RSA2012美国大会结束以后,RSA总裁亚瑟.W.科维洛来到了中国北京,和几家IT和行业类媒体进行了一轮风趣而睿智的访谈活动。
RSA总裁亚瑟.W.科维洛
以下是现场的采访实录。
记者:我们注意到在RSA2012大会之后,很多公司都在推出移动安全方面的产品和解决方案,RSA公司本身有没有这方面的产品和解决方案即将推出?
亚瑟.科维洛:上周RSA正是对外发布了几款针对移动设备接入或者移动接入的身份认证产品。其实我们现在要做增值部分,尽管我们不能直接控制移动设备本身,但我们要设置一种普遍性的控制。现在有一个前提要说清楚,现有的安全机制,是无法处理目前这种开放式的设备、平台、架构安全。记得我跟你说,2001年和2011年安全差别,2001年你使用杀毒软件,只有一、两千种病毒签名在病毒库中,如果2011年你的病毒签名就太多了,数以百万计。每天你都会看到一些临时攻击,它可以绕过杀毒软件的病毒签名,他给你发一个钓鱼邮件,直接绕过防火墙。所以我们说传统的安全,不管是是杀毒软件还是其他的点式、外围的安防产品,到目前阶段,已经不可能做到完全防范了。所以如果你的网络被入侵了,不要觉得很惊奇。无论我们多么努力的去培训员工或消费者,你们要注意防范,他们肯定会犯错误,只要他们犯了错误,黑客就会利用他们的错误侵入,对此我们也不要有什么大惊小怪的。我们要接受一个现实,网络会被攻破,但网络被攻破不一定必然有损失,我们可以在防范损失方面做一些工作。我们必须接受一定的风险冗余度,这意味着我们要改变思维方式和行为方式。黑客利用的是自己掌握的信息和互联网的速度,所以我们也跟黑客一样,要挖掘现在拥有的数据中有价值的地方,让它发挥作用。但是这样做,不能依赖于原来那些属于单点的安全。这个模型我在以前为大家做过介绍,为了找到问题,执行相应的安全策略,我们要有一个控制层,控制层有好几个控制点,ID、基础设施数据、信息等等,通过这些找到问题和执行策略。在控制层,会有一些单点孤立产品,在这之上会有管理层,即控制面板管理层要去控制、管理单点安全产品。所以在管理层面上,它实际上就是一个控制面板,告诉你单点安全产品要做些什么,同时监控单点运行产品的状态。我们经常说SOC(安全操作中心),这是它传统的运行架构。但在这些架构下的产品是独自运作,为我们提供的信息是非常少的。如果单点控制点之间各自为政,对我们来说,无法从他们单个身上获得足够的智能,我们希望以智能为导向的安全。
以智能为导向的安全有三方面,基于风险、敏捷的、基于上下层的大背景。其实我们讲基于风险已经谈了很长时间了,但是我们并不认为有什么安全公司有足够的细致度,真正做到基于风险的安全。首先我们对风险要有全面、透彻的了解。我们要有更好的构造,从而对IT技术设施获得更高的可视性以及更好的管理它。所以不要像过去一样,在漏洞上逐个加控制点,这样做是没有用的,我们要从风险做起,首先考虑什么,我们面临什么样的风险。那么我们如何去理解面临的风险呢?首先你要看到,在这个系统和环境中,都存在什么漏洞,这些漏洞各自比利用的概率有多大。所以不光是自内向外,同时还要自外向内理解风险。这是什么意思呢?我们如何保护自己是自内而外的,从外到内是指我们要考虑可能会有谁,以什么样的方式来攻击我们。我在RSA大会上也引用了《孙子兵法》的一句话,知己知彼百战不殆,用白话来说,如果你看到远处树在摇晃,你就知道敌人离我们不远了。一定要在远处观察,才能了解敌人的动态。所以我们要从风险开始做安全,而不是从底层开始做。如果管理风险,把风险最小化,我们有一套治理和合规的框架,帮我们管理风险,执行风险策略。把风险做好,建立起治理合规框架,这方面的需求可以被匹配到管理层,我们要知道管理什么,从而提出要求。我并不是说单点安全、单点控制不好,而是需要从它们身上挖掘、提取更多的智能,在这部分要去糟粕,留精华,有些地方不要了,但有些灵敏的基于风险的控制点,我们要保留。
