如何获取领先下一代的安全权利

　　8月31日，日前，RSA信息安全大会2012在成都成功召开。在第二天的主题演讲上，EMC公司首席安全官Dave Martin发表了主题演讲，他谈到，现在我们信息安全是面临很多的挑战，这跟以前安全是很容易解决时代完全不一样了，我们看到威胁环境在过去几年发生了巨大的变化，同时现在员工、客户所使用数据的方式也发生了巨大的变化，他们如何使用访问数据，从哪里获取数据，这些方式都发生了巨大的变化。

　　第一个问题就是风险管理。我的信息安全团队经常都是被理解为我们是负责风险管理的，安全问题是怎么发生的呢?其实我们是一辈子都在解决这个风险问题，要预防风险，这个风险从哪里来呢?来自于业务，业务是要做事的，业务本来做的事情就是存在风险的，我的工作就是要防止预防业务上的风险，一直以来我们这个职业都是高技术的行业，我自己是一个工程师，我自己也喜欢在键盘上写代码，所以我从一个操作的角度来讲，我喜欢打造防火墙，到最后我们会关注业务，所以我们必须从业务的角度理解风险，究竟业务在做什么，这个风险存在什么地方?他们如果冒这个风险会有多大的收益，我们如何教育这些做业务的人，让他们在做业务的时候风险系数更低的情况下做?像我的团队是怎么做的呢?我们会写一些论文，做一些视频给这些做业务的人看，现在我们不光是要给他们这些资料，我们要直接面对面的跟他们交流，给他们介绍有哪些风险，我们是联合业务部门的人一起来写安全政策，这是一个起点，有了政策之后，我们就能够用这些安全政策跟业务人一起合作去实施这些政策，当然这些安全政策也不是禁止的，而且这个安全政策也是全面的，而且也容易让人理解，让员工去实施，易于使用，易于管控和管理。比方说你可以很容易地去使用云上的服务，而不用整天去找IT部门，所以现在我们的业务的情况就是IT部门不用天天去干预，为什么他们这样做?我们是不是有更安全的方式去做，并且实施一些变化，业务方面如此，技术方面也是如此。

　　更重要的是在当今的这个世界下，我们要考虑我们能有多有效，风险是什么，控制风险的成本是什么，不仅是要运行这样的控制，而且运行这样的控制会有什么样的成本和费用，这是我们想要的控制呢，我们想要承担这样的风险吗?要和管理层进行交流，并且和业务的伙伴一道来推动，如果我们了解，如果出现一个问题，那肯定是我们决定承担某个特定的风险，这当然也有助于建立相关的架构，并且探讨合规的问题，全球合规和监管越来越复杂，我们不断地会有各种合规的要求，监管法律越来越严格，不仅是在全球，即便在个别省市都是如此，你的产品有坚实的策略和控制，我们并不需要把我们的非常稀缺针对的资源只为了某一特定的监管建立一个控制，不是这样的，我们要有一个基础的架构，如果有新的监管和法规出现的话，你要确保现有的控制措施有效，只不过看哪一个地方缺口和空白，对它进行弥补，在我们今天和以前我讲过的讲座中都说过我们要了解安全的重要性，特别是透明度的重要性，人们会找到办法来采取相关的措施，在这方面你可以拿你所能拿到的资源，来建立透明的简单的控制，而不挑战合规方面的要求，从全球来看，不要建立一些程序，它只不过是对某一个定义来作出反映。应用程序现在在不断地出现，并被人们广泛地接受，安全却被人越来越多地，仍然在被人认为是一个障碍。从我的团队来说，我们认为阻断或者说拦截的方式并不是一个很好的选择，因为我们知道我们的数据越来越多的投入到云的环境中，你不能阻止这样一个趋势，你认为要阻止这样一个技术是不可能的，因此我们必须想到办法来使他们能够安全的获得这样的服务，我想说有些人在做一些什么事情，我不希望在我可见的网络上，我不希望发生，但是我宁可他在我能看到的网络上发生，而不希望他在其他地方绕过的网络来进行，我想这样我至少能看到在发生什么事情，对其进行跟踪，因为如果你要组织他们，他们不在你的网络上进行的话，他们总是会想出办法来使用自己的设备和移动互联设备，而这个你又看不到，就无法对信息进行保护，所以越来越多的我们会发现我们会允许一些事情发生，这样我们来更多的可见，那么这样我们能够进行监督，并且教育我们的客户，为什么我会不希望什么人使用我们的客户服务呢?

