RSA2012美國(guó)大會(huì)結(jié)束以后，RSA總裁亞瑟.W.科維洛來(lái)到了中國(guó)北京，和幾家IT和行業(yè)類媒體進(jìn)行了一輪風(fēng)趣而睿智的訪談活動(dòng)。

[[64642]] 

RSA總裁亞瑟.W.科維洛

以下是現(xiàn)場(chǎng)的采訪實(shí)錄。

記者：我們注意到在RSA2012大會(huì)之后，很多公司都在推出移動(dòng)安全方面的產(chǎn)品和解決方案，RSA公司本身有沒(méi)有這方面的產(chǎn)品和解決方案即將推出？

亞瑟.科維洛：上周RSA正是對(duì)外發(fā)布了幾款針對(duì)移動(dòng)設(shè)備接入或者移動(dòng)接入的身份認(rèn)證產(chǎn)品。其實(shí)我們現(xiàn)在要做增值部分，盡管我們不能直接控制移動(dòng)設(shè)備本身，但我們要設(shè)置一種普遍性的控制?，F(xiàn)在有一個(gè)前提要說(shuō)清楚，現(xiàn)有的安全機(jī)制，是無(wú)法處理目前這種開(kāi)放式的設(shè)備、平臺(tái)、架構(gòu)安全。記得我跟你說(shuō)，2001年和2011年安全差別，2001年你使用殺毒軟件，只有一、兩千種病毒簽名在病毒庫(kù)中，如果2011年你的病毒簽名就太多了，數(shù)以百萬(wàn)計(jì)。每天你都會(huì)看到一些臨時(shí)攻擊，它可以繞過(guò)殺毒軟件的病毒簽名，他給你發(fā)一個(gè)釣魚(yú)郵件，直接繞過(guò)防火墻。所以我們說(shuō)傳統(tǒng)的安全，不管是是殺毒軟件還是其他的點(diǎn)式、外圍的安防產(chǎn)品，到目前階段，已經(jīng)不可能做到完全防范了。所以如果你的網(wǎng)絡(luò)被入侵了，不要覺(jué)得很驚奇。無(wú)論我們多么努力的去培訓(xùn)員工或消費(fèi)者，你們要注意防范，他們肯定會(huì)犯錯(cuò)誤，只要他們犯了錯(cuò)誤，黑客就會(huì)利用他們的錯(cuò)誤侵入，對(duì)此我們也不要有什么大驚小怪的。我們要接受一個(gè)現(xiàn)實(shí)，網(wǎng)絡(luò)會(huì)被攻破，但網(wǎng)絡(luò)被攻破不一定必然有損失，我們可以在防范損失方面做一些工作。我們必須接受一定的風(fēng)險(xiǎn)冗余度，這意味著我們要改變思維方式和行為方式。黑客利用的是自己掌握的信息和互聯(lián)網(wǎng)的速度，所以我們也跟黑客一樣，要挖掘現(xiàn)在擁有的數(shù)據(jù)中有價(jià)值的地方，讓它發(fā)揮作用。但是這樣做，不能依賴于原來(lái)那些屬于單點(diǎn)的安全。這個(gè)模型我在以前為大家做過(guò)介紹，為了找到問(wèn)題，執(zhí)行相應(yīng)的安全策略，我們要有一個(gè)控制層，控制層有好幾個(gè)控制點(diǎn)，ID、基礎(chǔ)設(shè)施數(shù)據(jù)、信息等等，通過(guò)這些找到問(wèn)題和執(zhí)行策略。在控制層，會(huì)有一些單點(diǎn)孤立產(chǎn)品，在這之上會(huì)有管理層，即控制面板管理層要去控制、管理單點(diǎn)安全產(chǎn)品。所以在管理層面上，它實(shí)際上就是一個(gè)控制面板，告訴你單點(diǎn)安全產(chǎn)品要做些什么，同時(shí)監(jiān)控單點(diǎn)運(yùn)行產(chǎn)品的狀態(tài)。我們經(jīng)常說(shuō)SOC（安全操作中心），這是它傳統(tǒng)的運(yùn)行架構(gòu)。但在這些架構(gòu)下的產(chǎn)品是獨(dú)自運(yùn)作，為我們提供的信息是非常少的。如果單點(diǎn)控制點(diǎn)之間各自為政，對(duì)我們來(lái)說(shuō)，無(wú)法從他們單個(gè)身上獲得足夠的智能，我們希望以智能為導(dǎo)向的安全。

