背景资料

　　近期，全球黑客攻击事件频发，被攻击的对象包括美国政府机构、游戏厂商，还有像花旗银行这样具有很高知名度的银行。这些机构因为黑客攻击事件，遭遇大规模数据泄露的危机。两大黑客组织“匿名者”(Anonymous)和“卢兹安全”(Lulzsec)不断曝出其通过黑客活动获得的数据，令全球各大机构人人自危。而信息安全的重要性也越发凸显。许多人心里都有这样的疑问：这些遭受攻击的机构的问题出在哪里？如何部署有效的安全策略和产品以抵御与日俱增的安全威胁？

　　惠普旗下的ArcSight公司是一家从事企业内控和规范监控的安全软件公司，其开发的软件广泛应用于检测企业网络内部的非正常操作活动，比如黑客试图攻击企业网络系统等。带着以上的疑问，比特网记者采访了HP Arcsight公司的王禄耀，王禄耀为我们分享了一些企业数据安全的现状及数据保护的解决方案。

　　采访内容

　　ChinaByte：企业做好内控是否就可以消除安全方面的威胁？做好内控和规范监控，在整个安全体系当中能有多大的作用？

　　王先生：大多数企业已经实施了各种安全点解决方案，例如应对网络攻击的防火墙，数据库加密以及定期审计以防止结构化数据丢失。在帮助组织机构保护数据和IT系统的机密性、完整性和可用性方面，这些解决方案做的很不错，但这些未集成的分散点解决方案之间存在诸多安全漏洞。此外，大多数传统的安全解决方案未与IT运营连接起来，因此无法无缝地感知IT系统中的安全攻击以及IT系统中断的情况。

　　组织机构需要了解如何把这些分散的层整合起来，把安全防护与IT运营相结合，从而在整个企业实现“状况感知”。

　　基于强大的SIEM技术的安全情报与风险管理(SIRM)平台能够独特地整合各层安全措施，同时把安全融入IT运营。 这是因为它能监测和分析安全和非安全设备上的活动日志，从而融合各层安全点解决方案和IT运营。

　　例如，在分析各种安全的运营工具的活动日志时，高效的SIEM工具应能够监测到：

　　a) 从分析网络流量方面：监测出不同寻常的高网络流量;

　　b) 从分析电子邮件流量方面：监测出某台计算机向数百个不相关的电子邮件域反

　　常地发送大量邮件;

　　c) 从分析防火墙日志方面：监测出与黑名单中的外部IP地址进行连接的相同计算机。

　　然后，SIEM工具应能够把这些分散的事件关联起来，确定是否是僵尸网络感染，并且采取防御措施——阻止计算机与网络上的其它节点连接，同时提醒网络或安全管理员立即进行调查。

　　在以层为中心的安全防护体系下，在所有可能的层面实现这种级别的状况感知并即时修复是非常困难的。

　　ChinaByte：目前，黑客常用的攻击手法有哪些？这些攻击手法有什么样的特点？

　　王先生：惠普DVLabs近期的网络安全风险调查(参考《2010 Top Cyber Security Risks Report》)显示，攻击变得越来越“产品化”和“市场化”。这份报告调查了网络漏洞工具包，它实质上是攻击框架，在相关团体之间进行购买、销售或交易。安全漏洞工具包的创建采用了与开发商用软件相类似的流程，因此非常精妙，能够实施全面的攻击。这项调查还揭示了HTTP客户端攻击和HTTP服务器端攻击的数量都在增加，攻击类型属于恶意java script和PHP文件内置攻击;僵尸网络仍是重大威胁。有趣的是：在惠普DVLabs跟踪的大约10,000,000台被感染的主机中，Conficker(2008年首次监测到的僵尸网络)仍然是最常见的僵尸网络。

　　目前的IT环境不断演进和改变，而监测这些环境的安全解决方案必须能够适应新情况，足够敏捷、面向未来，并且能够在技术发生变化的情况下监测企业面临的风险。这个平台应当是中性的，不会永远锁定任何特定的产品品牌。只有全面考虑这些因素之后，CIO们才能确保其机构的信息战略随着业务战略而演进。

　ChinaByte：现在的安全环境日趋复杂，威胁从网络层转向应用层。应用安全成为安全一大发展趋势的情况下，随之带来了哪些安全产品的发展趋势？

　　王先生：过去20年，安全工作人员和厂商所保护的环境在很大程度上取决于信息资产流通的管道。在信息安全的早期(大约1985年以前)，安全威胁和保护均围绕着托管信息媒介和计算资源的物理环境。到90年代中期，计算机联网和企业内部网络的出现标志着安全的焦点转向“网络层”。随着客户端和服务器端应用的更多部署以及把电子邮件作为业务通信的工具，安全的焦点也实实在在地转向这些领域。

