傳統(tǒng)的安全,不管是是殺毒軟件還是其他的點式、外圍的安防產(chǎn)品,到目前階段,已經(jīng)不可能做到完全防范了。所以如果你的網(wǎng)絡(luò)被入侵了,不要覺得很驚奇。無論我們多么努力的去培訓(xùn)員工或消費者,你們要注意防范,他們肯定會犯錯誤,只要他們犯了錯誤,黑客就會利用他們的錯誤侵入,對此我們也不要有什么大驚小怪的。我們要接受一個現(xiàn)實,網(wǎng)絡(luò)會被攻破,但網(wǎng)絡(luò)被攻破不一定必然有損失,我們可以在防范損失方面做一些工作。我們必須接受一定的風(fēng)險冗余度,這意味著我們要改變思維方式和行為方式。黑客利用的是自己掌握的信息和互聯(lián)網(wǎng)的速度,所以我們也跟黑客一樣,要挖掘現(xiàn)在擁有的數(shù)據(jù)中有價值的地方,讓它發(fā)揮作用。但是這樣做,不能依賴于原來那些屬于單點的安全。這個模型我在以前為大家做過介紹,為了找到問題,執(zhí)行相應(yīng)的安全策略,我們要有一個控制層,控制層有好幾個控制點,ID、基礎(chǔ)設(shè)施數(shù)據(jù)、信息等等,通過這些找到問題和執(zhí)行策略。在控制層,會有一些單點孤立產(chǎn)品,在這之上會有管理層,即控制面板管理層要去控制、管理單點安全產(chǎn)品。所以在管理層面上,它實際上就是一個控制面板,告訴你單點安全產(chǎn)品要做些什么,同時監(jiān)控單點運行產(chǎn)品的狀態(tài)。我們經(jīng)常說SOC(安全操作中心),這是它傳統(tǒng)的運行架構(gòu)。但在這些架構(gòu)下的產(chǎn)品是獨自運作,為我們提供的信息是非常少的。如果單點控制點之間各自為政,對我們來說,無法從他們單個身上獲得足夠的智能,我們希望以智能為導(dǎo)向的安全。
以智能為導(dǎo)向的安全有三方面,基于風(fēng)險、敏捷的、基于上下層的大背景。其實我們講基于風(fēng)險已經(jīng)談了很長時間了,但是我們并不認(rèn)為有什么安全公司有足夠的細(xì)致度,真正做到基于風(fēng)險的安全。首先我們對風(fēng)險要有全面、透徹的了解。我們要有更好的構(gòu)造,從而對IT技術(shù)設(shè)施獲得更高的可視性以及更好的管理它。所以不要像過去一樣,在漏洞上逐個加控制點,這樣做是沒有用的,我們要從風(fēng)險做起,首先考慮什么,我們面臨什么樣的風(fēng)險。那么我們?nèi)绾稳ダ斫饷媾R的風(fēng)險呢?首先你要看到,在這個系統(tǒng)和環(huán)境中,都存在什么漏洞,這些漏洞各自比利用的概率有多大。所以不光是自內(nèi)向外,同時還要自外向內(nèi)理解風(fēng)險。這是什么意思呢?我們?nèi)绾伪Wo(hù)自己是自內(nèi)而外的,從外到內(nèi)是指我們要考慮可能會有誰,以什么樣的方式來攻擊我們。我在RSA大會上也引用了《孫子兵法》的一句話,知己知彼百戰(zhàn)不殆,用白話來說,如果你看到遠(yuǎn)處樹在搖晃,你就知道敵人離我們不遠(yuǎn)了。一定要在遠(yuǎn)處觀察,才能了解敵人的動態(tài)。所以我們要從風(fēng)險開始做安全,而不是從底層開始做。如果管理風(fēng)險,把風(fēng)險最小化,我們有一套治理和合規(guī)的框架,幫我們管理風(fēng)險,執(zhí)行風(fēng)險策略。把風(fēng)險做好,建立起治理合規(guī)框架,這方面的需求可以被匹配到管理層,我們要知道管理什么,從而提出要求。我并不是說單點安全、單點控制不好,而是需要從它們身上挖掘、提取更多的智能,在這部分要去糟粕,留精華,有些地方不要了,但有些靈敏的基于風(fēng)險的控制點,我們要保留。
