HP ArcSight王祿耀談近期黑客攻擊事件

責(zé)任編輯:Score

2011-08-02 09:50:11

摘自:比特網(wǎng)

針對日益活躍的黑客攻擊活動,記者采訪了HP Arcsight公司的王祿耀,王祿耀為我們分享了一些企業(yè)數(shù)據(jù)安全的現(xiàn)狀及數(shù)據(jù)保護(hù)的解決方案。

背景資料

近期,全球黑客攻擊事件頻發(fā),被攻擊的對象包括美國政府機(jī)構(gòu)、游戲廠商,還有像花旗銀行這樣具有很高知名度的銀行。這些機(jī)構(gòu)因?yàn)楹诳凸羰录?,遭遇大?guī)模數(shù)據(jù)泄露的危機(jī)。兩大黑客組織“匿名者”(Anonymous)和“盧茲安全”(Lulzsec)不斷曝出其通過黑客活動獲得的數(shù)據(jù),令全球各大機(jī)構(gòu)人人自危。而信息安全的重要性也越發(fā)凸顯。許多人心里都有這樣的疑問:這些遭受攻擊的機(jī)構(gòu)的問題出在哪里?如何部署有效的安全策略和產(chǎn)品以抵御與日俱增的安全威脅?

惠普旗下的ArcSight公司是一家從事企業(yè)內(nèi)控和規(guī)范監(jiān)控的安全軟件公司,其開發(fā)的軟件廣泛應(yīng)用于檢測企業(yè)網(wǎng)絡(luò)內(nèi)部的非正常操作活動,比如黑客試圖攻擊企業(yè)網(wǎng)絡(luò)系統(tǒng)等。帶著以上的疑問,比特網(wǎng)記者采訪了HP Arcsight公司的王祿耀,王祿耀為我們分享了一些企業(yè)數(shù)據(jù)安全的現(xiàn)狀及數(shù)據(jù)保護(hù)的解決方案。

采訪內(nèi)容

ChinaByte:企業(yè)做好內(nèi)控是否就可以消除安全方面的威脅?做好內(nèi)控和規(guī)范監(jiān)控,在整個(gè)安全體系當(dāng)中能有多大的作用?

王先生:大多數(shù)企業(yè)已經(jīng)實(shí)施了各種安全點(diǎn)解決方案,例如應(yīng)對網(wǎng)絡(luò)攻擊的防火墻,數(shù)據(jù)庫加密以及定期審計(jì)以防止結(jié)構(gòu)化數(shù)據(jù)丟失。在幫助組織機(jī)構(gòu)保護(hù)數(shù)據(jù)和IT系統(tǒng)的機(jī)密性、完整性和可用性方面,這些解決方案做的很不錯(cuò),但這些未集成的分散點(diǎn)解決方案之間存在諸多安全漏洞。此外,大多數(shù)傳統(tǒng)的安全解決方案未與IT運(yùn)營連接起來,因此無法無縫地感知IT系統(tǒng)中的安全攻擊以及IT系統(tǒng)中斷的情況。

組織機(jī)構(gòu)需要了解如何把這些分散的層整合起來,把安全防護(hù)與IT運(yùn)營相結(jié)合,從而在整個(gè)企業(yè)實(shí)現(xiàn)“狀況感知”。

基于強(qiáng)大的SIEM技術(shù)的安全情報(bào)與風(fēng)險(xiǎn)管理(SIRM)平臺能夠獨(dú)特地整合各層安全措施,同時(shí)把安全融入IT運(yùn)營。 這是因?yàn)樗鼙O(jiān)測和分析安全和非安全設(shè)備上的活動日志,從而融合各層安全點(diǎn)解決方案和IT運(yùn)營。

例如,在分析各種安全的運(yùn)營工具的活動日志時(shí),高效的SIEM工具應(yīng)能夠監(jiān)測到:

a) 從分析網(wǎng)絡(luò)流量方面:監(jiān)測出不同尋常的高網(wǎng)絡(luò)流量;

b) 從分析電子郵件流量方面:監(jiān)測出某臺計(jì)算機(jī)向數(shù)百個(gè)不相關(guān)的電子郵件域反

常地發(fā)送大量郵件;

c) 從分析防火墻日志方面:監(jiān)測出與黑名單中的外部IP地址進(jìn)行連接的相同計(jì)算機(jī)。

然后,SIEM工具應(yīng)能夠把這些分散的事件關(guān)聯(lián)起來,確定是否是僵尸網(wǎng)絡(luò)感染,并且采取防御措施——阻止計(jì)算機(jī)與網(wǎng)絡(luò)上的其它節(jié)點(diǎn)連接,同時(shí)提醒網(wǎng)絡(luò)或安全管理員立即進(jìn)行調(diào)查。

