RSA2012美國大會結束以后，RSA總裁亞瑟.W.科維洛來到了中國北京，和幾家IT和行業類媒體進行了一輪風趣而睿智的訪談活動。

[[64642]] 

RSA總裁亞瑟.W.科維洛

以下是現場的采訪實錄。

記者：我們注意到在RSA2012大會之后，很多公司都在推出移動安全方面的產品和解決方案，RSA公司本身有沒有這方面的產品和解決方案即將推出？

亞瑟.科維洛：上周RSA正是對外發布了幾款針對移動設備接入或者移動接入的身份認證產品。其實我們現在要做增值部分，盡管我們不能直接控制移動設備本身，但我們要設置一種普遍性的控制。現在有一個前提要說清楚，現有的安全機制，是無法處理目前這種開放式的設備、平臺、架構安全。記得我跟你說，2001年和2011年安全差別，2001年你使用殺毒軟件，只有一、兩千種病毒簽名在病毒庫中，如果2011年你的病毒簽名就太多了，數以百萬計。每天你都會看到一些臨時攻擊，它可以繞過殺毒軟件的病毒簽名，他給你發一個釣魚郵件，直接繞過防火墻。所以我們說傳統的安全，不管是是殺毒軟件還是其他的點式、外圍的安防產品，到目前階段，已經不可能做到完全防范了。所以如果你的網絡被入侵了，不要覺得很驚奇。無論我們多么努力的去培訓員工或消費者，你們要注意防范，他們肯定會犯錯誤，只要他們犯了錯誤，黑客就會利用他們的錯誤侵入，對此我們也不要有什么大驚小怪的。我們要接受一個現實，網絡會被攻破，但網絡被攻破不一定必然有損失，我們可以在防范損失方面做一些工作。我們必須接受一定的風險冗余度，這意味著我們要改變思維方式和行為方式。黑客利用的是自己掌握的信息和互聯網的速度，所以我們也跟黑客一樣，要挖掘現在擁有的數據中有價值的地方，讓它發揮作用。但是這樣做，不能依賴于原來那些屬于單點的安全。這個模型我在以前為大家做過介紹，為了找到問題，執行相應的安全策略，我們要有一個控制層，控制層有好幾個控制點，ID、基礎設施數據、信息等等，通過這些找到問題和執行策略。在控制層，會有一些單點孤立產品，在這之上會有管理層，即控制面板管理層要去控制、管理單點安全產品。所以在管理層面上，它實際上就是一個控制面板，告訴你單點安全產品要做些什么，同時監控單點運行產品的狀態。我們經常說SOC（安全操作中心），這是它傳統的運行架構。但在這些架構下的產品是獨自運作，為我們提供的信息是非常少的。如果單點控制點之間各自為政，對我們來說，無法從他們單個身上獲得足夠的智能，我們希望以智能為導向的安全。

以智能為導向的安全有三方面，基于風險、敏捷的、基于上下層的大背景。其實我們講基于風險已經談了很長時間了，但是我們并不認為有什么安全公司有足夠的細致度，真正做到基于風險的安全。首先我們對風險要有全面、透徹的了解。我們要有更好的構造，從而對IT技術設施獲得更高的可視性以及更好的管理它。所以不要像過去一樣，在漏洞上逐個加控制點，這樣做是沒有用的，我們要從風險做起，首先考慮什么，我們面臨什么樣的風險。那么我們如何去理解面臨的風險呢？首先你要看到，在這個系統和環境中，都存在什么漏洞，這些漏洞各自比利用的概率有多大。所以不光是自內向外，同時還要自外向內理解風險。這是什么意思呢？我們如何保護自己是自內而外的，從外到內是指我們要考慮可能會有誰，以什么樣的方式來攻擊我們。我在RSA大會上也引用了《孫子兵法》的一句話，知己知彼百戰不殆，用白話來說，如果你看到遠處樹在搖晃，你就知道敵人離我們不遠了。一定要在遠處觀察，才能了解敵人的動態。所以我們要從風險開始做安全，而不是從底層開始做。如果管理風險，把風險最小化，我們有一套治理和合規的框架，幫我們管理風險，執行風險策略。把風險做好，建立起治理合規框架，這方面的需求可以被匹配到管理層，我們要知道管理什么，從而提出要求。我并不是說單點安全、單點控制不好，而是需要從它們身上挖掘、提取更多的智能，在這部分要去糟粕，留精華，有些地方不要了，但有些靈敏的基于風險的控制點，我們要保留。