什么叫做具有敏捷性的控制點呢?我給大家舉幾個例子。比如在ID方面,我們不光需要那些能夠辨別、判斷證書真?zhèn)蔚漠a(chǎn)品,安全產(chǎn)品還必須要對用戶的消費能力做分析。這部分我隨后會有具體的介紹,基于風(fēng)險的身份認(rèn)證就是這個意思。DLP(數(shù)據(jù)丟失防護(hù))是另外一個可以給我們更多智能信息的控制點。DLP可以幫助我們做什么呢?我們要在現(xiàn)有的信息庫中發(fā)現(xiàn)有用的,并進(jìn)行歸類的數(shù)據(jù)。現(xiàn)在我們在現(xiàn)代汽車大廈,假設(shè)我是現(xiàn)代汽車的CIO,我要分析存在什么樣的風(fēng)險,其中一個風(fēng)險是汽車設(shè)計圖被別人偷竊或者丟失了,所以要把設(shè)計圖作為資產(chǎn)進(jìn)行管理,這時候我就會告訴DLP產(chǎn)品管理平臺需要做什么??刂婆_面板就會給DLP產(chǎn)品發(fā)出請求,找到基礎(chǔ)設(shè)施中所有的技術(shù)圖,通過DLP程序,我們可以設(shè)定對技術(shù)圖的管理,比如說技術(shù)圖在網(wǎng)絡(luò)傳輸?shù)穆窂绞鞘裁?,是否允許被打印、用電子郵件發(fā)出,用USB設(shè)備存儲,這些都可以作為安全策略由DLP執(zhí)行。同時在我們接觸的IT設(shè)施中還有持續(xù)監(jiān)控功能。我們看一下充滿著漏洞的“邊防”,別人從外部攻入是肯定會發(fā)生的一件事,這就像有賊會破門而入闖入你的房子,所以要在房間內(nèi)部安裝視頻監(jiān)控系統(tǒng),一旦有人進(jìn)來,可以監(jiān)控情況。
那么如何很好的利用三種類型的控制點?目前通過SIEM(安全信息和事件管理)產(chǎn)品,把所有控制點日志信息匯總起來,可以說SIEM這款產(chǎn)品,成功為SOC提供了增值,但并沒有為我們提供太多的背景信息。我舉一個例子,有的用戶提供有效證書接入基礎(chǔ)設(shè)施,同時基礎(chǔ)設(shè)施持續(xù)監(jiān)控通過配置管理器發(fā)現(xiàn)有一個服務(wù)器沒有及時打補(bǔ)丁,但你可能忽略了這樣的警告信息。同時你有一個DLP工具,它執(zhí)行的策略是只有為數(shù)不多的幾個用戶才有權(quán)限訪問技術(shù)性數(shù)據(jù)。假設(shè)有一個銷售人員,接入網(wǎng)絡(luò)系統(tǒng),提供了有效證書,沒有人覺得不正常。但這個銷售人員的問題在于他用的電腦存在木馬,這個木馬叫做身份劫持,而我們的身份管理安全產(chǎn)品沒有控制木馬進(jìn)入的功能。我們希望身份管理產(chǎn)品,可以發(fā)現(xiàn)存在木馬的電腦正在試圖訪問沒打補(bǔ)丁的服務(wù)器,做基礎(chǔ)設(shè)施持續(xù)監(jiān)控的產(chǎn)品,可以觀察到這個銷售人員其實跨越了自己的級別權(quán)限,他在訪問自己無權(quán)訪問的信息。接下來DLP產(chǎn)品可以告訴你,遭受非法訪問的信息對企業(yè)來說是非常有用的信息。如果只是單獨分析三個產(chǎn)品分別給你反映的情況,你搞不清楚狀況,不會覺得三者之間有任何關(guān)聯(lián)性。所以在第三個層次上,我們要匯總的不光是信息,我們希望可以把三個產(chǎn)品所反映的信息結(jié)合起來做分析。
這就是我們經(jīng)常在談的大數(shù)據(jù)問題,我們在大數(shù)據(jù)時代,能夠掌握企業(yè)大背景信息,獲得上下關(guān)聯(lián)的信息,只有通過信息匯總和分析,了解了背景情況,從而獲得那些我們需要快速采取行動的信息。比如我們看到使用帶有劫持木馬電腦的銷售人員要非法訪問對企業(yè)非常有價值的數(shù)據(jù)時,馬上把數(shù)據(jù)保護(hù)起來,進(jìn)行脫線。簡而言之就是說當(dāng)有人入侵到系統(tǒng),我們可以把漏洞的時間窗口縮小,即使我們的網(wǎng)絡(luò)被入侵了,但可以把損失降到最低。但是這個框架、結(jié)構(gòu)還缺失了一部分,不光是IT系統(tǒng)本身的設(shè)施要挖掘信息,我們還要從外部獲取信息。