赛门铁克公司CEO 2008年RSA大会谈信息安全

DoSTOR存储在线 4月25日报道–全球信息技术行业关注的2008RSA 信息安全技术大会,于4月8日在美国旧金山举行, RSA大会是每年各国信息安全技术同行和开发商研讨交流新技术、发布新产品和战略的最大规模活动。

赛门铁克公司全球CEO约翰. 汤普森(John W, Thompson)连续多年受邀成为RSA主要演讲人之一,他在此次大会上发表了题为"下一股浪潮–以信息为中心的安全"的演讲,并与公司安全技术和响应部门副总裁Steve Trilling进行了一段精彩对话,主要针对互联网安全威胁以及安全防护趋势,和赛门铁克公司最近发布的互联网安全威胁报告中的主要发现。现与您分享这段演讲的主要内容:

非常荣幸能够再次参加RSA大会。每一年,我都十分期待在此的演讲,因为这能够给我们一个机会对于现在所处的行业有进一步的沟通,了解我们的现状以及未来的方向。

掌握未来的方向对于任何行业来讲都至关重要。企业如果想要对未来五年进行规划,就必须要深入了解当前的趋势。

今年1月,我在华尔街日报上读到的一篇文章,颇有体会。这篇文章提到了我们很少想到的事情:通过列举过去作出的种种预测,探讨这些猜测成败得失。在这种情况下,华尔街日报重新提到了1998年硅谷的领军人物曾经对10年后做出的预测。

他们的预测大多是正确的,例如关于计算速度和互联网的覆盖范围。但是他们对于人们如何使用这些新兴技术的预测却失算了。

他们曾预测美国手机普及率将会由20%升至51%。而目前实际上已经达到84%。他们没有料到像印度这样的国家能够在高科技外包方面崛起。他们也曾认为,到2008年,个人支票将会成为主要的非现金支付方式,而事实上并非如此。

在我们对于这些专家的预测能力品头论足之前,我们现在首先应当探讨的是2008年最大的安全隐患。

我们现在看到的一些威胁很有可能会成为大家关注的焦点,这些威胁还会变得更加复杂和严重,并以单个计算机为目标,越来越多的攻击开始针对Java等新兴的平台,影响文件和电子数据表的新型宏观病毒也呈爆炸式增长。

对于未来十年的威胁状况,我们可能很难预测。尽管目前仍然存在许多风险,但是受关注的焦点已经发生了变化。安全之战已经不再围绕着基础架构,而是以信息为中心。毫无疑问,信息是我们最重要的资产。

当前的IT部门所处理的信息均已达到以十亿兆字节计算,而且这一数量每年也在成比例增长。我们身处一个广阔的开放世界,机密信息无处不在。

我们可以设想一下这样的一种情况–有些人认为每两个USB驱动中便有一个存储着机密信息;75%的企业知识产权能够通过电子邮件和其他信息应用方式直接或间接访问。

如同当前的人力资源分配一样,信息现在也呈现出分散和移动的特征。电子邮件、电子数据表以及即时信息这些缺乏组织性的信息形式使安全保护困难重重。随着软件即服务的持续增长,你会发现你的机密信息时常毫无机密可言。

在这个新的世界里,信息风险的确存在并且还在持续增长。

今天赛门铁克刚刚发布了最新的互联网安全威胁报告,并就这一问题进行了深入调查。

我想要邀请Steve Trilling与我一起来探讨这次的一些主要发现,Steve是我们安全技术和响应部门的副总裁,负责对于针对新兴威胁的研究。

John:能否告诉我们互联网安全威胁报告的数据来源是什么?

Steve:我们拥有几个全球最为全面的互联网威胁数据来源。例如,我们从已部署赛门铁克产品的1.2亿台计算机上收集恶意代码数据报告;我们在180多个国家和地区部署了4万多个传感器,并跟踪5万多个不同产品的漏洞。这些数据来源能切实帮助我们全方位把握全球互联网攻击活动。

John:今天我们讨论的是信息保护。我们现在掌握到的导致信息泄露的主要原因都有哪些?