　　如果人们在做业务和进公司的时候可能会问，站在CIO和CTO面前，向他们解释为什么他们今后两年的IT平台，他们刚做出的采购，就是需要使用某个特定的消费者云的环境，这会增加我们企业的漏洞，但我们知道这些服务是很好用的，我自己在我个人的设备上还会使用很多的东西，我们确实要想出办法来使它更为安全，越来越多的我们会允许一些事情发生，在必要的情况下，教育我们的人们，在什么情况下可以使用哪些设备，同时还要能够对这些设备的使用进行监督，并且要鼓励人们的行为良好的。

　　另外，我们可以做一些什么事情来进行控制呢?首先你要增加可视性，加强监管和教育，不管是公司的设备还是雇员自带的设备都是如此，同时要根据他们所在的区域，他们在企业内部的地位，以及他们日常的工作，我们生活再一个社会环境中，你在办公室的桌面电脑会做一些什么?与你在个人设备上所做的这些事情肯定是不一样的，我们要停止这样一种做法，Rajesh Gadiyar提到了就是这种附加式的安全设备，实际上我们在安全中谁也不信任，因此我们加了另一层级的控制的传统的文档等等，再加另一个分层，这就意味着它会影响敏捷性，会增加更多的费用，而且它不是更加的有效，更有效的方法是利用现有的这种设施，并且在我们的应用程序上来进行使用，有一些时候是在这种我们的私有云上，有时候是在公共云上，不管是我的网络、3G还是无线网络上都是如此，要确保这些控制无处不在，我们不是要依赖于附加式的这种安全措施，而是应该有内嵌的，原有的嵌入式的控制，这种做法使得我们必须要摆脱这样一种传统的做法，就是加上一层又一层的控制措施，而应该找到更为创新性的方法，将安全控制措施嵌入到我们控制层里面，如果我们能做到这一点的话，我们就能衡量是否能进行控制，以及控制的有效性。

　　下面我谈一下云和IT即服务，在过去三到五年间很多人谈到云，现在我们越来越多的人谈IT即服务，我们如果探讨控制，传统的控制会影响到敏捷性和成本费用问题，因此我们必须要考虑在云中的这些东西可以移动，那么有一些可能会跟踪这种数据的路径，但是更多的都是在应用层，相关的维护以及保持这些控制措施的方法必须简化，我们必须使用标准的API，使这种开发人员能够更多的适用这种安全环境中来进行，在我的团队里会谈到和业务部门进行交流，对IT部门来说提供端对端的服务或许并不只是运转的，你要考虑他们要和我的风险控制团队进行交流，并且和业务部门进行交流，来探讨应用层的控制。在应用进行实施的时候，他们要和我的业务团队一起探讨如何保持这样一个环境，那么我们必须越来越了解我们要和谁进行交流，我们要有所有的这些功能和运转，而同时还要有更好的信任，那么同时我还会问，我是否能使用这种共享服务的模式，这是一个非常具有挑战性的问题。

　　但是我们必须克服这样的问题，使我们的环境更为简化，更容易确保安全，同时还有更好的控制，今天我的响应团队在发生什么事件的时候做出响应，但是我希望将来的趋势是在我们在设计控制的时候，内部相应团队也会参与到有关控制环境的配置上来，当然也有一些好的消息，就是在转向云和IT即服务这个趋势中，要使用这些服务的人，他们也要做出比以前更好的工作来管理相关的资产，做配置管理，那么所有的这一些都会使得安全管理更为简便，我们希望加强这一趋势，希望能够推动使用更高水平的IT质量，也能够衡量自己的安全环境，我希望我们能够把这些都结合起来，在每一个步骤都考虑到风险和安全问题，那么所有的不同组成部分，以及所有不同的堆栈都是如此，那么在这个信任的问题，我们一定要度量、监督，并且让人们为相关的动作和活动负责，就好像回到我第一张幻灯片上，如果有人要考虑什么问题的话，从一开始就要让安全部门的人参与进来。