在以層為中心的安全防護(hù)體系下,在所有可能的層面實(shí)現(xiàn)這種級別的狀況感知并即時(shí)修復(fù)是非常困難的。

ChinaByte:目前,黑客常用的攻擊手法有哪些?這些攻擊手法有什么樣的特點(diǎn)?

王先生:惠普DVLabs近期的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)調(diào)查(參考《2010 Top Cyber Security Risks Report》)顯示,攻擊變得越來越“產(chǎn)品化”和“市場化”。這份報(bào)告調(diào)查了網(wǎng)絡(luò)漏洞工具包,它實(shí)質(zhì)上是攻擊框架,在相關(guān)團(tuán)體之間進(jìn)行購買、銷售或交易。安全漏洞工具包的創(chuàng)建采用了與開發(fā)商用軟件相類似的流程,因此非常精妙,能夠?qū)嵤┤娴墓簟_@項(xiàng)調(diào)查還揭示了HTTP客戶端攻擊和HTTP服務(wù)器端攻擊的數(shù)量都在增加,攻擊類型屬于惡意JavaScript和PHP文件內(nèi)置攻擊;僵尸網(wǎng)絡(luò)仍是重大威脅。有趣的是:在惠普DVLabs跟蹤的大約10,000,000臺被感染的主機(jī)中,Conficker(2008年首次監(jiān)測到的僵尸網(wǎng)絡(luò))仍然是最常見的僵尸網(wǎng)絡(luò)。

目前的IT環(huán)境不斷演進(jìn)和改變,而監(jiān)測這些環(huán)境的安全解決方案必須能夠適應(yīng)新情況,足夠敏捷、面向未來,并且能夠在技術(shù)發(fā)生變化的情況下監(jiān)測企業(yè)面臨的風(fēng)險(xiǎn)。這個(gè)平臺應(yīng)當(dāng)是中性的,不會永遠(yuǎn)鎖定任何特定的產(chǎn)品品牌。只有全面考慮這些因素之后,CIO們才能確保其機(jī)構(gòu)的信息戰(zhàn)略隨著業(yè)務(wù)戰(zhàn)略而演進(jìn)。

ChinaByte:現(xiàn)在的安全環(huán)境日趨復(fù)雜,威脅從網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層。應(yīng)用安全成為安全一大發(fā)展趨勢的情況下,隨之帶來了哪些安全產(chǎn)品的發(fā)展趨勢?

王先生:過去20年,安全工作人員和廠商所保護(hù)的環(huán)境在很大程度上取決于信息資產(chǎn)流通的管道。在信息安全的早期(大約1985年以前),安全威脅和保護(hù)均圍繞著托管信息媒介和計(jì)算資源的物理環(huán)境。到90年代中期,計(jì)算機(jī)聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)的出現(xiàn)標(biāo)志著安全的焦點(diǎn)轉(zhuǎn)向“網(wǎng)絡(luò)層”。隨著客戶端和服務(wù)器端應(yīng)用的更多部署以及把電子郵件作為業(yè)務(wù)通信的工具,安全的焦點(diǎn)也實(shí)實(shí)在在地轉(zhuǎn)向這些領(lǐng)域。

我們正在進(jìn)入移動和云計(jì)算時(shí)代,信息資產(chǎn)可以通過各種渠道(例如智能手機(jī)、平板電腦、社交網(wǎng)絡(luò)等)即時(shí)獲得,并且可以在社交媒體和維基百科等各種平臺上生成、管理和交易??梢哉f,在公共和私有機(jī)構(gòu)運(yùn)營方式方面,我們正處于高速且大規(guī)模的變化之中。這些變化要求IT部門改變保護(hù)企業(yè)的方式。如此以來,IT安全團(tuán)隊(duì)改變戰(zhàn)略以跟上挑戰(zhàn)的步伐顯得更加迫切:從螺栓式安全技術(shù)轉(zhuǎn)向主動識別并管理風(fēng)險(xiǎn)(不管這些風(fēng)險(xiǎn)出現(xiàn)在什么地方)。

