為了確保建立的應(yīng)用環(huán)境更為安全，保證公司發(fā)展和員工心態(tài)不受到影響是非常重要的;但是，對于大部分安全人員來說，更關(guān)心的現(xiàn)實問題是自己的飯碗會不會受到影響。

在與安全社區(qū)成員進行交流的時間，阿卡邁技術(shù)公司首席安全官安迪·埃利斯與大家分享了作為內(nèi)容網(wǎng)絡(luò)供應(yīng)商是如何對信息工作流程進行重建的體會。并且，按照他的觀點，這項工作也帶來了積極的最終成果。

在接受ZDNet的采訪時，埃利斯解釋說：提高安全性的完美措施就是尋找異常行為，并且將此功能作為系統(tǒng)的必備選項，這樣的話，錯誤在萌芽階段就可以被發(fā)現(xiàn)。

他指出，盡管使用數(shù)字簽名和查找系統(tǒng)漏洞屬于很有價值的工作，但問題的關(guān)鍵是僅僅依靠這些方法，是無法為公司整體安全提供足夠保障的。

他還認為，自從1997年開始從事信息安全領(lǐng)域方面的工作以來，互聯(lián)網(wǎng)的出現(xiàn)屬于技術(shù)世界中發(fā)生的最顯著變化。

問題：從去年開始，分布式拒絕服務(wù)(DDoS)成為公眾關(guān)注的重點。而現(xiàn)在，黑客攻擊行為變得極為普遍，大家都見怪不怪不再感到意外了。對于安全領(lǐng)域過去一段時間內(nèi)的變化，你認為應(yīng)該如何形容?

我們所面臨的是大規(guī)模攻擊暴漲的現(xiàn)實情景。在2005年到2009年的時間，這種現(xiàn)象并沒有表露出來;盡管偶爾也會有黑客出現(xiàn)，但很快就會被解決掉。固然也存在拒絕服務(wù)(DoS)攻擊，但出現(xiàn)的次數(shù)并不多，也很快就被清除掉。

這次大規(guī)模攻擊暴漲風(fēng)潮的起點是2009年7月4日，在2010年第4季度的時間數(shù)量達到了頂峰。在該季度中，我們遭遇的攻擊數(shù)量比前一年的總和還多，主要表現(xiàn)為利用撥號服務(wù)攻擊中型電子零售商和電子商務(wù)網(wǎng)站。當(dāng)匿名者團隊的報復(fù)行動成為頭條新聞后，被稱作魯茲安全的黑客集團就開始對公司安全網(wǎng)絡(luò)展開了攻擊。作為”反機密“聯(lián)盟的成員，他們利用“谷歌黑客技術(shù)”來攻擊公司網(wǎng)站。在針對索尼的攻擊中，某些成員就可能來自魯茲安全和著名游戲站黑客，并試圖從中獲取額外價值......他們試圖證明一個觀點。

這樣，就導(dǎo)致公眾看到了“從成功走向成功”的黑客攻擊上升趨勢。盡管今年的官方數(shù)字還沒有公布，但我們相信呈現(xiàn)出增長趨勢的情況不會變化。由于很多攻擊都與追逐利益無關(guān)，所以，目前的重點工作應(yīng)該找出實際動機以及可能帶來的影響。

攻擊的發(fā)展也展示出僵尸網(wǎng)絡(luò)的增長趨勢，這與寬帶服務(wù)的應(yīng)用和普及有著很大的關(guān)系。導(dǎo)致這種情況出現(xiàn)的重要原因之一就是，用戶并沒有獲得足夠的安全保護措施。我們認為攻擊者重點關(guān)注的是擁有完善寬帶基礎(chǔ)設(shè)施的國家。舉例來說，每戶都擁有1Gbps寬帶連接的新加坡就是僵尸網(wǎng)絡(luò)非常喜歡的一處發(fā)展基地。因此，我們將會發(fā)現(xiàn)越來越多的僵尸網(wǎng)絡(luò)通過特定語言入侵到用戶系統(tǒng)中的情況。

對于利用網(wǎng)絡(luò)釣魚或者被破壞的網(wǎng)絡(luò)服務(wù)器發(fā)送URL的攻擊模式來說，具體實施過程是這樣的;僵尸主控機可以選擇位于葡萄牙的計算機進行入侵，這與針對沒有受到良好保護的巴西系統(tǒng)所做的工作沒有什么不一樣。不過，如果發(fā)現(xiàn)目標運行的是英語系統(tǒng)，攻擊者可能就會選擇回避，以防止安全研究人員利用“英語”計算機系統(tǒng)來獲得自身的詳細信息。

此外，針對移動設(shè)備的攻擊也呈現(xiàn)出繼續(xù)增長的趨勢。在人們看到移動攻擊出現(xiàn)增長趨勢時，會以為犯罪分子破壞的是智能手機。但實際上，真正受到攻擊的是利用USB記憶棒或智能手機上的無線熱點連接到移動寬帶上的筆記本計算機。

你是否認為現(xiàn)行安全架構(gòu)應(yīng)該被推倒重來?