以智能為導(dǎo)向的安全有三方面，基于風(fēng)險(xiǎn)、敏捷的、基于上下層的大背景。其實(shí)我們講基于風(fēng)險(xiǎn)已經(jīng)談了很長(zhǎng)時(shí)間了，但是我們并不認(rèn)為有什么安全公司有足夠的細(xì)致度，真正做到基于風(fēng)險(xiǎn)的安全。首先我們對(duì)風(fēng)險(xiǎn)要有全面、透徹的了解。我們要有更好的構(gòu)造，從而對(duì)IT技術(shù)設(shè)施獲得更高的可視性以及更好的管理它。所以不要像過(guò)去一樣，在漏洞上逐個(gè)加控制點(diǎn)，這樣做是沒(méi)有用的，我們要從風(fēng)險(xiǎn)做起，首先考慮什么，我們面臨什么樣的風(fēng)險(xiǎn)。那么我們?nèi)绾稳ダ斫饷媾R的風(fēng)險(xiǎn)呢？首先你要看到，在這個(gè)系統(tǒng)和環(huán)境中，都存在什么漏洞，這些漏洞各自比利用的概率有多大。所以不光是自內(nèi)向外，同時(shí)還要自外向內(nèi)理解風(fēng)險(xiǎn)。這是什么意思呢？我們?nèi)绾伪Ｗo(hù)自己是自內(nèi)而外的，從外到內(nèi)是指我們要考慮可能會(huì)有誰(shuí)，以什么樣的方式來(lái)攻擊我們。我在RSA大會(huì)上也引用了《孫子兵法》的一句話，知己知彼百戰(zhàn)不殆，用白話來(lái)說(shuō)，如果你看到遠(yuǎn)處樹(shù)在搖晃，你就知道敵人離我們不遠(yuǎn)了。一定要在遠(yuǎn)處觀察，才能了解敵人的動(dòng)態(tài)。所以我們要從風(fēng)險(xiǎn)開(kāi)始做安全，而不是從底層開(kāi)始做。如果管理風(fēng)險(xiǎn)，把風(fēng)險(xiǎn)最小化，我們有一套治理和合規(guī)的框架，幫我們管理風(fēng)險(xiǎn)，執(zhí)行風(fēng)險(xiǎn)策略。把風(fēng)險(xiǎn)做好，建立起治理合規(guī)框架，這方面的需求可以被匹配到管理層，我們要知道管理什么，從而提出要求。我并不是說(shuō)單點(diǎn)安全、單點(diǎn)控制不好，而是需要從它們身上挖掘、提取更多的智能，在這部分要去糟粕，留精華，有些地方不要了，但有些靈敏的基于風(fēng)險(xiǎn)的控制點(diǎn)，我們要保留。

什么叫做具有敏捷性的控制點(diǎn)呢？我給大家舉幾個(gè)例子。比如在ID方面，我們不光需要那些能夠辨別、判斷證書(shū)真?zhèn)蔚漠a(chǎn)品，安全產(chǎn)品還必須要對(duì)用戶的消費(fèi)能力做分析。這部分我隨后會(huì)有具體的介紹，基于風(fēng)險(xiǎn)的身份認(rèn)證就是這個(gè)意思。DLP（數(shù)據(jù)丟失防護(hù)）是另外一個(gè)可以給我們更多智能信息的控制點(diǎn)。DLP可以幫助我們做什么呢？我們要在現(xiàn)有的信息庫(kù)中發(fā)現(xiàn)有用的，并進(jìn)行歸類的數(shù)據(jù)?，F(xiàn)在我們?cè)诂F(xiàn)代汽車大廈，假設(shè)我是現(xiàn)代汽車的CIO，我要分析存在什么樣的風(fēng)險(xiǎn)，其中一個(gè)風(fēng)險(xiǎn)是汽車設(shè)計(jì)圖被別人偷竊或者丟失了，所以要把設(shè)計(jì)圖作為資產(chǎn)進(jìn)行管理，這時(shí)候我就會(huì)告訴DLP產(chǎn)品管理平臺(tái)需要做什么。控制臺(tái)面板就會(huì)給DLP產(chǎn)品發(fā)出請(qǐng)求，找到基礎(chǔ)設(shè)施中所有的技術(shù)圖，通過(guò)DLP程序，我們可以設(shè)定對(duì)技術(shù)圖的管理，比如說(shuō)技術(shù)圖在網(wǎng)絡(luò)傳輸?shù)穆窂绞鞘裁矗欠裨试S被打印、用電子郵件發(fā)出，用USB設(shè)備存儲(chǔ)，這些都可以作為安全策略由DLP執(zhí)行。同時(shí)在我們接觸的IT設(shè)施中還有持續(xù)監(jiān)控功能。我們看一下充滿著漏洞的“邊防”，別人從外部攻入是肯定會(huì)發(fā)生的一件事，這就像有賊會(huì)破門而入闖入你的房子，所以要在房間內(nèi)部安裝視頻監(jiān)控系統(tǒng)，一旦有人進(jìn)來(lái)，可以監(jiān)控情況。

