信息安全行業(yè)正在進(jìn)入一個(gè)轉(zhuǎn)型期。市場(chǎng)在整合,這種變化不僅與Blue Coat、Palo Alto Networks、FireEye等領(lǐng)先公司有關(guān),更有風(fēng)險(xiǎn)投資公司和全球運(yùn)營(yíng)商的作用。
岱凱公司中國(guó)區(qū)首席執(zhí)行官陸志宏表示:“從本質(zhì)上來(lái)說(shuō),信息安全行業(yè)始終閃耀著創(chuàng)業(yè)精神,初創(chuàng)公司比比皆是。不過(guò)我認(rèn)為,盡管這種企業(yè)家精神仍然會(huì)無(wú)處不在,但是未來(lái)一年整合的規(guī)模會(huì)進(jìn)一步擴(kuò)大。”
那么2015年等待著IT安全專業(yè)人員的是什么?陸志宏表示:“我們多達(dá)700人的信息安全專家團(tuán)隊(duì)在與客戶的日常互動(dòng)中,收集了很多深度信息,通過(guò)分析我們發(fā)現(xiàn),信息安全行業(yè)出現(xiàn)了5個(gè)最重要的趨勢(shì)。當(dāng)然,發(fā)生重大變化的絕不僅限于這幾個(gè)方面,但是這些變化毫無(wú)疑問(wèn)有必要進(jìn)行探討。”
1. 從事件預(yù)防轉(zhuǎn)變?yōu)槭录憫?yīng)
陸志宏認(rèn)為,2015年,在信息安全專家的日程表上,針對(duì)事件響應(yīng)的技術(shù)和服務(wù)將位居榜首,而不是像過(guò)去那樣,僅重視事件預(yù)防。陸志宏表示:“近期的數(shù)據(jù)泄漏事件,不論是‘目標(biāo)攻擊’導(dǎo)致,還是所謂‘國(guó)家支持的黑客攻擊’導(dǎo)致,都警示我們,不能僅采用純粹的安全事件預(yù)防這種做法了,或者用IT安全術(shù)語(yǔ)來(lái)說(shuō),不能僅采用盡力阻止‘壞家伙(bad actors)’在網(wǎng)絡(luò)上生存這種做法了。我們必須承認(rèn),這些家伙總會(huì)有辦法從某些點(diǎn)侵入我們的環(huán)境,這是不可避免的。但這不是說(shuō),我們就隨他去了,而是需要轉(zhuǎn)變關(guān)注點(diǎn),發(fā)現(xiàn)我們所稱的‘損害跡象(indicators of compromise)’,確保部署就緒一個(gè)全面的事件響應(yīng)計(jì)劃。我們現(xiàn)在經(jīng)常見到的情況是,受到攻擊后,IT團(tuán)隊(duì)不知道如何應(yīng)對(duì),由于驚慌失措之下的本能反應(yīng),而加重了事件的嚴(yán)重性、延長(zhǎng)了事件的持續(xù)時(shí)間……最后產(chǎn)生了嚴(yán)重影響。”
陸志宏將有效的事件響應(yīng)比作消防演練。他說(shuō):“今天,每個(gè)公司都有一套應(yīng)對(duì)大樓內(nèi)火災(zāi)突發(fā)的方法。定期消防演練是這種方法的關(guān)鍵部分,可確保萬(wàn)一發(fā)生火災(zāi),每個(gè)人都清楚需要做什么,因此降低了風(fēng)險(xiǎn)。類似地,我們必須確保IT團(tuán)隊(duì)知道,萬(wàn)一發(fā)生安全攻擊,要采取哪些正確的處理方法,而且要事先演練這些方法。事件處理過(guò)程包括:
恢復(fù)證據(jù);
找到安全事件的根本原因而不僅僅是癥狀,解決根本問(wèn)題;
有可能接受法庭調(diào)查。
近期的數(shù)據(jù)泄漏事件,不論是“目標(biāo)攻擊”導(dǎo)致,還是所謂“國(guó)家支持的黑客攻擊”導(dǎo)致,都警示我們,不能僅采用純粹的安全事件預(yù)防這種做法了,或者用IT安全術(shù)語(yǔ)來(lái)說(shuō),不能僅采用盡力阻止“壞家伙(bad actors)”在網(wǎng)絡(luò)上生存這種做法了。
2. 托管式信息安全服務(wù)走上前臺(tái),成為中心
對(duì)大多數(shù)企業(yè)而言,及時(shí)發(fā)現(xiàn)IT安全攻擊事件需要24小時(shí)不間斷地監(jiān)控整個(gè)網(wǎng)絡(luò)環(huán)境。這么做成本非常高。IT安全專業(yè)人員是稀缺資源,而且需要定期培訓(xùn),以跟上技術(shù)的不斷發(fā)展。
陸志宏還指出了內(nèi)包模式的另一個(gè)缺點(diǎn):“要實(shí)現(xiàn)真正的主動(dòng)式事件響應(yīng),需要知曉其他網(wǎng)絡(luò)的動(dòng)態(tài),這樣才能意識(shí)到別處發(fā)生了哪些攻擊事件。這也是為什么要與托管式信息安全服務(wù)提供商合作的原因,因?yàn)橹挥羞@些服務(wù)提供商擁有橫向和縱向都非常深入的信息。”
