大数据风头正劲RSA 2013:智能安全唱主角

超过两万人的参会规模，演讲开始半小时前，分论坛门口观众已经排起长队等候入场，与会者奔波于各个分会场之间，只为能够聆听更多新鲜的分享……对于一个置身于信息安全领域的人而言，RSA在美国举办的年度信息安全大会绝对是你不容错过的一场盛会，并且历来被看作是行业发展的风向标。在每一年的RSA大会上，你都可以了解到最新的安全威胁发展趋势，看到业界顶尖的安全厂商的安全产品和解决方案，还可以在攻防演示中了解最新的安全技术发展趋势。2月26日～3月1日，RSA 2013大会在美国如期举行，再一次让人们享受到这场信息安全思想盛宴带来的丰厚收获。

大数据缘何大有所为

在最近两年的IT界，大数据一直是热炒的话题，企业通过大数据分析获益匪浅，同时也看到了新的商机。大数据提供了一个可伸缩的架构，将其用在信息安全防护上，能够更全面地判断用户行为、异常流量和用户数据的安全性，发现深藏在企业网络中的威胁。

在过去的一年中，大数据分析解决方案一直被安全厂商高度关注，网络安全、应用安全、虚拟化安全等各个方面，都融入了大数据分析技术。在今年的RSA 2013大会上，RSA、惠普等公司都了基于大数据分析的解决方案，通过大数据分析帮助企业从大量的结构化数据和非结构化数据中找到更多安全威胁，这是传统的基于签名和特征库的安全工具力所不能及的。

在RSA 2013大会上，EMC公司执行副总裁兼EMC信息安全事业部RSA执行主席亚瑟·科维洛在主题演讲中指出，大数据之所以要应用在安全领域，是因为针对商业和政府组织的高级持续性攻击不断发生。同时，企业数据量不断增加、数据类型更加丰富，也要求企业必须通过新方法来保护这些数据不被竞争对手窃取。科维洛认为，在这种情况下，单点防御和边界防护解决方案都难以满足企业的需求，企业要部署能够应对实际威胁和潜在威胁的解决方案，就需要智能的安全解决方案，在这方面，大数据分析大有作为。

然而，“目前企业只分析了不到1%的数据，并且只有不到20%的数据得到了有效保护。”这也正是为什么安全厂商纷纷在RSA 2013 大会上大数据解决方案的原因。在科维洛看来，大数据能够驱动智能信息安全模型的发展和实践。

看到大数据安全美好前景的不仅仅是RSA，赛门铁克、惠普、IBM和微软等在信息安全领域卓有成就的安全厂商都已经看到大数据这个新机遇。

赛门铁克在RSA 2013大会上了震网（Stuxnet）病毒的最新细节，认为它是迄今为止最高级的武器性恶意软件，并且针对网络的武器越来越复杂化。“攻击者只需一次成功就能获利，但是企业必须完善所有的信息薄弱点。”赛门铁克企业产品和服务集团总裁Francis deSouza认为，“企业应该花更多精力在利用大数据分析进行入侵监测和降低风险点上，而不是着力于堵住威胁。”

赛门铁克的这种说法也得到了惠普的认可，它在RSA 2013大会上宣布推出新产品，将HP ArcSight的安全信息与事件管理（SIEM）功能与HP Autonomy IDOL内容分析引擎进行了整合。Autonomy 的优势在于非结构化数据的处理，它使HP ArcSight SIEM具备自动识别用户与各类数据进行交互的环境、概念、情绪和使用模式的能力，通过解读原始安全数据的含义从而扩大企业安全监视功能的覆盖范围。“通过对与数据相关的人力情绪（如行为模式等）进行跟踪和分析，企业能够更迅速地识别之前被忽视的威胁。”惠普企业安全产品部北亚区总经理姚翔表示，“通过将云监视、内容分析和大数据处理进行结合，惠普能为客户提供有效阻止潜在漏洞所需的背景信息。”

不过，对于大数据安全，业界也存在质疑的声音。当前大多数企业还停留在扩大数据的量上，而对于数据的精准分析，提升数据价值的密度，则效果相对较弱。此外，近日采访的某安全厂商负责人还表示，尽管大数据分析技术能够帮助我们提升某些能力，但是大数据是一个复杂的系统，利用大数据改变整个安全生态系统是一件非常困难的事情，对此她并不完全看好。