Steve:排在第一位原因的就是计算机和存储介质的盗窃和丢失。例如某人可能将USB驱动遗落在飞机上,或者是存储机密数据的移动硬盘未经加密而失窃,这种原因导致的数据丢失占我们目前调查总量的57%。

企业信息丢失的另一个原因是由于缺乏适当的安全策略,即便是告诉员工不要随便将工作文件发到私人邮箱这样简单的事情也没有做到。

众所周知,我们过去一度都在讨论黑客和入侵攻击,这些问题现在仍然存在。因此,整体来看,我们认为只要具备适当的工具,大多数的丢失情况都是能够避免的。

John:恶意代码问题仍然是值得关注的问题吗?

Steve:是的,而且已经与过去的恶意代码有很大不同。例如,2007年下半年有70%的恶意代码能够窃取机密信息。这就意味着他们能够进行按键记录、抓取密码、偷取帐户信息,并将这些信息发送到远程攻击者。另外,有意思的是,我们首次发现每天开发出来的恶意软件要多于合法软件。

在我们进行的调查发现,65%的软件为恶意,而大多数威胁都会针对个人信息。

John:那么攻击者如何处理窃取来的数据?

Steve:事实上,目前已经有一个完整的地下交易体系用来售卖从互联网上窃取来的信息。这一体系具备经济的完整特征,他们拥有机制来宣传做广告影响潜在买家,还有专人负责进行现金传输,并且还有人能够通过窃取来的账户接受物品预定,的确十分复杂。

John:可以在这里买到什么样的数据?

Steve:这里出售的物品十分丰富。例如,在线拍卖帐户售价为8美元,电子邮件密码稍高一些,能卖到30美元。存储大量金钱的银行帐号甚至能够卖到1000美元。从反面来看,只要付出40美分就能够卖到你的信用卡帐号,当然他们能够刷爆你的信用卡的机会往往很小

John:我们都听说了很多传统金融数据失窃的案件,其它还有哪些类型的偷窃?

Steve:魔兽世界的在线游戏帐号是地下交易系统中另一个非常受欢迎的商品。这些帐号有时的价格能够达到信用卡帐号的100倍。谁能够想象高阶督军的荣誉套装会比你的白金信用卡还要值钱?

John:高阶督军的荣誉套装?

Steve:我认为这是用来杀小鬼的一种武器,所以你现在可以理解它为什么这么值钱。但是我们需要很严肃的认清一点,即便是在这样的虚拟世界,对于攻击者来说也能够真正的实现经济利益。

John:那么身份盗用方面的情况如何?

Steve:当然,2007年下半年,身份盗用在地下交易系统中最受欢迎的交易类型中排名第三。

全球有接近5千万人的身份在这段时间内暴露,相当于在这六个月中每秒钟暴露3个身份信息,的确令人难以置信。

John:那么,对于人们在线交易这些窃取来的信息,为何不能通过法律途径来关闭这些管道?

Steve:这对于法律执行来说并不容易。大多数交易都在公开聊天服务器上进行,而这些服务器的虚拟主机可以位于世界的任何角落,也就是说网络罪犯也可以存在于世界的任何角落。

因此,当相关负责部门发现这种类型的活动并将其关闭,这些网络罪犯只需换到其他服务器上的聊天室继续进行。

John:我们讨论了攻击者窃取并出售的数据。那么,哪些行业受到的影响较为严重?

Steve:我们确实对这一方面进行了调查。在这一阶段,教育行业是受影响最严重的行业,占数据泄漏总量的24%,其次是政府部门,占20%。

医疗和金融机构分别位居其后。有趣的是,尽管政府部门占数据泄漏总量的20%,却导致了60%的身份暴露。

我想与在座各位分享另一个数据。

根据非官方组织Privacy Rights Clearinghouse(隐私权情报交换所)的调查,数据泄漏在去年翻了三倍。从高端的数据泄露到我们从未听说过的小规模活动,每年都有上百万的用户受到影响。

我非常高兴的看到决策者现在已经意识到保护个人用户个人信息的重要性,但是我们真正需要的是联邦法律能够设定一个较高的标准来保护各地的用户,从而促使整个美国的业务开展更加顺畅。

