“不管黑猫还是白猫,抓到老鼠就是好猫。所以技术到底来自何处并不重要,只要能打击犯罪的黑客分子。” ——亚瑟·科维洛 |
10月22日,RSA安全大会首次在中国召开,在此次大会上,作为全球信息安全的领袖人物,EMC信息安全事业部RSA全球总裁亚瑟·科维洛先生针对当前的经济发展环境、信息安全形势和企业安全行为提出了自己独到的观点,CSDN也有幸采访到了RSA主席兼EMC执行副主席亚瑟·科维洛先生,就业内关心的话题作了一番探讨。
EMC信息安全事业部RSA全球总裁亚瑟·科维洛
安全VS云计算
记者:我们面临的安全现状是什么?
亚瑟·科维洛:首先我们面临的问题就是安全措施,被动的应用,我们查补漏洞,我们看到新的形式的攻击,我们有新的单点产品解决问题。这说明我们有很多的单点产品来自不同的供应商,都是独立的运用的,比如加密、解密、反恶意软件、网关等等,由此IT团队也需要背负管理多家供应商提供产品的责任。他们有成千论万的地方都需要管理政策,成千论万的工具需要他们做出决策,看哪些是好的哪些是不好的,另外需要成千论万的需要制定政策的点。这样耗资巨大,而且是抵消的,是无法管理的。这就是面临的第一个问题。第二如果是物理环境中的问题只需要我们解决就可以了,在虚拟环境中出现因为有软件环境,是在深层的硬件基础之上的,就很难分离了,如果分离软件就会造成损失,同时使我们无法控制。第三就是说如果这些因素还不行的话,我们就会面临着非常复杂的越来越程度高的犯罪和黑客社区,其实我们已经有预测性,黑客社区呼叫达到几十万之多,在中国就达到了数万,他们经营着一个利润极其丰富的液态链,不像你们,他们不会受到任何法律法规的约束,而且也不需要服务器协议的约束,他们也没有所谓的道德信用约束,尽管这些成员都是逆命作业,但形成了有效的工作关系,进行了成功的诈骗。事实上他们的诈骗行为非常成功,比如中国的网络钓鱼今年增加了78%左右,我们可以把这个数字和GDP增长比较一下,谁又是被攻击的对象呢?1.42亿中国互联网电子商务的用户,这些攻击中99%都是针对在线零售网站,这对于中国经济的增长将是直接的打击。
记者:云安全对安全从业者而言意味着什么?
亚瑟·科维洛:我们要对云的概念有一个认识。我曾经打过一个比方,大家可能以为原来各家各户都有自己的发电机,现在要把发电机都从家里搬走,放到一个电厂里面,这座发电厂在需要的时候能够发足够的电,满足所有这些用户的需求。要获得这样一种能力,获得这样一种灵活性,没有虚拟化是实现不了的。所以我的定义就是,虚拟化使云变为可能。其实云计算、虚拟化好像给你一种你认为能获得的可控性,但是云计算好像让人们丧失了这样一种可视性,因为有很多的虚拟方式存在,所以不知道具体的到底在哪儿。
但是这只是人们的一种概念和想法,这种可视性的丧失只是人们自己所想的。如果我们把安全内嵌到系统内部管理程序,也就是Hypervisor当中去,也就是说把安全内嵌到系统管理程序中,相关的安全策略和安全控制点也被嵌入进去了,那么每次当你碰见一个新的虚拟机的时候,相应的这些安全策略和安全控制点也被建构在那个虚机上。事实上如果我们可以把安全事件管理、合规所有这些都能够安装在这些虚拟机上的话,完全可以不用考虑这些虚机是不是建构在每一个物理设备之上,因为它都能够向管控的平台进行汇报,也就是说提供了这样一种可视性和可控制性。
记者:安全创新与投入,这二者的矛盾如何能够平衡?
