萬眾矚目的RSA大會已經(jīng)開始，今年的主題是：偉大密碼(Great Cipher)勝于利劍。會議上，EMC公司執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席亞瑟·科維洛表示，此次在成都舉辦的RSA大會，他希望安全產(chǎn)業(yè)從諸葛亮的時(shí)代中，學(xué)會很多才智，打造全新的安全理念，并且重視合作與聯(lián)盟，推動(dòng)安全產(chǎn)業(yè)的進(jìn)一步發(fā)展。

[[93448]] 

亞瑟·科維洛的演講內(nèi)容非常具有中國特色，我們不妨來看看詳細(xì)內(nèi)容。

歡迎大家參加在中國舉辦的第三次RSA信息安全大會。

RSA及其母公司EMC，都很高興能夠參與并支持中國的經(jīng)濟(jì)發(fā)展，并且目睹全中國各地的均衡發(fā)展。這就是為什么去年EMC在成都新開設(shè)一家卓越研發(fā)中心，也是成都成為今年RSA信息安全大會舉辦地的原因。

漢朝滅亡后形成了魏蜀吳三足鼎立的局面，當(dāng)時(shí)成都是蜀漢的一個(gè)部分，處于傳奇人物諸葛亮的英明領(lǐng)導(dǎo)之下。蜀漢在土地面積和資源方面的優(yōu)勢不是特別明顯，但天才諸葛亮認(rèn)為，進(jìn)攻是最好的防御。由于他設(shè)計(jì)修建的山口運(yùn)用了卓越的工程技巧和智慧，整個(gè)山區(qū)防線很難被突破。他之所以被稱之為大師，不全是因?yàn)樗麑扯窢幍那擅钣?jì)策，更多的是因?yàn)樗阒嵌嘀\、埋伏設(shè)置得精妙。

在諸葛亮所在的時(shí)代，還可以找到很多類似之處，我們要向他學(xué)習(xí)的地方還有很多。

在過去十年間，作為一種無處不在的通信方式，互聯(lián)網(wǎng)逐漸盛行，隨之而來的是，數(shù)字內(nèi)容總量飆升，帶寬成倍增長，精明的用戶發(fā)現(xiàn)了移動(dòng)設(shè)備和應(yīng)用程序，各個(gè)機(jī)構(gòu)開放了自己的基礎(chǔ)設(shè)施，得到了很高的生產(chǎn)力。最重要的是，就像我們談到諸葛亮的智慧，就像官方機(jī)構(gòu)一樣，罪犯和黑客也在利用其可惡的優(yōu)勢。IT部門一直在很多無效控制的網(wǎng)絡(luò)邊界周圍建設(shè)安全的基礎(chǔ)設(shè)施。

這當(dāng)然不能反映出諸葛亮的所有智慧。

但是，當(dāng)我去年跟很多人，包括首席信息官、董事會成員談話時(shí)，大家都認(rèn)為創(chuàng)建一個(gè)新的網(wǎng)絡(luò)安全模型意義重大。是怎樣一個(gè)安全模型呢？一個(gè)以智能為基礎(chǔ)且囊括許多組成部分的安全體系。首先從定性方面看，是對風(fēng)險(xiǎn)的透徹理解。其次是以技術(shù)為導(dǎo)向，利用基于模式識別和預(yù)測分析的靈活控制，并利用大數(shù)據(jù)分析，來解析從多種來源得到的數(shù)據(jù)，從而獲得及時(shí)可操作的信息。此外是對擁有可以操作系統(tǒng)的配套技能的人員的需求。最后，以智能為基礎(chǔ)的安全需要大規(guī)模的信息共享。

那么是什么原因阻礙了對該模型的采納？安全預(yù)算的慣性算一個(gè)原因。很長一段時(shí)間以來，各機(jī)構(gòu)會花費(fèi)80%的預(yù)算在預(yù)防上，15%花在監(jiān)測和檢測上，還有5%花在響應(yīng)上。現(xiàn)在想想你自己的預(yù)算如何分配的。

