探索信息安全新形勢 專訪Fortinet華東區(qū)云安全顧問徐立

探索信息安全新形勢專訪Fortinet華東區(qū)云安全顧問徐立

肖逸文 / 2017-04-27 17:58163108

2017上海首席信息官峰會暨IT創(chuàng)新展上，各個行業(yè)的CIO和IT精英共同分享了新視角、新技術(shù)、新領(lǐng)域，而在討論技術(shù)創(chuàng)新的同時，安全問題也多被提及。在本次峰會上，ITheat熱點科技對全球知名的網(wǎng)絡(luò)安全設(shè)備供應(yīng)商——Fortinet的華東區(qū)云安全顧問工程師徐立進行了專訪，以下是專訪實錄：

本站編輯：在科技行業(yè)發(fā)展極其迅猛的大背景下，出現(xiàn)了一系列的新技術(shù)，您覺得就是說作為企業(yè)和個人來講，在信息安全方面分別面臨著什么樣的新威脅？

徐立先生：首先這件事情要分開看，企業(yè)用戶和個人用戶的關(guān)注點不同。對于企業(yè)用戶，任何能給關(guān)鍵業(yè)務(wù)與生產(chǎn)系統(tǒng)帶來安全風險的方面的問題，都需要關(guān)注。剛才有一個咨詢公司的演講者講了一句話，我覺得說得很好，就是企業(yè)其實關(guān)注的如何保障業(yè)務(wù)的持續(xù)性和有效性。

正如您所提到的新技術(shù)的應(yīng)用，IoT與云應(yīng)用加速了企業(yè)的數(shù)字化轉(zhuǎn)型，促進了業(yè)務(wù)的發(fā)展，同時也擴大了攻擊面與威脅的敞口，帶來了更多的安全風險與隱患，故此網(wǎng)絡(luò)安全建設(shè)上升成為關(guān)乎保障業(yè)務(wù)連續(xù)性發(fā)展的事情。

如果從威脅的新舊來考慮的話，新的方面是指攻擊的手段、工具、周期都呈現(xiàn)高度精細化設(shè)計，社工類工具的使用，多個維度的滲透以及潛伏時間長的特點，也就是我們稱為的高級持續(xù)性威脅。例如，目前新出現(xiàn)的“勒索軟件即服務(wù)“，勒索軟件即服務(wù)使幾乎沒有接受過技能培訓(xùn)的網(wǎng)絡(luò)罪犯只要下載工具并將其指向受害者就能夠賺錢，前提是與開發(fā)者分享一部分利潤。這樣讓勒索軟件的傳播的更為廣泛與迅速。

但是，從我們2016年第四季度全球網(wǎng)絡(luò)威脅報告來看，足有86%的公司所遇到的攻擊，是通過已經(jīng)存在十多年的漏洞而滲透進入的。這些公司中的幾乎40%發(fā)現(xiàn)這些攻擊所針對的CVE（常見漏洞和風險）第一次被確認還是在上一個世紀。

企業(yè)所遭受的不少攻擊是因為舊的系統(tǒng)漏洞沒有及時補丁造成的。網(wǎng)絡(luò)犯罪份子也是帶有一定的“投機性“的，而不少企業(yè)的安全管理欠缺，舊有的系統(tǒng)漏洞給這樣的投機性攻擊以機會。

從這個方面來講，“老即是新“，舊的威脅漏洞仍然可以帶來新的攻擊威脅。

再說說個人用戶，關(guān)注點主要是個人隱私信息方面。主要原因是智能終端越來越普及。個人隱私信息，以及支付信息就存在泄漏的風險。最為明顯的就是手機號碼，幾乎是個人的“第二張身份證”。對于個人用戶，保持良好的安全意識，多個應(yīng)用注冊不使用通用的密碼，避免點擊通過短信釣魚的信息等等，都是相對保護個人隱私的一些良好習慣。

所以個人用戶跟企業(yè)用戶他的關(guān)注點就在利益上面會不太一樣，個人關(guān)注的是個人的隱私，而企業(yè)更關(guān)注的是企業(yè)生產(chǎn)的生命線，包括它的制造參數(shù)或者是業(yè)務(wù)模式。

