|
信息风险管理:不妨向攻击者学习
风险管理并不是什么魔术,它是一个定性的过程,但确实存在一些技术框架,能使人们以一种更有组织、更有系统的方式来进行风险管理的过程。尤其在今天这个时代,信息不断增加,而信息的基础架构也日益复杂,这就是为什么在我谈到高级的安全系统的时候,首先谈高级的安全系统一定是基于风险的,这个问题特别重要,我觉得我们从现在开始理解风险管理的重要性是一个很好的起点。
《中国互联网发展统计》里特别提到,2.17亿中国人曾遭受木马攻击,1.21亿人的账户或密码曾被盗,1/10的人成为在线欺诈的牺牲品。如何让互联网时代的信息更安全,消除政府、企业和公众对于信息安全的疑虑。记者专访了EMC公司信息安全事业部RSA执行主席亚瑟?科维洛。 监管法规应重结果 记者:您曾经提到,为了防止受到高级威胁的侵害,我们需要培养一个政府、厂商和用户构成的生态系统,在这个生态系统内,政府应该扮演一种什么样的角色,发挥什么样的作用? 亚瑟:我觉得政府可以发挥范例和领导的作用。举一个例子,美国有一个《联邦信息安全管理法案》,最初这个法案的草案最关注的要点就是法规的遵从,在法案的草案中列出了一系列安全措施对照的清单表,但是当时那个法律的草案不是很成功,因为这样一种做法更多的是重形式,而不是重内容。而现在美国国会收到要求对这份《法案》进行修改的建议,其中提到,如果法律要求对基础设施进行持续监测,政府应该以身作则,接受检测。这样,厂商和用户更容易接受监测。 另外我们还认为,政府、技术厂商和用户之间应该在信息共享方面结成伙伴关系。比如说各方实时分享有关受到攻击的信息和知识,在这方面政府可以发挥领导作用。虽然我本人并不是特别推崇政府在什么领域都要实施管制,但是我确实尊重各国政府有为了本国公民的利益,在适合的领域进行管制的权利。我们对于政府实施监管的建议是:监管措施应该是以希望获得什么样的结果为基础,而不是列出一个应该具体采取什么行动的清单。 原因是具体措施的描述性清单很可能会涉及到特别具体的技术要求,技术其实是在不断发展进步的。但从政府的角度看,它很难随时跟上技术的变化,所以,类似描述性清单的监管手法,可能会产生一些事先没有想到的后果,或者使形势更糟糕。 美国的《信息安全防护被突破的通知法案》就是一个典型的非常关注结果的法案。该法案规定,如果机构或者组织丢失了其所掌握的个人信息,那么该组织和机构就要向这些信息遭受损失的个人披露信息丢失的事实。各个相关机构在这个法律通过之后,迅速采取了行动来改进他们的安全技术架构,保护他们手上所掌握的个人信息。因为如果真的出现了信息丢失事件,他们不得不披露的话,对这些机构和组织来说是很丢面子的事情。 所以,如果政府的监管法案关注的是结果,那么他就会迫使相关企业主动采取措施,以实现监管目的。 不披露相关信息协议可能使损失扩大化 记者:防恶意软件行业之间的合作目前还主要停留在一对一的阶段,如果实现整个行业的合作,并让其形成一个产业的话,政府在这方面可以发挥什么作用呢? 亚瑟:这个问题非常好,在美国我们也在不断的争论这个问题。我们面临的问题之一是,现在国内开始有相关的隐私保护法,还有各个企业以及企业和个人之间的不披露相关信息的协议,我觉得政府可以发挥的作用就是限制在特定环境下分享这些信息可能导致的法律责任,在这方面也可以举个例子。 比如说,我们经常看到一些信用卡信息被盗窃、被窃取的报道,这些信用卡信息涉及到的不仅仅是某个特定的人名,很有可能还涉及到某个特定的电子邮件地址和密码。如果信用卡信息失窃,犯罪分子一下子就把所有这些信息都拿到了手里。这个犯罪分子肯定会自然的猜测,消费者的这个电邮密码肯定会在很多不同的地方使用,同时这个犯罪分子还有他的电邮地址,犯罪分子很可能利用这些信息,到不同的网站去试,最终获取他想获取的资源。 而这些信息被盗的企业或者机构,唯一能做的一件事就是对公众说“这些信息被盗了”。因为企业和企业,以及企业和个人之间的不披露相关信息的协议,导致信息被攻击的组织不能告诉他的用户的电子邮件供应商说,“你这个客户的电子邮件和他的密码系统实际上已经是受到了攻击”,这样就会出现一种很奇怪的现象:即犯罪分子不断利用他所拿到的相关信息,但是受到攻击的公司却不能够和其公司和组织分享这些信息,以便帮助其他的组织避免下一步的攻击。我觉得,在类似于这样的特殊情况下,应该允许他们分享一些隐私信息。而政府应该在促进这类合作方面发挥作用,而且我觉得我们大家都同意这种做法是最符合公民利益的。 信息车祸不可避免,整合措施降低风险 记者:您曾经提到为了防止受到高级威胁的侵害,高级安全系统必须演变为基于风险的、敏捷的、且具有情境识别能力。那像facebook这样的社交网络,拥有7亿多用户,掌握7亿多用户的详细资料,内部人士利用资料去牟利的风险如何控制和防备?