這樣分配預(yù)算的問題是，絕大多數(shù)的費(fèi)用仍然放在預(yù)防性的、基于網(wǎng)絡(luò)邊界的、靜態(tài)不靈活的技術(shù)上。即使是花在監(jiān)測上的費(fèi)用，也比花在網(wǎng)絡(luò)入侵防御系統(tǒng)（IPS）上的要多，仍然屬于基于網(wǎng)絡(luò)邊界的技術(shù)。在這樣一個(gè)開放的時(shí)代，我們也能夠預(yù)料到成功的網(wǎng)絡(luò)入侵，即便相關(guān)的預(yù)算不可避免，我們必須轉(zhuǎn)移費(fèi)用支出。在沒有重新平衡這項(xiàng)費(fèi)用的情況下，轉(zhuǎn)移重心就會變得越來越困難，如果還沒有準(zhǔn)備好，你就要具備及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵的能力，以及快速響應(yīng)的能力，以避免損失。

還有什么原因阻礙了采納該種安全模型？響應(yīng)能力，不只是技術(shù)問題。我們都面臨著一個(gè)嚴(yán)重的技術(shù)短缺的困境。近期研究結(jié)果顯示，23%的企業(yè)承認(rèn)他們的IT部門內(nèi)存在安全技能"短缺問題"。據(jù)我所見，其余的都在撒謊。據(jù)Frost＆Sullivan公司估計(jì)，2010年全球安全專業(yè)人員的數(shù)量為225萬人。到2015年，該數(shù)字將增長近一倍至425萬人。從哪里找這么多安全專業(yè)人員呢？

然后，還有什么問題呢？坦白地說，政府間的合作并不充分。美國和中國都制定了保護(hù)其知識產(chǎn)權(quán)以及和平使用網(wǎng)絡(luò)的相關(guān)政策，但作為世界上兩個(gè)最大的經(jīng)濟(jì)體，擁有最多的互聯(lián)網(wǎng)用戶，這兩個(gè)國家需要做更多工作把這些政策轉(zhuǎn)化為行動(dòng)，從而引領(lǐng)世界其他國家和地區(qū)前行。

為什么沒有出現(xiàn)這種情況？接下來就是阻礙采用新安全模式的最后挑戰(zhàn)，缺乏了解。不只是政府，整個(gè)媒體、消費(fèi)者和公共機(jī)構(gòu)和私人機(jī)構(gòu)都缺乏了解。

之所以存在這些力量阻礙對安全模式的采納，是因?yàn)榘踩Ｐ筒蛔阋钥焖購幕诰W(wǎng)絡(luò)邊界的安全向基于智能的安全過渡，而且對手又變得更加復(fù)雜。

關(guān)于該做什么的困惑比比皆是，不管是復(fù)雜的機(jī)構(gòu)還是簡單的機(jī)構(gòu)，對此的困惑有增無減，多數(shù)是關(guān)于人員資質(zhì)問題。這是最可怕的是，大小不是問題。這里，我來舉個(gè)例子說明一下網(wǎng)絡(luò)安全成熟度的頻譜。從左到右，這四個(gè)區(qū)塊分別表示最不成熟到最成熟。

在控制這個(gè)類別中，還在采用最初級的方法，不能發(fā)現(xiàn)問題，或看得不夠遠(yuǎn)。他們只想繞開問題。給我一個(gè)盒子或一個(gè)軟件，我設(shè)置完就沒事了。

我把這些稱之為蒙在鼓里的問題。如果他們沒有完全被攻破，他們不是一個(gè)僵尸網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)就很慶幸了。

在合規(guī)這一類中，機(jī)構(gòu)只想勾選一個(gè)框，告訴他們已經(jīng)合規(guī)。他們有嚴(yán)格的監(jiān)管體系，更關(guān)心的不是在做什么事情，而是關(guān)心形式問題。他們似乎并不了解的是，一個(gè)良好的治理模式，徹底了解風(fēng)險(xiǎn)和相關(guān)的減災(zāi)能力，將把做正確的事擺在首位，合規(guī)只是一個(gè)副產(chǎn)品。

公平地說，他們通常是受到來自上級或監(jiān)管機(jī)構(gòu)的極大壓力。

在IT風(fēng)險(xiǎn)這一類中，組織了解威脅的危害，并采取正確步驟，以創(chuàng)建其安全基礎(chǔ)設(shè)施。這個(gè)類別僅稍稍落后于企業(yè)風(fēng)險(xiǎn)類別。

