為了確保建立的應(yīng)用環(huán)境更為安全，保證公司發(fā)展和員工心態(tài)不受到影響是非常重要的;但是，對(duì)于大部分安全人員來說，更關(guān)心的現(xiàn)實(shí)問題是自己的飯碗會(huì)不會(huì)受到影響。

在與安全社區(qū)成員進(jìn)行交流的時(shí)間，阿卡邁技術(shù)公司首席安全官安迪·埃利斯與大家分享了作為內(nèi)容網(wǎng)絡(luò)供應(yīng)商是如何對(duì)信息工作流程進(jìn)行重建的體會(huì)。并且，按照他的觀點(diǎn)，這項(xiàng)工作也帶來了積極的最終成果。

在接受ZDNet的采訪時(shí)，埃利斯解釋說：提高安全性的完美措施就是尋找異常行為，并且將此功能作為系統(tǒng)的必備選項(xiàng)，這樣的話，錯(cuò)誤在萌芽階段就可以被發(fā)現(xiàn)。

他指出，盡管使用數(shù)字簽名和查找系統(tǒng)漏洞屬于很有價(jià)值的工作，但問題的關(guān)鍵是僅僅依靠這些方法，是無法為公司整體安全提供足夠保障的。

他還認(rèn)為，自從1997年開始從事信息安全領(lǐng)域方面的工作以來，互聯(lián)網(wǎng)的出現(xiàn)屬于技術(shù)世界中發(fā)生的最顯著變化。

問題：從去年開始，分布式拒絕服務(wù)(DDoS)成為公眾關(guān)注的重點(diǎn)。而現(xiàn)在，黑客攻擊行為變得極為普遍，大家都見怪不怪不再感到意外了。對(duì)于安全領(lǐng)域過去一段時(shí)間內(nèi)的變化，你認(rèn)為應(yīng)該如何形容?

我們所面臨的是大規(guī)模攻擊暴漲的現(xiàn)實(shí)情景。在2005年到2009年的時(shí)間，這種現(xiàn)象并沒有表露出來;盡管偶爾也會(huì)有黑客出現(xiàn)，但很快就會(huì)被解決掉。固然也存在拒絕服務(wù)(DoS)攻擊，但出現(xiàn)的次數(shù)并不多，也很快就被清除掉。

這次大規(guī)模攻擊暴漲風(fēng)潮的起點(diǎn)是2009年7月4日，在2010年第4季度的時(shí)間數(shù)量達(dá)到了頂峰。在該季度中，我們?cè)庥龅墓魯?shù)量比前一年的總和還多，主要表現(xiàn)為利用撥號(hào)服務(wù)攻擊中型電子零售商和電子商務(wù)網(wǎng)站。當(dāng)匿名者團(tuán)隊(duì)的報(bào)復(fù)行動(dòng)成為頭條新聞后，被稱作魯茲安全的黑客集團(tuán)就開始對(duì)公司安全網(wǎng)絡(luò)展開了攻擊。作為”反機(jī)密“聯(lián)盟的成員，他們利用“谷歌黑客技術(shù)”來攻擊公司網(wǎng)站。在針對(duì)索尼的攻擊中，某些成員就可能來自魯茲安全和著名游戲站黑客，并試圖從中獲取額外價(jià)值......他們?cè)噲D證明一個(gè)觀點(diǎn)。

這樣，就導(dǎo)致公眾看到了“從成功走向成功”的黑客攻擊上升趨勢(shì)。盡管今年的官方數(shù)字還沒有公布，但我們相信呈現(xiàn)出增長趨勢(shì)的情況不會(huì)變化。由于很多攻擊都與追逐利益無關(guān)，所以，目前的重點(diǎn)工作應(yīng)該找出實(shí)際動(dòng)機(jī)以及可能帶來的影響。

攻擊的發(fā)展也展示出僵尸網(wǎng)絡(luò)的增長趨勢(shì)，這與寬帶服務(wù)的應(yīng)用和普及有著很大的關(guān)系。導(dǎo)致這種情況出現(xiàn)的重要原因之一就是，用戶并沒有獲得足夠的安全保護(hù)措施。我們認(rèn)為攻擊者重點(diǎn)關(guān)注的是擁有完善寬帶基礎(chǔ)設(shè)施的國家。舉例來說，每戶都擁有1Gbps寬帶連接的新加坡就是僵尸網(wǎng)絡(luò)非常喜歡的一處發(fā)展基地。因此，我們將會(huì)發(fā)現(xiàn)越來越多的僵尸網(wǎng)絡(luò)通過特定語言入侵到用戶系統(tǒng)中的情況。