什么叫做具有敏捷性的控制点呢?我给大家举几个例子。比如在ID方面,我们不光需要那些能够辨别、判断证书真伪的产品,安全产品还必须要对用户的消费能力做分析。这部分我随后会有具体的介绍,基于风险的身份认证就是这个意思。DLP(数据丢失防护)是另外一个可以给我们更多智能信息的控制点。DLP可以帮助我们做什么呢?我们要在现有的信息库中发现有用的,并进行归类的数据。现在我们在现代汽车大厦,假设我是现代汽车的CIO,我要分析存在什么样的风险,其中一个风险是汽车设计图被别人偷窃或者丢失了,所以要把设计图作为资产进行管理,这时候我就会告诉DLP产品管理平台需要做什么。控制台面板就会给DLP产品发出请求,找到基础设施中所有的技术图,通过DLP程序,我们可以设定对技术图的管理,比如说技术图在网络传输的路径是什么,是否允许被打印、用电子邮件发出,用USB设备存储,这些都可以作为安全策略由DLP执行。同时在我们接触的IT设施中还有持续监控功能。我们看一下充满着漏洞的“边防”,别人从外部攻入是肯定会发生的一件事,这就像有贼会破门而入闯入你的房子,所以要在房间内部安装视频监控系统,一旦有人进来,可以监控情况。
那么如何很好的利用三种类型的控制点?目前通过SIEM(安全信息和事件管理)产品,把所有控制点日志信息汇总起来,可以说SIEM这款产品,成功为SOC提供了增值,但并没有为我们提供太多的背景信息。我举一个例子,有的用户提供有效证书接入基础设施,同时基础设施持续监控通过配置管理器发现有一个服务器没有及时打补丁,但你可能忽略了这样的警告信息。同时你有一个DLP工具,它执行的策略是只有为数不多的几个用户才有权限访问技术性数据。假设有一个销售人员,接入网络系统,提供了有效证书,没有人觉得不正常。但这个销售人员的问题在于他用的电脑存在木马,这个木马叫做身份劫持,而我们的身份管理安全产品没有控制木马进入的功能。我们希望身份管理产品,可以发现存在木马的电脑正在试图访问没打补丁的服务器,做基础设施持续监控的产品,可以观察到这个销售人员其实跨越了自己的级别权限,他在访问自己无权访问的信息。接下来DLP产品可以告诉你,遭受非法访问的信息对企业来说是非常有用的信息。如果只是单独分析三个产品分别给你反映的情况,你搞不清楚状况,不会觉得三者之间有任何关联性。所以在第三个层次上,我们要汇总的不光是信息,我们希望可以把三个产品所反映的信息结合起来做分析。
这就是我们经常在谈的大数据问题,我们在大数据时代,能够掌握企业大背景信息,获得上下关联的信息,只有通过信息汇总和分析,了解了背景情况,从而获得那些我们需要快速采取行动的信息。比如我们看到使用带有劫持木马电脑的销售人员要非法访问对企业非常有价值的数据时,马上把数据保护起来,进行脱线。简而言之就是说当有人入侵到系统,我们可以把漏洞的时间窗口缩小,即使我们的网络被入侵了,但可以把损失降到最低。但是这个框架、结构还缺失了一部分,不光是IT系统本身的设施要挖掘信息,我们还要从外部获取信息。我们需要更的信息或者说智能共享。因为我们需要快速的辨析什么样的黑客以什么样的方式入侵。为了保证数字世界中的互相信任,我们就需要安全向这个方向演进发展。其实我们谈到未来的安全模式,它更关注的信息是人,而不是硬件、服务器、设备或移动设备,这些是次要的。也就是说我们需要一些传感设备,从不同的设备中挖掘信息、汇总起来。可以是客户端的软件,比如IPHONE就可以成为身份识别的手段,首先我们知道这个IPHONE是万军的,但这个手机出现了不符合寻常的情况,可能说明这个手机现在并不是万军在用。对于防恶意软件的工具,也需要创新,不能像现在,依赖于病毒签名。他们需要在未来,不依赖于软件签名的方式。我们说三个点,基于风险我们说过了,什么叫敏捷呢?安全产品和安全机制,可以掌握交易的模型,跟踪信息的流量,快速做出判断,这是敏捷性。而CONTEXTUAL是指把背景信息抓上来,汇总起来进行分析。
