亚瑟·科维洛分析信息安全将要面临的挑战

     亚瑟.科维洛洞察信息安全环境、并分析首席信息官面对强大信息安全威胁时所应采取的措施

  Computerworld(计算机世界)的Siobhan Chapman 采访了EMC 公司执行副总裁兼RSA总裁亚瑟.科维洛, 谈话内容涉及到了企业信息所受的威胁、信息技术安全支出以及社交网络带来的日益增长的风险。

  手提电脑丢失后,因为人们没有事先对其采取任何防护措施而引起了数据泄漏,这样的事件在今年屡次发生。企业会从中吸取教训吗?

  这些年来,企业逐渐领悟到一个事实,那就是他们不能指望用户永远都能够正确地处理公司数据。用户们不可能在使用手提电脑、台式电脑和移动装置时,自始至终地贯彻公司安全政策。因为这一事实,企业转向使用数据丢失预防方法。这些方法无需用户介入,就能发挥作用。通过这一途径,公司安全政策在固定和移动的环境下得以贯彻,并且能够根据数据类型,帮助决定哪些行为是被允许的,哪些是被禁止的。通过这一途径,你可以决定什么是安全且被允许的,什么是危险,应该被阻止的,或者什么是有风险,需要发出系统管理员警告的。

  这一技术把掌控公司敏感信息的责任与义务交于安全专家的手中,而不再依赖终端用户。这一基础设施必须有能力对自身以及所通过的数据进行保护。你需要为所发生的问题付出上百万的代价,但是采取预防措施却无需分文。

  对于数据安全是否受到威胁以及可能造成的损失,公司是否应该采取更为开放的态度?

  事实上,许多公司目前无法对数据安全受侵犯的内容、发生的时间以及程度做出确切的判定。他们没有能力对产生于他们的网络、存储于该网络或流经该网络的所有数据进行全局性的浏览。企业是否能够把握数字爆炸这一契机并且全面正确地管理他们的数据,是一个主要且关键性的问题。我所希望看到的是,公司能够集中力量清除这一障碍,并且根据不同风险来治理他们的总体信息环境。

  黑客以及发送恶意代码等行为在这几年中变得越来越专业,我们如何赢得这场反毒斗争?

  这是一场持久战。更确切地说,这是一场装备竞赛,双方都在不断抗争,以领先于对手一步。令我感到自豪的是,RSA是这场装备竞赛的领导者之一,并且我们已经取得了一些重大的胜利。我们的斗争对象从早期那些为在同伴中显示自己而攻击电脑的脚本小子发展到现今拥有强大组织,利用先进技术来牟取经济利益的诈骗集团,这些年来我们所取得的稳定进步是有目共睹的。要赢得反毒战争,警惕性是关键,而教育以及培养“ 智能安全”意识也同样重要。我的意思是,我们应该停止强调与黑客作斗争、加强网络防线或是跨装备、跨时间对处于休息或运行状态的数据本身进行安全保护。毕竟数据是需要不断周转,并且经常被用来与第三方分享的。我们应该持续且有智慧地执行安全措施,使其与所需保护的信息带来的风险相匹配。最重要的是,安全措施是内在且持续存在的。

  根据您的观察,您的客户今年在哪些方面为信息技术安全作预算?

  我们发现,现今的客户只愿与少量的卖主接触,并希望这些卖主能够提供覆盖范围更广的安全产品,并就信息安全提供全面的解决方案。客户倾向于就信息基础设施中存在的风险因素做出投入。我们发现,客户在防止数据被盗,保护信用卡数据以及个人辨识信息方面所做出的投入有着显著增长。而在该方面,重要的管理以及数据丢失预防技术受到了特别青睐。在金融服务行业,管理风险以及保护网上交易(通过基于风险的鉴定)仍是人们关注的中心。而在一个网络中追踪以及分析所有安全信息,防止数据被盗,并按照监管法令提供关键记录和审计机制,这一能力正受到越来越多的关注。

  企业和消费者所面临的最大的信息技术安全威胁是什么?

