安全共享抵御協(xié)同網(wǎng)絡(luò)犯罪

郭濤

在2014年3月舉行的Pwn2Own 2014黑客大賽上，來自中國上海的KEEN團(tuán)隊分別用15秒和20秒的時間破解了蘋果和微軟最新的桌面系統(tǒng)而獲獎?；萜展酒髽I(yè)安全產(chǎn)品部大中華區(qū)總經(jīng)理姚翔認(rèn)為：“KEEN團(tuán)隊的成功除了是因為團(tuán)隊中每個人的技術(shù)能力都很強(qiáng)以外，更重要的是團(tuán)隊的協(xié)作精神。這與今天更強(qiáng)調(diào)通過企業(yè)之間的協(xié)作、共享安全情報進(jìn)一步提升企業(yè)的整體安全防護(hù)能力如出一轍?！?/p>

人才和技術(shù)都有短板

今天，企業(yè)面臨的安全挑戰(zhàn)到底有多嚴(yán)峻？Ponemon Institute預(yù)測，2014年全球用于網(wǎng)絡(luò)安全防護(hù)的總支出將達(dá)到460億美元，而安全黑市規(guī)模則為1040億美元，超過安全總支出的兩倍多。另外，單次安全事件帶來的資金損失年同比增長30%。“這組數(shù)據(jù)表明了安全防護(hù)的重要性和迫切性。企業(yè)應(yīng)投入更多力量和資金用于安全防護(hù)?！币ο璞硎?。

安全形勢的嚴(yán)峻性具體表現(xiàn)在以下幾方面：第一，新型的安全攻擊越來越多，而且安全攻擊越來越具有針對性，危害性的等級也在不斷提升，激進(jìn)黑客、政治黑客的出現(xiàn)給企業(yè)的安全防護(hù)帶來了更大壓力；第二，各國均出臺了多項有關(guān)安全、合規(guī)的法律法規(guī)，企業(yè)因此承受了更多來自政府監(jiān)管方面的壓力，企業(yè)安全防護(hù)的成本、復(fù)雜性持續(xù)增加；第三，隨著云計算、大數(shù)據(jù)、移動互聯(lián)的廣泛應(yīng)用，傳統(tǒng)的安全邊界被打破。IT交付模式的改變和IT消費(fèi)化的趨勢，使得安全問題更加復(fù)雜。比如，企業(yè)可以利用大數(shù)據(jù)技術(shù)對其客戶的所有重要數(shù)據(jù)進(jìn)行收集、整理和分析，如果企業(yè)不能對這些數(shù)據(jù)進(jìn)行有效保護(hù)，那么客戶的大數(shù)據(jù)就很有可能成為黑客的大數(shù)據(jù)。

“很多企業(yè)認(rèn)為出現(xiàn)安全問題是小概率事件，將資金用于安全建設(shè)就像買保險，很難看到直接效益?！币ο韪械綋?dān)心，“許多企業(yè)用于安全的投資只占IT總體投入的很小一部分?！?/p>

很多時候，企業(yè)在安全問題爆發(fā)時顯得十分脆弱，甚至束手無策。造成這種局面的原因有很多，最主要的是在人才和技術(shù)方面存在短板。從目前情況看，安全人才的短缺是制約整個行業(yè)發(fā)展的一個重要原因。

安全是跨領(lǐng)域的，從網(wǎng)絡(luò)層到應(yīng)用層，甚至到后臺的數(shù)據(jù)庫都與安全相關(guān)聯(lián)。安全人才不僅是專才，而且是全才。從技術(shù)方面看，一方面，新舊技術(shù)的更替可能會造成安全上的真空，比如Windows XP的退出就引發(fā)了一系列關(guān)于安全問題的討論；另一方面，面對云計算、大數(shù)據(jù)等新興技術(shù)和應(yīng)用，安全技術(shù)能不能迎頭趕上也是一個問題。

此外，對于一些潛藏很深且危害極大的安全攻擊，現(xiàn)在還沒有有效的技術(shù)能夠從容應(yīng)對。舉例來說，APT攻擊就是善于潛伏的一類攻擊。它就像是一種病毒，雖然早已入侵了企業(yè)的機(jī)體，源源不斷地竊取關(guān)鍵數(shù)據(jù)，但是企業(yè)一直被蒙在鼓里，絲毫沒有察覺。這種攻擊持續(xù)的時間可能很長，可能是幾年，給企業(yè)造成的危害非常大。“企業(yè)可能無法保證自己的體系架構(gòu)100%安全，但至少應(yīng)該及時發(fā)現(xiàn)已存在的安全漏洞，了解受損的程度等，這就叫安全的可視性。如果企業(yè)做不到安全的可性視，只能等到安全事件爆發(fā)時才覺察，這是非常危險的?！币ο杼嵝颜f。

五大安全防護(hù)誤區(qū)

惠普的調(diào)查數(shù)據(jù)顯示，1/4的安全運(yùn)維組織未能有效應(yīng)對安全問題。歸納起來，企業(yè)在解決安全問題時主要存在以下五個誤區(qū)：