我們需要更的信息或者說智能共享。因為我們需要快速的辨析什么樣的黑客以什么樣的方式入侵。為了保證數(shù)字世界中的互相信任,我們就需要安全向這個方向演進(jìn)發(fā)展。其實我們談到未來的安全模式,它更關(guān)注的信息是人,而不是硬件、服務(wù)器、設(shè)備或移動設(shè)備,這些是次要的。也就是說我們需要一些傳感設(shè)備,從不同的設(shè)備中挖掘信息、匯總起來??梢允强蛻舳说能浖?,比如IPHONE就可以成為身份識別的手段,首先我們知道這個IPHONE是萬軍的,但這個手機(jī)出現(xiàn)了不符合尋常的情況,可能說明這個手機(jī)現(xiàn)在并不是萬軍在用。對于防惡意軟件的工具,也需要創(chuàng)新,不能像現(xiàn)在,依賴于病毒簽名。他們需要在未來,不依賴于軟件簽名的方式。我們說三個點,基于風(fēng)險我們說過了,什么叫敏捷呢?安全產(chǎn)品和安全機(jī)制,可以掌握交易的模型,跟蹤信息的流量,快速做出判斷,這是敏捷性。而CONTEXTUAL是指把背景信息抓上來,匯總起來進(jìn)行分析。
#p#
記者:這張圖好象把RSA所有的產(chǎn)品線說了一遍。
亞瑟.科維洛:你很有觀察力。我在談這個圖的時候,并不是在談RSA,而是談安全行業(yè),在RSA安全大會上,我的主旨發(fā)言并不是作為RSA的代表,而是作為安全行業(yè)的代表來發(fā)言。如果我認(rèn)為整個安全行業(yè)都是這個大趨勢,RSA的戰(zhàn)略當(dāng)然也應(yīng)該是這樣的。既然RSA的戰(zhàn)略是這樣的,當(dāng)然RSA的產(chǎn)品就跟著戰(zhàn)略走。我跟客戶介紹RSA的時候,就是用這張圖,我不會從兜里拿出具體的產(chǎn)品,給他們看商標(biāo)、看產(chǎn)品。我會向他們解釋這張圖,問他們你們同意我這個觀點嗎?你們是否認(rèn)為未來安全應(yīng)該這樣做。這些客戶都無一例外的同意這個觀點。您非常直接,他們同意了這個說法,下一步我就把圖中填入RSA的產(chǎn)品,Archer、NetWitness、RSA基于風(fēng)險的身份認(rèn)證,RSA的DLP產(chǎn)品,其實這些部分,有些客戶不用RSA的產(chǎn)品也沒問題,因為我們可以在上層實現(xiàn)異構(gòu),把不同廠商產(chǎn)品形成的信息都抓上來??蛻艚?jīng)常表揚RSA,說RSA在安全領(lǐng)域是唯一一家對安全有全面、綜合考量的公司。而且我們也是唯一一家聚焦于治理和合規(guī)層次的安全廠商,也是唯一一家能夠提供全系列產(chǎn)品的安全廠商。
記者:最近RSA和Zscaler這家公司的合作為用戶提供了云計算的可信度,Zscaler有何過人之處?單靠RSA的解決方案不能為用戶提供可信登錄嗎?
亞瑟.科維洛:Zscaler是做云基礎(chǔ)設(shè)施控制點產(chǎn)品,而RSA不打算做這些。Zscaler不做身份管理也不做認(rèn)證,假設(shè)這里有一個員工想接入企業(yè)網(wǎng)絡(luò),要通過Zscaler的產(chǎn)品,然后Zscaler對他們要進(jìn)行身份認(rèn)證,通過身份認(rèn)證后允許接入企業(yè)網(wǎng),隨著一段時間過去,Zscaler有很多的信息,要把這些數(shù)據(jù)信息導(dǎo)入到治理可視層。所以我們宣布和Zscaler的合作,等于是一個結(jié)合。云架構(gòu)有三層,Zscaler是在底層基礎(chǔ)設(shè)施。
記者:看起來像IAAS?
亞瑟.科維洛:對。相當(dāng)于安全的IAAS。
記者:我們注意到您在RSA2011大會,2012大會都在呼吁聯(lián)合起來應(yīng)對黑客攻擊,但是防守方的合作,似乎不是那么有效,反倒是像Anonymous這樣的黑客組織跨行業(yè)、跨國界合作得不亦樂乎,您怎么看待這個問題?