　　网络的威胁仍在不断的扩大，我们传统的一些控制层不像过去那么有效了，就像前面说到的有越来越多的人自带设备，而且人们越来越能应用传统的威胁，那么数据的量也在大大的增加，我们必须要花一些时间看看我们的安全投资目前用在什么?用在人和资源都在发生变化，我们应该做出相应的调整，使环境更为简化。我们不是要在采取堵的措施，而是要了解什么事情正在发生，我们应该做哪些事情来防止那些坏事发生，那么这一些数据都在何处，是谁在这些数据后面采取动作等等。而且要不断发现有一些新的攻击者，幸运的是他们还在使用类似的技术，那么一些过去的控制仍然是有效的，但是同时我们必须要注意高级的网络威胁和黑客仍在发展，你要想办法，不仅仅要在边界进行防御，正如我说在互联网上仍然有很多坏事情，他们用防火墙可以防住，但同时也有很多不断发展和演变的威胁，同样内部威胁仍然存在，那么在内部人员也会出现一些威胁，你在这方面也要建立起控制措施和防御系统，那么你手上有什么样的信息和情报要了解这样的信息，然后把你的控制、防御和监督体系建立起来，使它们运转起来，并且了解你有哪些响应的手段可以使用，那么人的因素仍然是非常重要的，我特别讨论别人对我说讨论人是没有意义的，那么反钓鱼也没有用，人们看到那些链接就是愿意去点击，但是我觉得提高大家的意识是有用的，有的人在本能的去点击这些链接，但是有一些人教育以后会提高警惕，因此告诉他们在英特尔网上要保持良好的行为，并且对相关的控制和在为什么要实施这些控制要有所了解，这种教育对威胁的防御是至关重要的。

　　最后说一下资源和技能的问题，从总的来说，经验、资源和技能在全球来说都仍然是供不应求的，因为每个公司都在建立自己的安全规划，那么要发展你的团队，并且管理你的团队是一个巨大的挑战，当然还有一些具体的差距。比如说你们在业务方面参与性有多强，你是否能够做出必要的平衡，那么我们看到传统的这种风险是什么样子的，我们肯定不能够说因为事情发生了变化就不再关注传统的风险和威胁问题了，你要能够考虑现有的风险和将来能够出现的风险，对它进行分析实施控制，我们喜欢工程和业务，我们每次都会考虑到和业务的关联，也许花上一年两年五年的时间，你要不断的和业务团队保持关联，进行交流，并且了解他们的工具箱，这并不容易，尤其在传统的安全措施中，这种做法基本上并不存在。那么因为有一些时候，他们日常的业务中，并不会意识到安全的重要性，但是一定教育他们，使他们意识到我们不能够回到那种传统的非黑即白的安全思路上去，我们再也不能那么做了，同样的还有一个很重要的差距，就在于分析方面，一方面要把传统的分析能力和数据安全的这种能力，使人们得到不断的保持，我们知道最重要的是我们要推动业务部门的参与，并且不断的进行再培训，进行数据分析，因为在你的桌面上有无数的信息，要了解安全的情景是非常不容易的，但是如果了解它的价值是非常巨大的，那么如果我们看到数据，那我们可能会疑惑，我有一些传统的数据组，有人会过来看我们的数据，然后另外我们还有安全分析人员，他们会确保安全，这些不同的部门会坐到一起，来确定安全，来保证安全，但是传统上来看，他们可能想不到这种安全人员能够为这种数据组带来价值，但是我们仍然需要所有这些具有不同技能，不同团队的人能坐到一起来进行分析，另外一点由于大数据这个趋势越来越明显，现在我们看到获得或者访问这样的数据越来越有问题，那么我们希望能够得到新的信息来源，我们希望看到相关的细节，并且对一个总和的数据集我们要看到，但是又不希望在不同的部门留下分开的分散的这种记录等等，另外还涉及到隐私问题，教育与意识，信息安全的教育就是每年进行一个5分钟的视频，用来教育其他部门的人而已还是怎么的?

　　对于安全教育的重要性还是在网上提供一个视频就得了呢?对很多人来说这不过是一个噪音而已，你要告诉他要怎么样做才能确保为的设计。要确保为什么我们要控制相关一些比较复杂的环境，同时也要知道怎么才能帮助安全团队和业务团队进行更好的交流。人们更有可能的是承受，并且能够接受你所面临的这些安全方面的障碍，只要我们给他们提出合适的理由，除此以外安全资源也是非常的有用，比如说我有几百个人，我怎么才能保留这些人员，怎么才能让他继续保留在我的团队中，实际上对团队的人员来说，其实我的有一些同事在EMC已经工作了二十年了，我的目的是不仅要让他们成为一个个人的工作人员，相反的我想给他们介绍一些软性的技能，比如说有一些有趣的项目，比如说大量的数据的保护的项目，那也就是说并不采用传统的方式，而是帮助我这些同事，来告诉他们这些技能并不一定是过时的，告诉他们要不断的发展自己的技能，的确这是一个很好的控制措施，在相关的团队中怎么样才能控制起来，所以你要持续的发展他们。谢谢大家!