確實是這樣。對于大部分用戶來說，在考慮到安全問題時，關(guān)注的重點依然是清單和前人獲得的經(jīng)驗。因此，只要建立了清單，大家就會認為任務(wù)已經(jīng)完成。但反過來看的話，我們會發(fā)現(xiàn)清單中包含的內(nèi)容必定是落后于實際環(huán)境和當(dāng)前攻擊的情況。

并且，在公司選擇將系統(tǒng)遷移到云中后，這將成為一個非常棘手的問題。所有系統(tǒng)都變成了其它人數(shù)據(jù)中心里的虛擬機，有些安全控制措施會變得不再適用甚至無法在網(wǎng)絡(luò)層實施。

此外，在云模式下，我們不再能夠利用防火墻將應(yīng)用環(huán)境與外界隔離。因此，在建立基礎(chǔ)架構(gòu)之前，我們就需要把安全方面的需求考慮進去，讓其成為系統(tǒng)整體的必備部分，并且在分層模型中，提供必須的控制和安全功能。

盡管這將會是一項非常艱巨的任務(wù)，但我不認為它屬于無法完成的;實際上，解決問題的關(guān)鍵是讓大家從清單模式中走出來。它可以為我們提供一些幫助，但卻無法完成全面保護的需要。

同樣，日志審核也屬于無法完成的工作?

按照正式要求，每天我們都需要對日志文件進行至少一次審核。但大家覺得這一要求真的能被完成么?

在明白為什么必須這么做的真正原因之前，人們并不喜歡對安全方面的需求進行審核。問題的關(guān)鍵就是，為什么應(yīng)該查看當(dāng)天的日志?打開日志文件，尋找可疑行為;如果這么做了，會被當(dāng)作現(xiàn)有工作的組成部分么?

對于云環(huán)境來說，數(shù)據(jù)流量將變得無比巨大，依靠人力審核日志文件已經(jīng)成為不可能完成的任務(wù)。沒有人可以坐下來對日志文件進行如此長時間的審核，并從中找出發(fā)生的異常行為。我們必須使用軟件來完成相應(yīng)工作。人力已經(jīng)無法做到這一點，這也是我們鼓勵客戶來使用工具的原因之一。

我們需要仔細考慮到的問題包括了，依靠當(dāng)前使用的技術(shù)能夠獲得什么樣的安全保護，以及選擇這種技術(shù)的原因，還有預(yù)定目標在什么地方以及在現(xiàn)實世界中如何實現(xiàn)。

關(guān)于增強簽名和查找漏洞的談?wù)撘呀?jīng)有很多了。這里是否存在一種更好的模式?

我們必須同時做兩件事情——尋找新技術(shù)和修復(fù)現(xiàn)有漏洞。我個人真正喜歡的工作是尋找異常行為。我們正在盡力修復(fù)漏洞，讓簽名功能更強大，但真正應(yīng)該做的事情是尋找一些獨特的技術(shù)。在這里，典型的例子就是基于軟件即服務(wù)模式的網(wǎng)絡(luò)應(yīng)用防火墻，它包含了大量的數(shù)字簽名，可以用于漏洞保護工作。

這里問題的關(guān)鍵依然是數(shù)字簽名本身。我們可以做到非常完善;但對于新類型的攻擊來說，情況就完全不同了。如果系統(tǒng)中存在我們不知道的新漏洞，無法通過簽名進行防范，那又應(yīng)該怎么辦?

為此增加的一項新功能就是“錯誤計數(shù)器”。在非法請求獲得批準后，就會導(dǎo)致客戶出現(xiàn)錯誤，這樣就可以記錄下來。如果發(fā)現(xiàn)錯誤大量出現(xiàn)，就意味著系統(tǒng)中存在問題，現(xiàn)在要做的工作就變成了確認并消除該漏洞。

我是異常行為尋找模式的鐵桿支持者，并且主張利用強大的工具來進行此類工作。

技術(shù)部門往往缺乏人力和物力。如果需要對“傳統(tǒng)”工作流程進行改進的話，我們所需要的不僅僅是決心。因此，具體的改進過程應(yīng)該如何得以實施?