亚瑟·科维洛:如果还是通过部署单点产品解决安全问题,就像把钱打水漂,会不断的往里面投钱。因此,首先我们要做的一件事情就是要做风险管理,风险管理其实本身不是一个产品,而是对于风险管理要有一个比较全面统一的方法或者态度。安全管理层就是你进行风险控制的一个很好的切入点。在需要的时候获得这种安全保障,来获得这种风险控制。如果你建立了这样一个降低风险的概念,实际上部署单点产品应该从三个角度去做:第一,要看到这个单点产品的漏洞在那里,为了防范这个漏洞部署的。第二,这个安全漏洞被别人利用的可能性也要防范和部署。第三,一旦漏洞确实已经被别人利用了,造成这样一种实际的损失,要有一个产品去控制它,所以这是从三个角度来看的。事实上我们看到目前这些安全长期的产品和工具其实就是顺应这样一个思路去做的,如果能够这样去做的话,它的这种经济性就能够更好的体现出来。所以我一直在谈,安全是要去管理的,安全的管理是从这种可控性、可视性和有效性三个层次来讲的。
如果我的IT基础设施都外包给云服务供应商,云服务供应商就会把安全内嵌到虚拟的环境和虚拟的设备中,也就意味着我不需要亲自部署安全产品,这些都是由云服务供应商自动做。但是这个公司自己的安全人员做什么?他们会要云服务商提供一个安全的性能报告,根据安全性能报告的具体内容,我们自己安全部门的人员会做出一个安全的策略,交给云运营服务商,这时候云服务商根据这个策略再出具一些安全服务策略的报告。
记者:安全技术有国界之分吗?
亚瑟·科维洛:其实我非常能理解为什么各国政府出于各国安全考虑要控制信息和技术的使用以及流动,但是自己的政府有时候也会出一些非安全的理由,他阻碍了最先进技术的进口以及在自己国境内的使用。非常具有讽刺意义的是,这就会对创新造成负面的影响。正如邓小平所说的,不管黑猫还是白猫,抓到老鼠就是好猫。所以技术到底来自何处并不重要,只要能打击犯罪的黑客分子。不管如何,我们都生活在这样一个互相联系、互相依存的世界中,只有共同努力才能实现全人类的进步。正如美国总统约翰 肯尼迪在有关世界和平的演讲中说到的,归根到底,我们最基本的共同点就是我们都生活在这个小小的星球上,我们都呼吸着同样的空气,我们都珍视孩子的未来,我们都是凡人。
关于DLP技术
记者:DLP技术对本土而言,有水土不服的问题吗?
亚瑟·科维洛:DLP技术的本土化问题一直是我们关注的重点,首先我们要知道DLP技术必须要能够感知内容,同时也能够知晓数据背景。其实在欧美执行DLP,RSA都有模板,同时也会根据各国不同的国情来进行一些适配。当然,DLP的本土化是非常必要的,这也是我们会进一步壮大我们在中国研发技术力量的原因,因为我们非常希望能够符合中国相关的一些法规条例的标准。事实上我们DLP的业务在中国已经获得了成功,我们有专业的团队服务于中国DLP的一些个性化的定制,开发针对中国客户的产品;另一方面,我们并不是说做所有的安全产品,我们的安全产品可以和其他的安全厂商,比如中国的安全厂商的产品互操作。比如说我们提供DLP,这个加密的工具可以由本土的厂商来供应,这又是一种构思的方法。再有,我们的产品和技术是坚决遵守中国当地的法规条例。当然我们的战略是会密切的寻求与中国本土的安全厂商进行合作,这样的话我们的产品才能够实现和中国安全厂商产品之间的互操作性,互相进行附加值的产生。就像我们和美国思科合作,和以色列的厂商合作一样的。
记者:DLP能够帮助我们改变什么?
