作為每年一度的信息安全業(yè)界盛會,RSA安全會議是了解企業(yè)安全業(yè)務風向標的重要機會。今年的RSA大會已在美國舊金山落下帷幕,無論是規(guī)模還是參會人數(shù),本屆大會都創(chuàng)下了歷史新高。同時,本屆大會的眾多議題帶給信息安全業(yè)界的思考也是值得回味的:我們究竟需要怎樣的信息安全?

  亟需重塑的網絡安全信任鏈

  在過去的一年中,斯諾登爆料的“棱鏡門”事件無疑是落在信息安全界的一枚重磅炸彈。直至本次RSA大會召開,這枚炸彈也余威猶在。在信息安全界,安全廠商、安全專家、評測標準機構和政府安全機構應該是建立在相互信任基礎之上,而這也是維護國家利益、保護個人隱私的最低界限。

  然而,斯諾登的爆料在使得美國信息技術企業(yè)與用戶之間建立的信任蕩然無存的同時,也顯現(xiàn)出全球通訊面臨的風險和限制的觸目驚心。

  今年的RSA大會伊始, RSA執(zhí)行主席Art Coviello便發(fā)表了有關美國政府窺探隱私和網絡戰(zhàn)爭的主題演講。他在演講中指出:“所有國家都應該尊重和保護所有個人的隱私,希望所有國家能夠確保經濟活動在互聯(lián)網上可以自由進行,希望所有國家放棄使用網絡戰(zhàn)武器。”

  從長遠看,如若不能重塑起“棱鏡門”后信息安全界斷裂的信任鏈,在未來,新的貿易壁壘可能會因此被樹立起來,全球性的互聯(lián)網網絡也很有可能變成破碎的國有化網絡。但從另一方面來看,“棱鏡”事件或許也能夠促使國際社會建立起新的網絡空間安全行為規(guī)范,從反面給予全球網絡空間帶來正能量。

  無論如何,重塑破裂的網絡安全信任鏈,是當下信息安全界首當其沖需要面對的問題。

  邁向云端的安全時代

  從設置防火墻設備到進行身份驗證,傳統(tǒng)的安全業(yè)務模式就像是通過一個個硬件“盒子”建立起一重重防護的城墻,將公司的人員、業(yè)務圈于其中予以保護。每一次安全業(yè)務的提升都不乏對硬件設施的堆砌,就像是對“城墻”的加厚和拓寬。

  然而,隨著BYOD趨勢的發(fā)展,員工急于使用最新的移動設備以及基于云的服務已經成為一種常態(tài)。在今年的RSA大會上,雖然仍有很多新各種安全硬件“盒子”展示在會場上,但對企業(yè)的CIO和CSO們來說,對于這種需要管理多很多安全廠商產品和系統(tǒng)的模式已經不能再激發(fā)起他們的興趣。

  與此相對應,安全運維工作也進入了云計算時代。如今,企業(yè)在很大程度上都有意將業(yè)務建立在混合云環(huán)境中:即一些舊的應用程序或許仍然運行在企業(yè)的數(shù)據(jù)中心,但新的業(yè)務一般都放在一個公共云環(huán)境中運行。私有云、混合云和公共云這樣的搭配,所帶來的是數(shù)字安全和隱私保護面臨更加復雜的環(huán)境。

  面對這一趨勢,傳統(tǒng)的安全廠商已經開始競相將他們傳統(tǒng)安全產品擴展到這種混合云模式。對于安全廠商而言,誰能夠幫助企業(yè)盡快將其新舊業(yè)務融合過渡到新的云安全防護模式中,那或許誰就將會成為云安全時代的贏家。

  將創(chuàng)新趕在黑客的前面

  今年的RSA大會上有一個很有意思的議題:試著猜想一下,在信息安全攻防戰(zhàn)中,安全保衛(wèi)者和攻擊者誰會獲勝?

  在過去的一年,沒有一家公司能夠對于企業(yè)的信息安全防護做出有預見性的防護措施。相反地,信息泄漏事件層出不窮,很多系統(tǒng)遭到破壞。盡管很多企業(yè)花費數(shù)額巨大的資金投入在在安全領域,但數(shù)字入侵、身份盜用以及企業(yè)數(shù)字間諜等層出不窮的事件無疑對當今企業(yè)的信息安全防護敲響了警鐘:在這方面,黑客往往是最快的技術創(chuàng)新者。

  造成這一局面的原因在于:傳統(tǒng)的安全防護依然局限在現(xiàn)有的安全模式之下,而黑客們卻變得越來越有組織、有準備地開發(fā)出入侵攻擊的新方法。

  在本屆RSA大會上,應對這一問題最好的建議或許是:用類似云計算的方式建立一個黑客實驗室。企業(yè)可以創(chuàng)造一個新的測試環(huán)境,當然,在這個測試環(huán)境中不會運行真正的企業(yè)業(yè)務,最多只需要在其中設置一個工作人員。這一測試環(huán)境旨在引誘黑客對其進行攻擊,以此調查黑客們當前最新的攻擊技術。

  相較于需要很多云計算開發(fā)人員的模式而言,這種僅有一個工作人員的黑客實驗室,只要設置幾個基本規(guī)則,并創(chuàng)建一個引誘黑客攻擊的模擬公司內部結構,那么很快就會了解到所有已知和未知的漏洞以及黑客們的最新技術。

  當然,這還需要企業(yè)的領導者意識到:這并不是在對企業(yè)已經不堪重負的基礎設施上增加新的框架,相反地,對企業(yè)安全防護方面的投資才會得到最大的回報。

  要知道,在信息安全這場沒有硝煙的戰(zhàn)爭中,只有將創(chuàng)新趕在黑客的前面,我們才能贏得最后的勝利。

責任編輯:admin