第一，安全系統(tǒng)建設(shè)缺乏企業(yè)組織的有力支持。最明顯的一個例子是，大部分企業(yè)到目前為止都沒有設(shè)立專門的安全部門，很多安全方面的專業(yè)人員隸屬于企業(yè)的網(wǎng)絡(luò)部門或運(yùn)維部門。姚翔認(rèn)為：“一個成熟的企業(yè)，其安全部門必須與IT部門分拆，并且兩個部門應(yīng)該是平級的，這樣才能保證安全策略和計劃的有效實施?！痹诒泵赖貐^(qū)，越來越多企業(yè)設(shè)立首席安全官職位，以制衡企業(yè)CIO在安全方面的投入和部署，從而為企業(yè)構(gòu)建一個完整、安全的IT架構(gòu)。

第二，企業(yè)過分依賴技術(shù)與安全產(chǎn)品的功能，但在很多時候僅從產(chǎn)品本身看不出有任何安全漏洞。這同樣牽涉到安全可視性的問題。“假設(shè)某企業(yè)受到了攻擊，該企業(yè)想知道損失的具體數(shù)額，哪些重要數(shù)據(jù)已經(jīng)泄露等，但在大部分企業(yè)的安全報告中通常找不到這些內(nèi)容?！币ο枧e例說。

第三，IT基礎(chǔ)設(shè)施的安全被忽視。企業(yè)最關(guān)心的是業(yè)務(wù)，往往對最基礎(chǔ)的安全架構(gòu)和IT設(shè)施缺乏關(guān)注，包括大家每天都在使用的PC，而PC本身往往存在很大的安全漏洞。

第四，許多企業(yè)的安全運(yùn)維中心往往要承擔(dān)一些其他任務(wù)，而不能把全部精力投入到安全問題的分析和管理上。姚翔表示，企業(yè)的安全部門應(yīng)該像一個哨兵，時刻警惕和感知外界對企業(yè)的安全威脅和攻擊。

第五，企業(yè)過于關(guān)注合規(guī)性。合規(guī)雖然很重要，但是合規(guī)并不等同于企業(yè)安全?！昂芏嗥髽I(yè)認(rèn)為，只要達(dá)到了合規(guī)的要求就萬事大吉了。其實，合規(guī)就像是我們小時候打的預(yù)防針，并不能保證身體不出現(xiàn)健康問題。”

針對企業(yè)存在的安全問題，惠普提出了一套行之有效的安全方法論：第一，破解攻擊，即通過實時的威脅防御，阻擋惡意攻擊，提供基于云和大數(shù)據(jù)的安全情報和自我修復(fù)技術(shù)；第二，管理風(fēng)險與合規(guī)，在安全攻擊發(fā)生之前進(jìn)行防御，避免不合規(guī)帶來的嚴(yán)重后果；第三，擴(kuò)展企業(yè)的安全防范能力，惠普擁有的安全行業(yè)專家可為用戶提供從初始安全評估到安全變革項目，再到整體環(huán)境管理的全面安全服務(wù)。

以其人之道還治其身

現(xiàn)在的黑客越來越狡猾，除了單打獨(dú)斗，越來越多的黑客采取了協(xié)同工作的方式，通過分享資源和技術(shù)來發(fā)動更為先進(jìn)的攻擊。有的黑客長于調(diào)查，可以深入了解被攻擊企業(yè)的網(wǎng)絡(luò)架構(gòu)、操作系統(tǒng)、安全漏洞等，但它不會進(jìn)行攻擊，而是將這些有價值的信息出售給另一個專門實施網(wǎng)絡(luò)攻擊的黑客集團(tuán)。還有的黑客專門從事數(shù)據(jù)的采集工作。這就叫協(xié)同網(wǎng)絡(luò)犯罪，是一種隱蔽性更強(qiáng)、威脅更大的網(wǎng)絡(luò)犯罪形式。

針對這種新型的網(wǎng)絡(luò)犯罪形式，惠普提出了“以其人之道還治其身”的應(yīng)對方法，就是在企業(yè)間實時、保密地共享目標(biāo)情報，建立統(tǒng)一的安全防線。姚翔表示，企業(yè)不能單純依靠一個或幾個安全工具來抵御安全攻擊，而應(yīng)該主動去實施情報分享，實現(xiàn)集成與協(xié)作，這樣才能有效遏制協(xié)同網(wǎng)絡(luò)犯罪。

為此，惠普推出了一系列新的產(chǎn)品和解決方案。在分享情報方面，惠普實驗室開發(fā)的HP Threat Central可為社區(qū)成員提供共享威脅數(shù)據(jù)和分析的協(xié)作式安全情報平臺，實時提供關(guān)于當(dāng)前威脅進(jìn)攻者、攻擊載體、手段和動機(jī)的情報。HP Threat Central支持HP ArcSight和HP TippingPoint系列產(chǎn)品，可無縫集成并實現(xiàn)HP ArcSight Enterprise Security Management （ESM）中威脅的自動下載和上傳，以及在HP TippingPoint下一代入侵防御系統(tǒng)（NGIPS）和HP TippingPoint下一代防火墻（NGFW）設(shè)備中自動阻止惡意IP地址。

惠普還基于HP Threat Central宣布了一項名為Threat Central的合作伙伴計劃，目的是團(tuán)結(jié)其他安全廠商，共享威脅情報，防御攻擊。姚翔介紹，惠普目前正與Arbor Networks、TrendMicro、Blue Coat Systems、InQuest、ThreatGRID和Wapack Labs等安全合作伙伴共同開展工作，向HP Threat Central社區(qū)提供戰(zhàn)略性威脅情報和可行的指標(biāo)。endprint