對(duì)于利用網(wǎng)絡(luò)釣魚或者被破壞的網(wǎng)絡(luò)服務(wù)器發(fā)送URL的攻擊模式來說，具體實(shí)施過程是這樣的;僵尸主控機(jī)可以選擇位于葡萄牙的計(jì)算機(jī)進(jìn)行入侵，這與針對(duì)沒有受到良好保護(hù)的巴西系統(tǒng)所做的工作沒有什么不一樣。不過，如果發(fā)現(xiàn)目標(biāo)運(yùn)行的是英語系統(tǒng)，攻擊者可能就會(huì)選擇回避，以防止安全研究人員利用“英語”計(jì)算機(jī)系統(tǒng)來獲得自身的詳細(xì)信息。

此外，針對(duì)移動(dòng)設(shè)備的攻擊也呈現(xiàn)出繼續(xù)增長的趨勢(shì)。在人們看到移動(dòng)攻擊出現(xiàn)增長趨勢(shì)時(shí)，會(huì)以為犯罪分子破壞的是智能手機(jī)。但實(shí)際上，真正受到攻擊的是利用USB記憶棒或智能手機(jī)上的無線熱點(diǎn)連接到移動(dòng)寬帶上的筆記本計(jì)算機(jī)。

你是否認(rèn)為現(xiàn)行安全架構(gòu)應(yīng)該被推倒重來?

確實(shí)是這樣。對(duì)于大部分用戶來說，在考慮到安全問題時(shí)，關(guān)注的重點(diǎn)依然是清單和前人獲得的經(jīng)驗(yàn)。因此，只要建立了清單，大家就會(huì)認(rèn)為任務(wù)已經(jīng)完成。但反過來看的話，我們會(huì)發(fā)現(xiàn)清單中包含的內(nèi)容必定是落后于實(shí)際環(huán)境和當(dāng)前攻擊的情況。

并且，在公司選擇將系統(tǒng)遷移到云中后，這將成為一個(gè)非常棘手的問題。所有系統(tǒng)都變成了其它人數(shù)據(jù)中心里的虛擬機(jī)，有些安全控制措施會(huì)變得不再適用甚至無法在網(wǎng)絡(luò)層實(shí)施。

此外，在云模式下，我們不再能夠利用防火墻將應(yīng)用環(huán)境與外界隔離。因此，在建立基礎(chǔ)架構(gòu)之前，我們就需要把安全方面的需求考慮進(jìn)去，讓其成為系統(tǒng)整體的必備部分，并且在分層模型中，提供必須的控制和安全功能。

盡管這將會(huì)是一項(xiàng)非常艱巨的任務(wù)，但我不認(rèn)為它屬于無法完成的;實(shí)際上，解決問題的關(guān)鍵是讓大家從清單模式中走出來。它可以為我們提供一些幫助，但卻無法完成全面保護(hù)的需要。

同樣，日志審核也屬于無法完成的工作?

按照正式要求，每天我們都需要對(duì)日志文件進(jìn)行至少一次審核。但大家覺得這一要求真的能被完成么?

在明白為什么必須這么做的真正原因之前，人們并不喜歡對(duì)安全方面的需求進(jìn)行審核。問題的關(guān)鍵就是，為什么應(yīng)該查看當(dāng)天的日志?打開日志文件，尋找可疑行為;如果這么做了，會(huì)被當(dāng)作現(xiàn)有工作的組成部分么?

