RSA亚瑟·科维洛：创建可信数字世界 展望高级安全系统未来

ZDNET安全频道 评论分析（文/毅东）2011年11月2-3日由EMC信息安全事业部RSA主办、中国电子学会联合承办的第二届RSA Conference 2011信息安全国际论坛在北京举行。走过20年的RSA安全大会，再次带着全球最前沿的安全技术发展趋势、知名的安全专家和40多场的主题演讲来到中国，有了去年的经验，这次盛会显得更加张弛有度。

在第一天的主题演讲环节，享誉安全业界的EMC公司信息安全事业部RSA执行主席亚瑟•科维洛做了“创建一个可信的数字世界”的主题演讲，为两天的大会定了基调。从IT环境发生的变化，安全系统必须如何适应这些变化的速度，以及必须怎样做才能促进数字化和电子商务世界中更多的信任和合作三个方面阐述如何构建可信的数字世界。并在大会间歇接受了ZDNet的采访。

EMC公司信息安全事业部RSA执行主席亚瑟•科维洛

海量信息的利与弊

亚瑟•科维洛在其主题演讲中引用的数据显示，去年数字化宇宙中的所有信息接近2个ZETTABYTES，过去十年增长迅猛，到2020年底，这一数字将增长44倍。在现实中，除了数据海量增长以外，我们进行电子交易和分享数字化信息的对象数量急速增加，交易和信息分享的速度本身也在加快。这是因为出现了一大批基于Web的应用、迁移到云计算，以及迅速广泛地应用移动消费电子类设备。根据Ai媒体咨询公司去年发现，1亿多中国人参与移动付费交易，总价值超过1000万元人民币。到今年年初，即短短9个月前，3.3亿中国人成为网上银行服务的注册用户，到2013年，中国的移动付费用户数量将达到4亿以上，交易总值约2400亿元人民币。

RSA和其母公司EMC公司认为，数字化信息的增长是需要控制的一个问题，因为数字化数据的增长可以催生出更好的产品和服务，将为能够很好地利用这些数据的组织创造新的经济价值。很显然移动支付市场成熟的迅速程度是惊人的。它突显了数字经济中更根本的变化，即更广泛地获取受欢迎的产品和服务，以及创新可以带来新的便利。

同时因为信息技术，我们前所未有地彼此关联，不仅仅是作为消费者，或社交网站上的朋友，还有在宏观经济层面上，作为相互连接的全球资本市场、商品市场和供应链上的交易伙伴。然而，我们所有人面临的挑战，是企业海量信息的过度扩张带来了新的脆弱性，被攻击者借机利用。

信息安全变革已触发

亚瑟•科维洛表示，“2011年是全球网络攻击占据新闻标题的一年，囊括了众多的目标，包括3月份美国RSA和澳大利亚政府，4月份索尼公司，6月份谷歌…9月份欧洲DigiNotar，还有10月份日本议会等等。这些网络攻击出现在头条新闻中而广为人知，而在网络威胁不断升级的这个时代，它们只是冰山一角。”

在我们关注这些重大安全威胁事件的同时，有一个重要事实是不能忽视的，即这些网络攻击涉及不同的攻击者，有不同的动机,使用不同的方法。也同时提醒着企业和用户，传统的安全措施正在面临越来越多的挑战。那么弊端在哪里？

亚瑟•科维洛指出，“企业还在利用常规安全手法保卫自己，而他们的对手则顺利穿越了传统的外围防御。网络攻击者正在利用新的IT漏洞，以更快、更敏捷、更狡诈地轻松绕过外围防御，比如零日恶意软件正在通过网络钓鱼传播，隐含意义所有的人已经成为新的边界突破点。”

今天，各个组织还在利用常规安全手法保卫自己，而他们的对手则顺利穿越了传统的外围防御。网络攻击者正在利用新的IT漏洞，以更快、更敏捷、更狡诈地轻松绕过外围防御。

可喜的是，信息安全产业已经开始变革，领先的安全团队已经做好部署，技术和能力必须像攻击者一样快速和敏捷，而且要比他们更聪明，才能对付对手的狡猾。

亚瑟•科维洛强调，“变得更聪明的要素之一是了解你的对手，了解他们的动机和攻击方法。要了解风险在何处，你必须预见到谁可能发出攻击，为什么攻击，以及如何攻击。而且你必须超越自己的领域。”

知己知彼改变思维

信息安全对于黑客和恶意攻击者的研究从未停止过，不同的阶段对他们的定义也在不断变化，简单的成名和以经济利益似乎已经无法涵盖当今攻击者的行为和状态。于是就有了亚瑟•科维洛对目前全球攻击者意识形态的归纳和总结。

亚瑟•科维洛表示，“第一类是受意识形态引导的追求曝光的黑客，他们要向公司或政府传达非常响亮的信息，看到他们的消息通过全球媒体网点即刻向全世界广播，无论是网站漏洞，缺乏一般的信息安全控制还是防火墙失效，他们努力寻找任何外围系统中的漏洞，甚至有时会与内部人士合作；”

