打击黑客:需要以彼之道,还彼之身

正如黑客形成地下产业链一样,全社会的企业、厂商和政府也要协同工作,形成针锋相对的产业链,才能击败黑客犯罪集团这一共同的敌人

时下,腾讯QQ与奇虎360之间的“恶斗”把“网络安全”炒得火热。

事实上,网络安全领域从来都不太平。从瑞星与金山的口水战,到360与瑞星、金山之间的官司,现在战火燃至腾讯,起因也在网络安全领域。

应该说,安全问题是现在最为火热的话题之一,日前,在RSA大会2010信息安全国际论坛上,云计算安全、可信计算、反网络欺诈、法规遵从和密码学五大议题成为中国信息安全界最关心的、最热门的话题。

EMC全球执行副总裁、RSA全球总裁亚瑟・W・科维洛(Arthur W. Coviello,Jr.)认为,人们对于信息安全问题的担心,已经非常严重地影响了企业部署云计算的步伐。

像“黑客”一样思考

科维洛表示,新一轮经济增长的动力是云计算,但是由于安全的问题没有解决,目前人们对云计算缺乏信心。科维洛先生指出,解决云计算的安全问题,需要采取综合的、系统化的、内嵌的安全方式。正如黑客形成地下产业链一样,全社会的企业、厂商和政府也要协同工作,形成针锋相对的产业链,才能击败黑客犯罪集团这一共同的敌人。

科维洛认为,网络安全面临着三大方面的挑战――

首先,我们面对的问题就是安全措施被动的应用,我们查补漏洞,我们看到新的形式的攻击,我们有新的单点产品解决问题。这说明我们有很多的单点产品来自不同的供应商,都是独立运用的,比如加密、解密、反恶意软件、网关等等,由此IT团队也需要担负管理多家供应商提供的产品的责任。这样耗资巨大,而且是抵消的,是无法管理的,这就是面对的第一个问题。

其次,比起软硬件单纯的物理环境,虚拟化让安全管理和控制变得更加艰难。

再有,我们面临着非常复杂的、越来程度越高的犯罪和黑客社区。

网络威胁已经超越国界,成为一个不争的事实。根据RSA反网络欺诈指挥中心的研究,2010年中国网络钓鱼的数量上升了78%。99%的网络钓鱼指向网上购物。中国国家互联网应急中心(CNCERT)的报告也显示,2010年上半年CNCERT共接到网页仿冒事件报告740次,经归类合并后具体成功处理了308件,被仿冒的网站大多是国外的著名金融交易机构。2010年上半年中国大陆地区有23.3万个IP地址对应主机被僵尸程序控制;参与控制中国大陆计算机的境外僵尸网络控制服务器IP有4584个,主要来自美国、土耳其和印度。

云计算在给人们带来便利的同时,也会给黑客带来“便利”。黑客可以利用云计算资源,研究出更有创新性、更高效的攻击方法。比如个性化的定制攻击,会伪装成人们的朋友、亲人,通过Twitter、Facebook、开心网等发起让人很难察觉的网络攻击。

黑客正在不断改变攻击方式,这就需要人们同样要有“黑客式”的思维方式,从黑客的角度去看安全,这样才能发现潜藏的威胁。现在的软件愈发复杂化,黑客的攻击手段也愈发多样化,这就需要打破以往固有的范式,要像黑客一样思维。

信息安全是管理问题

而非单纯的技术问题

近年来,企业的经营愈来愈困难。除了经济景气的循环之外,天灾人祸频仍,让企业的营运更加艰困。在这样的环境下,如何让营运不中断,成为企业最重要的课题之一。当灾害来临时,能持续营运而不中断的企业,才能保有其竞争力。除了地震、洪水、非典以及禽流感等天灾之外,企业营运大量仰赖信息以及网络系统,也让信息安全上的灾害,成为中断企业营运,造成严重损失的重大人祸之一。

这些信息安全管理上的难题,往往并非企业中的信息部门人员可以独力解决的。许多企业将所有的问题归咎于信息部门人员,不但不公平,同时也无法真正解决问题。信息部门多样而繁杂的工作,以及有限的人力,使得信息安全管理的工作,成为其沉重而无法独力承担的责任。

RSA公司CISSP、CISM、 eGRC解决方案经理Steve Schlarman认为,对很多大企业来说,无论在基础架构、网络、数据库等方面,都能找到造成漏洞的根本的原因――人,人的治理对企业的数据安全是至关重要的。因为对于操作键盘的个案来说,你一定要让员工清楚你对他们的要求是什么,他们要得到指导,之后才能确保企业的安全。有这样一个例子,一个员工不太了解业务流程保护,不小心把企业信息泄露给外界团队,这个团体被指控为欺诈罪。我们在实践中发现有时候并不是技术导致问题,而是管理的漏洞。所以我们强调技术加人,一是提高人们的保护意识,二是使我们有一个开放环境进一步沟通。比如我们在有关的业务流程中,大家应该知道有什么样的控制因素、控制措施,这样能防患于未然。

Steve Schlarman回顾说,信息安全行业在过去15年中发生了很大的变化,原来只有几个人针对技术问题进行研究,后来涉及面越来越广,我们需要对信息安全、隐私等方面从整个企业层面上构置架构,面对全面的挑战。

应该说,在今日的企业环境中,信息安全的问题,已由技术层面,扩大到管理层面。唯有正视信息安全的管理问题,寻求信息安全专家的专业服务及帮助,才能真正解决企业的信息安全问题,同时维持企业营运的不中断。