萬眾矚目的RSA大會已經(jīng)開始，今年的主題是：偉大密碼(Great Cipher)勝于利劍。會議上，EMC公司執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席亞瑟·科維洛表示，此次在成都舉辦的RSA大會，他希望安全產(chǎn)業(yè)從諸葛亮的時代中，學會很多才智，打造全新的安全理念，并且重視合作與聯(lián)盟，推動安全產(chǎn)業(yè)的進一步發(fā)展。

[[93448]] 

亞瑟·科維洛的演講內(nèi)容非常具有中國特色，我們不妨來看看詳細內(nèi)容。

歡迎大家參加在中國舉辦的第三次RSA信息安全大會。

RSA及其母公司EMC，都很高興能夠參與并支持中國的經(jīng)濟發(fā)展，并且目睹全中國各地的均衡發(fā)展。這就是為什么去年EMC在成都新開設一家卓越研發(fā)中心，也是成都成為今年RSA信息安全大會舉辦地的原因。

漢朝滅亡后形成了魏蜀吳三足鼎立的局面，當時成都是蜀漢的一個部分，處于傳奇人物諸葛亮的英明領(lǐng)導之下。蜀漢在土地面積和資源方面的優(yōu)勢不是特別明顯，但天才諸葛亮認為，進攻是最好的防御。由于他設計修建的山口運用了卓越的工程技巧和智慧，整個山區(qū)防線很難被突破。他之所以被稱之為大師，不全是因為他對敵斗爭的巧妙計策，更多的是因為他足智多謀、埋伏設置得精妙。

在諸葛亮所在的時代，還可以找到很多類似之處，我們要向他學習的地方還有很多。

在過去十年間，作為一種無處不在的通信方式，互聯(lián)網(wǎng)逐漸盛行，隨之而來的是，數(shù)字內(nèi)容總量飆升，帶寬成倍增長，精明的用戶發(fā)現(xiàn)了移動設備和應用程序，各個機構(gòu)開放了自己的基礎(chǔ)設施，得到了很高的生產(chǎn)力。最重要的是，就像我們談到諸葛亮的智慧，就像官方機構(gòu)一樣，罪犯和黑客也在利用其可惡的優(yōu)勢。IT部門一直在很多無效控制的網(wǎng)絡邊界周圍建設安全的基礎(chǔ)設施。

這當然不能反映出諸葛亮的所有智慧。

但是，當我去年跟很多人，包括首席信息官、董事會成員談話時，大家都認為創(chuàng)建一個新的網(wǎng)絡安全模型意義重大。是怎樣一個安全模型呢？一個以智能為基礎(chǔ)且囊括許多組成部分的安全體系。首先從定性方面看，是對風險的透徹理解。其次是以技術(shù)為導向，利用基于模式識別和預測分析的靈活控制，并利用大數(shù)據(jù)分析，來解析從多種來源得到的數(shù)據(jù)，從而獲得及時可操作的信息。此外是對擁有可以操作系統(tǒng)的配套技能的人員的需求。最后，以智能為基礎(chǔ)的安全需要大規(guī)模的信息共享。

那么是什么原因阻礙了對該模型的采納？安全預算的慣性算一個原因。很長一段時間以來，各機構(gòu)會花費80%的預算在預防上，15%花在監(jiān)測和檢測上，還有5%花在響應上?，F(xiàn)在想想你自己的預算如何分配的。

這樣分配預算的問題是，絕大多數(shù)的費用仍然放在預防性的、基于網(wǎng)絡邊界的、靜態(tài)不靈活的技術(shù)上。即使是花在監(jiān)測上的費用，也比花在網(wǎng)絡入侵防御系統(tǒng)（IPS）上的要多，仍然屬于基于網(wǎng)絡邊界的技術(shù)。在這樣一個開放的時代，我們也能夠預料到成功的網(wǎng)絡入侵，即便相關(guān)的預算不可避免，我們必須轉(zhuǎn)移費用支出。在沒有重新平衡這項費用的情況下，轉(zhuǎn)移重心就會變得越來越困難，如果還沒有準備好，你就要具備及時發(fā)現(xiàn)網(wǎng)絡入侵的能力，以及快速響應的能力，以避免損失。

