为了确保建立的应用环境更为安全,保证公司发展和员工心态不受到影响是非常重要的;但是,对于大部分安全人员来说,更关心的现实问题是自己的饭碗会不会受到影响。
在与安全社区成员进行交流的时间,阿卡迈技术公司首席安全官安迪·埃利斯与大家分享了作为内容网络供应商是如何对信息工作流程进行重建的体会。并且,按照他的观点,这项工作也带来了积极的最终成果。
在接受ZDNet的采访时,埃利斯解释说:提高安全性的完美措施就是寻找异常行为,并且将此功能作为系统的必备选项,这样的话,错误在萌芽阶段就可以被发现。
他指出,尽管使用数字签名和查找系统漏洞属于很有价值的工作,但问题的关键是仅仅依靠这些方法,是无法为公司整体安全提供足够保障的。
他还认为,自从1997年开始从事信息安全领域方面的工作以来,互联网的出现属于技术世界中发生的最显著变化。
问题:从去年开始,分布式拒绝服务(DDoS)成为公众关注的重点。而现在,黑客攻击行为变得极为普遍,大家都见怪不怪不再感到意外了。对于安全领域过去一段时间内的变化,你认为应该如何形容?
我们所面临的是大规模攻击暴涨的现实情景。在2005年到2009年的时间,这种现象并没有表露出来;尽管偶尔也会有黑客出现,但很快就会被解决掉。固然也存在拒绝服务(DoS)攻击,但出现的次数并不多,也很快就被清除掉。
这次大规模攻击暴涨风潮的起点是2009年7月4日,在2010年第4季度的时间数量达到了顶峰。在该季度中,我们遭遇的攻击数量比前一年的总和还多,主要表现为利用拨号服务攻击中型电子零售商和电子商务网站。当匿名者团队的报复行动成为头条新闻后,被称作鲁兹安全的黑客集团就开始对公司安全网络展开了攻击。作为”反机密“联盟的成员,他们利用“谷歌黑客技术”来攻击公司网站。在针对索尼的攻击中,某些成员就可能来自鲁兹安全和著名游戏站黑客,并试图从中获取额外价值......他们试图证明一个观点。
这样,就导致公众看到了“从成功走向成功”的黑客攻击上升趋势。尽管今年的官方数字还没有公布,但我们相信呈现出增长趋势的情况不会变化。由于很多攻击都与追逐利益无关,所以,目前的重点工作应该找出实际动机以及可能带来的影响。
攻击的发展也展示出僵尸网络的增长趋势,这与宽带服务的应用和普及有着很大的关系。导致这种情况出现的重要原因之一就是,用户并没有获得足够的安全保护措施。我们认为攻击者重点关注的是拥有完善宽带基础设施的国家。举例来说,每户都拥有1Gbps宽带连接的新加坡就是僵尸网络非常喜欢的一处发展基地。因此,我们将会发现越来越多的僵尸网络通过特定语言入侵到用户系统中的情况。
对于利用网络钓鱼或者被破坏的网络服务器发送URL的攻击模式来说,具体实施过程是这样的;僵尸主控机可以选择位于葡萄牙的计算机进行入侵,这与针对没有受到良好保护的巴西系统所做的工作没有什么不一样。不过,如果发现目标运行的是英语系统,攻击者可能就会选择回避,以防止安全研究人员利用“英语”计算机系统来获得自身的详细信息。
此外,针对移动设备的攻击也呈现出继续增长的趋势。在人们看到移动攻击出现增长趋势时,会以为犯罪分子破坏的是智能手机。但实际上,真正受到攻击的是利用USB记忆棒或智能手机上的无线热点连接到移动宽带上的笔记本计算机。
你是否认为现行安全架构应该被推倒重来?
确实是这样。对于大部分用户来说,在考虑到安全问题时,关注的重点依然是清单和前人获得的经验。因此,只要建立了清单,大家就会认为任务已经完成。但反过来看的话,我们会发现清单中包含的内容必定是落后于实际环境和当前攻击的情况。
并且,在公司选择将系统迁移到云中后,这将成为一个非常棘手的问题。所有系统都变成了其它人数据中心里的虚拟机,有些安全控制措施会变得不再适用甚至无法在网络层实施。
此外,在云模式下,我们不再能够利用防火墙将应用环境与外界隔离。因此,在建立基础架构之前,我们就需要把安全方面的需求考虑进去,让其成为系统整体的必备部分,并且在分层模型中,提供必须的控制和安全功能。
尽管这将会是一项非常艰巨的任务,但我不认为它属于无法完成的;实际上,解决问题的关键是让大家从清单模式中走出来。它可以为我们提供一些帮助,但却无法完成全面保护的需要。
同样,日志审核也属于无法完成的工作?
按照正式要求,每天我们都需要对日志文件进行至少一次审核。但大家觉得这一要求真的能被完成么?
在明白为什么必须这么做的真正原因之前,人们并不喜欢对安全方面的需求进行审核。问题的关键就是,为什么应该查看当天的日志?打开日志文件,寻找可疑行为;如果这么做了,会被当作现有工作的组成部分么?
