安全人員最關心的是自身飯碗
為了確保建立的應用環境更為安全,保證公司發展和員工心態不受到影響是非常重要的;但是,對于大部分安全人員來說,更關心的現實問題是自己的飯碗會不會受到影響。
在與安全社區成員進行交流的時間,阿卡邁技術公司首席安全官安迪·埃利斯與大家分享了作為內容網絡供應商是如何對信息工作流程進行重建的體會。并且,按照他的觀點,這項工作也帶來了積極的最終成果。
在接受ZDNet的采訪時,埃利斯解釋說:提高安全性的完美措施就是尋找異常行為,并且將此功能作為系統的必備選項,這樣的話,錯誤在萌芽階段就可以被發現。
他指出,盡管使用數字簽名和查找系統漏洞屬于很有價值的工作,但問題的關鍵是僅僅依靠這些方法,是無法為公司整體安全提供足夠保障的。
他還認為,自從1997年開始從事信息安全領域方面的工作以來,互聯網的出現屬于技術世界中發生的最顯著變化。
問題:從去年開始,分布式拒絕服務(DDoS)成為公眾關注的重點。而現在,黑客攻擊行為變得極為普遍,大家都見怪不怪不再感到意外了。對于安全領域過去一段時間內的變化,你認為應該如何形容?
我們所面臨的是大規模攻擊暴漲的現實情景。在2005年到2009年的時間,這種現象并沒有表露出來;盡管偶爾也會有黑客出現,但很快就會被解決掉。固然也存在拒絕服務(DoS)攻擊,但出現的次數并不多,也很快就被清除掉。
這次大規模攻擊暴漲風潮的起點是2009年7月4日,在2010年第4季度的時間數量達到了頂峰。在該季度中,我們遭遇的攻擊數量比前一年的總和還多,主要表現為利用撥號服務攻擊中型電子零售商和電子商務網站。當匿名者團隊的報復行動成為頭條新聞后,被稱作魯茲安全的黑客集團就開始對公司安全網絡展開了攻擊。作為”反機密“聯盟的成員,他們利用“谷歌黑客技術”來攻擊公司網站。在針對索尼的攻擊中,某些成員就可能來自魯茲安全和著名游戲站黑客,并試圖從中獲取額外價值......他們試圖證明一個觀點。
這樣,就導致公眾看到了“從成功走向成功”的黑客攻擊上升趨勢。盡管今年的官方數字還沒有公布,但我們相信呈現出增長趨勢的情況不會變化。由于很多攻擊都與追逐利益無關,所以,目前的重點工作應該找出實際動機以及可能帶來的影響。
攻擊的發展也展示出僵尸網絡的增長趨勢,這與寬帶服務的應用和普及有著很大的關系。導致這種情況出現的重要原因之一就是,用戶并沒有獲得足夠的安全保護措施。我們認為攻擊者重點關注的是擁有完善寬帶基礎設施的國家。舉例來說,每戶都擁有1Gbps寬帶連接的新加坡就是僵尸網絡非常喜歡的一處發展基地。因此,我們將會發現越來越多的僵尸網絡通過特定語言入侵到用戶系統中的情況。
對于利用網絡釣魚或者被破壞的網絡服務器發送URL的攻擊模式來說,具體實施過程是這樣的;僵尸主控機可以選擇位于葡萄牙的計算機進行入侵,這與針對沒有受到良好保護的巴西系統所做的工作沒有什么不一樣。不過,如果發現目標運行的是英語系統,攻擊者可能就會選擇回避,以防止安全研究人員利用“英語”計算機系統來獲得自身的詳細信息。
此外,針對移動設備的攻擊也呈現出繼續增長的趨勢。在人們看到移動攻擊出現增長趨勢時,會以為犯罪分子破壞的是智能手機。但實際上,真正受到攻擊的是利用USB記憶棒或智能手機上的無線熱點連接到移動寬帶上的筆記本計算機。
你是否認為現行安全架構應該被推倒重來?
確實是這樣。對于大部分用戶來說,在考慮到安全問題時,關注的重點依然是清單和前人獲得的經驗。因此,只要建立了清單,大家就會認為任務已經完成。但反過來看的話,我們會發現清單中包含的內容必定是落后于實際環境和當前攻擊的情況。
并且,在公司選擇將系統遷移到云中后,這將成為一個非常棘手的問題。所有系統都變成了其它人數據中心里的虛擬機,有些安全控制措施會變得不再適用甚至無法在網絡層實施。
此外,在云模式下,我們不再能夠利用防火墻將應用環境與外界隔離。因此,在建立基礎架構之前,我們就需要把安全方面的需求考慮進去,讓其成為系統整體的必備部分,并且在分層模型中,提供必須的控制和安全功能。
盡管這將會是一項非常艱巨的任務,但我不認為它屬于無法完成的;實際上,解決問題的關鍵是讓大家從清單模式中走出來。它可以為我們提供一些幫助,但卻無法完成全面保護的需要。
同樣,日志審核也屬于無法完成的工作?
按照正式要求,每天我們都需要對日志文件進行至少一次審核。但大家覺得這一要求真的能被完成么?
在明白為什么必須這么做的真正原因之前,人們并不喜歡對安全方面的需求進行審核。問題的關鍵就是,為什么應該查看當天的日志?打開日志文件,尋找可疑行為;如果這么做了,會被當作現有工作的組成部分么?