  消费者和企业都面临着一个不断专业化的犯罪软件系统,它专攻那些包括金融机构职员和官员在内的易受攻击的群体。这一综合性、系统性、职业化的犯罪软件生态系统专攻社会工程,易受攻击的应用系统(比如新客户登记)以及易受攻击的渠道(比如电话银行)。和企业一样,网络罪犯同样采取“启动市场”战略,从最大最主要的市场(比如美国)开始进攻。我们可以看到日本的网上诈骗案数量不断上升,而筑巢于圣彼得堡市的恶意网上行为的数量也急剧增长。

  安全隐患是不是妨碍了电子商务的发展呢?

  根据Gartner去年夏天的报告,在2006年,大约50%的网上客户因为安全原因,改变了他们的网上行为,此外,大约70%的客户更加谨慎地提供敏感数据。RSA公司也注意到,消费者和企业出于安全考虑,退出了电子商务交易。 我认为,在某一程度上以上的变化是不可避免的。然而值得欣喜的是,某些企业在提高了安全措施后,在电子商务以及网上服务方面取得了积极的反馈。向客户显示你对他们的安全采取认真负责的态度,从而换来更多的使用率、信赖以及信心,这两者之间的相互联系是显而易见的。

  社交网络是一个热门现象。在您看来,这一现象是否会带来安全和身份盗取等风险?

  一定的风险必然存在,而这些网络成员应该保持警惕。人们可能会在社交网络上提供出生日期、地点、居住地或其它可能被他人利用的信息。想一想开一个银行账户所需要的信息,你的出生日期、地址以及社保号码(或其它同等效力的号码):有些人毫无迟疑地在他们的社交网主页上提供了以上三个号码中的两个。就我个人而言,我绝不会把我的生日登记在某个网站上,尤其是当我知道,能够保护我的只是一个静止不动的密码而已!

  RSA在2005年进行过一次街头访问,我们借做一个旅游调查之名,面对面地就以上类型的个人数据信息对人们进行提问。令人惊讶而又担心的是,他们当时把这些数据提供给了我们,而今天,他们自愿地把这些信息张贴在网站上!具有讽刺意义的是,这些信息是企业代表他们的客户所要极力保护的,此类信息一旦被泄漏,企业必须承担一定的后果。

  自EMC去年收购RSA以来,合并的进展如何?双方各自的客户对这一变化作何反应?

  这一合并为高科技行业的其它部门树立了榜样。自被收购之日起,RSA公司每一季度的增长率持续保持在百分之二十以上,而在合并之前,我们在过去的一年中,每一季度的平均增长率都低于百分之十。市场显然欢迎我们以信息为中心的安全战略,事实证明,信息安全是一个信息管理问题。我们共同的销售队伍紧密合作,发挥各自潜能,提高了在这一领域的盈利。双方在安全与存储之间进行强强联手、协力合作,而这一多层次的合并带来了可喜的销售盈利。  

  把RSA公司的功能性整合于EMC的产品与解决方案之中,显著提高了客户保护他们数据的能力。而当我们放眼未来,EMC与RSA正设计一个共同平台,使得重点安全技术能够被应用于各个方面。

  近些年来关于安全侵犯的种种关注帮助人们认识到了,信息安全与智能的信息管理是相辅相成的。此外,仅仅保护信息周边是不够的。信息不是静止的,无论信息转移到了何处,无论谁试图获取信息,你都必须对信息本身进行保护。RSA公司为EMC公司实现以信息为中心的安全目标提供了独一无二的技术支持。

  哪些发展趋势令您担心?

  网络犯罪正变得越来越有组织,越来越先进,他们正发展可以从多途径获取个人数据的技术,并把这些数据综合起来,形成一个可供挖掘的清晰的信息库。他们已把焦点从潜入内部转移到了开发易被攻击数据以及制造虚假身份之上。我所担心的是,这些今日集中于金融机构的进攻,正逐渐把重心转移到其它含有大量个人信息数据的行业(比如健康医疗)之上。此外,我还注意到,特洛伊木马以及中间人攻击的活动变得愈加频繁,它们越来越倾向于攻击那些较薄弱的联系点,比如客户注册。