陸志宏表示:“近年來(lái),信息安全管理和監(jiān)控變得越來(lái)越復(fù)雜、越來(lái)越耗時(shí)了。如今,既需要預(yù)防能預(yù)防的,又需要控制不可避免的損害。這意味著需要優(yōu)化檢測(cè)和響應(yīng)能力。很多企業(yè)缺乏以最優(yōu)方式檢測(cè)及有效響應(yīng)安全威脅所需的技能。諸如岱凱公司這樣的托管式信息安全服務(wù)提供商擁有眾多信息安全專業(yè)人員,他們專注于發(fā)現(xiàn)潛在的惡意軟件,監(jiān)控成千上萬(wàn)的客戶網(wǎng)絡(luò),以發(fā)現(xiàn)拒絕服務(wù)式攻擊的前兆。這類安全事件的發(fā)生并非一點(diǎn)跡象都沒有,通常事件發(fā)生之前,在流行的‘暗網(wǎng)’渠道中會(huì)有很多‘議論’。我們嚴(yán)密監(jiān)視這些渠道,可以就即將發(fā)生的攻擊向客戶發(fā)出預(yù)警。”
3. IT安全走上云端
岱凱專家預(yù)測(cè),2015年,越來(lái)越多的企業(yè)會(huì)采用基于云的信息安全服務(wù)。陸志宏表示:“對(duì)軟件即服務(wù)式解決方案而言,采用率會(huì)繼續(xù)提高,例如通過(guò)云提供的安全Web代理、安全電子郵件等服務(wù)。這類解決方案尤其有吸引力的原因是,其部署工作幾乎可以忽略不計(jì),只是將流量重新定向,通過(guò)基于使用量計(jì)費(fèi)的模式使用服務(wù)即可。這些云服務(wù)是高度可擴(kuò)展的。如果客戶當(dāng)時(shí)需要支持2萬(wàn)個(gè)用戶,但半年以后,收購(gòu)了一家公司,員工人數(shù)突然激增到3萬(wàn),那么只需修改許可協(xié)議,新員工就可以立即使用云服務(wù)了。”
諸如Akamai公司提供的那類安全云應(yīng)用以及基于云的、分布式拒絕服務(wù)控制功能,也在日益引起人們的興趣。
陸志宏還認(rèn)為,云安全將變得日益重要,因?yàn)楦鄼C(jī)構(gòu)將其工作負(fù)載轉(zhuǎn)移到了云中。“如果使用云服務(wù)一年后,才從審計(jì)人員那里得知,云服務(wù)提供商的安全協(xié)議達(dá)不到標(biāo)準(zhǔn),這可沒什么好處。相信我們會(huì)看到,為了建立豐富的網(wǎng)絡(luò)架構(gòu)以支持全套安全協(xié)議,云服務(wù)提供商將投入大量資金,這樣提供商才能向客戶保證,客戶的工作負(fù)載一定能得到企業(yè)級(jí)安全技術(shù)的支持。”
關(guān)于信息安全,云服務(wù)行業(yè)仍然有一些工作要做。陸志宏說(shuō):“因?yàn)椋品?wù)提供商說(shuō)‘是的,我可以提供托管式防火墻’并不意味著,其云服務(wù)是安全的。即使是世界上最安全的平臺(tái),也可能受到人為差錯(cuò)或不良管理的損害。另一個(gè)需要關(guān)注的領(lǐng)域是,與現(xiàn)有企業(yè)政策及流程集成。對(duì)于初創(chuàng)公司而言,很容易過(guò)渡到云模式,因?yàn)檫@類公司沒有舊的物理基礎(chǔ)設(shè)施,可以從頭開始部署安全控制。而較大型的、更加成型的公司則發(fā)現(xiàn),采用云模式的前景令人望而生畏,因?yàn)檫@樣的企業(yè)拿不準(zhǔn),為了適應(yīng)云模式,需要怎樣修改現(xiàn)有安全控制方法、政策和流程。”
4. 從安全技術(shù)到安全平臺(tái)
岱凱專家認(rèn)為,2015年大行其道的信息安全概念將是:信息安全就是安全的平臺(tái),而不是網(wǎng)絡(luò)上的一系列單點(diǎn)產(chǎn)品或設(shè)備。對(duì)信息安全專業(yè)人員的期望將是,提供一個(gè)安全的平臺(tái),使企業(yè)能夠信心滿滿地在一個(gè)安全的環(huán)境中運(yùn)行多個(gè)應(yīng)用。
多年來(lái),企業(yè)的典型做法一直是,向不同的廠商購(gòu)買多種信息安全產(chǎn)品。盡管這有助于建立“深度防御”,但是也引入了復(fù)雜性和潛在風(fēng)險(xiǎn)。畢竟95%成功攻擊的根源都可以歸結(jié)為人為差錯(cuò),而不是技術(shù)。現(xiàn)在,越來(lái)越多的企業(yè)會(huì)權(quán)衡風(fēng)險(xiǎn),而且未必基于技術(shù)是否最佳來(lái)做出購(gòu)買決策,而是會(huì)采取務(wù)實(shí)的、基于風(fēng)險(xiǎn)的方法,企業(yè)會(huì)利用現(xiàn)有基礎(chǔ)設(shè)施,通過(guò)與合作伙伴合作,將風(fēng)險(xiǎn)控制到可接受的水平,而不是以“完美”然而永遠(yuǎn)也不會(huì)實(shí)現(xiàn)的安全性為目標(biāo)。