　　我们正在进入移动和云计算时代，信息资产可以通过各种渠道(例如智能手机、平板电脑、社交网络等)即时获得，并且可以在社交媒体和维基百科等各种平台上生成、管理和交易。可以说，在公共和私有机构运营方式方面，我们正处于高速且大规模的变化之中。这些变化要求IT部门改变保护企业的方式。如此以来，IT安全团队改变战略以跟上挑战的步伐显得更加迫切：从螺栓式安全技术转向主动识别并管理风险(不管这些风险出现在什么地方)。

　　现代企业和政府机构所面临的主要安全挑战包括：

　　?? 面临更多威胁，但机构对威胁的类型和来源了解更少;

　　?? 更多安全和威胁相关的信息需要处理，但机构既没有能力利用这些数据，也不能确定需要优先处理哪些威胁;

　　?? 随着企业更加数字化和网络化，安全漏洞的影响越来越高;但由于了解不够充分且信息超载，机构也越来越难以了解安全问题以及如何最好地解决这些安全问题。

　　在追求瞬捷企业的过程中，惠普在保护企业和政府机构方面走在了前列。借助惠普ArcSight、惠普TippingPoint和惠普Fortify等领先的安全解决方案以及惠普在IT系统管理和应用生命周期管理(ALM)方面的领先产品，惠普能够提供独特的安全风险管理能力。通过我们的安全情报与风险管理(SIRM)框架，惠普正在帮助安全机构实现IT基础设施和漏洞的可视　这些资产结合在一起，让安全团队能够检测、了解并响应所有技术层上的威胁和风险，并协助客户做出决策。

　　ChinaByte：索尼从4月17日至6月3日，先后遭遇数起不同黑客的攻击，从其美国总部到全球的业务部门，数据泄漏受影响的用户超过1亿人，是迄今为止规模最大的用户数据外泄案。索尼的安全措施存在哪些问题，才会遭到如此大范围的安全威胁？有哪些措施可以针对性的解决这些问题？

　　王先生：这不是全球领先的公司首次因受到黑客攻击而泄露基于互联网的个人数据。我们可以假设，大型公司已经实施了诸多安全措施;但此类事故表明，在广泛连接的世界中，为个人数据提供全面的防护非常困难。因此，拥有更少的财务和技术资源的企业将同样脆弱不堪。

　　机构需要的解决方案应该能够全面了解跨所有用户、网络、数据中心和应用的基础设施。它必须能够实时关联并分析分散的数据，把各系统上看似孤立的事件进行整合以检测威胁和风险。

　　这是惠普安全情报与风险管理(SIRM)平台的基本原则，通过正确地规划和部署惠普ArcSight安全信息与事件管理(SIEM)技术即可高效地实现。

　　ChinaByte: 在近期遭受黑客攻击的受害者中，也有花旗银行。金融服务公司可以怎样做，以避免潜在的网络攻击？

　　王先生：虽然已经尽最大努力并大力投资在安全方面，银行仍然受到内部和外部的攻击;在很多情况下，他们被成功地攻击了。

　　近期的报告认为攻击者采用了设计SQL注入 (SQL Injection) 的非常简单的数据搜集方法。此次攻击的成功凸显了信息和系统拥有者进行尽职调查的重要性。一般说来，银行尤其可以在三个方面避免或至少尽量避免数据泄露的范围。

　　第一阶段——防御——在生产环境(暴露给所有可能的攻击)中运行网络应用之前，银行应利用应用程序/源代码漏洞检查工具(例如惠普Fortify产品)来定位并修复任何网络应用中的漏洞。

　　第二阶段——检测——银行应利用安全解决方案。这些安全解决方案可以持续监测并检测可疑或异常的用户行为模式。利用SIEM解决方案(例如惠普ArcSight SIEM解决方案)与惠普Tipping Point Intrusion Prevention System(IPS) 来监测与网络应用和客户数据库相关的任何可疑活动，这已经变得空前的重要。

　　第三阶段——阻止——一旦检测到攻击，可以在网络层通过自动干预的方式阻止黑客，从而防止其与银行系统进一步通信。在生产环境(暴露给所有可能的攻击)中运行网络应用之前，银行应考虑采用惠普Fortify解决方案来定位并修复应用中的漏洞。

