在2013年美國(guó)RSA大會(huì)上,惠普發(fā)布了其正在運(yùn)營(yíng)著的代碼安全掃描云。其中,惠普提供基礎(chǔ)架構(gòu),客戶可以向云端上傳代碼并進(jìn)行安全掃描。用戶可以在安全掃描云上消費(fèi)安全服務(wù)而不需要購(gòu)買相關(guān)軟件并進(jìn)行調(diào)試和安裝。目前惠普安全掃描云已經(jīng)服務(wù)25億行代碼。
在2010年連續(xù)收購(gòu)fortify和Arcsight之后,惠普加速了其安全產(chǎn)品線的部署,惠普企業(yè)安全已經(jīng)形成了集應(yīng)用安全、信息安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全為一體的整體解決方案。安全已經(jīng)成為惠普的三大戰(zhàn)略之一,不僅向企業(yè)客戶提供服務(wù),同時(shí)也向消費(fèi)者客戶提供安全策略。用惠普軟件企業(yè)安全產(chǎn)品部北亞區(qū)總經(jīng)理姚翔的話說,“在任何一個(gè)市場(chǎng)中,惠普安全目前在市場(chǎng)上不是第一位就是第二位,這是我們的現(xiàn)狀”。
姚翔在接受記者采訪時(shí)表示:“在過去的2012年,惠普大概研發(fā)了35款新產(chǎn)品,服務(wù)著大概90%的銀行、90%的頂級(jí)軟件公司和排名前10的大型電信公司,還包括美國(guó)國(guó)防部等機(jī)構(gòu)。”
惠普公司企業(yè)安全產(chǎn)品部北亞區(qū)總經(jīng)理姚翔
惠普安全戰(zhàn)略的三大技術(shù)路線
第一,加固受攻擊面。客戶的受攻擊面,包括邊緣的網(wǎng)絡(luò)設(shè)備、Web及整個(gè)互聯(lián)網(wǎng)所交付的部分。這些部分都需要加固防護(hù)。惠普可以利用Fortify進(jìn)行代碼掃描,保證代碼沒有安全漏洞。很多大型數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)在上線前如果不進(jìn)行代碼測(cè)試和掃描的話,會(huì)發(fā)現(xiàn)除了可以完成業(yè)務(wù)所需要的功能之外,還會(huì)產(chǎn)生很多安全漏洞。另外,惠普還可以采用IPS加固受攻擊面。從惠普的技術(shù)來看,除了安全產(chǎn)品的技術(shù),惠普可以整合應(yīng)用生命周期管理,包括惠普傳統(tǒng)的服務(wù)器、數(shù)據(jù)中心解決方案、惠普的云,甚至ElitePads,也就是Windows8的平板,是針對(duì)企業(yè)客戶部署的。當(dāng)一個(gè)銀行的CIO使用平板電腦的時(shí)候,所有的信息背后都需要有安全支撐,否則這個(gè)系統(tǒng)將是很脆弱的。
第二,加強(qiáng)風(fēng)險(xiǎn)管理。安全管理需要同時(shí)關(guān)注內(nèi)部和外部的潛在安全風(fēng)險(xiǎn)。姚翔說:“ArcSight是這個(gè)領(lǐng)域最強(qiáng)的產(chǎn)品,它提供SIEM解決方案,能夠把所有日志都搜集過來。”假如某一家公司的一個(gè)員工用門禁卡進(jìn)入了上海的辦公室,門禁系統(tǒng)的日志就會(huì)告訴系統(tǒng),這名是在上海進(jìn)入的。但是,在不到5分鐘之內(nèi),又有一個(gè)人在北京用相同的員工信息登陸系統(tǒng)。很顯然,這是一個(gè)典型的安全事件,如果不用SIEM,這么簡(jiǎn)單的安全事件是沒有辦法被發(fā)現(xiàn)的。因?yàn)殚T禁系統(tǒng)有它的工作,某人拿門禁卡進(jìn)入不應(yīng)該被懷疑是壞人。可是用戶名和密碼也是正確的。但是在做事件關(guān)聯(lián)的時(shí)候,SIEM把這兩個(gè)看似不相關(guān)的事件聯(lián)系在一起,并發(fā)展?jié)撛诘陌踩L(fēng)險(xiǎn)。采用ArcSight可以加強(qiáng)風(fēng)險(xiǎn)管理。
