背景資料
近期,全球黑客攻擊事件頻發,被攻擊的對象包括美國政府機構、游戲廠商,還有像花旗銀行這樣具有很高知名度的銀行。這些機構因為黑客攻擊事件,遭遇大規模數據泄露的危機。兩大黑客組織“匿名者”(Anonymous)和“盧茲安全”(Lulzsec)不斷曝出其通過黑客活動獲得的數據,令全球各大機構人人自危。而信息安全的重要性也越發凸顯。許多人心里都有這樣的疑問:這些遭受攻擊的機構的問題出在哪里?如何部署有效的安全策略和產品以抵御與日俱增的安全威脅?
惠普旗下的ArcSight公司是一家從事企業內控和規范監控的安全軟件公司,其開發的軟件廣泛應用于檢測企業網絡內部的非正常操作活動,比如黑客試圖攻擊企業網絡系統等。帶著以上的疑問,比特網記者采訪了HP Arcsight公司的王祿耀,王祿耀為我們分享了一些企業數據安全的現狀及數據保護的解決方案。
采訪內容
ChinaByte:企業做好內控是否就可以消除安全方面的威脅?做好內控和規范監控,在整個安全體系當中能有多大的作用?
王先生:大多數企業已經實施了各種安全點解決方案,例如應對網絡攻擊的防火墻,數據庫加密以及定期審計以防止結構化數據丟失。在幫助組織機構保護數據和IT系統的機密性、完整性和可用性方面,這些解決方案做的很不錯,但這些未集成的分散點解決方案之間存在諸多安全漏洞。此外,大多數傳統的安全解決方案未與IT運營連接起來,因此無法無縫地感知IT系統中的安全攻擊以及IT系統中斷的情況。
組織機構需要了解如何把這些分散的層整合起來,把安全防護與IT運營相結合,從而在整個企業實現“狀況感知”。
基于強大的SIEM技術的安全情報與風險管理(SIRM)平臺能夠獨特地整合各層安全措施,同時把安全融入IT運營。 這是因為它能監測和分析安全和非安全設備上的活動日志,從而融合各層安全點解決方案和IT運營。
例如,在分析各種安全的運營工具的活動日志時,高效的SIEM工具應能夠監測到:
a) 從分析網絡流量方面:監測出不同尋常的高網絡流量;
b) 從分析電子郵件流量方面:監測出某臺計算機向數百個不相關的電子郵件域反
常地發送大量郵件;
c) 從分析防火墻日志方面:監測出與黑名單中的外部IP地址進行連接的相同計算機。
然后,SIEM工具應能夠把這些分散的事件關聯起來,確定是否是僵尸網絡感染,并且采取防御措施——阻止計算機與網絡上的其它節點連接,同時提醒網絡或安全管理員立即進行調查。
在以層為中心的安全防護體系下,在所有可能的層面實現這種級別的狀況感知并即時修復是非常困難的。
ChinaByte:目前,黑客常用的攻擊手法有哪些?這些攻擊手法有什么樣的特點?
王先生:惠普DVLabs近期的網絡安全風險調查(參考《2010 Top Cyber Security Risks Report》)顯示,攻擊變得越來越“產品化”和“市場化”。這份報告調查了網絡漏洞工具包,它實質上是攻擊框架,在相關團體之間進行購買、銷售或交易。安全漏洞工具包的創建采用了與開發商用軟件相類似的流程,因此非常精妙,能夠實施全面的攻擊。這項調查還揭示了HTTP客戶端攻擊和HTTP服務器端攻擊的數量都在增加,攻擊類型屬于惡意JavaScript和PHP文件內置攻擊;僵尸網絡仍是重大威脅。有趣的是:在惠普DVLabs跟蹤的大約10,000,000臺被感染的主機中,Conficker(2008年首次監測到的僵尸網絡)仍然是最常見的僵尸網絡。
目前的IT環境不斷演進和改變,而監測這些環境的安全解決方案必須能夠適應新情況,足夠敏捷、面向未來,并且能夠在技術發生變化的情況下監測企業面臨的風險。這個平臺應當是中性的,不會永遠鎖定任何特定的產品品牌。只有全面考慮這些因素之后,CIO們才能確保其機構的信息戰略隨著業務戰略而演進。
ChinaByte:現在的安全環境日趨復雜,威脅從網絡層轉向應用層。應用安全成為安全一大發展趨勢的情況下,隨之帶來了哪些安全產品的發展趨勢?