亞瑟.科維洛:還記得我在上層說過要進(jìn)行情報共享?通過情報共享,關(guān)聯(lián)和分析引擎才能更好的運作。目前確實當(dāng)你一談信息共享,基本上就意味著要失敗了。首先國與國之間存在敵對關(guān)系、公司之間的競爭關(guān)系、不同的法律環(huán)境,比如說隱私保護(hù)法,讓我們無法實現(xiàn)一些信息的共享。因為上面提到的障礙,自上而下的結(jié)構(gòu)搭建就有困難,很難實現(xiàn)信息共享。但是現(xiàn)在消費者和員工在新技術(shù)的采納方面,不會再有耐心等企業(yè),他們走在前頭了,這是從草根階層做起,所以企業(yè)自發(fā)組織進(jìn)行信息的分享。過去一年,我們發(fā)覺這個趨勢越來越明顯。事實上,在美國出現(xiàn)了一個信息分析共享委員會,這是分行業(yè)做的,他們做的是實時信息共享。但是還需要政府的幫助,要更好的保護(hù)我們,實際上希望修改相關(guān)的法律,國與國之間能夠合作,給我們提供更多的信息。這周前幾天我和澳大利亞的媒體在一起對話,我以盡可能禮貌、外交的語言指出,他們對某些問題有些夸大其詞了,他們其實沒有看到真正的問題所在,他們比較喜歡聳人聽聞的東西。但不是所有的澳大利亞媒體都這樣,但是我們知道,西方國家像美國這樣的媒體,比較喜歡發(fā)布聳人聽聞的信息。但其實這不怪他們,其實安全廠商有責(zé)任給他們提供更好的信息,做好自己的工作,避免爆炸性的新聞。我跟澳大利亞媒體說,傳媒有責(zé)任,報道安全相關(guān)的題目,這樣可以敦促政府行動。當(dāng)然不光是政府,企業(yè)的領(lǐng)導(dǎo)和CEO們也應(yīng)該了解目前的情況。像我們這些搞安全的企業(yè),和記者如實溝通,把情況告訴你們,你們幫助我們把事情的原委報道給大眾,也許可以推動業(yè)界更好的合作。從而讓政府修改相關(guān)的政策,從而幫助安全行業(yè),其中一項非常重要的工作就是推動、幫助我們實現(xiàn)信息共享。我非常希望國與國之間能夠有這樣一個信息共享的機(jī)制。
記者:我是行業(yè)媒體,比較側(cè)重于訪問行業(yè)用戶的聲音。我們今年對電子銀行做了系列訪問,電子營業(yè)部老板目前都在考慮電子銀行的安全問題,現(xiàn)在他們一方面是內(nèi)部升級電子證書,有些大銀行,像建設(shè)銀行建立了電子銀行風(fēng)險監(jiān)控平臺,通過一系列的手段降低風(fēng)險,一旦風(fēng)險發(fā)生后,他們會和監(jiān)管部門、公安部門合作。在這樣的大背景下,RSA公司如何深入與這些銀行合作?我們知道,現(xiàn)在銀行對安全公司特別是國外的安全公司很愛,但又不敢太愛,有時候不得已只能自己去建立風(fēng)險監(jiān)控平臺。
亞瑟.科維洛:在過去六年中,RSA專注的就是交易監(jiān)控和設(shè)備安全。在世界各大州,除了南極,有6000家銀行使用我們的產(chǎn)品。所以每天由RSA保護(hù)的帳戶數(shù)量達(dá)到了3億多?,F(xiàn)在我們這項技術(shù)大舉進(jìn)入印度,有了印度市場,用戶數(shù)至少還要再增加1億。除了設(shè)備識別、行為識別技術(shù)之外,我們還有一個防電子欺詐網(wǎng)絡(luò)。事實上我們不需要銀行主動跟我們分享信息,我們可以把這些信息推給銀行。