對(duì)于云環(huán)境來說，數(shù)據(jù)流量將變得無比巨大，依靠人力審核日志文件已經(jīng)成為不可能完成的任務(wù)。沒有人可以坐下來對(duì)日志文件進(jìn)行如此長時(shí)間的審核，并從中找出發(fā)生的異常行為。我們必須使用軟件來完成相應(yīng)工作。人力已經(jīng)無法做到這一點(diǎn)，這也是我們鼓勵(lì)客戶來使用工具的原因之一。

我們需要仔細(xì)考慮到的問題包括了，依靠當(dāng)前使用的技術(shù)能夠獲得什么樣的安全保護(hù)，以及選擇這種技術(shù)的原因，還有預(yù)定目標(biāo)在什么地方以及在現(xiàn)實(shí)世界中如何實(shí)現(xiàn)。

關(guān)于增強(qiáng)簽名和查找漏洞的談?wù)撘呀?jīng)有很多了。這里是否存在一種更好的模式?

我們必須同時(shí)做兩件事情——尋找新技術(shù)和修復(fù)現(xiàn)有漏洞。我個(gè)人真正喜歡的工作是尋找異常行為。我們正在盡力修復(fù)漏洞，讓簽名功能更強(qiáng)大，但真正應(yīng)該做的事情是尋找一些獨(dú)特的技術(shù)。在這里，典型的例子就是基于軟件即服務(wù)模式的網(wǎng)絡(luò)應(yīng)用防火墻，它包含了大量的數(shù)字簽名，可以用于漏洞保護(hù)工作。

這里問題的關(guān)鍵依然是數(shù)字簽名本身。我們可以做到非常完善;但對(duì)于新類型的攻擊來說，情況就完全不同了。如果系統(tǒng)中存在我們不知道的新漏洞，無法通過簽名進(jìn)行防范，那又應(yīng)該怎么辦?

為此增加的一項(xiàng)新功能就是“錯(cuò)誤計(jì)數(shù)器”。在非法請(qǐng)求獲得批準(zhǔn)后，就會(huì)導(dǎo)致客戶出現(xiàn)錯(cuò)誤，這樣就可以記錄下來。如果發(fā)現(xiàn)錯(cuò)誤大量出現(xiàn)，就意味著系統(tǒng)中存在問題，現(xiàn)在要做的工作就變成了確認(rèn)并消除該漏洞。

我是異常行為尋找模式的鐵桿支持者，并且主張利用強(qiáng)大的工具來進(jìn)行此類工作。

技術(shù)部門往往缺乏人力和物力。如果需要對(duì)“傳統(tǒng)”工作流程進(jìn)行改進(jìn)的話，我們所需要的不僅僅是決心。因此，具體的改進(jìn)過程應(yīng)該如何得以實(shí)施?

常言道，選擇IBM產(chǎn)品永遠(yuǎn)都是正確的;這就意味著，沒有人會(huì)因?yàn)殚_展其它人已經(jīng)做過的工作而被解雇。因此，只要還在工作，人們就會(huì)擁有安全感。因此，問題的關(guān)鍵就在于員工們最關(guān)心的是自己飯碗的安全性，而并不在意需要保護(hù)數(shù)據(jù)的實(shí)際情況。

對(duì)于阿卡邁來說，試圖要做的一些事情就是讓安全人員意識(shí)到在本職工作中還存在一些“道德”方面的責(zé)任，這就是——為公司提供更好的安全保障。

如果員工所關(guān)心的僅僅是保住飯碗的話，就意味著公司針對(duì)技術(shù)團(tuán)隊(duì)采取的激勵(lì)措施是錯(cuò)誤的。這將是一項(xiàng)非常艱巨的任務(wù)。我們需要在安全社區(qū)內(nèi)開展大量培訓(xùn)，盡力幫助人們提高自身的認(rèn)識(shí)到下一階段。

我們與社區(qū)進(jìn)行合作，從現(xiàn)場(chǎng)到外部環(huán)境都被包括進(jìn)來，目的是幫助大家了解新模式。我們可以看到，越來越多的人開始意識(shí)到字面“安全”不是問題的終極目標(biāo)，我們需要考慮到新生事物。我對(duì)項(xiàng)目的進(jìn)展情況非常滿意。盡管目前我們并沒有到達(dá)預(yù)定目標(biāo)，但至少前進(jìn)的方向是正確的。

為了讓變革獲得催化劑，我們是否需要更大規(guī)模攻擊帶來的震撼?

