【51CTO.com 獨家特稿】談及安全問題，中國的很多企業都曾經經歷過，或者將要經歷一些安全事件。經歷過安全事件的企業也有兩種截然不同的境遇，有的可能痛定思痛，著手解決由某些安全威脅引發的安全事件，另外還有企業僅僅經歷了一次安全事件就一蹶不振了，核心數據的丟失使得這樣的企業沒有能力發展業務，逐漸被市場淘汰。這些并非危言聳聽，而是實實在在的發生在你的身邊。

 

不過，沒有經歷過安全事件的企業，很多時候都會忽略安全問題。這犯了一個通病，這些企業的CEO或者老板認為，沒出事，一切都很美好，出了事，IT部門難逃其責。于是乎，很多CIO或者IT部門經理都會抱怨：“老板，你早干嘛去了”、“難道非要出了事，你才想著投入么？”……諸如此類的抱怨比比皆是。

 

于是，大家普遍認為對于中國很多企業CEO來說，安全是“事后諸葛”。

 

但是，這個說法對于RSA全球解決方案總經理兼RSA以色列總經理Michal Blumenstyk-Braverman女士來說顯然是無法接受的。

 

在為期兩天的RSA 2012 中國成都會議中，51CTO.com記者有幸采訪到Michal女士，就共同關注的企業信息安全等問題進行了深入交流。

 

Michal女士認為，對于企業CEO來說，安全一定不能事后諸葛。RSA有一套智能驅動型安全理念和相應解決方案，其核心就是為了應對目前的高級網絡威脅，在發生安全事件以前，做到防患未然，換句話說，就是以業務為導向，先通過風險評估，了解影響企業業務發展的關鍵應用和關鍵系統，再有針對性的、有目的的進行安全防御。

 

但是企業如果想做風險評估，顯然不能直接找CSO或CIO，因為他們要協調整個公司的資源還是非常困難的，再安全事件未出現之前，CIO和CSO也沒有更多的預算來做這樣的事情。所以，Michal女士強調，做這樣的事情，一定要直接找企業CEO，自上而下的貫徹和實行，才能順利進行。

 

但問題是，讓企業CEO認可RSA的觀點，并非易事，讓這些老板說出三條關鍵系統和關鍵的應用，就已經非常不容易了。這個問題在Michal女士看來，是很多企業遭遇安全事件而帶來損失后，才想到給安全投入的根本原因，顯然這就是事后諸葛。為了避免安全事件發生，Michal女士強調，企業一定要自上而下，CEO不能做事后諸葛亮了。

 

其實對于企業CEO來說，他們很難搞懂，什么是安全威脅，更談不上懂得什么是高級網絡威脅了。事實上，他們不需要懂得這些，只需要懂得，在安全事件產生影響之前，需要做一些事情，投入一些資金，就可以了。這也是很多CIO和CSO共同的期待。

 

其實，對于CSO和CIO來說，目前面臨很多新型的高級網絡威脅，這就需要了解更加詳細的信息才能應對即將發生的安全威脅，才能避免被稱為“事后諸葛”。

 

就目前的安全威脅和安全行業發展而言，全球與中國的現狀并無太大差異。Michal女士介紹說，目前主要的特征是傳統釣魚威脅仍然呈上升的趨勢，這與我們通常想象的預期有很大區別，原本很多用戶以為釣魚、木馬等傳統攻擊是呈現下降趨勢的，事實并非如此。只要有資金往來的企業，如零售業、超市等企業，都會受到釣魚和木馬的攻擊。只不過釣魚和木馬這種傳統攻擊方式變得越來越復雜，攻擊手段也越來越成熟。而包括中國在內的亞太地區有一個非常明顯的特征，就是利用搜索引擎，提升惡意釣魚網站的搜索排名，以增加釣魚的成功機率。

 