比如烏克蘭有一個攻擊事件發(fā)生,我們掌握了它的IP地址,同樣的IP地址攻擊了蘇格蘭皇家銀行,當(dāng)入侵事件發(fā)生后,很短的時間內(nèi),澳大利亞的銀行就會知道這個IP地址是不可信的。我們?nèi)蛴?000家銀行就可以想到我們的防欺詐系統(tǒng)多么有力,美國75%的銀行受到這項技術(shù)的保護(hù)?,F(xiàn)在我們正在中國提供這樣的技術(shù)。銀行可以有自己的措施和戰(zhàn)略,但至少根據(jù)我最新的信息,銀行業(yè)好、金融服務(wù)機(jī)構(gòu)也好都不是專業(yè)做安全的,而RSA是做安全的,我們一直準(zhǔn)備好為他們服務(wù)。
記者:可是他們不敢接受。
亞瑟.科維洛:我最喜歡的一句話是鄧小平說的“無論黑貓白貓,能抓老鼠的貓就是好貓?!编囆∑绞欠浅C髦堑念I(lǐng)導(dǎo)。
記者:除了建行已建了自己的監(jiān)控平臺,其他銀行也在跟進(jìn)。
Andy:也有跟我們合作的銀行。
亞瑟.科維洛:這些中國銀行其實可以考慮一下,RSA在全球有6000家銀行,而且有過去6年的經(jīng)驗,他們借用我們的平臺,可以有進(jìn)一步優(yōu)化效果。
記者:作為媒體我們愿意把好的東西拿過來,只要這個信息可以得到保密,我們愿意共享信息。
Andy:這里做的安全和以前做的密碼安全是不一樣的,你可以把它看成某種應(yīng)用程序,這種應(yīng)用程序掌握了全球黑客的行為,所有的控制還是掌握在銀行手中,所以中方不用去擔(dān)憂數(shù)據(jù)外泄或者說解決方案中會安裝后門,讓外國人看到。
亞瑟.科維洛:雖然是RSA的產(chǎn)品,但拿給用戶了,RSA就不知道里面有什么信息。
Andy:這就像中國使用了很多外國路由器一樣的道理。
記者:我記得以前看過一個電影《國家公敵》,里面有一句經(jīng)典的話“你用的高科技產(chǎn)品越多,你的眼睛就越小?!碧O果在發(fā)展的時候,走了反向路徑,系統(tǒng)逐漸收縮封閉。目前看蘋果的產(chǎn)品比其他產(chǎn)品的安全性更好一點,這種趨勢是否會改變今后信息安全發(fā)展的趨勢和路徑?
亞瑟.科維洛:其實直到幾年前蘋果的平臺并不是一個企業(yè)級的平臺。99%的企業(yè)使用的電腦還是Windows平臺,所以你如果是黑客,會選擇掌握哪種技巧攻擊哪種平臺呢?事實上蘋果確實是專有平臺,但一旦黑客感覺有利可圖,會找到攻入系統(tǒng)的方式。做安全行業(yè)的人有一句行話“只要默默無聞就能安全?!睒浯蟛拍苷酗L(fēng),不出名就安全了?,F(xiàn)在蘋果絕對不再是默默無聞的了,原來用MAC電腦的人都是做平面設(shè)計的發(fā)燒友,現(xiàn)在已經(jīng)不是這樣了。像安卓這樣的平臺,因為開放,更易受到攻擊,但絕對不存在百分之百安全的東西。不管蘋果的系統(tǒng)多么封閉,不可避免的是蘋果設(shè)備會受到越來越多的攻擊。你看過《侏羅紀(jì)公園》,說侏羅紀(jì)公園有完善的物理防范體系,說恐龍肯定跑不出來,結(jié)果呢?
記者:亞瑟剛剛畫了產(chǎn)品圖,我可不可以把這個圖理解為這是一個神經(jīng)中樞,可以植入電腦。
亞瑟.科維洛:你干脆把它叫做大腦吧。
記者:基于風(fēng)險又可以動態(tài)分析風(fēng)險的系統(tǒng),您預(yù)計什么時候可以普及?