#p#
记者:这张图好象把RSA所有的产品线说了一遍。
亚瑟.科维洛:你很有观察力。我在谈这个图的时候,并不是在谈RSA,而是谈安全行业,在RSA安全大会上,我的主旨发言并不是作为RSA的代表,而是作为安全行业的代表来发言。如果我认为整个安全行业都是这个大趋势,RSA的战略当然也应该是这样的。既然RSA的战略是这样的,当然RSA的产品就跟着战略走。我跟客户介绍RSA的时候,就是用这张图,我不会从兜里拿出具体的产品,给他们看商标、看产品。我会向他们解释这张图,问他们你们同意我这个观点吗?你们是否认为未来安全应该这样做。这些客户都无一例外的同意这个观点。您非常直接,他们同意了这个说法,下一步我就把图中填入RSA的产品,Archer、NetWitness、RSA基于风险的身份认证,RSA的DLP产品,其实这些部分,有些客户不用RSA的产品也没问题,因为我们可以在上层实现异构,把不同厂商产品形成的信息都抓上来。客户经常表扬RSA,说RSA在安全领域是唯一一家对安全有全面、综合考量的公司。而且我们也是唯一一家聚焦于治理和合规层次的安全厂商,也是唯一一家能够提供全系列产品的安全厂商。
记者:最近RSA和Zscaler这家公司的合作为用户提供了云计算的可信度,Zscaler有何过人之处?单靠RSA的解决方案不能为用户提供可信登录吗?
亚瑟.科维洛:Zscaler是做云基础设施控制点产品,而RSA不打算做这些。Zscaler不做身份管理也不做认证,假设这里有一个员工想接入企业网络,要通过Zscaler的产品,然后Zscaler对他们要进行身份认证,通过身份认证后允许接入企业网,随着一段时间过去,Zscaler有很多的信息,要把这些数据信息导入到治理可视层。所以我们宣布和Zscaler的合作,等于是一个结合。云架构有三层,Zscaler是在底层基础设施。
记者:看起来像IAAS?
亚瑟.科维洛:对。相当于安全的IAAS。
记者:我们注意到您在RSA2011大会,2012大会都在呼吁联合起来应对黑客攻击,但是防守方的合作,似乎不是那么有效,反倒是像Anonymous这样的黑客组织跨行业、跨国界合作得不亦乐乎,您怎么看待这个问题?
亚瑟.科维洛:还记得我在上层说过要进行情报共享?通过情报共享,关联和分析引擎才能更好的运作。目前确实当你一谈信息共享,基本上就意味着要失败了。首先国与国之间存在敌对关系、公司之间的竞争关系、不同的法律环境,比如说隐私保护法,让我们无法实现一些信息的共享。因为上面提到的障碍,自上而下的结构搭建就有困难,很难实现信息共享。但是现在消费者和员工在新技术的采纳方面,不会再有耐心等企业,他们走在前头了,这是从草根阶层做起,所以企业自发组织进行信息的分享。过去一年,我们发觉这个趋势越来越明显。事实上,在美国出现了一个信息分析共享委员会,这是分行业做的,他们做的是实时信息共享。但是还需要政府的帮助,要更好的保护我们,实际上希望修改相关的法律,国与国之间能够合作,给我们提供更多的信息。这周前几天我和澳大利亚的媒体在一起对话,我以尽可能礼貌、外交的语言指出,他们对某些问题有些夸大其词了,他们其实没有看到真正的问题所在,他们比较喜欢耸人听闻的东西。但不是所有的澳大利亚媒体都这样,但是我们知道,西方国家像美国这样的媒体,比较喜欢发布耸人听闻的信息。但其实这不怪他们,其实安全厂商有责任给他们提供更好的信息,做好自己的工作,避免爆炸性的新闻。我跟澳大利亚媒体说,传媒有责任,报道安全相关的题目,这样可以敦促政府行动。当然不光是政府,企业的领导和CEO们也应该了解目前的情况。像我们这些搞安全的企业,和记者如实沟通,把情况告诉你们,你们帮助我们把事情的原委报道给大众,也许可以推动业界更好的合作。从而让政府修改相关的政策,从而帮助安全行业,其中一项非常重要的工作就是推动、帮助我们实现信息共享。我非常希望国与国之间能够有这样一个信息共享的机制。