還有什么原因阻礙了采納該種安全模型？響應能力，不只是技術(shù)問題。我們都面臨著一個嚴重的技術(shù)短缺的困境。近期研究結(jié)果顯示，23%的企業(yè)承認他們的IT部門內(nèi)存在安全技能"短缺問題"。據(jù)我所見，其余的都在撒謊。據(jù)Frost＆Sullivan公司估計，2010年全球安全專業(yè)人員的數(shù)量為225萬人。到2015年，該數(shù)字將增長近一倍至425萬人。從哪里找這么多安全專業(yè)人員呢？

然后，還有什么問題呢？坦白地說，政府間的合作并不充分。美國和中國都制定了保護其知識產(chǎn)權(quán)以及和平使用網(wǎng)絡的相關(guān)政策，但作為世界上兩個最大的經(jīng)濟體，擁有最多的互聯(lián)網(wǎng)用戶，這兩個國家需要做更多工作把這些政策轉(zhuǎn)化為行動，從而引領(lǐng)世界其他國家和地區(qū)前行。

為什么沒有出現(xiàn)這種情況？接下來就是阻礙采用新安全模式的最后挑戰(zhàn)，缺乏了解。不只是政府，整個媒體、消費者和公共機構(gòu)和私人機構(gòu)都缺乏了解。

之所以存在這些力量阻礙對安全模式的采納，是因為安全模型不足以快速從基于網(wǎng)絡邊界的安全向基于智能的安全過渡，而且對手又變得更加復雜。

關(guān)于該做什么的困惑比比皆是，不管是復雜的機構(gòu)還是簡單的機構(gòu)，對此的困惑有增無減，多數(shù)是關(guān)于人員資質(zhì)問題。這是最可怕的是，大小不是問題。這里，我來舉個例子說明一下網(wǎng)絡安全成熟度的頻譜。從左到右，這四個區(qū)塊分別表示最不成熟到最成熟。

在控制這個類別中，還在采用最初級的方法，不能發(fā)現(xiàn)問題，或看得不夠遠。他們只想繞開問題。給我一個盒子或一個軟件，我設置完就沒事了。

我把這些稱之為蒙在鼓里的問題。如果他們沒有完全被攻破，他們不是一個僵尸網(wǎng)絡中的一個節(jié)點就很慶幸了。

在合規(guī)這一類中，機構(gòu)只想勾選一個框，告訴他們已經(jīng)合規(guī)。他們有嚴格的監(jiān)管體系，更關(guān)心的不是在做什么事情，而是關(guān)心形式問題。他們似乎并不了解的是，一個良好的治理模式，徹底了解風險和相關(guān)的減災能力，將把做正確的事擺在首位，合規(guī)只是一個副產(chǎn)品。

公平地說，他們通常是受到來自上級或監(jiān)管機構(gòu)的極大壓力。

在IT風險這一類中，組織了解威脅的危害，并采取正確步驟，以創(chuàng)建其安全基礎(chǔ)設施。這個類別僅稍稍落后于企業(yè)風險類別。

已經(jīng)達到商業(yè)風險類別的機構(gòu)成熟度水平最高，他們有機會改變商業(yè)模式，以最大程度地利用移動性和云，使其安全基礎(chǔ)設施協(xié)調(diào)一致。IT風險類別是戰(zhàn)術(shù)性的，商業(yè)風險類別則是最成熟、最集中、最具戰(zhàn)略性。

為什么你應該關(guān)心不斷擴大的差距？首先，不太成熟的類別不只是中小規(guī)模的組織。其中一些公司規(guī)模還相當大，這些公司可能是貴公司關(guān)鍵基礎(chǔ)設施的一個部分，或關(guān)乎貴國經(jīng)濟增長和健康的寶貴知識產(chǎn)權(quán)。這是一個老生常談，我們的強大程度取決于我們最薄弱的環(huán)節(jié)，我們前所未有的相互依存著。對我們其中一個的攻擊有可能成為對我們大家的攻擊。