第三,主動(dòng)防護(hù)信息。TippingPoint可以做安全防護(hù)。如果在企業(yè)內(nèi)網(wǎng)中出現(xiàn)蠕蟲病毒,可以內(nèi)部網(wǎng)斷中間放IPS來割絕蠕蟲病毒的復(fù)制。除此之外,惠普還會(huì)采用其他相關(guān)技術(shù),包括對(duì)Vertica的集成,另外還有和合作伙伴合作的技術(shù),包括法規(guī)遵從、網(wǎng)絡(luò)取證等。
應(yīng)對(duì)四大潛在安全威脅
剛剛開始的時(shí)候,客戶一般都處于發(fā)展階段,追求快速、簡(jiǎn)單、可負(fù)擔(dān)的安全,然后才會(huì)考慮法規(guī)遵從。很多CIO或者是首席安全官認(rèn)為有相關(guān)的規(guī)定,必須這樣做。可是這些法規(guī)要求的背后都是發(fā)生過類似的事情,所以必須要遵從。安全不是IT的對(duì)立面,安全是IT發(fā)展過程中必須要考慮的重要組成部分。
安全的發(fā)展跟IT行業(yè)的其他分類是不一樣的,安全是唯一客戶掌握主動(dòng)權(quán)最少的行業(yè)。因?yàn)榘踩膶?duì)手是黑客,首席安全官面臨的是黑客在不停地挑戰(zhàn)他,他不知道誰會(huì)攻擊他,以什么樣的技術(shù)來攻擊他。通常,首席信息官會(huì)覺得手足無措,不知道該做什么,無法跟蹤安全最新的進(jìn)展,這是很大的挑戰(zhàn)。
惠普安全戰(zhàn)略的三大技術(shù)路線,可以幫助用戶應(yīng)對(duì)四大典型的潛在安全威脅:
第一,數(shù)據(jù)泄漏事件的增加。在數(shù)據(jù)泄漏方面,最引人矚目的當(dāng)屬索尼,索尼的大量客戶的用戶名和密碼都被黑客公布在互聯(lián)網(wǎng)上,LinkedIn也發(fā)生過類似事件。風(fēng)險(xiǎn)是什么?當(dāng)黑客拿到帳號(hào)和密碼信息之后,80%的可能性會(huì)攻入電子郵箱,之后會(huì)看到更多東西。網(wǎng)絡(luò)安全是相關(guān)聯(lián)的。而且最可怕的是,在被黑客攻擊之后,很多人根本無從知道。對(duì)個(gè)人來講是泄漏秘密,對(duì)企業(yè)來說被黑客拿到資料會(huì)涉及到巨大的商業(yè)利益損失。
第二,耗費(fèi)很多時(shí)間。通常來說,一旦發(fā)生黑客攻擊,用戶需要花費(fèi)大量的時(shí)間才能恢復(fù)正常運(yùn)作,由此造成的客戶對(duì)企業(yè)聲譽(yù)的擔(dān)心,可能是5年、甚至是10年都挽回不了的。
第三,新技術(shù)帶來的新威脅。比如,現(xiàn)在很流行BYOD。每個(gè)人用的手機(jī)品牌不同,而且不愿意遵守公司規(guī)定,很多人在手機(jī)上都越獄。越獄是最大的安全威脅,越獄其實(shí)代表了這個(gè)手機(jī)一定是有安全漏洞的。為什么黑客這么熱衷于越獄蘋果?有利可圖,黑客不是為了幫用戶去用免費(fèi)軟件,他引誘用戶用他的軟件對(duì)整個(gè)操作系統(tǒng)產(chǎn)生安全的漏洞,隨之可以通過用戶進(jìn)入系統(tǒng),進(jìn)而獲得潛在收益。這就是黑客的驅(qū)動(dòng)力!