那么如何很好的利用三種類型的控制點(diǎn)？目前通過(guò)SIEM（安全信息和事件管理）產(chǎn)品，把所有控制點(diǎn)日志信息匯總起來(lái)，可以說(shuō)SIEM這款產(chǎn)品，成功為SOC提供了增值，但并沒(méi)有為我們提供太多的背景信息。我舉一個(gè)例子，有的用戶提供有效證書(shū)接入基礎(chǔ)設(shè)施，同時(shí)基礎(chǔ)設(shè)施持續(xù)監(jiān)控通過(guò)配置管理器發(fā)現(xiàn)有一個(gè)服務(wù)器沒(méi)有及時(shí)打補(bǔ)丁，但你可能忽略了這樣的警告信息。同時(shí)你有一個(gè)DLP工具，它執(zhí)行的策略是只有為數(shù)不多的幾個(gè)用戶才有權(quán)限訪問(wèn)技術(shù)性數(shù)據(jù)。假設(shè)有一個(gè)銷售人員，接入網(wǎng)絡(luò)系統(tǒng)，提供了有效證書(shū)，沒(méi)有人覺(jué)得不正常。但這個(gè)銷售人員的問(wèn)題在于他用的電腦存在木馬，這個(gè)木馬叫做身份劫持，而我們的身份管理安全產(chǎn)品沒(méi)有控制木馬進(jìn)入的功能。我們希望身份管理產(chǎn)品，可以發(fā)現(xiàn)存在木馬的電腦正在試圖訪問(wèn)沒(méi)打補(bǔ)丁的服務(wù)器，做基礎(chǔ)設(shè)施持續(xù)監(jiān)控的產(chǎn)品，可以觀察到這個(gè)銷售人員其實(shí)跨越了自己的級(jí)別權(quán)限，他在訪問(wèn)自己無(wú)權(quán)訪問(wèn)的信息。接下來(lái)DLP產(chǎn)品可以告訴你，遭受非法訪問(wèn)的信息對(duì)企業(yè)來(lái)說(shuō)是非常有用的信息。如果只是單獨(dú)分析三個(gè)產(chǎn)品分別給你反映的情況，你搞不清楚狀況，不會(huì)覺(jué)得三者之間有任何關(guān)聯(lián)性。所以在第三個(gè)層次上，我們要匯總的不光是信息，我們希望可以把三個(gè)產(chǎn)品所反映的信息結(jié)合起來(lái)做分析。