已經(jīng)達(dá)到商業(yè)風(fēng)險(xiǎn)類別的機(jī)構(gòu)成熟度水平最高，他們有機(jī)會改變商業(yè)模式，以最大程度地利用移動(dòng)性和云，使其安全基礎(chǔ)設(shè)施協(xié)調(diào)一致。IT風(fēng)險(xiǎn)類別是戰(zhàn)術(shù)性的，商業(yè)風(fēng)險(xiǎn)類別則是最成熟、最集中、最具戰(zhàn)略性。

為什么你應(yīng)該關(guān)心不斷擴(kuò)大的差距？首先，不太成熟的類別不只是中小規(guī)模的組織。其中一些公司規(guī)模還相當(dāng)大，這些公司可能是貴公司關(guān)鍵基礎(chǔ)設(shè)施的一個(gè)部分，或關(guān)乎貴國經(jīng)濟(jì)增長和健康的寶貴知識產(chǎn)權(quán)。這是一個(gè)老生常談，我們的強(qiáng)大程度取決于我們最薄弱的環(huán)節(jié)，我們前所未有的相互依存著。對我們其中一個(gè)的攻擊有可能成為對我們大家的攻擊。

這就是為什么我們必須按照諸葛亮的智慧來理解我們所處的環(huán)境。我們必須積極適應(yīng)并作出相應(yīng)改變。

因此，我建議：

首先，現(xiàn)在是時(shí)候推動(dòng)基于智能的安全了。一開始我們就應(yīng)理解，我們開展的風(fēng)險(xiǎn)評估，不僅僅是由內(nèi)而外，還會由外而內(nèi)。換句話說，現(xiàn)在不只是你需要保護(hù)什么，更重要的是你的對手如何出現(xiàn)在你面前。為了符合成本效益，我們需要從脆弱性、可能性和重要性的幾個(gè)方面來看待風(fēng)險(xiǎn)。然后，我們就可以重新評估預(yù)算，并平衡開支的優(yōu)先次序?？傊?，我們要一切從零開始，針對無效技術(shù)和沒有得到充分利用的技術(shù)縮減投資。幸運(yùn)的是，最近由RSA委托進(jìn)行的一項(xiàng)研究表明，各個(gè)組織開始克服其自身的預(yù)算慣性問題?，F(xiàn)在的預(yù)算，70%用于預(yù)防、20%用于監(jiān)控，10%用于響應(yīng)。我們正朝著正確的道路前進(jìn)。最終，應(yīng)對復(fù)雜的、有針對性的攻擊最好的防御，就是分層防御。分層防御并不是一系列孤立的控制。分層防御的重點(diǎn)必須放在對態(tài)勢感知、深入了解和環(huán)境敏捷的控制，以阻止、偵測和擊敗這類攻擊。

阻止、偵測和擊敗。在這個(gè)充滿高級攻擊的世界里，企業(yè)不僅需要平衡這三個(gè)要素之間的投資，還要改變針對三個(gè)要素的解決辦法。

在企業(yè)重新平衡的過程中，分層防御這個(gè)概念應(yīng)該如何發(fā)揮出來？

阻止：我們都需要更加積極主動(dòng)地進(jìn)行防御。這里有兩個(gè)簡單的例子。

例如，我們要更加積極主動(dòng)地使用數(shù)據(jù)丟失防護(hù)（DLP）的方法，來識別那些沒有受到足夠控制的敏感數(shù)據(jù)存儲，以及給最重要的系統(tǒng)和流程加標(biāo)簽，從而給我們提供更多參考信息，來平衡投資，并探討未來攻擊（的防御問題）。雙因素認(rèn)證具有很大的威懾力，但卻不能阻止零日劫持木馬。所以，必須通過增強(qiáng)風(fēng)險(xiǎn)分析，來識別異常行為。控制需要增加彼此的價(jià)值。

