在今年的“首都網(wǎng)絡(luò)安全日”展會(huì)現(xiàn)場(chǎng)，卡巴斯基技術(shù)開發(fā)(北京)有限公司大中華區(qū)技術(shù)總監(jiān)陳羽興先生接受了記者的采訪，分享了其對(duì)今年RSA信息安全大會(huì)的感悟。

滯后的安全難于應(yīng)對(duì)更加高效的惡意攻擊

去年安全發(fā)生許多“大事件”，財(cái)富五百?gòu)?qiáng)排名第三十六位的某公司CEO由于網(wǎng)絡(luò)安全事件而下臺(tái)，這類事件尚屬首次發(fā)生;美國(guó)最大銀行其每年在網(wǎng)絡(luò)安全上的預(yù)算達(dá)2.5億美元，但在去年依然遭遇了駭客的入侵攻擊;加之索尼接二連三的遭遇惡意攻擊，這一系列事件使得人們開始反思，安全防線是否已經(jīng)崩潰、淪陷?如今安全威脅正在發(fā)生很大變化，但安全防御卻有些“跟不上”了。近幾年各類安全初創(chuàng)公司的不斷涌現(xiàn)，正是為了應(yīng)對(duì)新型惡意攻擊的威脅。由此可見，滯后的網(wǎng)絡(luò)安全確實(shí)到了需要改變的時(shí)候。

從去年的安全事件中可以發(fā)現(xiàn)，惡意攻擊的技術(shù)先進(jìn)性體現(xiàn)還不是很明顯，但惡意攻擊的有效性卻在提升。惡意攻擊者也開始注重ROI了，惡意攻擊者在力圖用最少的成本、最便捷有效的方式實(shí)施入侵。例如，在卡巴斯基所發(fā)現(xiàn)的竊取了全球上百家銀行近10億美金的惡意攻擊案例中，惡意攻擊者并沒有采取十分厲害的攻擊技術(shù)，也沒有利用過多的零日漏洞。在上面的案例里，惡意攻擊者非常注重其“商業(yè)”效率、注重其投入產(chǎn)出比，更多強(qiáng)調(diào)有效性，社交工程使其所采取的主要攻擊方式，通過攻擊最難防范的人的弱點(diǎn)極大提高了有效性。可以說，“有效性”是當(dāng)今惡意攻擊的主要特征之一。

現(xiàn)在所需要最大的改變是安全思維上的改變

從前述案例中可以看到，無(wú)論其網(wǎng)絡(luò)安全預(yù)算有多大、自身防御體系有多嚴(yán)密，依然會(huì)遭遇入侵攻擊。美國(guó)聯(lián)邦調(diào)查局現(xiàn)任局長(zhǎng)曾經(jīng)說過一句話，“美國(guó)的大企業(yè)可以分為兩類，一類是已經(jīng)知道自身被入侵的，還有一類是尚不知道自己已經(jīng)被入侵的”。

所以，安全思維要轉(zhuǎn)變的第一點(diǎn)就是，在建立安全防御體系時(shí)首先要假設(shè)這個(gè)網(wǎng)絡(luò)體系已經(jīng)被入侵。傳統(tǒng)的安全防御體系包括防火墻、入侵檢測(cè)、防病毒，主要作用是對(duì)惡意威脅進(jìn)行阻止、攔截。而隨著傳統(tǒng)安全防御體系被惡意攻擊逐漸打破，安全的改變需要對(duì)三個(gè)方面進(jìn)行加強(qiáng)：威脅預(yù)測(cè)、入侵檢測(cè)、應(yīng)急響應(yīng)。

近兩年人們開始越來(lái)越多的提起“Intelligence driven(情報(bào)驅(qū)動(dòng))”，威脅預(yù)測(cè)需要從這個(gè)方面入手，這也是許多安全初創(chuàng)公司正在做的事情。要先了解惡意攻擊是怎樣進(jìn)來(lái)的，進(jìn)而實(shí)施針對(duì)性的防御，這樣的安全防護(hù)才是最有效的。

所有企業(yè)都不可避免會(huì)被入侵，在假設(shè)自己已經(jīng)被入侵的前提下，能夠及早的檢測(cè)到入侵才是有效的安全防御。在惡意攻擊者剛剛?cè)肭謺r(shí)便能夠檢測(cè)發(fā)現(xiàn)，就可以避免損失，當(dāng)惡意攻擊者竊取了機(jī)密數(shù)據(jù)正在準(zhǔn)備向外傳輸時(shí)將其檢測(cè)發(fā)現(xiàn)，則可以降低損失。沙箱、大數(shù)據(jù)等技術(shù)無(wú)不是為了提高檢測(cè)能力，從而能夠及早發(fā)現(xiàn)惡意入侵攻擊。

許多企業(yè)都認(rèn)為自己有應(yīng)急響應(yīng)能力，但這些能力大多僅僅停留在文檔之上，應(yīng)急響應(yīng)需要更多的演練，這樣才能在真正發(fā)生安全大事件時(shí)形成有效的安全響應(yīng)。