現(xiàn)代企業(yè)和政府機(jī)構(gòu)所面臨的主要安全挑戰(zhàn)包括:

?? 面臨更多威脅,但機(jī)構(gòu)對威脅的類型和來源了解更少;

?? 更多安全和威脅相關(guān)的信息需要處理,但機(jī)構(gòu)既沒有能力利用這些數(shù)據(jù),也不能確定需要優(yōu)先處理哪些威脅;

?? 隨著企業(yè)更加數(shù)字化和網(wǎng)絡(luò)化,安全漏洞的影響越來越高;但由于了解不夠充分且信息超載,機(jī)構(gòu)也越來越難以了解安全問題以及如何最好地解決這些安全問題。

在追求瞬捷企業(yè)的過程中,惠普在保護(hù)企業(yè)和政府機(jī)構(gòu)方面走在了前列。借助惠普ArcSight、惠普TippingPoint和惠普Fortify等領(lǐng)先的安全解決方案以及惠普在IT系統(tǒng)管理和應(yīng)用生命周期管理(ALM)方面的領(lǐng)先產(chǎn)品,惠普能夠提供獨(dú)特的安全風(fēng)險(xiǎn)管理能力。通過我們的安全情報(bào)與風(fēng)險(xiǎn)管理(SIRM)框架,惠普正在幫助安全機(jī)構(gòu)實(shí)現(xiàn)IT基礎(chǔ)設(shè)施和漏洞的可視化,對風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序,并及時(shí)高效地解決安全問題。

這些資產(chǎn)結(jié)合在一起,讓安全團(tuán)隊(duì)能夠檢測、了解并響應(yīng)所有技術(shù)層上的威脅和風(fēng)險(xiǎn),并協(xié)助客戶做出決策。

ChinaByte:索尼從4月17日至6月3日,先后遭遇數(shù)起不同黑客的攻擊,從其美國總部到全球的業(yè)務(wù)部門,數(shù)據(jù)泄漏受影響的用戶超過1億人,是迄今為止規(guī)模最大的用戶數(shù)據(jù)外泄案。索尼的安全措施存在哪些問題,才會遭到如此大范圍的安全威脅?有哪些措施可以針對性的解決這些問題?

王先生:這不是全球領(lǐng)先的公司首次因受到黑客攻擊而泄露基于互聯(lián)網(wǎng)的個(gè)人數(shù)據(jù)。我們可以假設(shè),大型公司已經(jīng)實(shí)施了諸多安全措施;但此類事故表明,在廣泛連接的世界中,為個(gè)人數(shù)據(jù)提供全面的防護(hù)非常困難。因此,擁有更少的財(cái)務(wù)和技術(shù)資源的企業(yè)將同樣脆弱不堪。

機(jī)構(gòu)需要的解決方案應(yīng)該能夠全面了解跨所有用戶、網(wǎng)絡(luò)、數(shù)據(jù)中心和應(yīng)用的基礎(chǔ)設(shè)施。它必須能夠?qū)崟r(shí)關(guān)聯(lián)并分析分散的數(shù)據(jù),把各系統(tǒng)上看似孤立的事件進(jìn)行整合以檢測威脅和風(fēng)險(xiǎn)。

這是惠普安全情報(bào)與風(fēng)險(xiǎn)管理(SIRM)平臺的基本原則,通過正確地規(guī)劃和部署惠普ArcSight安全信息與事件管理(SIEM)技術(shù)即可高效地實(shí)現(xiàn)。

ChinaByte: 在近期遭受黑客攻擊的受害者中,也有花旗銀行。金融服務(wù)公司可以怎樣做,以避免潛在的網(wǎng)絡(luò)攻擊?