王先生:過去20年,安全工作人員和廠商所保護的環境在很大程度上取決于信息資產流通的管道。在信息安全的早期(大約1985年以前),安全威脅和保護均圍繞著托管信息媒介和計算資源的物理環境。到90年代中期,計算機聯網和企業內部網絡的出現標志著安全的焦點轉向“網絡層”。隨著客戶端和服務器端應用的更多部署以及把電子郵件作為業務通信的工具,安全的焦點也實實在在地轉向這些領域。
我們正在進入移動和云計算時代,信息資產可以通過各種渠道(例如智能手機、平板電腦、社交網絡等)即時獲得,并且可以在社交媒體和維基百科等各種平臺上生成、管理和交易。可以說,在公共和私有機構運營方式方面,我們正處于高速且大規模的變化之中。這些變化要求IT部門改變保護企業的方式。如此以來,IT安全團隊改變戰略以跟上挑戰的步伐顯得更加迫切:從螺栓式安全技術轉向主動識別并管理風險(不管這些風險出現在什么地方)。
現代企業和政府機構所面臨的主要安全挑戰包括:
?? 面臨更多威脅,但機構對威脅的類型和來源了解更少;
?? 更多安全和威脅相關的信息需要處理,但機構既沒有能力利用這些數據,也不能確定需要優先處理哪些威脅;
?? 隨著企業更加數字化和網絡化,安全漏洞的影響越來越高;但由于了解不夠充分且信息超載,機構也越來越難以了解安全問題以及如何最好地解決這些安全問題。
在追求瞬捷企業的過程中,惠普在保護企業和政府機構方面走在了前列。借助惠普ArcSight、惠普TippingPoint和惠普Fortify等領先的安全解決方案以及惠普在IT系統管理和應用生命周期管理(ALM)方面的領先產品,惠普能夠提供獨特的安全風險管理能力。通過我們的安全情報與風險管理(SIRM)框架,惠普正在幫助安全機構實現IT基礎設施和漏洞的可視化,對風險進行優先排序,并及時高效地解決安全問題。
這些資產結合在一起,讓安全團隊能夠檢測、了解并響應所有技術層上的威脅和風險,并協助客戶做出決策。
ChinaByte:索尼從4月17日至6月3日,先后遭遇數起不同黑客的攻擊,從其美國總部到全球的業務部門,數據泄漏受影響的用戶超過1億人,是迄今為止規模最大的用戶數據外泄案。索尼的安全措施存在哪些問題,才會遭到如此大范圍的安全威脅?有哪些措施可以針對性的解決這些問題?
王先生:這不是全球領先的公司首次因受到黑客攻擊而泄露基于互聯網的個人數據。我們可以假設,大型公司已經實施了諸多安全措施;但此類事故表明,在廣泛連接的世界中,為個人數據提供全面的防護非常困難。因此,擁有更少的財務和技術資源的企業將同樣脆弱不堪。
機構需要的解決方案應該能夠全面了解跨所有用戶、網絡、數據中心和應用的基礎設施。它必須能夠實時關聯并分析分散的數據,把各系統上看似孤立的事件進行整合以檢測威脅和風險。
這是惠普安全情報與風險管理(SIRM)平臺的基本原則,通過正確地規劃和部署惠普ArcSight安全信息與事件管理(SIEM)技術即可高效地實現。
ChinaByte: 在近期遭受黑客攻擊的受害者中,也有花旗銀行。金融服務公司可以怎樣做,以避免潛在的網絡攻擊?
王先生:雖然已經盡最大努力并大力投資在安全方面,銀行仍然受到內部和外部的攻擊;在很多情況下,他們被成功地攻擊了。
近期的報告認為攻擊者采用了設計SQL注入 (SQL Injection) 的非常簡單的數據搜集方法。此次攻擊的成功凸顯了信息和系統擁有者進行盡職調查的重要性。一般說來,銀行尤其可以在三個方面避免或至少盡量避免數據泄露的范圍。
第一階段——防御——在生產環境(暴露給所有可能的攻擊)中運行網絡應用之前,銀行應利用應用程序/源代碼漏洞檢查工具(例如惠普Fortify產品)來定位并修復任何網絡應用中的漏洞。
第二階段——檢測——銀行應利用安全解決方案。這些安全解決方案可以持續監測并檢測可疑或異常的用戶行為模式。利用SIEM解決方案(例如惠普ArcSight SIEM解決方案)與惠普Tipping Point Intrusion Prevention System(IPS) 來監測與網絡應用和客戶數據庫相關的任何可疑活動,這已經變得空前的重要。
第三階段——阻止——一旦檢測到攻擊,可以在網絡層通過自動干預的方式阻止黑客,從而防止其與銀行系統進一步通信。在生產環境(暴露給所有可能的攻擊)中運行網絡應用之前,銀行應考慮采用惠普Fortify解決方案來定位并修復應用中的漏洞。
從更長遠的角度來看,金融服務公司應努力全面地了解企業風險,包括欺詐和信息安全監測。他們應充分利用現有IT系統和設備所收集的所有情報(例如收集并整合審計結果、活動和事件日志等),目標是創建一個整合的IT環境視圖,用于分析尋找任何潛在惡意事件和活動的信號和趨勢,以便及時采取有效的措施做出應對。
很明顯,傳統方法中固有的缺陷給了網絡罪犯太大的施展空間。
ChinaByte:ArcSight的產品及其功能如何?對于黑客攻擊具有哪些預防和解決方案?