什么叫做具有敏捷性的控制點呢？我給大家舉幾個例子。比如在ID方面，我們不光需要那些能夠辨別、判斷證書真偽的產品，安全產品還必須要對用戶的消費能力做分析。這部分我隨后會有具體的介紹，基于風險的身份認證就是這個意思。DLP（數據丟失防護）是另外一個可以給我們更多智能信息的控制點。DLP可以幫助我們做什么呢？我們要在現有的信息庫中發現有用的，并進行歸類的數據?，F在我們在現代汽車大廈，假設我是現代汽車的CIO，我要分析存在什么樣的風險，其中一個風險是汽車設計圖被別人偷竊或者丟失了，所以要把設計圖作為資產進行管理，這時候我就會告訴DLP產品管理平臺需要做什么?？刂婆_面板就會給DLP產品發出請求，找到基礎設施中所有的技術圖，通過DLP程序，我們可以設定對技術圖的管理，比如說技術圖在網絡傳輸的路徑是什么，是否允許被打印、用電子郵件發出，用USB設備存儲，這些都可以作為安全策略由DLP執行。同時在我們接觸的IT設施中還有持續監控功能。我們看一下充滿著漏洞的“邊防”，別人從外部攻入是肯定會發生的一件事，這就像有賊會破門而入闖入你的房子，所以要在房間內部安裝視頻監控系統，一旦有人進來，可以監控情況。

那么如何很好的利用三種類型的控制點？目前通過SIEM（安全信息和事件管理）產品，把所有控制點日志信息匯總起來，可以說SIEM這款產品，成功為SOC提供了增值，但并沒有為我們提供太多的背景信息。我舉一個例子，有的用戶提供有效證書接入基礎設施，同時基礎設施持續監控通過配置管理器發現有一個服務器沒有及時打補丁，但你可能忽略了這樣的警告信息。同時你有一個DLP工具，它執行的策略是只有為數不多的幾個用戶才有權限訪問技術性數據。假設有一個銷售人員，接入網絡系統，提供了有效證書，沒有人覺得不正常。但這個銷售人員的問題在于他用的電腦存在木馬，這個木馬叫做身份劫持，而我們的身份管理安全產品沒有控制木馬進入的功能。我們希望身份管理產品，可以發現存在木馬的電腦正在試圖訪問沒打補丁的服務器，做基礎設施持續監控的產品，可以觀察到這個銷售人員其實跨越了自己的級別權限，他在訪問自己無權訪問的信息。接下來DLP產品可以告訴你，遭受非法訪問的信息對企業來說是非常有用的信息。如果只是單獨分析三個產品分別給你反映的情況，你搞不清楚狀況，不會覺得三者之間有任何關聯性。所以在第三個層次上，我們要匯總的不光是信息，我們希望可以把三個產品所反映的信息結合起來做分析。

這就是我們經常在談的大數據問題，我們在大數據時代，能夠掌握企業大背景信息，獲得上下關聯的信息，只有通過信息匯總和分析，了解了背景情況，從而獲得那些我們需要快速采取行動的信息。比如我們看到使用帶有劫持木馬電腦的銷售人員要非法訪問對企業非常有價值的數據時，馬上把數據保護起來，進行脫線。簡而言之就是說當有人入侵到系統，我們可以把漏洞的時間窗口縮小，即使我們的網絡被入侵了，但可以把損失降到最低。但是這個框架、結構還缺失了一部分，不光是IT系統本身的設施要挖掘信息，我們還要從外部獲取信息。我們需要更的信息或者說智能共享。因為我們需要快速的辨析什么樣的黑客以什么樣的方式入侵。為了保證數字世界中的互相信任，我們就需要安全向這個方向演進發展。其實我們談到未來的安全模式，它更關注的信息是人，而不是硬件、服務器、設備或移動設備，這些是次要的。也就是說我們需要一些傳感設備，從不同的設備中挖掘信息、匯總起來?？梢允强蛻舳说能浖热鏘PHONE就可以成為身份識別的手段，首先我們知道這個IPHONE是萬軍的，但這個手機出現了不符合尋常的情況，可能說明這個手機現在并不是萬軍在用。對于防惡意軟件的工具，也需要創新，不能像現在，依賴于病毒簽名。他們需要在未來，不依賴于軟件簽名的方式。我們說三個點，基于風險我們說過了，什么叫敏捷呢？安全產品和安全機制，可以掌握交易的模型，跟蹤信息的流量，快速做出判斷，這是敏捷性。而CONTEXTUAL是指把背景信息抓上來，匯總起來進行分析。