本站編輯：您覺得您覺得企業(yè)和個人應(yīng)該怎么保護好自己的信息安全呢？

徐立先生：網(wǎng)絡(luò)安全是個體系化建設(shè)的工作。我們從網(wǎng)絡(luò)罪犯當前所利用的三種集中威脅趨勢——應(yīng)用程序漏洞利用、惡意軟件、僵尸網(wǎng)絡(luò)，這也是多數(shù)企業(yè)每天面臨的具體且實際的工作。對于企業(yè)內(nèi)部網(wǎng)絡(luò)來講，需要做好微分段與安全隔離，也就是內(nèi)網(wǎng)防火墻設(shè)置。很多時候企業(yè)內(nèi)部的局域網(wǎng)絡(luò)中有一臺計算機感染病毒或木馬，會導(dǎo)致整個企業(yè)所有的計算機都將岌岌可危。網(wǎng)絡(luò)有沒有根據(jù)業(yè)務(wù)的需要進行劃分，有沒有適配的安全策略？終端在匯聚到網(wǎng)絡(luò)中的時候，是否有一道防火墻，是否能把有安全隱患的終端隔離在外，不予介入網(wǎng)絡(luò)，這一點很重要。那企業(yè)網(wǎng)絡(luò)怎么能提前判定有安全隱患的終端呢？我們Forinet的安全解決方案里會有一個概念，就是去審核各個終端用戶平時的行為，就比如說某個終端經(jīng)常瀏覽一些危險、有安全漏洞或掛載了非法程序的網(wǎng)站，我們會去做一個審計，這些行為都會被我們的安全設(shè)備監(jiān)控，把危險阻擋下來，同時記錄用戶的危險操作，而且基于這個終端去做行為分析。危險行為比較多的用戶，一定時間內(nèi)多次被防火墻阻斷的終端，說明這個終端是不安定的，他老是喜歡去觸碰這根線，防護系統(tǒng)就會給該終端一個安全信譽低的評級。有了這種措施，在日常使用中，不同終端進入網(wǎng)絡(luò)的時候，安全信譽低的用戶，它在進入網(wǎng)絡(luò)時門檻就變高了，信譽良好的用戶可以正常使用網(wǎng)絡(luò)的時候，信譽過低的用戶系統(tǒng)可能連聊天軟件都無法使用，系統(tǒng)可能認為這會有安全隱患。而那些信譽度高的，平時都很守規(guī)矩的客戶端，它的安全信譽評級就很高，在接入網(wǎng)絡(luò)的時候它的優(yōu)先權(quán)就更高。有了這樣的體系以后，當信譽低的終端出現(xiàn)問題的時候，系統(tǒng)就會把它擋在外面，出現(xiàn)問題也只是說本地一個人出現(xiàn)問題而不會蔓延到周邊和局域網(wǎng)的其他用戶，讓問題可以管控，把損失降到最低。

對于個人信息，我們首先要做的是自我保護。自我保護無外乎是提高安全意識，就是隨時要注意個人信息不要在公開的場合隨意使用。例如盡可能的規(guī)范信息的使用，注明證件使用用途，這其實是我們個人在日常生活中能夠做到的一些事情。還有一點是，在自己加深對這些事情的一個安全意識之后，對家人的宣傳其實也很重要。就像家里的父母、老人，它們對網(wǎng)絡(luò)和新興的一些詐騙手段了解不夠深，我們要多宣傳安全方面的知識，提醒他們在家里上網(wǎng)時不要點擊彈出來的廣告，不要輕信陌生號碼的短信，不要輕易點擊短信中的鏈接等等。通過宣傳的手段，積極地加強家人的安全防護意識，這也是我們要做的事情。

本站編輯：大家在享受先進技術(shù)帶來的便利時，也面臨著各種新的威脅，您覺得我們應(yīng)該如何正確應(yīng)對這些伴隨著新技術(shù)產(chǎn)生的新威脅？

徐立先生：這個問題我覺得，應(yīng)該要從三個方面來做：一是，預(yù)防未知威脅；二是，安全態(tài)勢感知；三是，創(chuàng)建共享生態(tài)圈。