Michal女士強調，這意味著網絡犯罪產業鏈越來越完善，產業鏈中的各個環節各司其職，有專門負責收集信息的，有專門負責銷售信息的，有些人在賣技術，有些人進行偷盜，有些人負責做基礎運營，在通過一些渠道幫助別人銷贓，甚至還有幫助別人銷售技術的。

 

對于未來網絡犯罪的發展趨勢，Michal女士認為有兩方面比較明顯，一方面由于未來是經濟導向型網絡犯罪，網絡犯罪者會采用高效的方式，緊跟技術發展趨勢，而針對移動網絡的木馬和惡意代碼是目前比較明顯的趨勢之一，網絡犯罪者會更多的攻擊移動終端；此外，是針對恐怖主義的網絡犯罪將呈現發展趨勢，由于互聯網正在影響或者已經影響了人們的日常生活，所以，對于給公眾造成影響的網絡攻擊和網絡犯罪已經不同于傳統意義的犯罪，這方面造成的影響已經成為全球各個國家面臨的重要安全問題。

 

事實上，這些安全威脅對于企業很常見，換句話說這些威脅都是傳統的安全威脅，而諸如APT這種攻擊來說，目前很多中國企業CIO對其的認知存在一定誤區，很多人認為APT就是新型的高級網絡威脅，而將釣魚、木馬等攻擊視為傳統威脅。

 

對于這種誤區，有兩方面問題需要企業CIO和CSO搞清楚，一方面問題是APT和高級網絡威脅的區別？另外就是傳統安全威脅和高級網絡威脅的區別。對此，Michal女士給出如下解答。

 

她強調說，APT是先進的高級網絡威脅，是高級網絡威脅的一種。RSA主要是強調APT中的A，高級，不一定要強調P，持續。這里面主要強調給網絡造成威脅可能會造成嚴重的后果，或者說我們強調高級的技術手段。而APT實際上可能是惡意的滲透到某個系統當中，以達到它最終的目的，沒有達到最終的目的就一直在搞破壞，直到被發現為止，APT是時間的持續，而RSA的觀點是將重點放在高級上。這里的高級是指通過多種手段滲透，有針對性，有目標性，有計劃性的滲透。

 

如果傳統的釣魚攻擊，再加上特定的目標、有計劃的實施滲透，這樣的釣魚攻擊也可以視為高級網絡威脅，這與傳統安全威脅有著非常本質和明顯的區別，換句話說，傳統的安全威脅只是姜太公釣魚愿者上鉤，而高級網絡威脅是指有計劃、有目標，采用各種手段滲透目標，完成信息或數據的竊取，甚至網絡系統的破壞。

 

在Michal女士看來，所有的安全理念都是為了企業的發展越來越好而存在的。這好比汽車的剎車系統，好的話才敢開得快，這跟企業安全理念道理是一樣的，好比人的免疫系統對我們來說是最重要的，是只有提升自身的免疫系統才能應對各種威脅，而不是把人放在無菌的環境下。同理，傳統安全理念就是把病毒和安全威脅全部殺掉，但問題是現在威脅的數量和變種，已經做不到了這一點了。所以，企業應該提高自身的安全免疫能力，這才是解決問題的根本辦法。

 

正因為如此，RSA通過風險評估，先對整個IT系統進行評估，找到對企業業務關鍵的一個環節，或者說找到企業最需要保護的，找到最關鍵的業務，然后對其進行保護，這是把錢花到刀刃上的一個辦法。當然這些的前提是保障業務的連續性，而且還要有助于業務快速發展。

 

其實，對于RSA的這個觀點，我們也不難理解：企業網絡永遠在處于威脅當中，RSA做的事情是不要試圖消滅全部的威脅，只需要提升網絡系統的免疫能力，不管處于何種環境，面對何種威脅，通過風險評估，先找到最關鍵的，最需要保護的業務，再進行保護，才能應對高級網絡威脅環境下各種安全事件，才能使企業CEO真正避免成為“事后諸葛亮”。

 

更多RSA 2012 China會議內容，請參看51CTO.com專題：http://netsecurity.51cto.com/secu/RSA2012_CN/