這就是我們經(jīng)常在談的大數(shù)據(jù)問(wèn)題，我們?cè)诖髷?shù)據(jù)時(shí)代，能夠掌握企業(yè)大背景信息，獲得上下關(guān)聯(lián)的信息，只有通過(guò)信息匯總和分析，了解了背景情況，從而獲得那些我們需要快速采取行動(dòng)的信息。比如我們看到使用帶有劫持木馬電腦的銷售人員要非法訪問(wèn)對(duì)企業(yè)非常有價(jià)值的數(shù)據(jù)時(shí)，馬上把數(shù)據(jù)保護(hù)起來(lái)，進(jìn)行脫線。簡(jiǎn)而言之就是說(shuō)當(dāng)有人入侵到系統(tǒng)，我們可以把漏洞的時(shí)間窗口縮小，即使我們的網(wǎng)絡(luò)被入侵了，但可以把損失降到最低。但是這個(gè)框架、結(jié)構(gòu)還缺失了一部分，不光是IT系統(tǒng)本身的設(shè)施要挖掘信息，我們還要從外部獲取信息。我們需要更的信息或者說(shuō)智能共享。因?yàn)槲覀冃枰焖俚谋嫖鍪裁礃拥暮诳鸵允裁礃拥姆绞饺肭?。為了保證數(shù)字世界中的互相信任，我們就需要安全向這個(gè)方向演進(jìn)發(fā)展。其實(shí)我們談到未來(lái)的安全模式，它更關(guān)注的信息是人，而不是硬件、服務(wù)器、設(shè)備或移動(dòng)設(shè)備，這些是次要的。也就是說(shuō)我們需要一些傳感設(shè)備，從不同的設(shè)備中挖掘信息、匯總起來(lái)?？梢允强蛻舳说能浖?，比如IPHONE就可以成為身份識(shí)別的手段，首先我們知道這個(gè)IPHONE是萬(wàn)軍的，但這個(gè)手機(jī)出現(xiàn)了不符合尋常的情況，可能說(shuō)明這個(gè)手機(jī)現(xiàn)在并不是萬(wàn)軍在用。對(duì)于防惡意軟件的工具，也需要?jiǎng)?chuàng)新，不能像現(xiàn)在，依賴于病毒簽名。他們需要在未來(lái)，不依賴于軟件簽名的方式。我們說(shuō)三個(gè)點(diǎn)，基于風(fēng)險(xiǎn)我們說(shuō)過(guò)了，什么叫敏捷呢？安全產(chǎn)品和安全機(jī)制，可以掌握交易的模型，跟蹤信息的流量，快速做出判斷，這是敏捷性。而CONTEXTUAL是指把背景信息抓上來(lái)，匯總起來(lái)進(jìn)行分析。

#p#

記者：這張圖好象把RSA所有的產(chǎn)品線說(shuō)了一遍。

亞瑟.科維洛：你很有觀察力。我在談這個(gè)圖的時(shí)候，并不是在談RSA，而是談安全行業(yè)，在RSA安全大會(huì)上，我的主旨發(fā)言并不是作為RSA的代表，而是作為安全行業(yè)的代表來(lái)發(fā)言。如果我認(rèn)為整個(gè)安全行業(yè)都是這個(gè)大趨勢(shì)，RSA的戰(zhàn)略當(dāng)然也應(yīng)該是這樣的。既然RSA的戰(zhàn)略是這樣的，當(dāng)然RSA的產(chǎn)品就跟著戰(zhàn)略走。我跟客戶介紹RSA的時(shí)候，就是用這張圖，我不會(huì)從兜里拿出具體的產(chǎn)品，給他們看商標(biāo)、看產(chǎn)品。我會(huì)向他們解釋這張圖，問(wèn)他們你們同意我這個(gè)觀點(diǎn)嗎？你們是否認(rèn)為未來(lái)安全應(yīng)該這樣做。這些客戶都無(wú)一例外的同意這個(gè)觀點(diǎn)。您非常直接，他們同意了這個(gè)說(shuō)法，下一步我就把圖中填入RSA的產(chǎn)品，Archer、NetWitness、RSA基于風(fēng)險(xiǎn)的身份認(rèn)證，RSA的DLP產(chǎn)品，其實(shí)這些部分，有些客戶不用RSA的產(chǎn)品也沒(méi)問(wèn)題，因?yàn)槲覀兛梢栽谏蠈訉?shí)現(xiàn)異構(gòu)，把不同廠商產(chǎn)品形成的信息都抓上來(lái)。客戶經(jīng)常表?yè)P(yáng)RSA，說(shuō)RSA在安全領(lǐng)域是唯一一家對(duì)安全有全面、綜合考量的公司。而且我們也是唯一一家聚焦于治理和合規(guī)層次的安全廠商，也是唯一一家能夠提供全系列產(chǎn)品的安全廠商。

記者：最近RSA和Zscaler這家公司的合作為用戶提供了云計(jì)算的可信度，Zscaler有何過(guò)人之處？單靠RSA的解決方案不能為用戶提供可信登錄嗎？