高级信息安全系统能否控制这种风险呢? 亚瑟:首先我得说,确实不存在完美的安全系统,但这也正是为什么我们要进行深入地防御或者说深度防御。我们要结合各种各样的控制措施,使它们能够互相加强,同时实施了这些相互加强的控制之后,还要对他们实施持续不断的监测,以便发现系统中是否出现信息利用的不正常情况。 比如说我就可以想出几种控制措施,来监控内部人士利用相关信息的情况,其中有些措施甚至跟技术没什么关系,比如说可以采取一些流程上的步骤,来限制甚至是内部人士来访问相关信息;比如说可以把这些信息进行区分,把它们放在不同的地点,也就是说不那么容易一下子被人找到所有的信息;再比如说企业在雇佣职员之前,要进行充分的调查,确保这些人以前没有恶意利用他人隐私信息的犯罪记录或者是其他相关的记录;还有各种各样诸如身份验证、访问控制、防数据丢失套件、加密技术、先进的持续监测技术、安全信息和事件管理等手段,所有的这些技术都可以独自或者共同发挥作用,这样就能够大大降低内部人士利用相关信息的风险。 其实你以facebook为例非常有趣,假如facebook是一个国家的话,它就会是世界上的第三人口大国,仅次于中国和印度。当然facebook也是一个非常好的例子,说明了过去10年间形势发生了多么大的变化。 在2001年,我们讨论要储存数据量是1个exabyte,到2005年就达到了161个exabyte,而现在我们得考虑1.8,就是接近2个zettabyte。带宽方面,2001年我们谈到带宽和速度的时候,是12万,而现在我们谈到的是1.2亿。2001年我们看到的情况全都是客户、服务器,全都是主机上的应用,而到了2005年就出现了大量的网络应用和ERP(应用软件),到2010年你所看到的就都是应用、应用、应用。再想想大家用于上网的设备,2001年上网就是电脑和笔记本,到2005年的时候就有了大量的智能手机上网,到2010年我们就会看到各种各样上网的装备,包括iphone、ipad,包括各种各样的平板电脑。刚才您提到了facebook,实际上还有很多社交网站,对此我也可以打一个现实世界的比方。 假如这些信息的数量是我们在高速路上看到的汽车数量,带宽是这些车开起来的速度,而这些应用是高速路上的车道数目,这些移动的无线上网设备就是进出高速的路口的话,这个社交媒体就可以比喻成一个贴在车上的车标,但是这个车标的内容是这个车里坐的是谁,和其他的一些基本信息,我们就不应该对高速路上的车祸数量增加感到吃惊。 所以,改变我们对于信息安全的看法是非常重要的一件事。每一辆车的保险杠都应该加厚,使它更结实。也许有了虚拟化技术和云计算技术,我们就可以使车不在地面上开,而是飞起来。然后我们再想办法把这些车贴的车标给盖上或者给车加了膜,使大家看不到车里坐的是谁,也不知道他是干什么的,这就是我们努力的方向。虽然这个比方打到后来有点离谱。 从攻击者的角度认识敏感信息是风险管理的重要一步 记者:借用您刚才的比喻,如果信息高速公路上的车祸是不可避免的,如何可以做到当车祸发生时,保护车主最重要的信息不泄露出去呢?很多情况下企业并不清楚最敏感的信息是什么,在您提到的高级信息安全系统里面,有没有对企业进行“哪些信息属于最敏感”的培训呢?如果有培训的话,这些企业涉及到各行各业,如何可以做到呢? 亚瑟:非常棒的问题,我尽最大努力给你一个回答。相关的安全系统应该重新关注风险管理。我没法告诉任何企业对他们来说什么最重要,这就要求企业进行更细化的风险管理。 现在比较普遍的情况是,企业的经营者和政府官员,会把风险管理的职能分配给负责安全的部门。但其实在这些组织和机构里面,企业的经理人或者政府官员,他们实际上更了解,对他们的组织来说什么信息是最重要的,什么信息是应该得到保护的。所以风险管理应该是每一个人的责任,而不仅仅是几个人的责任。如果我们的风险管理是分散进行的,那也并不意味着我们不能够把它们结合起来,总体上加以关注。 另外,从攻击者的角度来看哪些信息是重要的也是非常必要的视角。单从内部人士的视角来研究风险是什么,是不够的,我们还需要从外部来研究我们的风险,我们需要站在攻击者的角度去思考。这样一种角度,可能会提醒我们,哪些东西对攻击者来说是重要的,但最初却被我们忽略掉了。 实际上,风险管理并不是什么魔术,它是一个定性的过程,但确实存在一些技术框架,能使人们以一种更有组织、更有系统的方式来进行风险管理的过程。尤其在今天这个时代,信息不断增加,而信息的基础架构也日益复杂,这就是为什么在我谈到高级的安全系统的时候,首先谈高级的安全系统一定是基于风险的,这个问题特别重要,我觉得我们从现在开始理解风险管理的重要性是一个很好的起点。
责编:李代丽
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
|
|