无论是加强数据丢失防护以保护人们的隐私,还是将网络安全集成到保护关键基础架构的计划中,我们需要认清的是这些措施不应局限于一个州、一个国家、甚至是一个大陆。

这是一个全球性的问题,因此至少需要整个IT行业引起足够重视。这就是为何美国信息技术协会今天宣布将网络安全行业联盟纳入其中。

这一转变将会为网络安全行业联盟提供一个更广阔的平台,在关键公共政策事件获得更多的话语权,并且能够与政府和全球的主要股东共同协作。

我十分赞同此次的合并,因其势在必行。我们需要进行快速的转变,站在政策和技术的前端,保护广大用户的信息,因为现在,太多的企业正在泄露关键数据,并为此付出了大量的资金成本。

根据隐私与信息管理调查公司Ponemon Institute的调查,受感染的记录平均导致成本约为200美元。在法务以及公共关系方面,数据泄漏平均导致630万美元成本支出,甚至导致业务的丢失。

过去,我们的对策通常都十分简单:建立更高更强的防护。

但是现在,你却无法指望通过这种做法就能够成功。决策的制定取决于信息的访问。因此我们必须重新考虑安全部署。

我知道现在进行预测往往存在一定风险。但最后,我想要面对在座各位谈一下从现在起的10年后,我愿意来冒这个风险。

就我现在身处的行业,有些事情已经十分明朗:

  • 如果恶意软件持续增长并超过了合法软件的增长,白名单等技术将会作为关键技术而获得更多的采用。
  • 身份管理的重要性在不断提高。我们需要跨越企业环境的边界进行扩展,将全球的个人用户纳入其中。
  • 数字版权管理将开始成为现实。在这里,我并不是指音乐和视频,而是每日进出企业驱动业务的重要数字内容。

我们需要考虑如何利用当前的工具来设置正确的方法。我相信这要首先向从以信息为中心的安全视角出发进行根本性的转变。

我知道你们肯定要问,这句话是什么意思。

以信息为中心的安全是采用基于风险的方法来保护机密信息。随着存储数据每年增长50%,想要保护所有的信息需要付出大量的成本,而且效率极低。因此,我们需要保护的是关键信息,从源代码到用户信息及员工数据。

关键在于平衡风险与机遇,在于保护数据,无论是在静态还是动态或是在使用中。

我们已经看到以信息为中心端点安全初露端倪,但是首先你需要能够回答一些简单却十分重要的问题。

首先,我拥有哪些敏感信息?

其次,这些敏感信息存储于哪里?

最后,这些信息在网络和端点上是如何使用的?

一旦深入了解信息如何被使用,你便能够开始设置策略来降低这些风险。

当然,我并不是要给大家一本指导手册,让每个人都摆在首要的位置方便需要的时候查看。

这些策略只是要告诉企业如何使用信息,如何保护信息。

其中就包括为存储分级、归档和加密设置。例如,你可以规定员工只有在USB驱动经过加密后才能拷贝数据。或者你也可以规定员工不能用电子邮件发送机密信息。

策略之间的细微差别无穷无尽。但是始终保持不变的是这些策略必须与公司的利益相符。信息安全策略要与业务运营保持一致,从管理人力资源记录到合作伙伴信息以及用户数据。

因此我认为所有的企业负责人必须也参与到策略设置中,不仅仅是首席信息官,还要包括首席财务官、首席运营官等,包括企业上下所有的主管人员。毕竟,如果将安全作为业务的推动者,所有参与业务运营的人也都应当参与安全策略的设置。