亞瑟.科維洛：Zscaler是做云基礎(chǔ)設(shè)施控制點(diǎn)產(chǎn)品，而RSA不打算做這些。Zscaler不做身份管理也不做認(rèn)證，假設(shè)這里有一個(gè)員工想接入企業(yè)網(wǎng)絡(luò)，要通過(guò)Zscaler的產(chǎn)品，然后Zscaler對(duì)他們要進(jìn)行身份認(rèn)證，通過(guò)身份認(rèn)證后允許接入企業(yè)網(wǎng)，隨著一段時(shí)間過(guò)去，Zscaler有很多的信息，要把這些數(shù)據(jù)信息導(dǎo)入到治理可視層。所以我們宣布和Zscaler的合作，等于是一個(gè)結(jié)合。云架構(gòu)有三層，Zscaler是在底層基礎(chǔ)設(shè)施。

記者：看起來(lái)像IAAS？

亞瑟.科維洛：對(duì)。相當(dāng)于安全的IAAS。

記者：我們注意到您在RSA2011大會(huì)，2012大會(huì)都在呼吁聯(lián)合起來(lái)應(yīng)對(duì)黑客攻擊，但是防守方的合作，似乎不是那么有效，反倒是像Anonymous這樣的黑客組織跨行業(yè)、跨國(guó)界合作得不亦樂(lè)乎，您怎么看待這個(gè)問(wèn)題？

亞瑟.科維洛：還記得我在上層說(shuō)過(guò)要進(jìn)行情報(bào)共享？通過(guò)情報(bào)共享，關(guān)聯(lián)和分析引擎才能更好的運(yùn)作。目前確實(shí)當(dāng)你一談信息共享，基本上就意味著要失敗了。首先國(guó)與國(guó)之間存在敵對(duì)關(guān)系、公司之間的競(jìng)爭(zhēng)關(guān)系、不同的法律環(huán)境，比如說(shuō)隱私保護(hù)法，讓我們無(wú)法實(shí)現(xiàn)一些信息的共享。因?yàn)樯厦嫣岬降恼系K，自上而下的結(jié)構(gòu)搭建就有困難，很難實(shí)現(xiàn)信息共享。但是現(xiàn)在消費(fèi)者和員工在新技術(shù)的采納方面，不會(huì)再有耐心等企業(yè)，他們走在前頭了，這是從草根階層做起，所以企業(yè)自發(fā)組織進(jìn)行信息的分享。過(guò)去一年，我們發(fā)覺(jué)這個(gè)趨勢(shì)越來(lái)越明顯。事實(shí)上，在美國(guó)出現(xiàn)了一個(gè)信息分析共享委員會(huì)，這是分行業(yè)做的，他們做的是實(shí)時(shí)信息共享。但是還需要政府的幫助，要更好的保護(hù)我們，實(shí)際上希望修改相關(guān)的法律，國(guó)與國(guó)之間能夠合作，給我們提供更多的信息。這周前幾天我和澳大利亞的媒體在一起對(duì)話，我以盡可能禮貌、外交的語(yǔ)言指出，他們對(duì)某些問(wèn)題有些夸大其詞了，他們其實(shí)沒(méi)有看到真正的問(wèn)題所在，他們比較喜歡聳人聽(tīng)聞的東西。但不是所有的澳大利亞媒體都這樣，但是我們知道，西方國(guó)家像美國(guó)這樣的媒體，比較喜歡發(fā)布聳人聽(tīng)聞的信息。但其實(shí)這不怪他們，其實(shí)安全廠商有責(zé)任給他們提供更好的信息，做好自己的工作，避免爆炸性的新聞。我跟澳大利亞媒體說(shuō)，傳媒有責(zé)任，報(bào)道安全相關(guān)的題目，這樣可以敦促政府行動(dòng)。當(dāng)然不光是政府，企業(yè)的領(lǐng)導(dǎo)和CEO們也應(yīng)該了解目前的情況。像我們這些搞安全的企業(yè)，和記者如實(shí)溝通，把情況告訴你們，你們幫助我們把事情的原委報(bào)道給大眾，也許可以推動(dòng)業(yè)界更好的合作。從而讓政府修改相關(guān)的政策，從而幫助安全行業(yè)，其中一項(xiàng)非常重要的工作就是推動(dòng)、幫助我們實(shí)現(xiàn)信息共享。我非常希望國(guó)與國(guó)之間能夠有這樣一個(gè)信息共享的機(jī)制。