对于云环境来说,数据流量将变得无比巨大,依靠人力审核日志文件已经成为不可能完成的任务。没有人可以坐下来对日志文件进行如此长时间的审核,并从中找出发生的异常行为。我们必须使用软件来完成相应工作。人力已经无法做到这一点,这也是我们鼓励客户来使用工具的原因之一。
我们需要仔细考虑到的问题包括了,依靠当前使用的技术能够获得什么样的安全保护,以及选择这种技术的原因,还有预定目标在什么地方以及在现实世界中如何实现。
关于增强签名和查找漏洞的谈论已经有很多了。这里是否存在一种更好的模式?
我们必须同时做两件事情——寻找新技术和修复现有漏洞。我个人真正喜欢的工作是寻找异常行为。我们正在尽力修复漏洞,让签名功能更强大,但真正应该做的事情是寻找一些独特的技术。在这里,典型的例子就是基于软件即服务模式的网络应用防火墙,它包含了大量的数字签名,可以用于漏洞保护工作。
这里问题的关键依然是数字签名本身。我们可以做到非常完善;但对于新类型的攻击来说,情况就完全不同了。如果系统中存在我们不知道的新漏洞,无法通过签名进行防范,那又应该怎么办?
为此增加的一项新功能就是“错误计数器”。在非法请求获得批准后,就会导致客户出现错误,这样就可以记录下来。如果发现错误大量出现,就意味着系统中存在问题,现在要做的工作就变成了确认并消除该漏洞。
我是异常行为寻找模式的铁杆支持者,并且主张利用强大的工具来进行此类工作。
技术部门往往缺乏人力和物力。如果需要对“传统”工作流程进行改进的话,我们所需要的不仅仅是决心。因此,具体的改进过程应该如何得以实施?
常言道,选择IBM产品永远都是正确的;这就意味着,没有人会因为开展其它人已经做过的工作而被解雇。因此,只要还在工作,人们就会拥有安全感。因此,问题的关键就在于员工们最关心的是自己饭碗的安全性,而并不在意需要保护数据的实际情况。
对于阿卡迈来说,试图要做的一些事情就是让安全人员意识到在本职工作中还存在一些“道德”方面的责任,这就是——为公司提供更好的安全保障。
如果员工所关心的仅仅是保住饭碗的话,就意味着公司针对技术团队采取的激励措施是错误的。这将是一项非常艰巨的任务。我们需要在安全社区内开展大量培训,尽力帮助人们提高自身的认识到下一阶段。
我们与社区进行合作,从现场到外部环境都被包括进来,目的是帮助大家了解新模式。我们可以看到,越来越多的人开始意识到字面“安全”不是问题的终极目标,我们需要考虑到新生事物。我对项目的进展情况非常满意。尽管目前我们并没有到达预定目标,但至少前进的方向是正确的。
为了让变革获得催化剂,我们是否需要更大规模攻击带来的震撼?
我并不认为人们已经意识到变革的重要性。我认为时间还不到——人们现在关心的仅仅是数据。这就是说,我认为在下个月召开的黑帽安全大会上将会给出变革的催化剂。
对于目前尚未迁移到云中的公司来说,需要注意哪些方面的问题呢?
首要的工作就是搞明白希望在云中进行具体工作的内容。很多公司选择迁移到云中,仅仅是因为这样做很“酷”。不要让这种倒果为因的情况出现。
对于迁移到云中给灵活性、成本节约和安全等方面带来的变化,要拥有足够的认识。如果决定迁移到云中的话,公司就需要认识到可以得到的好处有什么。然后,借此机会对基础架构重新进行全面构建,并仅仅将需要的部分迁移到云中。
另外,相对云基础设施,我们还需要了解到如何利用到云服务带来的优势。人们需要关注的,不仅仅是短期内成本的节省情况,而且是如何通过迁移到云中让企业变得更灵活,更强大。
云的安全状态是否有了改善?
在基础设施即服务领域,我认为现有技术的进展并没有预计的那么快。他们正处于改善之中,我也看到了一些不错的迹象,但整体而言依然存在很多可以预见到的问题。其中的问题之一就是设施共用带来的问题,如果一部分遭受攻击的话,那么周围的所有用户都会受到影响。在人们引火烧身之前,我不认为现实情况会有很大的变化。
在网络空间领域,Salesforce.com之类的供应商已经意识到自身提供的价值所在,以及需要负责的安全保护措施。他们中的绝大部分都非常重视服务的质量情况,尤其是那些针对企业级客户的厂商。
在这方面,消费者类型的服务还存在着很大的差距,造成这种情况的部分原因是用户并不属于真正的购买者。尽管消费者已经选择并确认了所有的许可协议,但这并没有带来任何权利。
从1997年加入信息安全行业以及此前在美国空军从事信息方面的工作经历来看,你认为技术领域的最大变化是什么?
最大的变化就是出现了互联网。当我们第一次意识到网络属于生活方式的时间,我认为绝大部分人都没有了解本质所在。那时,它仅仅是一种工具,而不是生活方式,这就是最大的变化。
回到15年前,如果我们告诉其他人可以通过互联网进行员工培训以及上传子女和宠物的照片,大家会打量你,并认为遇到了疯子。
实际上,从去年开始推特已经让某些国家的政府倒台,这些情况我认为任何人都无法预测到。我也觉得,对于安全方面的认识,不论从哪个方面来看,我们都依然没有抓住本质。我也不认为已经把握到了本质,这与隐私的关系也不大。原因就是,由于所有人都知道其它人的很多事情,所以,我们认为的隐私级别是不存在的,纯粹属于虚构的情况。
【编辑推荐】