各种安全新思维

云计算、虚拟化、BYOD……IT的发展提升了企业的信息化水平，同时也让企业暴露了更多风险点。赛门铁克近期在中国进行的一项调查也显示，98%的中国大型企业因自身业务需求而部署移动应用。对黑客而言，这意味着更多漏洞、更多有价值信息和更多回报。Check Point《2013年安全报告》数据显示，在电信行业中，45%的企业曾发生数据泄露，而在金融和政府领域，数据泄漏发生的比例更高，分别是61%和70%。这些变化让我们不得不转变安全思维。企业客户和安全厂商都希望信息安全解决方案能变得更智能。

迈克菲全球首席技术官Mike Fey在RSA 2013上发表了名为《安全新原则》的演讲，他认为现有的后发制人的攻击模式终将导致防护失败，企业可以通过增强安全架构来确定重要资产的优先级，在攻击发生时及时了解并做出应对。

“企业需要重新思考其制定安全战略规划的方式。”Mike Fey提出了3R原则（财富Riches、损害 Ruin 和法规 Regulation）、综合防御以及交互式安全等信息安全新原则。“3R原则帮助企业识别不法分子企图从哪里窃取公司财富，哪些企业信息外泄可能造成损失，以及哪种法规框架可以确保企业合规；综合防御体系要求安全解决方案具备与其他安全基础设施共享威胁智能信息的能力，能够共享从每一攻击所掌握的信息；交互式安全要求改变以往基于历史信息的安全方法，掌握大量的即时信息，进而更快地做出响应。”在Mike Fey看来，“对于应对我们今后所面临的威胁，这些原则绝对势在必行。如果能够离开现行轨道，进行真正的转向，我们将会踏上防御这些网络威胁的正确道路。”

自从收购了安全软件公司ArcSight，惠普开始在安全产品线发力，如今其安全产品业务营收已经达到两位数的增长。惠普资深副总裁以及企业安全软件产品负责人Art Gilliand在RSA 2013大会上发表演讲时提出：“信息安全行业过去花很多时间去研究攻击者本身，却很少去关心他们所处的行业，忽视了他们所在的那个市场，而网络攻击者市场是以一个独特的方式存在的。”

对于如何转变防护思路，Art Gilliand给出了三点建议：将预算花在扰乱攻击者攻击过程的每个步骤上，增加攻击者攻击成本以及攻击难度；在黑客侵入系统后、窃取数据之前找到黑客，这是我们现在做得很差的一个方面，而大数据可以帮助提升这方面的能力；打破行业常规，利用云和大数据技术去创建关于安全知识分享的系统。

安全新突破

每到辞旧迎新的时候，安全厂商的各种报告总是充满了对未来安全威胁的分析和预判，形势依然严峻几乎是所有安全厂商的论调。我们必须看到，因为云计算服务、移动设备的普及而引发的对安全的挑战正在全球范围内蔓延，已经有越来越多的企业受到影响。

不过，在RSA 2013大会上，微软可靠计算集团副总裁Scott Charney带来的是另一种乐观的态度，他对信息安全的未来充满信心，认为未来的信息安全将是“一片光明”。在他看来，安全行业已经取得了很多新突破，例如移植安全性到硬件中，统一可扩展固件接口（UEFI）等技术也让攻击者更难以安装Rootkit和其他恶意软件。“我们现在有能力对无论是Windows还是Linux进行受信启动和保守启动。”Charney表示，“这意味着，我们能够以此为基础，以更夸张的方式保证机器的‘健康’。”

安全开发生命周期（SDL）是Charney认为信息安全取得的另一大进步。EMC、思科和Adobe等公司已经在其软件中加入SDL。“你看到市场开始要求安全开发，你就到了一个拐点，未来将变得不同。”Charney如是说。

对安全而言，因噎废食和过分乐观都不靠谱。安全厂商在完善安全技术、产品和解决方案的同时，也必须在教育企业用户方面做出努力。对此，Charney就给出了非常中肯的建议：“用户需要安装产品的最新版本，并保持修复和更新。在云服务模式和应用商店模式中，人们很容易管理更新和更新到最新版本。”