“第二类是网络罪犯，不论是松散的联系还是严密组织，他们窃取信息资产出售变现，他们典型的做法是将‘基于平台的’的犯罪软件和零日漏洞拍卖给出价最高的买方。他们可以买下僵尸网络工具包，滥发垃圾邮件运行的工具包，向地下服务供应商购买防弹托管，无法追踪的注册域名等等，对于犯罪型网络攻击者而言，一切无外乎速度和数量，在金钱的驱使下，他们会找到你最薄弱的环节，并加以利用；”

“第三类是正规组织，正规组织会制造最高级的威胁，但是随着环境的不断变化，其它类型的攻击者很可能会具备同样的能力，这些高级攻击无外乎其隐秘性和复杂性。通过社交，攻击者搜集各种情报，有时要经过数月的准备才会发动攻击。他们了解企业或政府机构的哪些最终用户拥有他们想要的资产，他们的活动很难察觉，因为他们往往会利用一个受到侵害的组织来攻击另一个组织，攻击方式，在开始的时候可能会使用基本的恶意软件和各种工具，与其他类型的攻击者没有什么不同，或会以真正的零日漏洞发起攻击，其可怕之处在于攻击背后集中的资源，以及发起攻击的效率，一旦进入企业或机构内部，他们会蛰伏起来，随着时间的推移，开发出目标网络和安全基础设施的映射和库存。与第二类攻击者最大的不同就是留在你的网络内部，监控事件响应情况，以评估防御反应，相应地调整自己的行为，直到他们得到想要的东西。”

亚瑟•科维洛总结道，“所有这些攻击者带来的风险的隐含意义是，企业始终面对着持久、动态、智能的威胁。只有克服这些威胁，各组织才能有信心利用数字信息驱动创新、协作、市场认可和成熟及经济增长。”

高级安全系统具备的特征

面对新的威胁局面，过去的信息安全技术已经疲于应付。因为许多信息安全技术已不再新鲜，价值在锐减，所以作为信息安全专业人员，他们需要改变他们的思维方式。信息安全必须从现有的常规和不协调的静态单点产品阵容，向更高级的安全系统发展。亚瑟•科维洛在大会上归纳了未来高级安全系统所要具备的基本特征。

亚瑟•科维洛强调，“首先高级的信息安全系统必须是基于风险的，虽然我们谈论基于风险的安全已有一段时间了，但事实上企业必须使用最新的工具，更好更细地了解和评估风险。风险就是三件事：面对网络攻击你有多少漏洞？你成为网络攻击目标的可能性有多大？身处危险的资产价值有多少？所以，如果企业用友对这些网络攻击者而言具有重大价值的信息，那么很可能会被攻击。因此鉴于企业的开放性，漏洞的存在是必然的，从攻击者的角度看，更容易发现这些漏洞，所以有关攻击者和物质资产的情报可以帮助企业制定减少风险的政策，让企业了解工作重点应该放在哪里。同时要注意，管理这些风险是一个反复的过程，因为事实和情境不断变化。要执行和管理这一过程，企业需要部署一个治理、 风险和法规遵从框架。最新的框架与控制联系紧密，让企业可以快速响应缺陷和漏洞，对合规要求进行报告。”

“第二，高级的信息安全系统必须具备灵活性。现有的控制程序缺乏发现和阻止复杂攻击必需的态势感知能力和能见度。所以企业需要更深入地部署基于对常态、用户行为和交易模式的理解、依靠预测分析的控制手段，发现高风险事件。如果企业再系统地结合先进的持续监测技术，可以更好地利用这些控制手段，创造真正的深入防御。”

“第三，高级的安全系统必须具备结合具体情境的能力。即便是具备控制和监测能力的高级系统，也只有在完整的情境下交付安全事件才能发挥效用。换言之，决定优先次序和决策的成功依靠的是掌握最佳信息。”

亚瑟•科维洛特别指出，“高级的安全系统不能仅仅依靠只依赖日志数据的传统信息安全事件管理。企业必须采用信息安全的“大数据”视图，其信息安全团队应实时获取与检测安全问题有关的全部信息。要作为一个系统运作，必须集合和利用来自控制和监测设备的各种数据。”

亚瑟•科维洛指出，“从信息安全角度看，大数据是指规模和格式前所未有的大量数据，搜集自企业的各个部分，互相关联，以便进行高速分析。随着数据存储系统、计算能力和分析能力方面的进步，信息安全管理的大数据时代已经到来。这些进步使我们不必在收集及储存数据的成本和分析数据的成本及时间之间做出选择。”

当有了这种大数据能力，企业的安全团队将迅速甄别出内部的威胁，保护信息资产，隔离基础设施受损部分，从而消除攻击威胁。对于高级安全系统的所适合的企业，亚瑟•科维洛表示，“我不认为随着时间的推移，中小企业能够跟上威胁发展的步伐，中小企业必须接受提供安全管理供应商的帮助，也就是供应商不仅仅为中小企业提供确保安全的能力，同时也为大型企业和机构的相关能力做补充，因为大机构往往都有多个应用，需要重点对安全进行管理。当然大型企业往往有着相关的专业知识，可以建立高级的安全管理系统，因为我们已经有了相关的技术，能够帮助大型企业的安全运营中心效率得到提高，成本得到降低，而且相关系统可以给企业提供一些信息，在这些信息的基础上，企业可以采取行动，而不用自己去面对大量的数据，对大量的信息进行分析。”