王先生:雖然已經(jīng)盡最大努力并大力投資在安全方面,銀行仍然受到內(nèi)部和外部的攻擊;在很多情況下,他們被成功地攻擊了。

近期的報(bào)告認(rèn)為攻擊者采用了設(shè)計(jì)SQL注入 (SQL Injection) 的非常簡單的數(shù)據(jù)搜集方法。此次攻擊的成功凸顯了信息和系統(tǒng)擁有者進(jìn)行盡職調(diào)查的重要性。一般說來,銀行尤其可以在三個(gè)方面避免或至少盡量避免數(shù)據(jù)泄露的范圍。

第一階段——防御——在生產(chǎn)環(huán)境(暴露給所有可能的攻擊)中運(yùn)行網(wǎng)絡(luò)應(yīng)用之前,銀行應(yīng)利用應(yīng)用程序/源代碼漏洞檢查工具(例如惠普Fortify產(chǎn)品)來定位并修復(fù)任何網(wǎng)絡(luò)應(yīng)用中的漏洞。

第二階段——檢測——銀行應(yīng)利用安全解決方案。這些安全解決方案可以持續(xù)監(jiān)測并檢測可疑或異常的用戶行為模式。利用SIEM解決方案(例如惠普ArcSight SIEM解決方案)與惠普Tipping Point Intrusion Prevention System(IPS) 來監(jiān)測與網(wǎng)絡(luò)應(yīng)用和客戶數(shù)據(jù)庫相關(guān)的任何可疑活動,這已經(jīng)變得空前的重要。

第三階段——阻止——一旦檢測到攻擊,可以在網(wǎng)絡(luò)層通過自動干預(yù)的方式阻止黑客,從而防止其與銀行系統(tǒng)進(jìn)一步通信。在生產(chǎn)環(huán)境(暴露給所有可能的攻擊)中運(yùn)行網(wǎng)絡(luò)應(yīng)用之前,銀行應(yīng)考慮采用惠普Fortify解決方案來定位并修復(fù)應(yīng)用中的漏洞。

從更長遠(yuǎn)的角度來看,金融服務(wù)公司應(yīng)努力全面地了解企業(yè)風(fēng)險(xiǎn),包括欺詐和信息安全監(jiān)測。他們應(yīng)充分利用現(xiàn)有IT系統(tǒng)和設(shè)備所收集的所有情報(bào)(例如收集并整合審計(jì)結(jié)果、活動和事件日志等),目標(biāo)是創(chuàng)建一個(gè)整合的IT環(huán)境視圖,用于分析尋找任何潛在惡意事件和活動的信號和趨勢,以便及時(shí)采取有效的措施做出應(yīng)對。

很明顯,傳統(tǒng)方法中固有的缺陷給了網(wǎng)絡(luò)罪犯太大的施展空間。

ChinaByte:ArcSight的產(chǎn)品及其功能如何?對于黑客攻擊具有哪些預(yù)防和解決方案?

王先生:惠普ArcSight在2011年Gartner Magic Quadrant for SIEM中被評為領(lǐng)導(dǎo)者,其已經(jīng)幫助保護(hù)了所有主要市場中的數(shù)千個(gè)客戶。通過分析不同設(shè)備的日志,惠普ArcSight的安全情報(bào)與風(fēng)險(xiǎn)管理(SIRM)平臺提供深入的防御。

惠普ArcSight平臺有兩個(gè)主要組件:

1. 第一個(gè)用于收集、轉(zhuǎn)變、存儲和管理來自企業(yè)內(nèi)數(shù)字系統(tǒng)的日志、事件和交易數(shù)據(jù)。

2. 第二個(gè)用于實(shí)時(shí)關(guān)聯(lián)并分析所有分散的數(shù)據(jù),把系統(tǒng)中看似孤立的事件整合起來以檢測威脅和風(fēng)險(xiǎn)。

惠普ArcSight的安全情報(bào)與風(fēng)險(xiǎn)管理(SIRM)平臺包括如下產(chǎn)品:

ArcSight ESM:關(guān)聯(lián)并分析所有日志、事件與交易信息,以尋找潛在的安全威脅和風(fēng)險(xiǎn)。例如,試圖闖入信用卡數(shù)據(jù)庫的人可能會做三或四件事,這些事件結(jié)合起來就類似闖入。當(dāng)ESM(事件關(guān)聯(lián)器)發(fā)現(xiàn)某些東西之后,它會提醒人們,以便他們鎖定相關(guān)系統(tǒng),打補(bǔ)丁或進(jìn)行調(diào)查。ESM(事件關(guān)聯(lián)器)是此平臺的大腦。