記者：我是行業(yè)媒體，比較側(cè)重于訪問(wèn)行業(yè)用戶的聲音。我們今年對(duì)電子銀行做了系列訪問(wèn)，電子營(yíng)業(yè)部老板目前都在考慮電子銀行的安全問(wèn)題，現(xiàn)在他們一方面是內(nèi)部升級(jí)電子證書(shū)，有些大銀行，像建設(shè)銀行建立了電子銀行風(fēng)險(xiǎn)監(jiān)控平臺(tái)，通過(guò)一系列的手段降低風(fēng)險(xiǎn)，一旦風(fēng)險(xiǎn)發(fā)生后，他們會(huì)和監(jiān)管部門、公安部門合作。在這樣的大背景下，RSA公司如何深入與這些銀行合作？我們知道，現(xiàn)在銀行對(duì)安全公司特別是國(guó)外的安全公司很愛(ài)，但又不敢太愛(ài)，有時(shí)候不得已只能自己去建立風(fēng)險(xiǎn)監(jiān)控平臺(tái)。

亞瑟.科維洛：在過(guò)去六年中，RSA專注的就是交易監(jiān)控和設(shè)備安全。在世界各大州，除了南極，有6000家銀行使用我們的產(chǎn)品。所以每天由RSA保護(hù)的帳戶數(shù)量達(dá)到了3億多?，F(xiàn)在我們這項(xiàng)技術(shù)大舉進(jìn)入印度，有了印度市場(chǎng)，用戶數(shù)至少還要再增加1億。除了設(shè)備識(shí)別、行為識(shí)別技術(shù)之外，我們還有一個(gè)防電子欺詐網(wǎng)絡(luò)。事實(shí)上我們不需要銀行主動(dòng)跟我們分享信息，我們可以把這些信息推給銀行。比如烏克蘭有一個(gè)攻擊事件發(fā)生，我們掌握了它的IP地址，同樣的IP地址攻擊了蘇格蘭皇家銀行，當(dāng)入侵事件發(fā)生后，很短的時(shí)間內(nèi)，澳大利亞的銀行就會(huì)知道這個(gè)IP地址是不可信的。我們?nèi)蛴?000家銀行就可以想到我們的防欺詐系統(tǒng)多么有力，美國(guó)75%的銀行受到這項(xiàng)技術(shù)的保護(hù)?，F(xiàn)在我們正在中國(guó)提供這樣的技術(shù)。銀行可以有自己的措施和戰(zhàn)略，但至少根據(jù)我最新的信息，銀行業(yè)好、金融服務(wù)機(jī)構(gòu)也好都不是專業(yè)做安全的，而RSA是做安全的，我們一直準(zhǔn)備好為他們服務(wù)。

記者：可是他們不敢接受。

亞瑟.科維洛：我最喜歡的一句話是鄧小平說(shuō)的“無(wú)論黑貓白貓，能抓老鼠的貓就是好貓?！编囆∑绞欠浅Ｃ髦堑念I(lǐng)導(dǎo)。

記者：除了建行已建了自己的監(jiān)控平臺(tái)，其他銀行也在跟進(jìn)。

Andy：也有跟我們合作的銀行。

亞瑟.科維洛：這些中國(guó)銀行其實(shí)可以考慮一下，RSA在全球有6000家銀行，而且有過(guò)去6年的經(jīng)驗(yàn)，他們借用我們的平臺(tái)，可以有進(jìn)一步優(yōu)化效果。

記者：作為媒體我們?cè)敢獍押玫臇|西拿過(guò)來(lái)，只要這個(gè)信息可以得到保密，我們?cè)敢夤蚕硇畔ⅰ?/p>

Andy：這里做的安全和以前做的密碼安全是不一樣的，你可以把它看成某種應(yīng)用程序，這種應(yīng)用程序掌握了全球黑客的行為，所有的控制還是掌握在銀行手中，所以中方不用去擔(dān)憂數(shù)據(jù)外泄或者說(shuō)解決方案中會(huì)安裝后門，讓外國(guó)人看到。

亞瑟.科維洛：雖然是RSA的產(chǎn)品，但拿給用戶了，RSA就不知道里面有什么信息。

Andy：這就像中國(guó)使用了很多外國(guó)路由器一樣的道理。

記者：我記得以前看過(guò)一個(gè)電影《國(guó)家公敵》，里面有一句經(jīng)典的話“你用的高科技產(chǎn)品越多，你的眼睛就越小?！碧O(píng)果在發(fā)展的時(shí)候，走了反向路徑，系統(tǒng)逐漸收縮封閉。目前看蘋(píng)果的產(chǎn)品比其他產(chǎn)品的安全性更好一點(diǎn)，這種趨勢(shì)是否會(huì)改變今后信息安全發(fā)展的趨勢(shì)和路徑？

