幾年前,思科公司首席安全官(CSO)John Stewart忙於四處滅火,解決最新爆發的計算機病毒或蠕蟲。但隨著安全系統的提升和網絡威脅的不斷變化,Stewart的工作內容隨之變化。最近,Stewart和他的團隊新鎖定的目標就是觊觎公司隱私信息的網絡入侵者。Stewart領導思科公司全球IT安全小組及其他與安全相關的小組,他和他的員工一起為公司的網絡提供安全保護,而這個網絡中擁有大約5萬名用戶、6萬台PC,還有超過5萬個VoIP電話。
在思科的工作經歷印證了權威所說的只有在各個方面日積月累的努力才能保證世界級大型組織機構的安全。Stewart要面對企圖通過安全漏洞獲得金錢利益的犯罪組織。這些入侵者現在以應用為目標的入侵行為日益增加,超過了以操作系統代碼為目標的入侵行為。但Stewart說,企業所面對的最大的威脅是無組織的數據。最近,Stewart接受了CNET News.com的采訪並解釋了他所擔憂的事情以及可能的解決數據洩露的方案。
記者:是什麼讓您希望能夠休個假?
John Stewart:世人認為沒有新聞就是最好的消息,從而自欺欺人。事實上,從某種角度看入侵威脅成為主流焦點也是一件好事。它引起了人們的關注,並提醒每個人入侵威脅將是一個值得思考的問題。但是現在來看,僵屍網絡並沒有進入防御計劃范圍之內,入侵者采用的是緩慢的入侵方式。雖然沒有發送大量垃圾郵件,沒有生成大量的控制鏈但這並不表明網絡是安全的,相反可能有全新的更具侵略性的入侵方式觊觎著我們的網絡。
記者:您所說的是雷達掃描下,目標明確的入侵嗎?
John Stewart:目標明確或者不明確的入侵都能被雷達發現。一種是顯而易見的,以組織機構為目標。另一種入侵雖然表現不活躍,被感染的向量也還很傳統,不會立即導致計算機馬上顯示任何病態特征,,但也是致命的。它在一段時間內會保持沉默,只是向外發送信息,盡快的占用CPU和硬盤,並迅速向外傳播。由於這種攻擊意圖不容易被發現,所以沒有人知道它們的目的就是獲得信息,這就很不容易被發現。坦白地說,它們的技術水平正逐步成熟起來。
記者:權威人士稱消費者正受到僵屍網絡的襲擊,入侵者的目標是不是在於盜取企業的商業機密?僵屍網絡對於思科來說是否構成威脅?
John Stewart:我們具有與消費者同樣的問題,但是與消費者的網絡相比,我們的信號機制能使我們更快的控制局面。我們還有一個能夠保護我們的網絡,這與免費開放的互聯網是不同的。我們企業擁有專職團隊以及IT專家。
記者:也就是說您之所以能夠對付僵屍網絡是因為做好了充足的准備。
John Stewart:完全正確。
記者:所以在思科內部不存在僵屍網絡的問題?
John Stewart:我可不能這麼說。僵屍網絡是可以管理的。一般來說,如果有僵屍現身,我們會發現的。但並不是我們的網絡中不會出現僵屍,而是我們能夠很快發現並將其關閉。這對於消費者來說是不同的。
記者:如果僵屍網絡得到了控制,您還擔心什麼別的問題呢?對於那些目標明確的襲擊,您是如何處理的?或者您是否知道什麼時候發現才算無藥可救?
John Stewart:現在,我會說還沒發現針對此類襲擊的解決方法。安全行業主要為我們提供很多查明問題的能力,但是無法知道這些問題之間的關系。如果你能夠發現不同類型的系統之間的聯系,那麼就能很快發現問題。還有一個讓我寢食難安的問題就是不斷變化的目標。操作系統廠商一直都是靶子,但由於操作系統廠商在不斷改進,所以入侵者又瞄上了應用程序范疇。應用程序是存儲或下載數據的,但也是無組織的。
記者:您是否擔心Office應用中的零日攻擊?
John Stewart:我的確不放心。我對電腦中捆綁的任何第三方軟件都不放心,例如:PDF缺陷,即時消息蠕蟲等等。這是一項復雜性遠遠超過操作系統缺陷的工作。基於這個問題還有基礎架構方面的問題,所有的網絡開發者都在向存儲數據的網絡扔出一個又一個應用程序。
記者:您的工作角色是不是將會從撲滅大火的消防員轉向防止火災發生的消防栓?
John Stewart:我覺得我的角色已經發生了變化。我們依然在滅火,但是三年以前你永遠不會知道接下來會發生什麼。之前,我在努力發現最新遭到感染的計算機,發現它被人動了什麼手腳,並將其關閉。這就是滅火,但是現在我主要不是負責這方面的問題。現在我們所處理的都是潛移默化的火情,不是霹雳火也不是森林大火。我所處理的是以敏感數據為目標,而不是大面積的爆發的,我甚至不擔心大面積爆發的威脅,所以我覺得自己並不像是一位消防隊員。
記者:您是否相信桌面系統上那些類似白名單或者黑名單等應用?
John Stewart:對我來說,白名單比黑名單更為重要。您可以在白名單中找到讓您充滿信心的因素,可以知道應用是安全的,至少你有理由斷定所安裝的應用的來源是已知的。如果出現任何問題你知道應該去找哪個廠家。從另外一方面來說,黑名單能夠自動避開某個從來沒有出現過的應用。我更願意關注那些未知的應用,這些應用可能是好的,也可能是不好的,但是我們會區別對待。
記者:您是否使用白名單或者黑名單一類的工具?
John Stewart:從某方面來說,思科Security Agent就有一點像是白名單工具。它會告訴我們哪些行動和應用已經獲得了許可。
記者:您如何看待現在隨處可見的可以保護企業敏感數據不被洩露的工具?
John Stewart:我們也遭遇到一些無組織的數據發生洩露的問題。這是一個新興的重要市場。我已經在留意這個市場,因為在數據中心,如果你知道某些數據有可能流失,就需要設定一些范圍並進行保護。同樣地,如果你擁有某個溝通工具,借用這個工具您能夠滿懷信心的進行企業之間的數據交流,那麼您就應該確保交流進行時所傳輸的數據僅限於需要傳輸的數據。
記者:目前還沒有解決辦法嗎?
John Stewart:目前解決方案還在研究之中,很多家企業都以不同的方式接近這一目標。有些企業可能退回到主機時代,也就是所有數據都處於可以控制的環境;另外一些企業可能會認為數據需要移動和處理,並聲稱只有符合某種標准的數據才可以進行移動。
記者:如果您能為安全和您的工作許一個願的話,您會許下一個什麼樣的願望?
John Stewart:我希望能有一個標准開放,普遍采用的數據標識機制。這個機制能夠決定數據遷移的標准。一旦這一標准制定完成,每個發出信號的系統都能查找這些標識,然後你就能夠知道數據是否到達了不正確的位置。你知道數據是如何移動的,如果數據流向不對,你還可以重新指定方向。例如,你能夠發現某個本不應該獲得數據的點成為了數據流向的目的地。你可以讓網絡監控傳遞中的數據,無需監控數據內容,只對數據的級別進行監控。
記者:現在已經有這樣的機制嗎?
John Stewart:現在只是非常初級的階段。微軟、Adobe和Open Office都在努力,但是他們都還沒有完成這個開放標准的基本組成部分。