#p#

記者：這張圖好象把RSA所有的產品線說了一遍。

亞瑟.科維洛：你很有觀察力。我在談這個圖的時候，并不是在談RSA，而是談安全行業，在RSA安全大會上，我的主旨發言并不是作為RSA的代表，而是作為安全行業的代表來發言。如果我認為整個安全行業都是這個大趨勢，RSA的戰略當然也應該是這樣的。既然RSA的戰略是這樣的，當然RSA的產品就跟著戰略走。我跟客戶介紹RSA的時候，就是用這張圖，我不會從兜里拿出具體的產品，給他們看商標、看產品。我會向他們解釋這張圖，問他們你們同意我這個觀點嗎？你們是否認為未來安全應該這樣做。這些客戶都無一例外的同意這個觀點。您非常直接，他們同意了這個說法，下一步我就把圖中填入RSA的產品，Archer、NetWitness、RSA基于風險的身份認證，RSA的DLP產品，其實這些部分，有些客戶不用RSA的產品也沒問題，因為我們可以在上層實現異構，把不同廠商產品形成的信息都抓上來?？蛻艚洺１頁PRSA，說RSA在安全領域是唯一一家對安全有全面、綜合考量的公司。而且我們也是唯一一家聚焦于治理和合規層次的安全廠商，也是唯一一家能夠提供全系列產品的安全廠商。

記者：最近RSA和Zscaler這家公司的合作為用戶提供了云計算的可信度，Zscaler有何過人之處？單靠RSA的解決方案不能為用戶提供可信登錄嗎？

亞瑟.科維洛：Zscaler是做云基礎設施控制點產品，而RSA不打算做這些。Zscaler不做身份管理也不做認證，假設這里有一個員工想接入企業網絡，要通過Zscaler的產品，然后Zscaler對他們要進行身份認證，通過身份認證后允許接入企業網，隨著一段時間過去，Zscaler有很多的信息，要把這些數據信息導入到治理可視層。所以我們宣布和Zscaler的合作，等于是一個結合。云架構有三層，Zscaler是在底層基礎設施。

記者：看起來像IAAS？

亞瑟.科維洛：對。相當于安全的IAAS。

記者：我們注意到您在RSA2011大會，2012大會都在呼吁聯合起來應對黑客攻擊，但是防守方的合作，似乎不是那么有效，反倒是像Anonymous這樣的黑客組織跨行業、跨國界合作得不亦樂乎，您怎么看待這個問題？

亞瑟.科維洛：還記得我在上層說過要進行情報共享？通過情報共享，關聯和分析引擎才能更好的運作。目前確實當你一談信息共享，基本上就意味著要失敗了。首先國與國之間存在敵對關系、公司之間的競爭關系、不同的法律環境，比如說隱私保護法，讓我們無法實現一些信息的共享。因為上面提到的障礙，自上而下的結構搭建就有困難，很難實現信息共享。但是現在消費者和員工在新技術的采納方面，不會再有耐心等企業，他們走在前頭了，這是從草根階層做起，所以企業自發組織進行信息的分享。過去一年，我們發覺這個趨勢越來越明顯。事實上，在美國出現了一個信息分析共享委員會，這是分行業做的，他們做的是實時信息共享。但是還需要政府的幫助，要更好的保護我們，實際上希望修改相關的法律，國與國之間能夠合作，給我們提供更多的信息。這周前幾天我和澳大利亞的媒體在一起對話，我以盡可能禮貌、外交的語言指出，他們對某些問題有些夸大其詞了，他們其實沒有看到真正的問題所在，他們比較喜歡聳人聽聞的東西。但不是所有的澳大利亞媒體都這樣，但是我們知道，西方國家像美國這樣的媒體，比較喜歡發布聳人聽聞的信息。但其實這不怪他們，其實安全廠商有責任給他們提供更好的信息，做好自己的工作，避免爆炸性的新聞。我跟澳大利亞媒體說，傳媒有責任，報道安全相關的題目，這樣可以敦促政府行動。當然不光是政府，企業的領導和CEO們也應該了解目前的情況。像我們這些搞安全的企業，和記者如實溝通，把情況告訴你們，你們幫助我們把事情的原委報道給大眾，也許可以推動業界更好的合作。從而讓政府修改相關的政策，從而幫助安全行業，其中一項非常重要的工作就是推動、幫助我們實現信息共享。我非常希望國與國之間能夠有這樣一個信息共享的機制。