這就是為什么我們必須按照諸葛亮的智慧來理解我們所處的環(huán)境。我們必須積極適應并作出相應改變。

因此，我建議：

首先，現(xiàn)在是時候推動基于智能的安全了。一開始我們就應理解，我們開展的風險評估，不僅僅是由內(nèi)而外，還會由外而內(nèi)。換句話說，現(xiàn)在不只是你需要保護什么，更重要的是你的對手如何出現(xiàn)在你面前。為了符合成本效益，我們需要從脆弱性、可能性和重要性的幾個方面來看待風險。然后，我們就可以重新評估預算，并平衡開支的優(yōu)先次序?？傊?，我們要一切從零開始，針對無效技術(shù)和沒有得到充分利用的技術(shù)縮減投資。幸運的是，最近由RSA委托進行的一項研究表明，各個組織開始克服其自身的預算慣性問題。現(xiàn)在的預算，70%用于預防、20%用于監(jiān)控，10%用于響應。我們正朝著正確的道路前進。最終，應對復雜的、有針對性的攻擊最好的防御，就是分層防御。分層防御并不是一系列孤立的控制。分層防御的重點必須放在對態(tài)勢感知、深入了解和環(huán)境敏捷的控制，以阻止、偵測和擊敗這類攻擊。

阻止、偵測和擊敗。在這個充滿高級攻擊的世界里，企業(yè)不僅需要平衡這三個要素之間的投資，還要改變針對三個要素的解決辦法。

在企業(yè)重新平衡的過程中，分層防御這個概念應該如何發(fā)揮出來？

阻止：我們都需要更加積極主動地進行防御。這里有兩個簡單的例子。

例如，我們要更加積極主動地使用數(shù)據(jù)丟失防護（DLP）的方法，來識別那些沒有受到足夠控制的敏感數(shù)據(jù)存儲，以及給最重要的系統(tǒng)和流程加標簽，從而給我們提供更多參考信息，來平衡投資，并探討未來攻擊（的防御問題）。雙因素認證具有很大的威懾力，但卻不能阻止零日劫持木馬。所以，必須通過增強風險分析，來識別異常行為。控制需要增加彼此的價值。

偵測層這段時間正在發(fā)生著最顯著的變化。如果你想知道"合規(guī)驅(qū)動"的組織與"風險驅(qū)動"的組織之間的區(qū)別，就看他們對待這個元素的態(tài)度。傳統(tǒng)上，利用諸如防火墻、IDS、IPS、防病毒等手段發(fā)出警報的組織，希望能收集深刻見解，而這些技術(shù)由于缺乏內(nèi)容和情境，根本無法偵測到異常情況。完全繞過這些防御措施的現(xiàn)代攻擊情境，不易被那些基于簽名的檢測機制所發(fā)現(xiàn)。重重偽裝，隱匿在合法流量之中，并且對露出的數(shù)據(jù)進行加密或混淆，從而逃避分類引擎。

在過去的幾個星期中，我們的高級威脅情報小組發(fā)現(xiàn)了一種新的黑客技術(shù)，我們稱之為"水坑"，主要是躲避防護嚴密的網(wǎng)絡邊界。這種攻擊依賴于針對特定地區(qū)的"木馬化"合法網(wǎng)站，攻擊者相信，他們希望滲透進入的組織的終端用戶會訪問其"木馬化"的網(wǎng)站。這些網(wǎng)站包括地方公共事業(yè)（水電）網(wǎng)站、市政網(wǎng)站、學校網(wǎng)站，類似沒有防御能力的小微組織。就像趴在水坑旁的一只獅子等待伏擊獵物一樣，這些木馬化的網(wǎng)站也在默默等待終端用戶使用這些日常業(yè)務的網(wǎng)站。在這些攻擊當中，受害者通常訪問的是一個受到感染的"水坑"網(wǎng)站，如銀行、學校、公用事業(yè)。受到感染的網(wǎng)站，通過插入JavaScript元素，把訪問的瀏覽器重定向到有漏洞的網(wǎng)站。這個有漏洞的網(wǎng)站檢查訪問的機器運行的Windows操作系統(tǒng)和Internet Explorer版本，然后利用Java客戶端訪問主機，從而安裝一個遠程訪問木馬或RAT。以前，RAT的變種被APT攻擊團體用于對目標網(wǎng)絡的內(nèi)部情況進行監(jiān)視，收集情報。在其他功能中，這種形式的惡意軟件能夠暗中操作受感染個人電腦的網(wǎng)絡攝像頭和麥克風。你的員工很容易把威脅帶入公司，并接入貴公司的網(wǎng)絡。有關(guān)網(wǎng)絡邊界防御的投資問題，我就講這么多。

要擊擊敗這些攻擊，企業(yè)需要利用新的先進監(jiān)測能力。他們需要具備的能力，不是簡單地檢查每個數(shù)據(jù)包的流量和每個相關(guān)的日志文件，而是要說得出這些數(shù)據(jù)的意義所在。他們要找到常用網(wǎng)站中的非標準流量。