偵測層這段時(shí)間正在發(fā)生著最顯著的變化。如果你想知道"合規(guī)驅(qū)動(dòng)"的組織與"風(fēng)險(xiǎn)驅(qū)動(dòng)"的組織之間的區(qū)別，就看他們對待這個(gè)元素的態(tài)度。傳統(tǒng)上，利用諸如防火墻、IDS、IPS、防病毒等手段發(fā)出警報(bào)的組織，希望能收集深刻見解，而這些技術(shù)由于缺乏內(nèi)容和情境，根本無法偵測到異常情況。完全繞過這些防御措施的現(xiàn)代攻擊情境，不易被那些基于簽名的檢測機(jī)制所發(fā)現(xiàn)。重重偽裝，隱匿在合法流量之中，并且對露出的數(shù)據(jù)進(jìn)行加密或混淆，從而逃避分類引擎。

在過去的幾個(gè)星期中，我們的高級威脅情報(bào)小組發(fā)現(xiàn)了一種新的黑客技術(shù)，我們稱之為"水坑"，主要是躲避防護(hù)嚴(yán)密的網(wǎng)絡(luò)邊界。這種攻擊依賴于針對特定地區(qū)的"木馬化"合法網(wǎng)站，攻擊者相信，他們希望滲透進(jìn)入的組織的終端用戶會訪問其"木馬化"的網(wǎng)站。這些網(wǎng)站包括地方公共事業(yè)（水電）網(wǎng)站、市政網(wǎng)站、學(xué)校網(wǎng)站，類似沒有防御能力的小微組織。就像趴在水坑旁的一只獅子等待伏擊獵物一樣，這些木馬化的網(wǎng)站也在默默等待終端用戶使用這些日常業(yè)務(wù)的網(wǎng)站。在這些攻擊當(dāng)中，受害者通常訪問的是一個(gè)受到感染的"水坑"網(wǎng)站，如銀行、學(xué)校、公用事業(yè)。受到感染的網(wǎng)站，通過插入JavaScript元素，把訪問的瀏覽器重定向到有漏洞的網(wǎng)站。這個(gè)有漏洞的網(wǎng)站檢查訪問的機(jī)器運(yùn)行的Windows操作系統(tǒng)和Internet Explorer版本，然后利用Java客戶端訪問主機(jī)，從而安裝一個(gè)遠(yuǎn)程訪問木馬或RAT。以前，RAT的變種被APT攻擊團(tuán)體用于對目標(biāo)網(wǎng)絡(luò)的內(nèi)部情況進(jìn)行監(jiān)視，收集情報(bào)。在其他功能中，這種形式的惡意軟件能夠暗中操作受感染個(gè)人電腦的網(wǎng)絡(luò)攝像頭和麥克風(fēng)。你的員工很容易把威脅帶入公司，并接入貴公司的網(wǎng)絡(luò)。有關(guān)網(wǎng)絡(luò)邊界防御的投資問題，我就講這么多。

要擊擊敗這些攻擊，企業(yè)需要利用新的先進(jìn)監(jiān)測能力。他們需要具備的能力，不是簡單地檢查每個(gè)數(shù)據(jù)包的流量和每個(gè)相關(guān)的日志文件，而是要說得出這些數(shù)據(jù)的意義所在。他們要找到常用網(wǎng)站中的非標(biāo)準(zhǔn)流量。

" 流量中含有可疑附件或加密的有效載荷。

" 通常源于終端用戶端點(diǎn)的流量，來自服務(wù)器。

" 表面上看起來正常的流量，其目的地不尋常（可能在觀察名單上）。

一旦我們發(fā)現(xiàn)這些異常，我們需要具備實(shí)時(shí)挖掘問題和快速提問的能力。

" 是誰發(fā)送的這些異常？

" 我們在網(wǎng)絡(luò)環(huán)境中哪里還看到過這種異常情況？

" 與系統(tǒng)有何聯(lián)系？

" 我們在其他組織中看到過這種行為嗎？

我們回答這些問題的速度，取決于大數(shù)據(jù)分析的情況，以及我們戰(zhàn)勝自己的能力。除非我們有能力利用外部情報(bào)來源，對來源于組織內(nèi)部的大量數(shù)據(jù)流進(jìn)行分析和關(guān)聯(lián)，否則，我們將無法產(chǎn)出具有可操作性的信息來關(guān)閉并挫敗攻擊。