我并不認(rèn)為人們已經(jīng)意識(shí)到變革的重要性。我認(rèn)為時(shí)間還不到——人們現(xiàn)在關(guān)心的僅僅是數(shù)據(jù)。這就是說，我認(rèn)為在下個(gè)月召開的黑帽安全大會(huì)上將會(huì)給出變革的催化劑。

對(duì)于目前尚未遷移到云中的公司來說，需要注意哪些方面的問題呢?

首要的工作就是搞明白希望在云中進(jìn)行具體工作的內(nèi)容。很多公司選擇遷移到云中，僅僅是因?yàn)檫@樣做很“酷”。不要讓這種倒果為因的情況出現(xiàn)。

對(duì)于遷移到云中給靈活性、成本節(jié)約和安全等方面帶來的變化，要擁有足夠的認(rèn)識(shí)。如果決定遷移到云中的話，公司就需要認(rèn)識(shí)到可以得到的好處有什么。然后，借此機(jī)會(huì)對(duì)基礎(chǔ)架構(gòu)重新進(jìn)行全面構(gòu)建，并僅僅將需要的部分遷移到云中。

另外，相對(duì)云基礎(chǔ)設(shè)施，我們還需要了解到如何利用到云服務(wù)帶來的優(yōu)勢(shì)。人們需要關(guān)注的，不僅僅是短期內(nèi)成本的節(jié)省情況，而且是如何通過遷移到云中讓企業(yè)變得更靈活，更強(qiáng)大。

云的安全狀態(tài)是否有了改善?

在基礎(chǔ)設(shè)施即服務(wù)領(lǐng)域，我認(rèn)為現(xiàn)有技術(shù)的進(jìn)展并沒有預(yù)計(jì)的那么快。他們正處于改善之中，我也看到了一些不錯(cuò)的跡象，但整體而言依然存在很多可以預(yù)見到的問題。其中的問題之一就是設(shè)施共用帶來的問題，如果一部分遭受攻擊的話，那么周圍的所有用戶都會(huì)受到影響。在人們引火燒身之前，我不認(rèn)為現(xiàn)實(shí)情況會(huì)有很大的變化。

在網(wǎng)絡(luò)空間領(lǐng)域，Salesforce.com之類的供應(yīng)商已經(jīng)意識(shí)到自身提供的價(jià)值所在，以及需要負(fù)責(zé)的安全保護(hù)措施。他們中的絕大部分都非常重視服務(wù)的質(zhì)量情況，尤其是那些針對(duì)企業(yè)級(jí)客戶的廠商。

在這方面，消費(fèi)者類型的服務(wù)還存在著很大的差距，造成這種情況的部分原因是用戶并不屬于真正的購買者。盡管消費(fèi)者已經(jīng)選擇并確認(rèn)了所有的許可協(xié)議，但這并沒有帶來任何權(quán)利。

從1997年加入信息安全行業(yè)以及此前在美國空軍從事信息方面的工作經(jīng)歷來看，你認(rèn)為技術(shù)領(lǐng)域的最大變化是什么?

最大的變化就是出現(xiàn)了互聯(lián)網(wǎng)。當(dāng)我們第一次意識(shí)到網(wǎng)絡(luò)屬于生活方式的時(shí)間，我認(rèn)為絕大部分人都沒有了解本質(zhì)所在。那時(shí)，它僅僅是一種工具，而不是生活方式，這就是最大的變化。

回到15年前，如果我們告訴其他人可以通過互聯(lián)網(wǎng)進(jìn)行員工培訓(xùn)以及上傳子女和寵物的照片，大家會(huì)打量你，并認(rèn)為遇到了瘋子。

實(shí)際上，從去年開始推特已經(jīng)讓某些國家的政府倒臺(tái)，這些情況我認(rèn)為任何人都無法預(yù)測(cè)到。我也覺得，對(duì)于安全方面的認(rèn)識(shí)，不論從哪個(gè)方面來看，我們都依然沒有抓住本質(zhì)。我也不認(rèn)為已經(jīng)把握到了本質(zhì)，這與隱私的關(guān)系也不大。原因就是，由于所有人都知道其它人的很多事情，所以，我們認(rèn)為的隱私級(jí)別是不存在的，純粹屬于虛構(gòu)的情況。

【編輯推薦】

1. 安全觀點(diǎn)：DDOS有待手術(shù)式清洗
2. Websense：締造落地生“花”的云安全
3. 新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御
4. 云安全的思考及展望