" 流量中含有可疑附件或加密的有效載荷。

" 通常源于終端用戶端點的流量，來自服務器。

" 表面上看起來正常的流量，其目的地不尋常（可能在觀察名單上）。

一旦我們發(fā)現(xiàn)這些異常，我們需要具備實時挖掘問題和快速提問的能力。

" 是誰發(fā)送的這些異常？

" 我們在網(wǎng)絡環(huán)境中哪里還看到過這種異常情況？

" 與系統(tǒng)有何聯(lián)系？

" 我們在其他組織中看到過這種行為嗎？

我們回答這些問題的速度，取決于大數(shù)據(jù)分析的情況，以及我們戰(zhàn)勝自己的能力。除非我們有能力利用外部情報來源，對來源于組織內(nèi)部的大量數(shù)據(jù)流進行分析和關(guān)聯(lián)，否則，我們將無法產(chǎn)出具有可操作性的信息來關(guān)閉并挫敗攻擊。

不過，即使企業(yè)擁有了這些技術(shù)工具，還需要擁有合適的人才來使用。

因此，我不得不說，技能短缺的確是個問題。我相信，大多數(shù)企業(yè)都無法得到和留住足夠的合適人才。"合適"的人才是指接受過豐富教育和培訓，并在政府或行業(yè)的反詐騙機構(gòu)中任職的人員。換句話說，強調(diào)安全分析的能力，弱化傳統(tǒng)安全或IT基礎(chǔ)設施方面的能力。幸運的是，諸如清華大學、復旦大學、中國人民大學以及位于成都的大學，如四川大學、電子科技大學、成都理工大學，這些高校的本科和/或研究生課程可以輸送富有活力的青年人才。

但對于無法形成規(guī)模的企業(yè)來說，你會看到更為復雜的基于云的安全托管產(chǎn)品。我在這里說的不是傳統(tǒng)的托管式防火墻和VPN。我要說的是身份管理、高級事件響應和"安全分析中心"的服務。為什么呢？因為我們不得不保護私有云、混合云和公共云的安全。所以提供安全服務是一種自然進化。不過，云提供商和云安全提供商必須給企業(yè)展示并證明，他們的風險緩解政策和控制措施在合適的服務級別中卓有成效。

至于政府間合作，我的意見是：我要重申我前些年提出的倡議，即建立政府間、供應商以及用戶機構(gòu)間的生態(tài)系統(tǒng)，共同合作促進數(shù)字世界中建立更多信任.....促進貿(mào)易伙伴之間建立更多信任......無論是兩個國家或者僅僅是網(wǎng)絡交易的合同雙方。

過去我也說過，市場要想有效運作，必須互信合作，才能讓買家和賣家都能找到價值并共同努力，使各方都能有所收益并繁榮發(fā)展。

在全球經(jīng)濟相互依存的世界里，這也意味著，市場必須在相互尊重各自知識產(chǎn)權(quán)的基礎(chǔ)上運作。我認為要實現(xiàn)這個目標需要相當長一段時間。

世界經(jīng)濟太脆弱，不提前解決這個問題，風險極大。

為了推動美國在這些問題上取得進展，我建議奧巴馬總統(tǒng)任命一個兩黨委員會，以全面解決這些問題。在國際上，我建議聯(lián)合國擔負起這些問題，惠及所有國家。

我向聯(lián)合國提出的建議是，隨著我們數(shù)字社會的發(fā)展，我們必須制定相應的法律和規(guī)則，讓違反規(guī)則的人擔負相應的責任，且這些法則適用于物理世界和網(wǎng)絡世界。我還仍然關(guān)注，在一個大規(guī)模殺傷性武器絕不能落入恐怖分子手中的不穩(wěn)定世界中，我們還必須防止大規(guī)模殺傷性網(wǎng)絡武器的潛在擴散，這些網(wǎng)絡武器可能會破壞重要的基礎(chǔ)設施、金融系統(tǒng)和電子商務的電子網(wǎng)絡。

這就是為什么聯(lián)合國必須建立一個相當于網(wǎng)絡威脅不擴散條約的文件，以確保網(wǎng)絡世界的安全性和可靠性，這樣才能促進持續(xù)創(chuàng)新、合作與繁榮。

最后，我再次引用諸葛亮經(jīng)典名言："以眾待寡。"讓我們大家團結(jié)一致應對這一挑戰(zhàn)。

謝謝!