記者：我是行業媒體，比較側重于訪問行業用戶的聲音。我們今年對電子銀行做了系列訪問，電子營業部老板目前都在考慮電子銀行的安全問題，現在他們一方面是內部升級電子證書，有些大銀行，像建設銀行建立了電子銀行風險監控平臺，通過一系列的手段降低風險，一旦風險發生后，他們會和監管部門、公安部門合作。在這樣的大背景下，RSA公司如何深入與這些銀行合作？我們知道，現在銀行對安全公司特別是國外的安全公司很愛，但又不敢太愛，有時候不得已只能自己去建立風險監控平臺。

亞瑟.科維洛：在過去六年中，RSA專注的就是交易監控和設備安全。在世界各大州，除了南極，有6000家銀行使用我們的產品。所以每天由RSA保護的帳戶數量達到了3億多。現在我們這項技術大舉進入印度，有了印度市場，用戶數至少還要再增加1億。除了設備識別、行為識別技術之外，我們還有一個防電子欺詐網絡。事實上我們不需要銀行主動跟我們分享信息，我們可以把這些信息推給銀行。比如烏克蘭有一個攻擊事件發生，我們掌握了它的IP地址，同樣的IP地址攻擊了蘇格蘭皇家銀行，當入侵事件發生后，很短的時間內，澳大利亞的銀行就會知道這個IP地址是不可信的。我們全球有6000家銀行就可以想到我們的防欺詐系統多么有力，美國75%的銀行受到這項技術的保護。現在我們正在中國提供這樣的技術。銀行可以有自己的措施和戰略，但至少根據我最新的信息，銀行業好、金融服務機構也好都不是專業做安全的，而RSA是做安全的，我們一直準備好為他們服務。

記者：可是他們不敢接受。

亞瑟.科維洛：我最喜歡的一句話是鄧小平說的“無論黑貓白貓，能抓老鼠的貓就是好貓。”鄧小平是非常明智的領導。

記者：除了建行已建了自己的監控平臺，其他銀行也在跟進。

Andy：也有跟我們合作的銀行。

亞瑟.科維洛：這些中國銀行其實可以考慮一下，RSA在全球有6000家銀行，而且有過去6年的經驗，他們借用我們的平臺，可以有進一步優化效果。

記者：作為媒體我們愿意把好的東西拿過來，只要這個信息可以得到保密，我們愿意共享信息。

Andy：這里做的安全和以前做的密碼安全是不一樣的，你可以把它看成某種應用程序，這種應用程序掌握了全球黑客的行為，所有的控制還是掌握在銀行手中，所以中方不用去擔憂數據外泄或者說解決方案中會安裝后門，讓外國人看到。

亞瑟.科維洛：雖然是RSA的產品，但拿給用戶了，RSA就不知道里面有什么信息。

Andy：這就像中國使用了很多外國路由器一樣的道理。

記者：我記得以前看過一個電影《國家公敵》，里面有一句經典的話“你用的高科技產品越多，你的眼睛就越小。”蘋果在發展的時候，走了反向路徑，系統逐漸收縮封閉。目前看蘋果的產品比其他產品的安全性更好一點，這種趨勢是否會改變今后信息安全發展的趨勢和路徑？

亞瑟.科維洛：其實直到幾年前蘋果的平臺并不是一個企業級的平臺。99%的企業使用的電腦還是Windows平臺，所以你如果是黑客，會選擇掌握哪種技巧攻擊哪種平臺呢？事實上蘋果確實是專有平臺，但一旦黑客感覺有利可圖，會找到攻入系統的方式。做安全行業的人有一句行話“只要默默無聞就能安全?！睒浯蟛拍苷酗L，不出名就安全了。現在蘋果絕對不再是默默無聞的了，原來用MAC電腦的人都是做平面設計的發燒友，現在已經不是這樣了。像安卓這樣的平臺，因為開放，更易受到攻擊，但絕對不存在百分之百安全的東西。不管蘋果的系統多么封閉，不可避免的是蘋果設備會受到越來越多的攻擊。你看過《侏羅紀公園》，說侏羅紀公園有完善的物理防范體系，說恐龍肯定跑不出來，結果呢？