對于云環境來說,數據流量將變得無比巨大,依靠人力審核日志文件已經成為不可能完成的任務。沒有人可以坐下來對日志文件進行如此長時間的審核,并從中找出發生的異常行為。我們必須使用軟件來完成相應工作。人力已經無法做到這一點,這也是我們鼓勵客戶來使用工具的原因之一。
我們需要仔細考慮到的問題包括了,依靠當前使用的技術能夠獲得什么樣的安全保護,以及選擇這種技術的原因,還有預定目標在什么地方以及在現實世界中如何實現。
關于增強簽名和查找漏洞的談論已經有很多了。這里是否存在一種更好的模式?
我們必須同時做兩件事情——尋找新技術和修復現有漏洞。我個人真正喜歡的工作是尋找異常行為。我們正在盡力修復漏洞,讓簽名功能更強大,但真正應該做的事情是尋找一些獨特的技術。在這里,典型的例子就是基于軟件即服務模式的網絡應用防火墻,它包含了大量的數字簽名,可以用于漏洞保護工作。
這里問題的關鍵依然是數字簽名本身。我們可以做到非常完善;但對于新類型的攻擊來說,情況就完全不同了。如果系統中存在我們不知道的新漏洞,無法通過簽名進行防范,那又應該怎么辦?
為此增加的一項新功能就是“錯誤計數器”。在非法請求獲得批準后,就會導致客戶出現錯誤,這樣就可以記錄下來。如果發現錯誤大量出現,就意味著系統中存在問題,現在要做的工作就變成了確認并消除該漏洞。
我是異常行為尋找模式的鐵桿支持者,并且主張利用強大的工具來進行此類工作。
技術部門往往缺乏人力和物力。如果需要對“傳統”工作流程進行改進的話,我們所需要的不僅僅是決心。因此,具體的改進過程應該如何得以實施?
常言道,選擇IBM產品永遠都是正確的;這就意味著,沒有人會因為開展其它人已經做過的工作而被解雇。因此,只要還在工作,人們就會擁有安全感。因此,問題的關鍵就在于員工們最關心的是自己飯碗的安全性,而并不在意需要保護數據的實際情況。
對于阿卡邁來說,試圖要做的一些事情就是讓安全人員意識到在本職工作中還存在一些“道德”方面的責任,這就是——為公司提供更好的安全保障。
如果員工所關心的僅僅是保住飯碗的話,就意味著公司針對技術團隊采取的激勵措施是錯誤的。這將是一項非常艱巨的任務。我們需要在安全社區內開展大量培訓,盡力幫助人們提高自身的認識到下一階段。
我們與社區進行合作,從現場到外部環境都被包括進來,目的是幫助大家了解新模式。我們可以看到,越來越多的人開始意識到字面“安全”不是問題的終極目標,我們需要考慮到新生事物。我對項目的進展情況非常滿意。盡管目前我們并沒有到達預定目標,但至少前進的方向是正確的。
為了讓變革獲得催化劑,我們是否需要更大規模攻擊帶來的震撼?
我并不認為人們已經意識到變革的重要性。我認為時間還不到——人們現在關心的僅僅是數據。這就是說,我認為在下個月召開的黑帽安全大會上將會給出變革的催化劑。
對于目前尚未遷移到云中的公司來說,需要注意哪些方面的問題呢?
首要的工作就是搞明白希望在云中進行具體工作的內容。很多公司選擇遷移到云中,僅僅是因為這樣做很“酷”。不要讓這種倒果為因的情況出現。
對于遷移到云中給靈活性、成本節約和安全等方面帶來的變化,要擁有足夠的認識。如果決定遷移到云中的話,公司就需要認識到可以得到的好處有什么。然后,借此機會對基礎架構重新進行全面構建,并僅僅將需要的部分遷移到云中。
另外,相對云基礎設施,我們還需要了解到如何利用到云服務帶來的優勢。人們需要關注的,不僅僅是短期內成本的節省情況,而且是如何通過遷移到云中讓企業變得更靈活,更強大。
云的安全狀態是否有了改善?
在基礎設施即服務領域,我認為現有技術的進展并沒有預計的那么快。他們正處于改善之中,我也看到了一些不錯的跡象,但整體而言依然存在很多可以預見到的問題。其中的問題之一就是設施共用帶來的問題,如果一部分遭受攻擊的話,那么周圍的所有用戶都會受到影響。在人們引火燒身之前,我不認為現實情況會有很大的變化。
在網絡空間領域,Salesforce.com之類的供應商已經意識到自身提供的價值所在,以及需要負責的安全保護措施。他們中的絕大部分都非常重視服務的質量情況,尤其是那些針對企業級客戶的廠商。
在這方面,消費者類型的服務還存在著很大的差距,造成這種情況的部分原因是用戶并不屬于真正的購買者。盡管消費者已經選擇并確認了所有的許可協議,但這并沒有帶來任何權利。
從1997年加入信息安全行業以及此前在美國空軍從事信息方面的工作經歷來看,你認為技術領域的最大變化是什么?
最大的變化就是出現了互聯網。當我們第一次意識到網絡屬于生活方式的時間,我認為絕大部分人都沒有了解本質所在。那時,它僅僅是一種工具,而不是生活方式,這就是最大的變化。
回到15年前,如果我們告訴其他人可以通過互聯網進行員工培訓以及上傳子女和寵物的照片,大家會打量你,并認為遇到了瘋子。
實際上,從去年開始推特已經讓某些國家的政府倒臺,這些情況我認為任何人都無法預測到。我也覺得,對于安全方面的認識,不論從哪個方面來看,我們都依然沒有抓住本質。我也不認為已經把握到了本質,這與隱私的關系也不大。原因就是,由于所有人都知道其它人的很多事情,所以,我們認為的隱私級別是不存在的,純粹屬于虛構的情況。
【編輯推薦】
