安全共享抵御协同网络犯罪

在2014年3月举行的Pwn2Own 2014黑客大赛上，来自中国上海的KEEN团队分别用15秒和20秒的时间破解了苹果和微软最新的桌面系统而获奖。惠普公司企业安全产品部大中华区总经理姚翔认为：“KEEN团队的成功除了是因为团队中每个人的技术能力都很强以外，更重要的是团队的协作精神。这与今天更强调通过企业之间的协作、共享安全情报进一步提升企业的整体安全防护能力如出一辙。”

人才和技术都有短板

今天，企业面临的安全挑战到底有多严峻？Ponemon Institute预测，2014年全球用于网络安全防护的总支出将达到460亿美元，而安全黑市规模则为1040亿美元，超过安全总支出的两倍多。另外，单次安全事件带来的资金损失年同比增长30%。“这组数据表明了安全防护的重要性和迫切性。企业应投入更多力量和资金用于安全防护。”姚翔表示。

安全形势的严峻性具体表现在以下几方面：第一，新型的安全攻击越来越多，而且安全攻击越来越具有针对性，危害性的等级也在不断提升，激进黑客、政治黑客的出现给企业的安全防护带来了更大压力；第二，各国均出台了多项有关安全、合规的法律法规，企业因此承受了更多来自政府监管方面的压力，企业安全防护的成本、复杂性持续增加；第三，随着云计算、大数据、移动互联的广泛应用，传统的安全边界被打破。IT交付模式的改变和IT消费化的趋势，使得安全问题更加复杂。比如，企业可以利用大数据技术对其客户的所有重要数据进行收集、整理和分析，如果企业不能对这些数据进行有效保护，那么客户的大数据就很有可能成为黑客的大数据。

“很多企业认为出现安全问题是小概率事件，将资金用于安全建设就像买保险，很难看到直接效益。”姚翔感到担心，“许多企业用于安全的投资只占IT总体投入的很小一部分。”

很多时候，企业在安全问题爆发时显得十分脆弱，甚至束手无策。造成这种局面的原因有很多，最主要的是在人才和技术方面存在短板。从目前情况看，安全人才的短缺是制约整个行业发展的一个重要原因。

安全是跨领域的，从网络层到应用层，甚至到后台的数据库都与安全相关联。安全人才不仅是专才，而且是全才。从技术方面看，一方面，新旧技术的更替可能会造成安全上的真空，比如Windows XP的退出就引发了一系列关于安全问题的讨论；另一方面，面对云计算、大数据等新兴技术和应用，安全技术能不能迎头赶上也是一个问题。

此外，对于一些潜藏很深且危害极大的安全攻击，现在还没有有效的技术能够从容应对。举例来说，APT攻击就是善于潜伏的一类攻击。它就像是一种病毒，虽然早已入侵了企业的机体，源源不断地窃取关键数据，但是企业一直被蒙在鼓里，丝毫没有察觉。这种攻击持续的时间可能很长，可能是几年，给企业造成的危害非常大。“企业可能无法保证自己的体系架构100%安全，但至少应该及时发现已存在的安全漏洞，了解受损的程度等，这就叫安全的可视性。如果企业做不到安全的可性视，只能等到安全事件爆发时才觉察，这是非常危险的。”姚翔提醒说。

五大安全防护误区

惠普的调查数据显示，1/4的安全运维组织未能有效应对安全问题。归纳起来，企业在解决安全问题时主要存在以下五个误区：

第一，安全系统建设缺乏企业组织的有力支持。最明显的一个例子是，大部分企业到目前为止都没有设立专门的安全部门，很多安全方面的专业人员隶属于企业的网络部门或运维部门。姚翔认为：“一个成熟的企业，其安全部门必须与IT部门分拆，并且两个部门应该是平级的，这样才能保证安全策略和计划的有效实施。”在北美地区，越来越多企业设立首席安全官职位，以制衡企业CIO在安全方面的投入和部署，从而为企业构建一个完整、安全的IT架构。

第二，企业过分依赖技术与安全产品的功能，但在很多时候仅从产品本身看不出有任何安全漏洞。这同样牵涉到安全可视性的问题。“假设某企业受到了攻击，该企业想知道损失的具体数额，哪些重要数据已经泄露等，但在大部分企业的安全报告中通常找不到这些内容。”姚翔举例说。

第三，IT基础设施的安全被忽视。企业最关心的是业务，往往对最基础的安全架构和IT设施缺乏关注，包括大家每天都在使用的PC，而PC本身往往存在很大的安全漏洞。

第四，许多企业的安全运维中心往往要承担一些其他任务，而不能把全部精力投入到安全问题的分析和管理上。姚翔表示，企业的安全部门应该像一个哨兵，时刻警惕和感知外界对企业的安全威胁和攻击。

第五，企业过于关注合规性。合规虽然很重要，但是合规并不等同于企业安全。“很多企业认为，只要达到了合规的要求就万事大吉了。其实，合规就像是我们小时候打的预防针，并不能保证身体不出现健康问题。”

针对企业存在的安全问题，惠普提出了一套行之有效的安全方法论：第一，破解攻击，即通过实时的威胁防御，阻挡恶意攻击，提供基于云和大数据的安全情报和自我修复技术；第二，管理风险与合规，在安全攻击发生之前进行防御，避免不合规带来的严重后果；第三，扩展企业的安全防范能力，惠普拥有的安全行业专家可为用户提供从初始安全评估到安全变革项目，再到整体环境管理的全面安全服务。

以其人之道还治其身

现在的黑客越来越狡猾，除了单打独斗，越来越多的黑客采取了协同工作的方式，通过分享资源和技术来发动更为先进的攻击。有的黑客长于调查，可以深入了解被攻击企业的网络架构、操作系统、安全漏洞等，但它不会进行攻击，而是将这些有价值的信息出售给另一个专门实施网络攻击的黑客集团。还有的黑客专门从事数据的采集工作。这就叫协同网络犯罪，是一种隐蔽性更强、威胁更大的网络犯罪形式。

针对这种新型的网络犯罪形式，惠普提出了“以其人之道还治其身”的应对方法，就是在企业间实时、保密地共享目标情报，建立统一的安全防线。姚翔表示，企业不能单纯依靠一个或几个安全工具来抵御安全攻击，而应该主动去实施情报分享，实现集成与协作，这样才能有效遏制协同网络犯罪。

为此，惠普推出了一系列新的产品和解决方案。在分享情报方面，惠普实验室开发的HP Threat Central可为社区成员提供共享威胁数据和分析的协作式安全情报平台，实时提供关于当前威胁进攻者、攻击载体、手段和动机的情报。HP Threat Central支持HP ArcSight和HP TippingPoint系列产品，可无缝集成并实现HP ArcSight Enterprise Security Management （ESM）中威胁的自动下载和上传，以及在HP TippingPoint下一代入侵防御系统（NGIPS）和HP TippingPoint下一代防火墙（NGFW）设备中自动阻止恶意IP地址。

惠普还基于HP Threat Central宣布了一项名为Threat Central的合作伙伴计划，目的是团结其他安全厂商，共享威胁情报，防御攻击。姚翔介绍，惠普目前正与Arbor Networks、TrendMicro、Blue Coat Systems、InQuest、ThreatGRID和Wapack Labs等安全合作伙伴共同开展工作，向HP Threat Central社区提供战略性威胁情报和可行的指标。