記者：亞瑟剛剛畫了產品圖，我可不可以把這個圖理解為這是一個神經中樞，可以植入電腦。

亞瑟.科維洛：你干脆把它叫做大腦吧。

記者：基于風險又可以動態分析風險的系統，您預計什么時候可以普及？

亞瑟.科維洛：這個問題問得特別好。跟客戶在一起的時候，他們說最上層看上去很美，他們喜歡這部分，然后客戶又問了，這么好的東西，執行起來有點復雜。但我想問一下，你們覺得中層和下層做得怎么樣呢？有的基于控制點的系統，現在產生大量的數據和信息。信息量太大了，以至于不知道到底根據哪個信息采取行動。而最上層這個環節不是一蹴而就的，有人可能已經使用了SIEM，再加一個持續監控部分，我們覺得要止損，非常重要的手段就是安裝視頻監控。而打造關聯分析引擎需要做很多工作?；旧弦婚_始我們第一步要做的，這個引擎分析的是視頻傳的數據信息還有SIEM提供的分析信息，其實這個引擎隨著你不斷運轉，時間越長，具有的智能性越強，就可以從中獲得更多的信息，然后運轉和反應就會更加敏捷。GRC（治理、風險與合規）部分其實是調控部分，可以更有效的進行綜合管理。所以我堅信，在上層部分，你投的錢越多，在中下層節約的錢就越多。所以我對客戶的建議盡快轉向這個模型，因為SOC架構，沒有彈性，現在越來越維持不下去了，快要崩潰了。我們有一個做SOC的客戶，他們說我們的SOC系統很好，但是你說的視頻監控系統很好，所以我們要做POC驗證。結果他們做POC的時候，發覺現有的基礎設施里，經常出現而且持續有知識產權被竊取。因為IP失竊了，但靠SOC的單點信息，捕捉不到失竊信息。如何設置新的控制點？如果出現了新的攻擊性質，立即設置新的防護形式去覆蓋它。我們不可能對每個個體攻擊都做到防患于未然，但是我們要做的是給系統安上眼睛，這個系統能看到所有發起的攻擊，盡快的采取止損行為。

記者：去年年底的時候，中國天涯、人人出現客戶信息丟失情況，而很多客戶信息丟失有一小部分伴隨著帳號丟失，現金竊取。但大部分人信息丟失后，只是個人信息泄露，并沒有造成太大的損害。這種情況在2011年達到了頂峰，互聯網安全那么嚴峻，每一個網民個體沒辦法維護自己的利益，案件發生后沒有原告，出現這樣的情況如何解決？

亞瑟.科維洛：我們對這種問題已經了解得太多了，每天報紙上都會有關于網絡犯罪的報道，現在我們要采取行動了。就像消費者個人，中國的網民看了報道后，但沒有辦法。當然我們可以跟他們說，你們上網的時候要有一些注意，可能會有一定的幫助。但是我認為和消費者對口的組織、機構應該保護網民。政府也有義務，他們應該做更多的工作保護自己的公民。我覺得網絡犯罪，我們應該找到一種更行之有效的方法對其進行懲戒。所以回到剛剛呼吁的那件事，國家要修訂法律，制訂適當的政策，攜手合作，推動信息分享，讓相關機構可以對消費者和網民進行保護。事實上，在數字世界，這種信任已經受到極大的傷害，所以我們需要采取措施重新建立這種信任。我覺得我們應該充分利用技術已經具備的能力，不能倒退，必須做得更好。RSA是非常希望能夠幫助到中國人民和中國的企業，而且我們有很強的能力這樣做。

記者：我之前做技術的時用RSA的Token，每分鐘變一次，后來其他公司出的產品半分鐘變一次，就這個問題我們在微博爭論得很激烈，現在需要您給評評理。

亞瑟.科維洛：問題是每30秒變一次，你都來不及輸入。

Andy：其實我們在香港是推30秒的Token。

亞瑟.科維洛：有中間人和瀏覽器的攻擊形式。以時間為技術的東西比以事件為基礎的令牌要困難一點。其實做Token時間的長度和安全與否并沒有直接的聯系，我們在香港賣30秒token，因為香港政府需要這樣做。如果你用令牌，人家用木馬，還是可以插進來，所以令牌時間不是問題，它在前端，我們說的RISK的方法是在后端。分析行為模式的風險來判斷這個行為是否正當，所有的國際廠商都是這樣的。