过去的几年里,恶意软件取代了群发邮件,它们盗取信用卡信息,同时还贩卖虚假的反病毒安全软件。恶意软件已经发展成一种成功的犯罪业务模式,涉及数十亿资金。它们的目标是窃取机密信息以换取经济利益,受害者则是那些毫无防范的计算机用户。
现在,安全威胁又有了新的变化:随着新移动平台的大量增加,网络罪犯将有更多的地方可以攻击,更多的不合规则的社会工程技巧可以拿来研究,从而继续盗取我们的机密信息和财富。
新型网络犯罪发展迅速令CIO头疼
事实上,回顾历史我们不难发现,黑客攻击方式不断变化,这种变化的速度也越来越快,而且从来没有停止过的迹象。
以最近非常流行的APTs攻击(高级持续性威胁,Advanced Persistent Threat)为例,其攻击特点和攻击方式,引起各界专业安全厂商的高度重视。高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻击者想要的资料信息。
CA Technologies解决方案销售部副总裁Vic Mankotia认为,APTs一般针对特定的信息,一旦命中就将永不停止,直到他们成功获得所需的信息,或者这些信息随着时间的推移变得不再相关为止。
在他看来,随着云计算环境的出现,企业CIO逐渐意识到,云安全需要比传统企业级安全更强大、可靠,且具有弹性,才能有效的防止类似APTs的攻击。
Vic先生给记者的建议是,在企业网络环境中,为授权用户设置访问、密码管理系统,也就是使用身份验证和身份管理。对此,如果我们不能保持正确的观点,那么今天设计的云计算环境将无比脆弱。他向记者推介说,在应对新的安全威胁方面,CA Technologies一直致力于为企业用户提供详细的解决方案和服务。
毫无疑问,今后一段时期,APTs将会越来越频繁的出现。但正如APTs攻击一样,利用各种渠道的网络犯罪,已经成为目前企业CIO们最头疼的问题之一。
云计算环境的身份认证令CIO头疼
除此之外,云计算被越来越多的企业接受,带来的安全问题也不容忽视。CA Technologies公司认为,目前云计算环境有很多安全问题需要重视:
◆如何通过正确的人,提供可靠地路径,以确保信息准确地交换
◆云环境下的信息与访问者都处在时刻变化之中,所以云安全需要具备先进身份认证功能。
◆需要尽快设计出应对方案,以便应对云计算时代的安全问题,否则临时解决方案可能不是一个好的选择。
事实上,在云计算环境中信息是动态的,这是无需置疑的,关键在云计算环境下,不再有任何物理的界限,这会令企业CIO感到很头疼,因为他们无法保证从一个数据中心到另一个数据中心身份识别的完整性,怎样实现在云中的数据加密和传输可靠已经变成更大的难题。
在Vic Mankotia先生看来,这往往是 CIO, CISO以及CEO遇到的一个首要问题。这不仅仅是涉及到加密,它也和数据独立和数据复用有关。在云环境中处理数据和信息时,无论是平台服务、基础设施服务,还是软件服务,都要首先关注这两个问题。
Vic先生说问了记者两个问题:“当人们以一种新的方式进行交流,而不得不放弃已使用数千年之久的传统交流方式,会发生什么?”
“当人们逐渐发现自己生活在一个被网络游戏、 社交网络、 博客和微博围绕的生活中时,他们又会做些什么呢?” ,Vic Mankotia先生这样问道。
显然,在记者看来,第一个问题和第二个问题都带有共同点,那就是周围的环境和交流方式发生了变化。或许今天这种变化正发生在你的身边,如今,越来越多的电子设备例如智能手机、 笔记本电脑等,它们诞生的目的几乎都抱有同一个目标:我们有机会认识更多的人。
但怎么样信任那些你现在认识或者即将被链接的人呢?在我们即将认识陌生人时我们怎么同步赢取并确立我们的信任机制呢?这两个问题又成为难以回避的关键。
Vic Mankotia先生认为,在做出决定之前,我们不能亲眼见到这些给我们发电子软件或传送短信的人。如果我们只相信那些我们已经认识的老朋友,就像大多数情况那样,那数字时代就没有存在的意义和价值了。
这也正是CA Technologies通过一系列数据安全技术,例如内容识别系统(Content Aware IAM),数据丢失防御系统( DLP) 以及先进鉴定系统( Advanced Authentication)来为用户建立信任(addressing trust), 赢取数据主权(data sovereignty), 多重租赁(multi tenancy) 并且提供安全交互(Secure Interactions)的意义所在。我们为此提供 3个完整的解决方案:
身份和访问管理是用户首要关心的内容。我们需要知道数据从哪里来的,以及谁对这些数据具有访问权,以及访问的内容包括什么。CA Technologies 的新技术现已解决了这些问题。
数据丢失防护技术,即 DLP。必须实时贯穿数据的起点,传送以及终端接收整个过程,三者缺一不可。在这个方面,CA Technologies也将为客户提供解决方案。
CA Technologies同时将为客户提供高级的动态数据鉴定技术,这在我们始于2010年的Arcot ID计划中已经体现。
在记者看来,企业CIO头疼的安全问题,还远不止这些,如何落实安全策略和人之间的关系、如何将安全变成服务,为业务连续性提供应用的保障……都是令人头疼的问题。但是,随着新型威胁的迅速演变,以及云计算环境的逐渐普及,本文提到的两个典型问题,是不能忽略的,也不容企业忽略。
事实上,2011年随着全球经济形式好转,IT产业也将全面复苏,云计算2010年有了全新的发展契机。越来越多的企业开始加速迈向云计算,能否抓住这最佳机遇,促使企业迅速发展,是企业CIO们必须要清醒面对的。