威脅預(yù)測(cè)、傳統(tǒng)防御、入侵檢測(cè)、應(yīng)急響應(yīng)，這四方面的安全能力如果能夠得以同步提高，形成良性循環(huán)體系，則可以幫助用戶有效的提高其安全防御能力。

另外一點(diǎn)在于人員，美國(guó)的許多企業(yè)已經(jīng)開始招聘CSO，也就是首席安全官，而國(guó)內(nèi)在這方面還有所落后。安全需要專門的高層管理人員，同時(shí)還需要對(duì)人員進(jìn)行更多安全培訓(xùn)，“產(chǎn)品解決+安全專家”的思路才能為用戶提供更好的安全防御體系。

首先由威脅預(yù)測(cè)探明惡意威脅進(jìn)攻情況，由傳統(tǒng)防御體系實(shí)施層層阻截，入侵檢測(cè)及時(shí)“揪出”已經(jīng)滲透進(jìn)來(lái)的敵人，最后加上有效的安全響應(yīng)，如此就可以搭建起與傳統(tǒng)網(wǎng)絡(luò)安全防御體系完全不同的“適應(yīng)性網(wǎng)絡(luò)安全防御體系”。

安全新邊界——終端

如今，終端安全正在重新引起人們的關(guān)注。云計(jì)算、移動(dòng)化等打破了企業(yè)傳統(tǒng)的安全邊界，早期處于內(nèi)網(wǎng)的PC能夠受到網(wǎng)關(guān)、入侵檢測(cè)等安全產(chǎn)品的防護(hù)，而今各類智能移動(dòng)終端的出現(xiàn)，使得終端在成為新的安全防護(hù)邊界。

終端里復(fù)雜的情況，使得終端安全問題一直很難予以徹底解決。現(xiàn)在，智能手機(jī)里操作系統(tǒng)類型及版本繁多，應(yīng)用環(huán)境繁雜，而隨著物聯(lián)網(wǎng)的快速發(fā)展，將有更多硬件形態(tài)的智能終端出現(xiàn)，安全問題也將更為突出。

安全防御首先要做到減少攻擊面，這同樣適用于當(dāng)前的終端安全防護(hù)。“云是一個(gè)很好的方式”，云計(jì)算使得更多數(shù)據(jù)存儲(chǔ)在云端，終端上存儲(chǔ)、運(yùn)行的數(shù)據(jù)將得以極大減少，這樣終端所可能遭遇的攻擊面也必將大大降低。而計(jì)算的必要性，使得終端或多或少還會(huì)存儲(chǔ)一些數(shù)據(jù)，那么就要先做好終端的基礎(chǔ)安全防護(hù)，如安裝殺毒軟件等。另外，還需要通過加密等技術(shù)進(jìn)一步保護(hù)這些數(shù)據(jù)。

網(wǎng)絡(luò)延伸下的安全問題

網(wǎng)絡(luò)無(wú)所不在，連上網(wǎng)絡(luò)的東西也在越來(lái)越多。曾有安全研究人員聲稱可以利用飛機(jī)上的Wi-Fi服務(wù)控制飛機(jī)，這意味著，隨著網(wǎng)絡(luò)的不斷延伸、隨著越來(lái)越對(duì)物品(智能汽車、智能家電等)接入網(wǎng)絡(luò)，由于其在開發(fā)階段都沒有優(yōu)先考慮安全問題，加之一些用戶行為，所將產(chǎn)生的安全問題會(huì)越來(lái)越多。

而對(duì)于安全企業(yè)來(lái)說，將安全能力融入這些產(chǎn)品中是一個(gè)長(zhǎng)期的工程。在此之前，許多安全初創(chuàng)企業(yè)正在進(jìn)行接入網(wǎng)絡(luò)物體身份識(shí)別的研究工作。同時(shí)，由于智能終端體積有限，如何在更少消耗能源、資源的情況下實(shí)施安全防御也是今后的研究重點(diǎn)。在不安全的協(xié)議上如何進(jìn)行安全的數(shù)據(jù)傳輸更是需要解決的安全問題。

卡巴斯基在“首都網(wǎng)絡(luò)安全日”

卡巴斯基也參加了今年的“首都網(wǎng)絡(luò)安全日”展示活動(dòng)，陳羽興認(rèn)為今年的安全技術(shù)大賽是一個(gè)顯著的亮點(diǎn)，這十分有利于安全技術(shù)人員之間的交流。陳羽興表示，面向普通民眾的安全演示是更加有效的安全宣傳方法，今后可以加大這方面的內(nèi)容。

今年，卡巴斯基展示了其最新云安全解決方案，除了國(guó)際主流的虛擬化平臺(tái)外，今年卡巴斯基的相關(guān)安全解決方案還將支持國(guó)內(nèi)主流的虛擬化平臺(tái)。

除了安全解決方案之外，安全專家服務(wù)的配合能夠進(jìn)一步提高企業(yè)網(wǎng)絡(luò)的安全防御能力。卡巴斯基就此推出了應(yīng)急響應(yīng)和威脅培訓(xùn)服務(wù)，卡巴斯基頂級(jí)安全團(tuán)隊(duì)將分享其安全經(jīng)驗(yàn)，幫助用戶共同提升其應(yīng)急響應(yīng)與入侵檢測(cè)能力。