亞瑟.科維洛:這個問題問得特別好。跟客戶在一起的時候,他們說最上層看上去很美,他們喜歡這部分,然后客戶又問了,這么好的東西,執(zhí)行起來有點復(fù)雜。但我想問一下,你們覺得中層和下層做得怎么樣呢?有的基于控制點的系統(tǒng),現(xiàn)在產(chǎn)生大量的數(shù)據(jù)和信息。信息量太大了,以至于不知道到底根據(jù)哪個信息采取行動。而最上層這個環(huán)節(jié)不是一蹴而就的,有人可能已經(jīng)使用了SIEM,再加一個持續(xù)監(jiān)控部分,我們覺得要止損,非常重要的手段就是安裝視頻監(jiān)控。而打造關(guān)聯(lián)分析引擎需要做很多工作?;旧弦婚_始我們第一步要做的,這個引擎分析的是視頻傳的數(shù)據(jù)信息還有SIEM提供的分析信息,其實這個引擎隨著你不斷運轉(zhuǎn),時間越長,具有的智能性越強(qiáng),就可以從中獲得更多的信息,然后運轉(zhuǎn)和反應(yīng)就會更加敏捷。GRC(治理、風(fēng)險與合規(guī))部分其實是調(diào)控部分,可以更有效的進(jìn)行綜合管理。所以我堅信,在上層部分,你投的錢越多,在中下層節(jié)約的錢就越多。所以我對客戶的建議盡快轉(zhuǎn)向這個模型,因為SOC架構(gòu),沒有彈性,現(xiàn)在越來越維持不下去了,快要崩潰了。我們有一個做SOC的客戶,他們說我們的SOC系統(tǒng)很好,但是你說的視頻監(jiān)控系統(tǒng)很好,所以我們要做POC驗證。結(jié)果他們做POC的時候,發(fā)覺現(xiàn)有的基礎(chǔ)設(shè)施里,經(jīng)常出現(xiàn)而且持續(xù)有知識產(chǎn)權(quán)被竊取。因為IP失竊了,但靠SOC的單點信息,捕捉不到失竊信息。如何設(shè)置新的控制點?如果出現(xiàn)了新的攻擊性質(zhì),立即設(shè)置新的防護(hù)形式去覆蓋它。我們不可能對每個個體攻擊都做到防患于未然,但是我們要做的是給系統(tǒng)安上眼睛,這個系統(tǒng)能看到所有發(fā)起的攻擊,盡快的采取止損行為。
記者:去年年底的時候,中國天涯、人人出現(xiàn)客戶信息丟失情況,而很多客戶信息丟失有一小部分伴隨著帳號丟失,現(xiàn)金竊取。但大部分人信息丟失后,只是個人信息泄露,并沒有造成太大的損害。這種情況在2011年達(dá)到了頂峰,互聯(lián)網(wǎng)安全那么嚴(yán)峻,每一個網(wǎng)民個體沒辦法維護(hù)自己的利益,案件發(fā)生后沒有原告,出現(xiàn)這樣的情況如何解決?
亞瑟.科維洛:我們對這種問題已經(jīng)了解得太多了,每天報紙上都會有關(guān)于網(wǎng)絡(luò)犯罪的報道,現(xiàn)在我們要采取行動了。就像消費者個人,中國的網(wǎng)民看了報道后,但沒有辦法。當(dāng)然我們可以跟他們說,你們上網(wǎng)的時候要有一些注意,可能會有一定的幫助。但是我認(rèn)為和消費者對口的組織、機(jī)構(gòu)應(yīng)該保護(hù)網(wǎng)民。政府也有義務(wù),他們應(yīng)該做更多的工作保護(hù)自己的公民。我覺得網(wǎng)絡(luò)犯罪,我們應(yīng)該找到一種更行之有效的方法對其進(jìn)行懲戒。所以回到剛剛呼吁的那件事,國家要修訂法律,制訂適當(dāng)?shù)恼?,攜手合作,推動信息分享,讓相關(guān)機(jī)構(gòu)可以對消費者和網(wǎng)民進(jìn)行保護(hù)。事實上,在數(shù)字世界,這種信任已經(jīng)受到極大的傷害,所以我們需要采取措施重新建立這種信任。我覺得我們應(yīng)該充分利用技術(shù)已經(jīng)具備的能力,不能倒退,必須做得更好。RSA是非常希望能夠幫助到中國人民和中國的企業(yè),而且我們有很強(qiáng)的能力這樣做。
記者:我之前做技術(shù)的時用RSA的Token,每分鐘變一次,后來其他公司出的產(chǎn)品半分鐘變一次,就這個問題我們在微博爭論得很激烈,現(xiàn)在需要您給評評理。
亞瑟.科維洛:問題是每30秒變一次,你都來不及輸入。
Andy:其實我們在香港是推30秒的Token。
亞瑟.科維洛:有中間人和瀏覽器的攻擊形式。以時間為技術(shù)的東西比以事件為基礎(chǔ)的令牌要困難一點。其實做Token時間的長度和安全與否并沒有直接的聯(lián)系,我們在香港賣30秒token,因為香港政府需要這樣做。如果你用令牌,人家用木馬,還是可以插進(jìn)來,所以令牌時間不是問題,它在前端,我們說的RISK的方法是在后端。分析行為模式的風(fēng)險來判斷這個行為是否正當(dāng),所有的國際廠商都是這樣的。