记者:我是行业媒体,比较侧重于访问行业用户的声音。我们今年对电子银行做了系列访问,电子营业部老板目前都在考虑电子银行的安全问题,现在他们一方面是内部升级电子证书,有些大银行,像建设银行建立了电子银行风险监控平台,通过一系列的手段降低风险,一旦风险发生后,他们会和监管部门、公安部门合作。在这样的大背景下,RSA公司如何深入与这些银行合作?我们知道,现在银行对安全公司特别是国外的安全公司很爱,但又不敢太爱,有时候不得已只能自己去建立风险监控平台。
亚瑟.科维洛:在过去六年中,RSA专注的就是交易监控和设备安全。在世界各大州,除了南极,有6000家银行使用我们的产品。所以每天由RSA保护的帐户数量达到了3亿多。现在我们这项技术大举进入印度,有了印度市场,用户数至少还要再增加1亿。除了设备识别、行为识别技术之外,我们还有一个防电子欺诈网络。事实上我们不需要银行主动跟我们分享信息,我们可以把这些信息推给银行。比如乌克兰有一个攻击事件发生,我们掌握了它的IP地址,同样的IP地址攻击了苏格兰皇家银行,当入侵事件发生后,很短的时间内,澳大利亚的银行就会知道这个IP地址是不可信的。我们全球有6000家银行就可以想到我们的防欺诈系统多么有力,美国75%的银行受到这项技术的保护。现在我们正在中国提供这样的技术。银行可以有自己的措施和战略,但至少根据我最新的信息,银行业好、金融服务机构也好都不是专业做安全的,而RSA是做安全的,我们一直准备好为他们服务。
记者:可是他们不敢接受。
亚瑟.科维洛:我最喜欢的一句话是邓小平说的“无论黑猫白猫,能抓老鼠的猫就是好猫。”邓小平是非常明智的领导。
记者:除了建行已建了自己的监控平台,其他银行也在跟进。
Andy:也有跟我们合作的银行。
亚瑟.科维洛:这些中国银行其实可以考虑一下,RSA在全球有6000家银行,而且有过去6年的经验,他们借用我们的平台,可以有进一步优化效果。
记者:作为媒体我们愿意把好的东西拿过来,只要这个信息可以得到保密,我们愿意共享信息。
Andy:这里做的安全和以前做的密码安全是不一样的,你可以把它看成某种应用程序,这种应用程序掌握了全球黑客的行为,所有的控制还是掌握在银行手中,所以中方不用去担忧数据外泄或者说解决方案中会安装后门,让外国人看到。
亚瑟.科维洛:虽然是RSA的产品,但拿给用户了,RSA就不知道里面有什么信息。
Andy:这就像中国使用了很多外国路由器一样的道理。
记者:我记得以前看过一个电影《国家公敌》,里面有一句经典的话“你用的高科技产品越多,你的眼睛就越小。”苹果在发展的时候,走了反向路径,系统逐渐收缩封闭。目前看苹果的产品比其他产品的安全性更好一点,这种趋势是否会改变今后信息安全发展的趋势和路径?
亚瑟.科维洛:其实直到几年前苹果的平台并不是一个企业级的平台。99%的企业使用的电脑还是Windows平台,所以你如果是黑客,会选择掌握哪种技巧攻击哪种平台呢?事实上苹果确实是专有平台,但一旦黑客感觉有利可图,会找到攻入系统的方式。做安全行业的人有一句行话“只要默默无闻就能安全。”树大才能招风,不出名就安全了。现在苹果绝对不再是默默无闻的了,原来用MAC电脑的人都是做平面设计的发烧友,现在已经不是这样了。像安卓这样的平台,因为开放,更易受到攻击,但绝对不存在百分之百安全的东西。不管苹果的系统多么封闭,不可避免的是苹果设备会受到越来越多的攻击。你看过《侏罗纪公园》,说侏罗纪公园有完善的物理防范体系,说恐龙肯定跑不出来,结果呢?