云服務(wù)及其按使用量計(jì)費(fèi)的概念對(duì)上述決策方式也很有意義。企業(yè)希望將云模式中的按使用量計(jì)費(fèi)方式復(fù)制到客戶端模式中,而無(wú)論客戶端系統(tǒng)是獨(dú)立擁有,還是由一個(gè)可信的服務(wù)提供商或廠商擁有。合作伙伴如果準(zhǔn)備好承擔(dān)一定的財(cái)務(wù)風(fēng)險(xiǎn),同時(shí)能夠靈活地建立并提供服務(wù),就會(huì)日益受到企業(yè)青睞。例如,如果合作伙伴一接到通知,能夠馬上幫助企業(yè)打開防火墻,以應(yīng)對(duì)某個(gè)特定事件,而當(dāng)不再有這種需求時(shí),可以馬上關(guān)閉防火墻,就會(huì)非常受歡迎。
企業(yè)希望通過(guò)“單一窗格”管理其安全資產(chǎn),而無(wú)論這些安全資產(chǎn)是通過(guò)客戶端模式、托管模式還是作為云基礎(chǔ)設(shè)施提供,這直接導(dǎo)致了安全平臺(tái)概念的產(chǎn)生。本質(zhì)上,“單一窗格”管理無(wú)需對(duì)所需技術(shù)和管理進(jìn)行任何更改或折中,就能夠使可靠的安全性與企業(yè)的應(yīng)用、數(shù)據(jù)及工作負(fù)載“如影隨形”。這種管理方法還支持企業(yè)的移動(dòng)需求,使用戶能夠隨時(shí)、隨地訪問(wèn)企業(yè)數(shù)據(jù)。
5. 終端安全性再成時(shí)尚
岱凱專家預(yù)測(cè),信息安全行業(yè)會(huì)再次出現(xiàn)對(duì)終端安全性的興趣。陸志宏說(shuō):“這與我們前面探討過(guò)的第一個(gè)趨勢(shì)——事件響應(yīng),是緊密關(guān)聯(lián)的,與以下事實(shí)也是緊密關(guān)聯(lián)的:有些傳統(tǒng)的基于網(wǎng)絡(luò)的安全控制方法不像過(guò)去那么有效了。信息安全專業(yè)人員將轉(zhuǎn)而考慮在終端設(shè)備上尋找損害跡象,然后實(shí)現(xiàn)某種形式的事件響應(yīng)流程,無(wú)論終端設(shè)備是PC、蘋果機(jī)還是智能手機(jī)。信息安全專業(yè)人員將在終端設(shè)備上部署各種技術(shù),以使事件響應(yīng)更加容易。”
應(yīng)用控制預(yù)計(jì)也將在2015年重新成為主要的關(guān)注領(lǐng)域。不過(guò),重點(diǎn)將在識(shí)別終端設(shè)備上的惡意活動(dòng)而不是惡意代碼上。陸志宏解釋說(shuō):“人們也許會(huì)努力建立用戶的信息安全最佳實(shí)踐意識(shí),但是在某些時(shí)候,總有某些人會(huì)點(diǎn)擊不應(yīng)該點(diǎn)擊的東西……因此需要主動(dòng)控制這類事件的影響。”
“對(duì)IT安全專業(yè)人員而言,這是一個(gè)令人振奮的時(shí)代。我們預(yù)計(jì),2015年及以后,信息安全仍將居于董事會(huì)日程的重要位置……”
結(jié)論
陸志宏表示:“有一種趨勢(shì),盡管沒有進(jìn)入上述5大趨勢(shì),但是與這些趨勢(shì)的每一個(gè)都緊密關(guān)聯(lián),這一趨勢(shì)就是數(shù)據(jù)使用和機(jī)器學(xué)習(xí)。數(shù)據(jù)使用和機(jī)器學(xué)習(xí)與人機(jī)交互相結(jié)合,能夠產(chǎn)生可作為行動(dòng)依據(jù)的、考慮了有關(guān)背景情況的信息。在考慮怎樣針對(duì)即將到來(lái)的攻擊保護(hù)自己、在攻擊發(fā)生期間做出怎樣的響應(yīng)、在攻擊發(fā)生之后采取什么行動(dòng)時(shí),這樣的信息使企業(yè)能夠快速做出決策。”
他總結(jié)道:“對(duì)IT安全專業(yè)人員而言,這是一個(gè)令人振奮的時(shí)代。我們預(yù)計(jì),2015年及以后,信息安全仍將居于董事會(huì)日程的重要位置……”
京公網(wǎng)安備 11010502049343號(hào)