ArcSight Logger:收集、轉(zhuǎn)變并存儲企業(yè)內(nèi)數(shù)字系統(tǒng)的日志事件和交易數(shù)據(jù)。從Logger(日志管理器)中,你可以自動生成合規(guī)性報(bào)告。例如,顯示應(yīng)用上的所有訪問空間有效。如果ESM(事件關(guān)聯(lián)器)發(fā)現(xiàn)問題,企業(yè)可以通過Logger(日志管理器)進(jìn)行檢查以了解到問題已經(jīng)發(fā)生的時(shí)長,以及涉及到哪些人。Logger(日志管理器)這種工具適合法庭的偵查員、IT運(yùn)營故障診斷員以及合規(guī)性的審計(jì)準(zhǔn)備人員。

ArcSight Express:把ESM(事件關(guān)聯(lián)器)關(guān)聯(lián)性的威力與Logger(日志管理器)存儲與報(bào)告能力,以及最佳實(shí)踐性安全報(bào)告和儀表板,整合為簡單的低成本設(shè)備,以適合中型企業(yè)。

ArcSight IdentityView:幫助你了解誰在網(wǎng)絡(luò)上,他們在做什么以及它對風(fēng)險(xiǎn)的影響。

ArcSight Connectors:ArcSight Connectors(ArcSight連接器)讓客戶能夠從任何系統(tǒng)收集日志數(shù)據(jù),包括領(lǐng)先的第三方產(chǎn)品、定制或傳統(tǒng)系統(tǒng)以及各種商務(wù)應(yīng)用。

值得注意的是,惠普 ArcSight平臺已經(jīng)證明其能夠分析并把組織中數(shù)百萬IT事件縮減為可能包含最大風(fēng)險(xiǎn)的簡單事件信息,提醒客戶給予最及時(shí)的關(guān)注。這是客戶實(shí)施惠普 ArcSight解決方案的重要原因,因?yàn)樗尶蛻裟軌蛱岣甙踩圆⒕徑馄髽I(yè)所面臨的重大風(fēng)險(xiǎn)。

ChinaByte:感謝您接受我們的采訪。

附錄:王祿耀簡歷

王祿耀 Wong Loke Yeow

惠普ArcSight亞太區(qū)行銷總監(jiān)暨策略溝通長

王祿耀先生為惠普ArcSight亞太區(qū)行銷總監(jiān)暨策略溝通長,負(fù)責(zé)制定與執(zhí)行ArcSight亞太地區(qū)的行銷與上市策略。他執(zhí)掌的權(quán)責(zé)包括溝通ArcSight的創(chuàng)新方案與先進(jìn)技術(shù),提升市場知名度,進(jìn)而采用ArcSight領(lǐng)先業(yè)界的解決方案與有效策略,將現(xiàn)今復(fù)雜的的商業(yè)及網(wǎng)絡(luò)資料,轉(zhuǎn)換成具有前瞻性的安全資訊。

自2003年到2010年期間,王祿耀先生亦兼任新加坡資通技術(shù)聯(lián)盟(Singapore InfoComm Technology Federation; SiTF)執(zhí)行委員會代表,并在最后三年出任SiTF政務(wù)會委員并于其后兼任資安治理委員會第一屆榮譽(yù)主席。

于2009年加入ArcSight之前,他曾任職于美商甲骨文公司,擔(dān)任資訊安全解決方案區(qū)域總監(jiān),負(fù)責(zé)制定與宣傳該公司亞太區(qū)資訊安全解決方案的愿景、架構(gòu)以及所提供的服務(wù)。

王祿耀先生于1992展開其IT職業(yè)生涯,擔(dān)任新加坡警政署督察員(Republic of Singapore Police Force; RSPF),參與主導(dǎo)警政相關(guān)電腦化作業(yè)的專案。

之后,他于1994年加入國家電腦局,擔(dān)任IT工程師,參與當(dāng)時(shí)新加坡IT2000 Masterplan頂尖計(jì)劃,并于1997年加入德意志銀行集團(tuán),成為該銀行亞太區(qū)總部籌設(shè)區(qū)域資訊安全團(tuán)隊(duì)的主力并于其后擔(dān)任亞太地區(qū)資訊安全運(yùn)營長。

2003年離開德意志銀行后加入TruSecure Corporation,擔(dān)任亞太區(qū)資訊安全發(fā)言人暨產(chǎn)品管理總監(jiān)。2008年,王祿耀先生加入甲骨文。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號