亚瑟·科维洛:DLP能让开发者有特定的工具会帮助你找到并且要分类保护的数据,可以做这样的编程,告诉程序或者制定一个策略,如果有人想通过邮件的方式把这个信息发出去的话就拦截这个邮件,不让它发出去。同时也可以把它做编程,让应用进行权限管理。或者DLP的应用里面,要把这个信息通过移动存储,USB的内存条要做的话,必须对移动设施进行加密处理。也就是我们DLP的产品可以根据客户的要求进行编程处理,比如说加密要求密码是用中文的,客户可以从中国密码供应商那里购买密码,然后对DLP进行编程,来进行这种安全策略的执行。
记者:有人评价,DLP是偏重审计的技术,在防泄密上DLP好像并非完美无缺。
亚瑟·科维洛:我们要看攻击者的方式,说如果攻击者把内容加密再放DLP里,可能会出现问题。但是我们看安全技术不要光看某一项漏洞,其实我们 要的安全机制是一个全面防范安全的机制。美国有一家医疗提供商使用的是RSA的DLP产品。当时他们内部流行一个窃取数据库网管员密码的病毒,然后利用数据库网管员的密码访问数据库,透露一些信息,把这些信息加密发出去。但是这个公司还使用我们RSA的反木马工具,有一个地方存储了一系列的密码,其中有数据库网管员的密码。所以尽管这个产品没有防住,但是我们另外一个产品可以弥补这样一个漏洞,仍然能够跟踪到这样一个信息盗窃的事件。事实上安全防范是分层的安全机制,而且我刚才举的例子,就是攻击本身是非常复杂的,首先要绕过你的反木马工具,窃取数据库网管员的密码,用这个密码再访问数据库,再把内容加密,把加密的内容再发出来,这是一个很复杂的攻击,对于这种复杂的攻击必须用这种分层的安全机制防范。其实这个问题曾经也有一个中国的用户问过我,我跟他说,你如果想找到一个天衣无缝的,没有漏洞的完美安全工具,可能你会很失望。但是你如果希望不断的把自己的风险控制,把它最小化,不断的加深加厚你的安全机制的话,我们这个DLP就是一个解决方案。
安全技术的未来
记者:您刚才提到了安全要虚拟化,除了虚拟化之外,您认为还有哪些基础架构能够嵌入安全的?
亚瑟·科维洛:我们可以看到云计算给我们带来了什么机会。因此我们可以从头开始,重新做安全,而不是亡羊补牢后安装上去的。微软其实已经开始这样做了,可以看它最近推出的操作系统其实安全是内嵌的,微软这样做也是费了很大的精力,对于它来说也是进行了挣扎,对于它来说也是在安全上有了这样的补充。我们安全的框架,不管是安全信息事件管理还是法律法规等等,它们都可以在虚拟世界中发挥安全的作用,在物理世界也是一样的。
我认为在很长一段时间里,在IT这样的一个环境中,我们可以说是两只脚,一只脚踏在物理环境中,一只脚踏在虚拟环境中,所以这样的管理系统能够管理这样一种混合的情况,从而更好的从虚拟化的环境当中获得益处。但是要想做到真正的内嵌安全,只有虚拟化的环境能够让你更容易做到。
记者:在开放平台下,未来的安全产品在统一管理或是标准化上会有问题吗?
亚瑟·科维洛:不可否认,单点的安全产品还是有必要存在的。我想举个例子,在意大利有跟中国邮政一样有一个邮政储蓄——是意大利邮政银行。意大利邮政银行用了三个安全公司的反欺诈产品,有RSA的,还有Memento等,并在这些产品之上搭建了一个叫做安全控制的管理层,通过这个管理层进行编排、调配,以协调的方式综合使用这三个厂商的产品。其实这三个厂商不同的产品都有自己的控制台,这些控制台都向上面一个合规平台汇报自己的运转情况,所谓的合规平台就是意大利邮政银行的IT安全部的人能够从合规平台上看到你这个执行的安全控制是不是和我要求的这样一个安全的策略相符。所以我们看到,它所使用的合规平台全称是智力和风险管理平台,使用的是Archer的产品,它的反欺诈整个的解决方案这套系统用了五到六家不同的技术公司的产品。所以产品之间能够互操作,同时把所有提上来报告的信息能够汇总,并且对这些汇总的信息进行分析,我们相信安全产品的有效性将会大大提高。
记者:RSA发明了很多加密算法,但目前好像业务重心已经偏移了。
亚瑟·科维洛:尽管RSA发明了目前广为使用的加密算法,但是现在RSA已经不怎么卖这些东西了,问题之一就是我们的专利已经过期了,到处都能够找到我们加密算法的开源版本。所以我们现在做的是更具有高附加值的一些技术产品,像DLP,像密钥管理等产品。