第四,大數(shù)據(jù)。Autonomy和Vertica都針對(duì)大數(shù)據(jù)。目前,大數(shù)據(jù)應(yīng)用出現(xiàn)一個(gè)錯(cuò)誤的傾向,即一位追求大而不追求挖掘。姚翔說:“光有大數(shù)據(jù)而不挖掘,對(duì)數(shù)據(jù)是沒有任何意義的,搜集完資料也需要對(duì)其進(jìn)行有效整合。”
完善的產(chǎn)品組合
惠普的安全產(chǎn)品如何幫助用戶對(duì)安全威脅進(jìn)行簡(jiǎn)單快速的處理?
第一,最新的CORR-Engine。它不采用傳統(tǒng)的Oracle關(guān)系型數(shù)據(jù)庫,可以使查詢速度提高幾十倍以上,可能需要一分鐘或者是一秒鐘就可以做到了。為什么產(chǎn)生的速度變快了,是因?yàn)榘踩珨?shù)據(jù)搜集系統(tǒng)也是一個(gè)大數(shù)據(jù)系統(tǒng)。很多人過去也談到了SIEM很難用,惠普提供了快速的解決方案。這是Express4.0的好處。同時(shí)也提供了很好的中文支持服務(wù)。
第二,安全情報(bào)。安全情報(bào)部門有一個(gè)信譽(yù)安全監(jiān)視器。很多業(yè)界的友商其實(shí)都做了信譽(yù)數(shù)據(jù)庫,把業(yè)界的IP地址、網(wǎng)站等信息排名都在這里。其實(shí)大家的思路都是一樣的,可是惠普的DVLabs所提供的數(shù)據(jù),發(fā)現(xiàn)第一次攻擊的時(shí)間在業(yè)界是最早的,比如業(yè)界有十幾家做安全威脅分析的,如果發(fā)現(xiàn)第一次攻擊,誰先發(fā)現(xiàn)就放在第一的位置上。惠普發(fā)現(xiàn)的總數(shù)比第二名到第五名加起來的都要多,惠普的研究人員用很好的方法和機(jī)制來做,能提供情報(bào)服務(wù)。為什么這個(gè)很重要?黑客是業(yè)界做安全技術(shù)很聰明的一些人,他們會(huì)進(jìn)行跨地域、跨IT地址的攻擊。今天有一個(gè)新的后門產(chǎn)生了,攻擊原來人在南美,跨到亞洲的IT地址來攻擊,而不是用南美的IP地址攻擊,因?yàn)槟厦赖腎P地址已經(jīng)在黑名單上了。惠普安全情報(bào)的好處是防止威脅擴(kuò)散、敏感信息泄漏。目前惠普的安全研究把幾個(gè)部門合并了,包括DVLabs、Fortify、代碼安全庫的研究機(jī)構(gòu)和ZDI。把不同的層面放在一起,能量是非常大的。
第三,ArcSight和Autonomy的集成。Autonomy能夠?qū)崿F(xiàn)基于含義、情景的分析。ArcSight和Autonomy的集成可以判斷人的情感,如果人的情緒是憤怒的,他的安全威脅就會(huì)提高,他處于一個(gè)不可控制的狀態(tài)。很多調(diào)查的結(jié)果表明,員工情緒和安全威脅是有關(guān)系的,有很多不高興的員工給公司造成了不少損失。比如,每一家公司都有一些員工是不開心的,可是員工不開心跟安全有沒有關(guān)系呢?不開心的員工可能會(huì)造成公司的數(shù)據(jù)損失。如何判斷員工是否不開心?他可能會(huì)在社交媒體、微博上發(fā)泄,Autonomy能夠?qū)崿F(xiàn)這種基于情景語義的分析,通過對(duì)電子郵件、社交媒體和文件傳輸?shù)谋O(jiān)測(cè)與分析,挖掘出類似于上述情況的安全威脅。
“安全相關(guān)性事件其實(shí)在持續(xù)升溫,現(xiàn)在的安全更講究主動(dòng)性和整合性。”姚翔說:“用ArcSight做安全智能分析,F(xiàn)ortify做應(yīng)用安全,TippingPoint做網(wǎng)絡(luò)安全,惠普將持續(xù)通過新一代產(chǎn)品贏得我們?cè)诎踩袌?chǎng)的機(jī)會(huì)。”
京公網(wǎng)安備 11010502049343號(hào)