除此之外,主管人员的参加对于推动安全文化也有至关重要的作用。

我最近刚刚拜访了纽约的一家主要银行,印象颇为深刻。在大厅,可以看到一张大幅海报,张贴了信息安全策略的要点。

这真是一个很棒的方法,能够让员工清楚的了解具体要求,并时刻牢记于心,每天都能体会每个人在扮演十分重要的角色。

这正是我们需要的:无论是企业信息还是个人信息,信息的价值在这样一个环境下得到充分认知, 并且所有的人都致力于保护信息。

如果这些策略用于保护和管理信息,那么技术就能够以巩固策略为目的而部署执行。

传统的安全解决方案仍然十分重要,包括防病毒软件、内容过滤、反垃圾邮件程序等。

但是,这些已经远远不够,我们需要能够保护信息,而无论信息位于何处。

这就要求安全和数据管理解决方案共同协作,并作为信息风险管理计划的组成部分。

几年前,我们曾设想,应对新型威胁的智能信息能够自动运行备份,就如同多普勒雷达能够告诉你风暴即将来袭,你必须关闭门窗,做好暴风雨来临前的准备。

不久之前,我们发布了ThreatCon全球安全预警系统,使这一设想成为现实,它集成了我们Backup Exec系列的产品,一旦达到预设的安全威胁标准便自动激活运行备份。

最近,我们在探讨如何能够在端点发现暴露的机密信息并自动将其转移到加密的存储位置。在这个位置,它会保留一个存根,就像存衣处会出具的票据一样,方便用户知道数据被转移到什么地方。

凭借我们最近收购Vontu而获得的数据丢失防护解决方案,我们现在能够帮助用户解决这一问题。

我知道,我不应该谈及我们的产品,但是我确实忍不住要推荐这些确实非常棒的产品。

当我看到我们为用户提供的产品,并与我们现在的状况,与整个行业进行比较,非常明显,我们在过去十年走了一段很长的路。

我们开始意识到信息的商业价值,我们也意识到安全和数据管理不可分割,都是以信息为中心的安全策略的核心。

但是,这还不够,我们需要将其提升到一个新的高度。

我相信今后五年到十年内,我们将进化到全面融合安全和信息的系统。随着我们帮助企业了解他们的内容、用户、网络设备,我们将会看到企业权责管理系统开始出现。

但是,为了实现这一目标,我们需要在内容认知上下足功夫。现在,我们已经打下基础,能够准确识别文件系统、数据库和台式机上的机密信息。

我们需要深入扩展这些功能到移动环境中。目前,我们能够查看企业网络中有哪些信息是来自于BlackBerry。但是,这其中仍然存在一定的缝隙,一个人能够使用BlackBerry通过其个人雅虎帐号发送机密数据 ,或下载到记忆卡中,但是你却无法查看也无法制止。

实现充分认知也能够使我们更多围绕在智能归档这一概念上。

对于信息归档,我们能够做出更加明智的决定,无论是要定期回顾磁盘上存储的信息,自动加密财务类等高度敏感性的信息,或是删除所有的垃圾邮件以及无用信息。

最后,这还能够帮助你只归档关键数据,节省快速增长的存储成本。

今后,提高对内容的认知将有助于提高以信息为中心的安全解决方案。

正如我刚刚提到的,对未来做出预测并不是件容易的事情。但是,能够了解未来是我们始终要努力的方向。

而且,当我展望未来的安全趋势,我们面前的道路还是相当明确的。

我们现在以及今后几年所需要的是覆盖更广的策略和解决方案,能够实现真正以信息为中心的安全部署。

最起码要做到:对于所要保护的数据必须也对其进行管理。

当然,仍然有些人没有看到这一未来趋势,因此仍然专注于保护网络,或是提供端点解决方案来抵御威胁。他们始终停留在过去的安全战场上。

企业真正需要进行的是展望未来,开启一段长期的旅程,使整个企业顺应以信息为中心的安全策略。

我知道这并不容易,这样的转变从来都要历经磨难。但是,现在是时候做出决定,如何让我们的企业向这一新目标迈进。

许多人在将IT与业务紧密结合上已经向前迈出了一大步。因此,IT已经对于企业的各个部门职能已经有了充分的了解。现在需要的是,利用你的专业知识为企业业务和合作伙伴提供可信赖的建议,向企业负责人讲解管理业务和信息的最佳策略。

这就要求你必须从更全面的角度来考虑整个过程,包括从策略开发到员工培训以及找出正确的技术解决方案。

最后,保护业务信息是每个人的职责,并不是只有IT部门。

这是所有人都要应对的挑战,这样才能使我们的业务脱颖而出,更加灵活,性能更高,并实现对互联世界的所有承诺。

通过共同协作,整个行业携手,我相信我们能够应对这一挑战。

谢谢大家。