记者:亚瑟刚刚画了产品图,我可不可以把这个图理解为这是一个神经中枢,可以植入电脑。
亚瑟.科维洛:你干脆把它叫做大脑吧。
记者:基于风险又可以动态分析风险的系统,您预计什么时候可以普及?
亚瑟.科维洛:这个问题问得特别好。跟客户在一起的时候,他们说最上层看上去很美,他们喜欢这部分,然后客户又问了,这么好的东西,执行起来有点复杂。但我想问一下,你们觉得中层和下层做得怎么样呢?有的基于控制点的系统,现在产生大量的数据和信息。信息量太大了,以至于不知道到底根据哪个信息采取行动。而最上层这个环节不是一蹴而就的,有人可能已经使用了SIEM,再加一个持续监控部分,我们觉得要止损,非常重要的手段就是安装视频监控。而打造关联分析引擎需要做很多工作。基本上一开始我们第一步要做的,这个引擎分析的是视频传的数据信息还有SIEM提供的分析信息,其实这个引擎随着你不断运转,时间越长,具有的智能性越强,就可以从中获得更多的信息,然后运转和反应就会更加敏捷。GRC(治理、风险与合规)部分其实是调控部分,可以更有效的进行综合管理。所以我坚信,在上层部分,你投的钱越多,在中下层节约的钱就越多。所以我对客户的建议尽快转向这个模型,因为SOC架构,没有弹性,现在越来越维持不下去了,快要崩溃了。我们有一个做SOC的客户,他们说我们的SOC系统很好,但是你说的视频监控系统很好,所以我们要做POC验证。结果他们做POC的时候,发觉现有的基础设施里,经常出现而且持续有知识产权被窃取。因为IP失窃了,但靠SOC的单点信息,捕捉不到失窃信息。如何设置新的控制点?如果出现了新的攻击性质,立即设置新的防护形式去覆盖它。我们不可能对每个个体攻击都做到防患于未然,但是我们要做的是给系统安上眼睛,这个系统能看到所有发起的攻击,尽快的采取止损行为。
记者:去年年底的时候,中国天涯、人人出现客户信息丢失情况,而很多客户信息丢失有一小部分伴随着帐号丢失,现金窃取。但大部分人信息丢失后,只是个人信息泄露,并没有造成太大的损害。这种情况在2011年达到了顶峰,互联网安全那么严峻,每一个网民个体没办法维护自己的利益,案件发生后没有原告,出现这样的情况如何解决?
亚瑟.科维洛:我们对这种问题已经了解得太多了,每天报纸上都会有关于网络犯罪的报道,现在我们要采取行动了。就像消费者个人,中国的网民看了报道后,但没有办法。当然我们可以跟他们说,你们上网的时候要有一些注意,可能会有一定的帮助。但是我认为和消费者对口的组织、机构应该保护网民。政府也有义务,他们应该做更多的工作保护自己的公民。我觉得网络犯罪,我们应该找到一种更行之有效的方法对其进行惩戒。所以回到刚刚呼吁的那件事,国家要修订法律,制订适当的政策,携手合作,推动信息分享,让相关机构可以对消费者和网民进行保护。事实上,在数字世界,这种信任已经受到极大的伤害,所以我们需要采取措施重新建立这种信任。我觉得我们应该充分利用技术已经具备的能力,不能倒退,必须做得更好。RSA是非常希望能够帮助到中国人民和中国的企业,而且我们有很强的能力这样做。
记者:我之前做技术的时用RSA的Token,每分钟变一次,后来其他公司出的产品半分钟变一次,就这个问题我们在微博争论得很激烈,现在需要您给评评理。
亚瑟.科维洛:问题是每30秒变一次,你都来不及输入。
Andy:其实我们在香港是推30秒的Token。
亚瑟.科维洛:有中间人和浏览器的攻击形式。以时间为技术的东西比以事件为基础的令牌要困难一点。其实做Token时间的长度和安全与否并没有直接的联系,我们在香港卖30秒token,因为香港政府需要这样做。如果你用令牌,人家用木马,还是可以插进来,所以令牌时间不是问题,它在前端,我们说的RISK的方法是在后端。分析行为模式的风险来判断这个行为是否正当,所有的国际厂商都是这样的。