　　从更长远的角度来看，金融服务公司应努力全面地了解企业风险，包括欺诈和信息安全监测。他们应充分利用现有IT系统和设备所收集的所有情报(例如收集并整合审计结果、活动和事件日志等)，目标是创建一个整合的IT环境视图，用于分析寻找任何潜在恶意事件和活动的信号和趋势，以便及时采取有效的措施做出应对。

　　很明显，传统方法中固有的缺陷给了网络罪犯太大的施展空间。

　　ChinaByte：ArcSight的产品及其功能如何？对于黑客攻击具有哪些预防和解决方案？

　　王先生：惠普ArcSight在2011年Gartner Magic Quadrant for SIEM中被评为领导者，其已经帮助保护了所有主要市场中的数千个客户。通过分析不同设备的日志，惠普ArcSight的安全情报与风险管理(SIRM)平台提供深入的防御。

　　惠普ArcSight平台有两个主要组件：

　　1. 第一个用于收集、转变、存储和管理来自企业内数字系统的日志、事件和交易数据。

　　2. 第二个用于实时关联并分析所有分散的数据，把系统中看似孤立的事件整合起来以检测威胁和风险。

　　惠普ArcSight的安全情报与风险管理(SIRM)平台包括如下产品：

　　ArcSight ESM：关联并分析所有日志、事件与交易信息，以寻找潜在的安全威胁和风险。例如，试图闯入信用卡数据库的人可能会做三或四件事，这些事件结合起来就类似闯入。当ESM(事件关联器)发现某些东西之后，它会提醒人们，以便他们锁定相关系统，打补丁或进行调查。ESM(事件关联器)是此平台的大脑。

　　ArcSight Logger：收集、转变并存储企业内数字系统的日志事件和交易数据。从Logger(日志管理器)中，你可以自动生成合规性报告。例如，显示应用上的所有访问空间有效。如果ESM(事件关联器)发现问题，企业可以通过Logger(日志管理器)进行检查以了解到问题已经发生的时长，以及涉及到哪些人。Logger(日志管理器)这种工具适合法庭的侦查员、IT运营故障诊断员以及合规性的审计准备人员。

　　ArcSight Express：把ESM(事件关联器)关联性的威力与Logger(日志管理器)存储与报告能力，以及最佳实践性安全报告和仪表板，整合为简单的低成本设备，以适合中型企业。

　　ArcSight IdentityView：帮助你了解谁在网络上，他们在做什么以及它对风险的影响。

　　ArcSight Connectors：ArcSight Connectors(ArcSight连接器)让客户能够从任何系统收集日志数据，包括领先的第三方产品、定制或传统系统以及各种商务应用。

　　值得注意的是，惠普 ArcSight平台已经证明其能够分析并把组织中数百万IT事件缩减为可能包含最大风险的简单事件信息，提醒客户给予最及时的关注。这是客户实施惠普 ArcSight解决方案的重要原因，因为它让客户能够提高安全性并缓解企业所面临的重大风险。

　　ChinaByte：感谢您接受我们的采访。

　　附录：王禄耀简历

　　王禄耀 Wong Loke Yeow

　　惠普ArcSight亚太区行销总监暨策略沟通长

　　王禄耀先生为惠普ArcSight亚太区行销总监暨策略沟通长，负责制定与执行ArcSight亚太地区的行销与上市策略。他执掌的权责包括沟通ArcSight的创新方案与先进技术，提升市场知名度，进而采用ArcSight领先业界的解決方案与有效策略，将现今复杂的的商业及网络资料，转换成具有前瞻性的安全资讯。

　　自2003年到2010年期间，王禄耀先生亦兼任新加坡资通技术联盟(Singapore InfoComm Technology Federation; SiTF)执行委员会代表，并在最后三年出任SiTF政务会委员并于其后兼任资安治理委员会第一届荣誉主席。

　　于2009年加入ArcSight之前，他曾任职于美商甲骨文公司，担任资讯安全解決方案区域总监，负责制定与宣传该公司亚太区资讯安全解決方案的愿景、架构以及所提供的服务。

　　王禄耀先生于1992展开其IT职业生涯，担任新加坡警政署督察员(Republic of Singapore Police Force; RSPF)，参与主导警政相关电脑化作业的专案。

　　之后，他于1994年加入国家电脑局，担任IT工程師，参与当时新加坡IT2000 Masterplan顶尖计划，并于1997年加入德意志銀行集团，成为该银行亚太区总部筹设区域资讯安全团队的主力并于其后担任亚太地区资讯安全运营长。

　　2003年离开德意志銀行后加入TruSecure Corporation，担任亚太区资讯安全发言人暨产品管理总监。2008年，王禄耀先生加入甲骨文。