亞瑟.科維洛：其實(shí)直到幾年前蘋(píng)果的平臺(tái)并不是一個(gè)企業(yè)級(jí)的平臺(tái)。99%的企業(yè)使用的電腦還是Windows平臺(tái)，所以你如果是黑客，會(huì)選擇掌握哪種技巧攻擊哪種平臺(tái)呢？事實(shí)上蘋(píng)果確實(shí)是專有平臺(tái)，但一旦黑客感覺(jué)有利可圖，會(huì)找到攻入系統(tǒng)的方式。做安全行業(yè)的人有一句行話“只要默默無(wú)聞就能安全?！睒?shù)大才能招風(fēng)，不出名就安全了?，F(xiàn)在蘋(píng)果絕對(duì)不再是默默無(wú)聞的了，原來(lái)用MAC電腦的人都是做平面設(shè)計(jì)的發(fā)燒友，現(xiàn)在已經(jīng)不是這樣了。像安卓這樣的平臺(tái)，因?yàn)殚_(kāi)放，更易受到攻擊，但絕對(duì)不存在百分之百安全的東西。不管蘋(píng)果的系統(tǒng)多么封閉，不可避免的是蘋(píng)果設(shè)備會(huì)受到越來(lái)越多的攻擊。你看過(guò)《侏羅紀(jì)公園》，說(shuō)侏羅紀(jì)公園有完善的物理防范體系，說(shuō)恐龍肯定跑不出來(lái)，結(jié)果呢？

記者：亞瑟?jiǎng)倓偖?huà)了產(chǎn)品圖，我可不可以把這個(gè)圖理解為這是一個(gè)神經(jīng)中樞，可以植入電腦。

亞瑟.科維洛：你干脆把它叫做大腦吧。

記者：基于風(fēng)險(xiǎn)又可以動(dòng)態(tài)分析風(fēng)險(xiǎn)的系統(tǒng)，您預(yù)計(jì)什么時(shí)候可以普及？

亞瑟.科維洛：這個(gè)問(wèn)題問(wèn)得特別好。跟客戶在一起的時(shí)候，他們說(shuō)最上層看上去很美，他們喜歡這部分，然后客戶又問(wèn)了，這么好的東西，執(zhí)行起來(lái)有點(diǎn)復(fù)雜。但我想問(wèn)一下，你們覺(jué)得中層和下層做得怎么樣呢？有的基于控制點(diǎn)的系統(tǒng)，現(xiàn)在產(chǎn)生大量的數(shù)據(jù)和信息。信息量太大了，以至于不知道到底根據(jù)哪個(gè)信息采取行動(dòng)。而最上層這個(gè)環(huán)節(jié)不是一蹴而就的，有人可能已經(jīng)使用了SIEM，再加一個(gè)持續(xù)監(jiān)控部分，我們覺(jué)得要止損，非常重要的手段就是安裝視頻監(jiān)控。而打造關(guān)聯(lián)分析引擎需要做很多工作。基本上一開(kāi)始我們第一步要做的，這個(gè)引擎分析的是視頻傳的數(shù)據(jù)信息還有SIEM提供的分析信息，其實(shí)這個(gè)引擎隨著你不斷運(yùn)轉(zhuǎn)，時(shí)間越長(zhǎng)，具有的智能性越強(qiáng)，就可以從中獲得更多的信息，然后運(yùn)轉(zhuǎn)和反應(yīng)就會(huì)更加敏捷。GRC（治理、風(fēng)險(xiǎn)與合規(guī)）部分其實(shí)是調(diào)控部分，可以更有效的進(jìn)行綜合管理。所以我堅(jiān)信，在上層部分，你投的錢越多，在中下層節(jié)約的錢就越多。所以我對(duì)客戶的建議盡快轉(zhuǎn)向這個(gè)模型，因?yàn)镾OC架構(gòu)，沒(méi)有彈性，現(xiàn)在越來(lái)越維持不下去了，快要崩潰了。我們有一個(gè)做SOC的客戶，他們說(shuō)我們的SOC系統(tǒng)很好，但是你說(shuō)的視頻監(jiān)控系統(tǒng)很好，所以我們要做POC驗(yàn)證。結(jié)果他們做POC的時(shí)候，發(fā)覺(jué)現(xiàn)有的基礎(chǔ)設(shè)施里，經(jīng)常出現(xiàn)而且持續(xù)有知識(shí)產(chǎn)權(quán)被竊取。因?yàn)镮P失竊了，但靠SOC的單點(diǎn)信息，捕捉不到失竊信息。如何設(shè)置新的控制點(diǎn)？如果出現(xiàn)了新的攻擊性質(zhì)，立即設(shè)置新的防護(hù)形式去覆蓋它。我們不可能對(duì)每個(gè)個(gè)體攻擊都做到防患于未然，但是我們要做的是給系統(tǒng)安上眼睛，這個(gè)系統(tǒng)能看到所有發(fā)起的攻擊，盡快的采取止損行為。