王先生:惠普ArcSight在2011年Gartner Magic Quadrant for SIEM中被評為領導者,其已經幫助保護了所有主要市場中的數千個客戶。通過分析不同設備的日志,惠普ArcSight的安全情報與風險管理(SIRM)平臺提供深入的防御。
惠普ArcSight平臺有兩個主要組件:
1. 第一個用于收集、轉變、存儲和管理來自企業內數字系統的日志、事件和交易數據。
2. 第二個用于實時關聯并分析所有分散的數據,把系統中看似孤立的事件整合起來以檢測威脅和風險。
惠普ArcSight的安全情報與風險管理(SIRM)平臺包括如下產品:
ArcSight ESM:關聯并分析所有日志、事件與交易信息,以尋找潛在的安全威脅和風險。例如,試圖闖入信用卡數據庫的人可能會做三或四件事,這些事件結合起來就類似闖入。當ESM(事件關聯器)發現某些東西之后,它會提醒人們,以便他們鎖定相關系統,打補丁或進行調查。ESM(事件關聯器)是此平臺的大腦。
ArcSight Logger:收集、轉變并存儲企業內數字系統的日志事件和交易數據。從Logger(日志管理器)中,你可以自動生成合規性報告。例如,顯示應用上的所有訪問空間有效。如果ESM(事件關聯器)發現問題,企業可以通過Logger(日志管理器)進行檢查以了解到問題已經發生的時長,以及涉及到哪些人。Logger(日志管理器)這種工具適合法庭的偵查員、IT運營故障診斷員以及合規性的審計準備人員。
ArcSight Express:把ESM(事件關聯器)關聯性的威力與Logger(日志管理器)存儲與報告能力,以及最佳實踐性安全報告和儀表板,整合為簡單的低成本設備,以適合中型企業。
ArcSight IdentityView:幫助你了解誰在網絡上,他們在做什么以及它對風險的影響。
ArcSight Connectors:ArcSight Connectors(ArcSight連接器)讓客戶能夠從任何系統收集日志數據,包括領先的第三方產品、定制或傳統系統以及各種商務應用。
值得注意的是,惠普 ArcSight平臺已經證明其能夠分析并把組織中數百萬IT事件縮減為可能包含最大風險的簡單事件信息,提醒客戶給予最及時的關注。這是客戶實施惠普 ArcSight解決方案的重要原因,因為它讓客戶能夠提高安全性并緩解企業所面臨的重大風險。
ChinaByte:感謝您接受我們的采訪。
附錄:王祿耀簡歷
王祿耀 Wong Loke Yeow
惠普ArcSight亞太區行銷總監暨策略溝通長
王祿耀先生為惠普ArcSight亞太區行銷總監暨策略溝通長,負責制定與執行ArcSight亞太地區的行銷與上市策略。他執掌的權責包括溝通ArcSight的創新方案與先進技術,提升市場知名度,進而采用ArcSight領先業界的解決方案與有效策略,將現今復雜的的商業及網絡資料,轉換成具有前瞻性的安全資訊。
自2003年到2010年期間,王祿耀先生亦兼任新加坡資通技術聯盟(Singapore InfoComm Technology Federation; SiTF)執行委員會代表,并在最后三年出任SiTF政務會委員并于其后兼任資安治理委員會第一屆榮譽主席。
于2009年加入ArcSight之前,他曾任職于美商甲骨文公司,擔任資訊安全解決方案區域總監,負責制定與宣傳該公司亞太區資訊安全解決方案的愿景、架構以及所提供的服務。
王祿耀先生于1992展開其IT職業生涯,擔任新加坡警政署督察員(Republic of Singapore Police Force; RSPF),參與主導警政相關電腦化作業的專案。
之后,他于1994年加入國家電腦局,擔任IT工程師,參與當時新加坡IT2000 Masterplan頂尖計劃,并于1997年加入德意志銀行集團,成為該銀行亞太區總部籌設區域資訊安全團隊的主力并于其后擔任亞太地區資訊安全運營長。
2003年離開德意志銀行后加入TruSecure Corporation,擔任亞太區資訊安全發言人暨產品管理總監。2008年,王祿耀先生加入甲骨文。
京公網安備 11010502049343號