預(yù)防未未知威脅的概念。沒有任何的網(wǎng)絡(luò)安全解決方案保證百分之百的網(wǎng)絡(luò)安全。威脅是動態(tài)與發(fā)展的，網(wǎng)絡(luò)安全的構(gòu)建應(yīng)該從架構(gòu)安全做起，例如從接入層，移動端，網(wǎng)絡(luò)層，應(yīng)用層，邊界，云端，都有相應(yīng)的安全考量與部署，且能夠讓每個單點發(fā)揮從固有的安全防御效能。

接下來就到了第二步，安全態(tài)勢感知。安全態(tài)勢從短期來講，打個比方，就是流感爆發(fā)之前，你經(jīng)常去醫(yī)院去了解，看看最近都是什么問題比較高發(fā)，發(fā)燒的多不多，發(fā)燒的溫度普遍在哪個溫度區(qū)間里面，從而判斷，這是一個正常的感冒，還是季節(jié)流感，通過這些數(shù)據(jù)能夠推論出下半月或是接下來一個季度是不是流感的爆發(fā)期。除了醫(yī)院里的數(shù)據(jù)，還可以結(jié)合別的很多數(shù)據(jù)，比如城市的人流量，包括區(qū)域的人口密度等等。那怎么來獲得這些數(shù)據(jù)呢？比如WiFi接入終端量可以知道分布，通過地鐵的出行量來判斷人口流動性，甚至說出租車每天的載客量等等，這些都是可能成為有效數(shù)據(jù)的數(shù)據(jù)源。加上這些數(shù)據(jù)以后，我就能知道這個城市的流感是輸入型還是輸出型，或者說是原發(fā)性。同樣的道理，安全態(tài)勢，其實就是把對象數(shù)據(jù)換一下，綜合考量各種安全數(shù)據(jù)。最近你的電腦老是被人掃描，不停有人在嘗試用不同的賬戶密碼來登錄的設(shè)備，這其實就是黑客在入侵之前的鋪墊，先來探測一下，掃描一下你的端口，這也是你可以發(fā)覺的征兆，這時候你就應(yīng)該提高警惕。其實這種數(shù)據(jù)一直很有用，只是你日常情況下不關(guān)心這樣的數(shù)據(jù)，但是出問題的時候已經(jīng)晚了。但如果有安全態(tài)勢這樣的一個思路，很多東西就能夠得到預(yù)警。我把這些數(shù)據(jù)全部收集進來，在沒有人黑你之前，這些日常行為已經(jīng)能夠觸動用戶的審計，就是記錄一些不正常的、可疑的操作。今天有人有事沒事來找我，有事沒事來登我的系統(tǒng)，這個數(shù)據(jù)報告給我之后，我就會警覺了，這就像你今天看到小偷在你家門口，正常人都會警覺，其實這個過程就是一個數(shù)據(jù)的集中與預(yù)警，這就是安全態(tài)勢。

最后是創(chuàng)建共享生態(tài)圈。其實任何一家廠商，都不可能做到一百分，像我們這么大公司，在全球范圍有非常多的探針進行采樣，到現(xiàn)在大概有326TB的威脅研究樣本，當然這個數(shù)據(jù)還在增長。在這個前提下我們都不能說我們能夠做到百分之百的安全，反而是更多地希望能夠通過協(xié)作的方式，來實現(xiàn)更全面的威脅識別。好比我可能做到99%，但還有1%做不到，有可能另外一家合作商能夠把那百分之一做好，那我們作一個數(shù)據(jù)情報交互，通過這種信息共通的安全生態(tài)圈，那大家就真正能夠把安全做得更全面。有了這個生態(tài)以后，作為安全廠商，才能對安全自我改進，才能形成一個閉環(huán)，大家相互合作，共同進步，維護好安全生態(tài)。

編者按：

Fortinet是一家全球性的網(wǎng)絡(luò)安全設(shè)備供應(yīng)商。其產(chǎn)品和安全服務(wù)為客戶提供了廣泛且綜合的安全服務(wù)、可靠穩(wěn)定的網(wǎng)絡(luò)與實時動態(tài)的安全保護，同時極大的簡化了客戶的IT安全體系架構(gòu)。專訪中，徐立先生形象生動的向我們展示目前的信息安全形勢，也讓我們看到了飛塔在構(gòu)建安防生態(tài)上做出的巨大貢獻。相信在大家的共同努力下，這個日益完善的安防生態(tài)圈能更好地保護大家的信息安全。

點個贊583