記者：去年年底的時(shí)候，中國(guó)天涯、人人出現(xiàn)客戶信息丟失情況，而很多客戶信息丟失有一小部分伴隨著帳號(hào)丟失，現(xiàn)金竊取。但大部分人信息丟失后，只是個(gè)人信息泄露，并沒(méi)有造成太大的損害。這種情況在2011年達(dá)到了頂峰，互聯(lián)網(wǎng)安全那么嚴(yán)峻，每一個(gè)網(wǎng)民個(gè)體沒(méi)辦法維護(hù)自己的利益，案件發(fā)生后沒(méi)有原告，出現(xiàn)這樣的情況如何解決？

亞瑟.科維洛：我們對(duì)這種問(wèn)題已經(jīng)了解得太多了，每天報(bào)紙上都會(huì)有關(guān)于網(wǎng)絡(luò)犯罪的報(bào)道，現(xiàn)在我們要采取行動(dòng)了。就像消費(fèi)者個(gè)人，中國(guó)的網(wǎng)民看了報(bào)道后，但沒(méi)有辦法。當(dāng)然我們可以跟他們說(shuō)，你們上網(wǎng)的時(shí)候要有一些注意，可能會(huì)有一定的幫助。但是我認(rèn)為和消費(fèi)者對(duì)口的組織、機(jī)構(gòu)應(yīng)該保護(hù)網(wǎng)民。政府也有義務(wù)，他們應(yīng)該做更多的工作保護(hù)自己的公民。我覺(jué)得網(wǎng)絡(luò)犯罪，我們應(yīng)該找到一種更行之有效的方法對(duì)其進(jìn)行懲戒。所以回到剛剛呼吁的那件事，國(guó)家要修訂法律，制訂適當(dāng)?shù)恼?，攜手合作，推動(dòng)信息分享，讓相關(guān)機(jī)構(gòu)可以對(duì)消費(fèi)者和網(wǎng)民進(jìn)行保護(hù)。事實(shí)上，在數(shù)字世界，這種信任已經(jīng)受到極大的傷害，所以我們需要采取措施重新建立這種信任。我覺(jué)得我們應(yīng)該充分利用技術(shù)已經(jīng)具備的能力，不能倒退，必須做得更好。RSA是非常希望能夠幫助到中國(guó)人民和中國(guó)的企業(yè)，而且我們有很強(qiáng)的能力這樣做。

記者：我之前做技術(shù)的時(shí)用RSA的Token，每分鐘變一次，后來(lái)其他公司出的產(chǎn)品半分鐘變一次，就這個(gè)問(wèn)題我們?cè)谖⒉?zhēng)論得很激烈，現(xiàn)在需要您給評(píng)評(píng)理。

亞瑟.科維洛：問(wèn)題是每30秒變一次，你都來(lái)不及輸入。

Andy：其實(shí)我們?cè)谙愀凼峭?0秒的Token。

亞瑟.科維洛：有中間人和瀏覽器的攻擊形式。以時(shí)間為技術(shù)的東西比以事件為基礎(chǔ)的令牌要困難一點(diǎn)。其實(shí)做Token時(shí)間的長(zhǎng)度和安全與否并沒(méi)有直接的聯(lián)系，我們?cè)谙愀圪u30秒token，因?yàn)橄愀壅枰@樣做。如果你用令牌，人家用木馬，還是可以插進(jìn)來(lái)，所以令牌時(shí)間不是問(wèn)題，它在前端，我們說(shuō)的RISK的方法是在后端。分析行為模式的風(fēng)險(xiǎn)來(lái)判斷這個(gè)行為是否正當(dāng)，所有的國(guó)際廠商都是這樣的。