郭濤

在2014年3月舉行的Pwn2Own 2014黑客大賽上，來自中國上海的KEEN團隊分別用15秒和20秒的時間破解了蘋果和微軟最新的桌面系統(tǒng)而獲獎。惠普公司企業(yè)安全產(chǎn)品部大中華區(qū)總經(jīng)理姚翔認為：“KEEN團隊的成功除了是因為團隊中每個人的技術能力都很強以外，更重要的是團隊的協(xié)作精神。這與今天更強調通過企業(yè)之間的協(xié)作、共享安全情報進一步提升企業(yè)的整體安全防護能力如出一轍。”

人才和技術都有短板

今天，企業(yè)面臨的安全挑戰(zhàn)到底有多嚴峻？Ponemon Institute預測，2014年全球用于網(wǎng)絡安全防護的總支出將達到460億美元，而安全黑市規(guī)模則為1040億美元，超過安全總支出的兩倍多。另外，單次安全事件帶來的資金損失年同比增長30%。“這組數(shù)據(jù)表明了安全防護的重要性和迫切性。企業(yè)應投入更多力量和資金用于安全防護?！币ο璞硎?。

安全形勢的嚴峻性具體表現(xiàn)在以下幾方面：第一，新型的安全攻擊越來越多，而且安全攻擊越來越具有針對性，危害性的等級也在不斷提升，激進黑客、政治黑客的出現(xiàn)給企業(yè)的安全防護帶來了更大壓力；第二，各國均出臺了多項有關安全、合規(guī)的法律法規(guī)，企業(yè)因此承受了更多來自政府監(jiān)管方面的壓力，企業(yè)安全防護的成本、復雜性持續(xù)增加；第三，隨著云計算、大數(shù)據(jù)、移動互聯(lián)的廣泛應用，傳統(tǒng)的安全邊界被打破。IT交付模式的改變和IT消費化的趨勢，使得安全問題更加復雜。比如，企業(yè)可以利用大數(shù)據(jù)技術對其客戶的所有重要數(shù)據(jù)進行收集、整理和分析，如果企業(yè)不能對這些數(shù)據(jù)進行有效保護，那么客戶的大數(shù)據(jù)就很有可能成為黑客的大數(shù)據(jù)。

“很多企業(yè)認為出現(xiàn)安全問題是小概率事件，將資金用于安全建設就像買保險，很難看到直接效益?！币ο韪械綋?，“許多企業(yè)用于安全的投資只占IT總體投入的很小一部分?！?/p>

很多時候，企業(yè)在安全問題爆發(fā)時顯得十分脆弱，甚至束手無策。造成這種局面的原因有很多，最主要的是在人才和技術方面存在短板。從目前情況看，安全人才的短缺是制約整個行業(yè)發(fā)展的一個重要原因。

安全是跨領域的，從網(wǎng)絡層到應用層，甚至到后臺的數(shù)據(jù)庫都與安全相關聯(lián)。安全人才不僅是專才，而且是全才。從技術方面看，一方面，新舊技術的更替可能會造成安全上的真空，比如Windows XP的退出就引發(fā)了一系列關于安全問題的討論；另一方面，面對云計算、大數(shù)據(jù)等新興技術和應用，安全技術能不能迎頭趕上也是一個問題。

此外，對于一些潛藏很深且危害極大的安全攻擊，現(xiàn)在還沒有有效的技術能夠從容應對。舉例來說，APT攻擊就是善于潛伏的一類攻擊。它就像是一種病毒，雖然早已入侵了企業(yè)的機體，源源不斷地竊取關鍵數(shù)據(jù)，但是企業(yè)一直被蒙在鼓里，絲毫沒有察覺。這種攻擊持續(xù)的時間可能很長，可能是幾年，給企業(yè)造成的危害非常大?！捌髽I(yè)可能無法保證自己的體系架構100%安全，但至少應該及時發(fā)現(xiàn)已存在的安全漏洞，了解受損的程度等，這就叫安全的可視性。如果企業(yè)做不到安全的可性視，只能等到安全事件爆發(fā)時才覺察，這是非常危險的?！币ο杼嵝颜f。

五大安全防護誤區(qū)

惠普的調查數(shù)據(jù)顯示，1/4的安全運維組織未能有效應對安全問題。歸納起來，企業(yè)在解決安全問題時主要存在以下五個誤區(qū)：

第一，安全系統(tǒng)建設缺乏企業(yè)組織的有力支持。最明顯的一個例子是，大部分企業(yè)到目前為止都沒有設立專門的安全部門，很多安全方面的專業(yè)人員隸屬于企業(yè)的網(wǎng)絡部門或運維部門。姚翔認為：“一個成熟的企業(yè)，其安全部門必須與IT部門分拆，并且兩個部門應該是平級的，這樣才能保證安全策略和計劃的有效實施?！痹诒泵赖貐^(qū)，越來越多企業(yè)設立首席安全官職位，以制衡企業(yè)CIO在安全方面的投入和部署，從而為企業(yè)構建一個完整、安全的IT架構。