不過，即使企業(yè)擁有了這些技術(shù)工具，還需要擁有合適的人才來使用。

因此，我不得不說，技能短缺的確是個(gè)問題。我相信，大多數(shù)企業(yè)都無法得到和留住足夠的合適人才。"合適"的人才是指接受過豐富教育和培訓(xùn)，并在政府或行業(yè)的反詐騙機(jī)構(gòu)中任職的人員。換句話說，強(qiáng)調(diào)安全分析的能力，弱化傳統(tǒng)安全或IT基礎(chǔ)設(shè)施方面的能力。幸運(yùn)的是，諸如清華大學(xué)、復(fù)旦大學(xué)、中國人民大學(xué)以及位于成都的大學(xué)，如四川大學(xué)、電子科技大學(xué)、成都理工大學(xué)，這些高校的本科和/或研究生課程可以輸送富有活力的青年人才。

但對于無法形成規(guī)模的企業(yè)來說，你會看到更為復(fù)雜的基于云的安全托管產(chǎn)品。我在這里說的不是傳統(tǒng)的托管式防火墻和VPN。我要說的是身份管理、高級事件響應(yīng)和"安全分析中心"的服務(wù)。為什么呢？因?yàn)槲覀儾坏貌槐Ｗo(hù)私有云、混合云和公共云的安全。所以提供安全服務(wù)是一種自然進(jìn)化。不過，云提供商和云安全提供商必須給企業(yè)展示并證明，他們的風(fēng)險(xiǎn)緩解政策和控制措施在合適的服務(wù)級別中卓有成效。

至于政府間合作，我的意見是：我要重申我前些年提出的倡議，即建立政府間、供應(yīng)商以及用戶機(jī)構(gòu)間的生態(tài)系統(tǒng)，共同合作促進(jìn)數(shù)字世界中建立更多信任.....促進(jìn)貿(mào)易伙伴之間建立更多信任......無論是兩個(gè)國家或者僅僅是網(wǎng)絡(luò)交易的合同雙方。

過去我也說過，市場要想有效運(yùn)作，必須互信合作，才能讓買家和賣家都能找到價(jià)值并共同努力，使各方都能有所收益并繁榮發(fā)展。

在全球經(jīng)濟(jì)相互依存的世界里，這也意味著，市場必須在相互尊重各自知識產(chǎn)權(quán)的基礎(chǔ)上運(yùn)作。我認(rèn)為要實(shí)現(xiàn)這個(gè)目標(biāo)需要相當(dāng)長一段時(shí)間。

世界經(jīng)濟(jì)太脆弱，不提前解決這個(gè)問題，風(fēng)險(xiǎn)極大。

為了推動(dòng)美國在這些問題上取得進(jìn)展，我建議奧巴馬總統(tǒng)任命一個(gè)兩黨委員會，以全面解決這些問題。在國際上，我建議聯(lián)合國擔(dān)負(fù)起這些問題，惠及所有國家。

我向聯(lián)合國提出的建議是，隨著我們數(shù)字社會的發(fā)展，我們必須制定相應(yīng)的法律和規(guī)則，讓違反規(guī)則的人擔(dān)負(fù)相應(yīng)的責(zé)任，且這些法則適用于物理世界和網(wǎng)絡(luò)世界。我還仍然關(guān)注，在一個(gè)大規(guī)模殺傷性武器絕不能落入恐怖分子手中的不穩(wěn)定世界中，我們還必須防止大規(guī)模殺傷性網(wǎng)絡(luò)武器的潛在擴(kuò)散，這些網(wǎng)絡(luò)武器可能會破壞重要的基礎(chǔ)設(shè)施、金融系統(tǒng)和電子商務(wù)的電子網(wǎng)絡(luò)。

這就是為什么聯(lián)合國必須建立一個(gè)相當(dāng)于網(wǎng)絡(luò)威脅不擴(kuò)散條約的文件，以確保網(wǎng)絡(luò)世界的安全性和可靠性，這樣才能促進(jìn)持續(xù)創(chuàng)新、合作與繁榮。

最后，我再次引用諸葛亮經(jīng)典名言："以眾待寡。"讓我們大家團(tuán)結(jié)一致應(yīng)對這一挑戰(zhàn)。

謝謝!