常言道，選擇IBM產(chǎn)品永遠都是正確的;這就意味著，沒有人會因為開展其它人已經(jīng)做過的工作而被解雇。因此，只要還在工作，人們就會擁有安全感。因此，問題的關(guān)鍵就在于員工們最關(guān)心的是自己飯碗的安全性，而并不在意需要保護數(shù)據(jù)的實際情況。

對于阿卡邁來說，試圖要做的一些事情就是讓安全人員意識到在本職工作中還存在一些“道德”方面的責(zé)任，這就是——為公司提供更好的安全保障。

如果員工所關(guān)心的僅僅是保住飯碗的話，就意味著公司針對技術(shù)團隊采取的激勵措施是錯誤的。這將是一項非常艱巨的任務(wù)。我們需要在安全社區(qū)內(nèi)開展大量培訓(xùn)，盡力幫助人們提高自身的認識到下一階段。

我們與社區(qū)進行合作，從現(xiàn)場到外部環(huán)境都被包括進來，目的是幫助大家了解新模式。我們可以看到，越來越多的人開始意識到字面“安全”不是問題的終極目標，我們需要考慮到新生事物。我對項目的進展情況非常滿意。盡管目前我們并沒有到達預(yù)定目標，但至少前進的方向是正確的。

為了讓變革獲得催化劑，我們是否需要更大規(guī)模攻擊帶來的震撼?

我并不認為人們已經(jīng)意識到變革的重要性。我認為時間還不到——人們現(xiàn)在關(guān)心的僅僅是數(shù)據(jù)。這就是說，我認為在下個月召開的黑帽安全大會上將會給出變革的催化劑。

對于目前尚未遷移到云中的公司來說，需要注意哪些方面的問題呢?

首要的工作就是搞明白希望在云中進行具體工作的內(nèi)容。很多公司選擇遷移到云中，僅僅是因為這樣做很“酷”。不要讓這種倒果為因的情況出現(xiàn)。

對于遷移到云中給靈活性、成本節(jié)約和安全等方面帶來的變化，要擁有足夠的認識。如果決定遷移到云中的話，公司就需要認識到可以得到的好處有什么。然后，借此機會對基礎(chǔ)架構(gòu)重新進行全面構(gòu)建，并僅僅將需要的部分遷移到云中。

另外，相對云基礎(chǔ)設(shè)施，我們還需要了解到如何利用到云服務(wù)帶來的優(yōu)勢。人們需要關(guān)注的，不僅僅是短期內(nèi)成本的節(jié)省情況，而且是如何通過遷移到云中讓企業(yè)變得更靈活，更強大。

云的安全狀態(tài)是否有了改善?

在基礎(chǔ)設(shè)施即服務(wù)領(lǐng)域，我認為現(xiàn)有技術(shù)的進展并沒有預(yù)計的那么快。他們正處于改善之中，我也看到了一些不錯的跡象，但整體而言依然存在很多可以預(yù)見到的問題。其中的問題之一就是設(shè)施共用帶來的問題，如果一部分遭受攻擊的話，那么周圍的所有用戶都會受到影響。在人們引火燒身之前，我不認為現(xiàn)實情況會有很大的變化。

在網(wǎng)絡(luò)空間領(lǐng)域，Salesforce.com之類的供應(yīng)商已經(jīng)意識到自身提供的價值所在，以及需要負責(zé)的安全保護措施。他們中的絕大部分都非常重視服務(wù)的質(zhì)量情況，尤其是那些針對企業(yè)級客戶的廠商。

在這方面，消費者類型的服務(wù)還存在著很大的差距，造成這種情況的部分原因是用戶并不屬于真正的購買者。盡管消費者已經(jīng)選擇并確認了所有的許可協(xié)議，但這并沒有帶來任何權(quán)利。

從1997年加入信息安全行業(yè)以及此前在美國空軍從事信息方面的工作經(jīng)歷來看，你認為技術(shù)領(lǐng)域的最大變化是什么?

最大的變化就是出現(xiàn)了互聯(lián)網(wǎng)。當(dāng)我們第一次意識到網(wǎng)絡(luò)屬于生活方式的時間，我認為絕大部分人都沒有了解本質(zhì)所在。那時，它僅僅是一種工具，而不是生活方式，這就是最大的變化。

回到15年前，如果我們告訴其他人可以通過互聯(lián)網(wǎng)進行員工培訓(xùn)以及上傳子女和寵物的照片，大家會打量你，并認為遇到了瘋子。

實際上，從去年開始推特已經(jīng)讓某些國家的政府倒臺，這些情況我認為任何人都無法預(yù)測到。我也覺得，對于安全方面的認識，不論從哪個方面來看，我們都依然沒有抓住本質(zhì)。我也不認為已經(jīng)把握到了本質(zhì)，這與隱私的關(guān)系也不大。原因就是，由于所有人都知道其它人的很多事情，所以，我們認為的隱私級別是不存在的，純粹屬于虛構(gòu)的情況。

【編輯推薦】

1. 安全觀點：DDOS有待手術(shù)式清洗
2. Websense：締造落地生“花”的云安全
3. 新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御
4. 云安全的思考及展望