第二，企業(yè)過分依賴技術與安全產(chǎn)品的功能，但在很多時候僅從產(chǎn)品本身看不出有任何安全漏洞。這同樣牽涉到安全可視性的問題。“假設某企業(yè)受到了攻擊，該企業(yè)想知道損失的具體數(shù)額，哪些重要數(shù)據(jù)已經(jīng)泄露等，但在大部分企業(yè)的安全報告中通常找不到這些內(nèi)容?！币ο枧e例說。

第三，IT基礎設施的安全被忽視。企業(yè)最關心的是業(yè)務，往往對最基礎的安全架構和IT設施缺乏關注，包括大家每天都在使用的PC，而PC本身往往存在很大的安全漏洞。

第四，許多企業(yè)的安全運維中心往往要承擔一些其他任務，而不能把全部精力投入到安全問題的分析和管理上。姚翔表示，企業(yè)的安全部門應該像一個哨兵，時刻警惕和感知外界對企業(yè)的安全威脅和攻擊。

第五，企業(yè)過于關注合規(guī)性。合規(guī)雖然很重要，但是合規(guī)并不等同于企業(yè)安全?！昂芏嗥髽I(yè)認為，只要達到了合規(guī)的要求就萬事大吉了。其實，合規(guī)就像是我們小時候打的預防針，并不能保證身體不出現(xiàn)健康問題?！?/p>

針對企業(yè)存在的安全問題，惠普提出了一套行之有效的安全方法論：第一，破解攻擊，即通過實時的威脅防御，阻擋惡意攻擊，提供基于云和大數(shù)據(jù)的安全情報和自我修復技術；第二，管理風險與合規(guī)，在安全攻擊發(fā)生之前進行防御，避免不合規(guī)帶來的嚴重后果；第三，擴展企業(yè)的安全防范能力，惠普擁有的安全行業(yè)專家可為用戶提供從初始安全評估到安全變革項目，再到整體環(huán)境管理的全面安全服務。

以其人之道還治其身

現(xiàn)在的黑客越來越狡猾，除了單打獨斗，越來越多的黑客采取了協(xié)同工作的方式，通過分享資源和技術來發(fā)動更為先進的攻擊。有的黑客長于調查，可以深入了解被攻擊企業(yè)的網(wǎng)絡架構、操作系統(tǒng)、安全漏洞等，但它不會進行攻擊，而是將這些有價值的信息出售給另一個專門實施網(wǎng)絡攻擊的黑客集團。還有的黑客專門從事數(shù)據(jù)的采集工作。這就叫協(xié)同網(wǎng)絡犯罪，是一種隱蔽性更強、威脅更大的網(wǎng)絡犯罪形式。

針對這種新型的網(wǎng)絡犯罪形式，惠普提出了“以其人之道還治其身”的應對方法，就是在企業(yè)間實時、保密地共享目標情報，建立統(tǒng)一的安全防線。姚翔表示，企業(yè)不能單純依靠一個或幾個安全工具來抵御安全攻擊，而應該主動去實施情報分享，實現(xiàn)集成與協(xié)作，這樣才能有效遏制協(xié)同網(wǎng)絡犯罪。

為此，惠普推出了一系列新的產(chǎn)品和解決方案。在分享情報方面，惠普實驗室開發(fā)的HP Threat Central可為社區(qū)成員提供共享威脅數(shù)據(jù)和分析的協(xié)作式安全情報平臺，實時提供關于當前威脅進攻者、攻擊載體、手段和動機的情報。HP Threat Central支持HP ArcSight和HP TippingPoint系列產(chǎn)品，可無縫集成并實現(xiàn)HP ArcSight Enterprise Security Management （ESM）中威脅的自動下載和上傳，以及在HP TippingPoint下一代入侵防御系統(tǒng)（NGIPS）和HP TippingPoint下一代防火墻（NGFW）設備中自動阻止惡意IP地址。

惠普還基于HP Threat Central宣布了一項名為Threat Central的合作伙伴計劃，目的是團結其他安全廠商，共享威脅情報，防御攻擊。姚翔介紹，惠普目前正與Arbor Networks、TrendMicro、Blue Coat Systems、InQuest、ThreatGRID和Wapack Labs等安全合作伙伴共同開展工作，向HP Threat Central社區(qū)提供戰(zhàn)略性威脅情報和可行的指標。endprint