谐和 2008-6-3 11:58
风险管理任重道远
在风险层出不穷的今天,一劳永逸的管理方法是没有的。[url=http://security.ctocio.com.cn/]安全[/url]服务商只能步步为营。
过去的两年内,思科系统公司(Cisco Systems,下称思科)、Check Point公司、国际商用机器公司([url=http://whatis.ctocio.com.cn/searchwhatis/199/5948199.shtml]IBM[/url])、迈克菲公司(McAfee,下称迈克菲) 及赛门铁克公司(Symantec,下称赛门铁克)五大[url=http://security.ctocio.com.cn/networksecurity/]网络安全[/url]服务商一共砸下了37亿美元的资金来进行企业和产品收购,以支持他们的整体威胁管理战略。点燃这场烧钱运动的,是一个不切实际的想法:企业的所有基础设施、应用程序、策略、流程以及员工都可以纳入到一个统一的威胁管理框架中,如此一来,不管是外部入侵者、内部捣乱者,还是颐指气使的审计师或懵懂无知的用户,都不能对整个体系造成威胁了。
想法很诱人,目标很宏伟,只是有一点缺憾——这是不可能的。
新的[url=http://networking.ctocio.com.cn/]网络[/url]安全威胁层出不穷,新的规定措施持续涌现,企业开拓的各种新业务也会带来新风险,而革新性的产品更是不断从创业者手中诞生。在安全服务商们挥金如土竞相开发和拼凑新功能时,市场却不停地朝着细分的方向迈进。
以赛门铁克2006年9月大张旗鼓发布的Endpoint Protection软件为例。Endpoint Protection 11.0是赛门铁克对其主机安全软件的一次全面普查升级,它将一系列本无关联的功能——包括恶意软件阻截、个人防火墙、主机入侵防护、应用程序控制及设备管理等全部紧密地集成到了一个单一代理中。
赛门铁克之所以推出Endpoint Protection 11.0,是为了与迈克菲的终端安全软件相抗衡。这款软件的诞生,得益于当下各种软件组件集成性能的提高,以及占用系统资源较少的内存印迹([url=http://whatis.ctocio.com.cn/searchwhatis/457/5947957.shtml]footprint[/url])的出现。然而,由于在安装该软件时,必须先卸掉旧的版本,因此其他服务商便抓住了这个趁虚而入的机会:客户们觉得反正都是旧的不去新的不来,为何不试试别家服务商的产品?典型的一个例子:反恶意软件服务商Sophos公司2006年6月宣布,通用电气公司(General Electric)将在35万台工作电脑和[url=http://server.ctocio.com.cn/]服务器[/url]上选用自己的Endpoint Security和Control 7.0软件。这则消息的潜台词便是,通用电气公司把此前的服务商赛门铁克给抛弃了。
现在市场上对那些已经坐大的安全服务商涌动着一股不满的情绪,大型客户们更愿意与公认为第二梯队的一些厂商合作,如卡巴斯基实验室(Kaspersky Lab)、熊猫卫士公司(Panda Security)和Sophos公司。“企业圈子里的人经常在说,‘这下该没问题了吧。’可问题还多得很。”分析机构451 Group的企业安全运行研究主任尼克·塞尔比(Nick Selby)表示,“我们总会受到一波又一波新病毒的[url=http://whatis.ctocio.com.cn/searchwhatis/308/7333808.shtml]攻击[/url]。”
塞尔比还认为,较小的服务商通常会为大型企业提供更优质的客户服务和更快的技术支持,有时甚至还会拿出更“有效的产品”。
而反观赛门铁克,它的反病毒企业版10.2则受到了一家上市化妆品公司网络安全高管的猛烈抨击。这位高管罗列了一大堆该软件的弊病,其中之一是:[url=http://mobilecomputing.ctocio.com.cn/mobilesecurity/tt-mobile-msds/]笔记本[/url]电脑一旦不在公司的局[url=http://whatis.ctocio.com.cn/searchwhatis/194/7352194.shtml]域[/url]网范围内,就无法获得更新。但是换作Sophos的产品之后,他表示,公司99%的电脑都能顺利更新。
这位高管还说,赛门铁克产品的查杀报告让人无法忍受。“有多少台电脑受到感染,有多少病毒被杀除了,就这么简单的事情,我们也要费尽周章才能得到结果。”他说。不过,Endpoint Protection 11.0的一些独立评论表示,该软件在管理和报告界面上比以前的版本有了很大改善。
平心而论,赛门铁克的负面形象在一定程度上是由于Sophos公司的诋毁所造成的。后者的终端产品管理负责人约翰·肖(John Shaw)就宣称,客户在安装赛门铁克11.0版本时,旧版本的软件无法运行。赛门铁克表示这种说法纯属无稽之谈。
根据顾能公司(Gartner)的报告,赛门铁克目前在全球反病毒软件市场上占据了38%的份额,要想把这个网络安全界的老大拉下马,Sophos公司光逞嘴上功夫是远远不够的。不过,通用电气这一仗确实打得漂亮,这不仅打得赛门铁克胸闷气短,同时也给了迈克菲重重一击,让它无法再染指通用电气这么一个大客户。以后还会有更加精彩的战役。“通用电气一战只是小试牛刀而已。” 塞尔比说。
但是,随着网络威胁的花样翻新,市场需求已远不止传统的反病毒防护了。特征匹配(signature matching)已对五花八门的病毒和恶意软件无能为力了,现在需要的是异常检测(anomaly detection)技术;各种数据隐私法规都要求笔记本电脑和[url=http://mobilecomputing.ctocio.com.cn/mobiledevices/tt-mobile-smp/]智能手机[/url]必须具备锁定功能,以防止数据外泄,而企业客户则想在单一的管理控制台上,用一台笔记本电脑、通过单一代理来管理所有工作。
数据丢失防护
在目前的形势下,网络安全巨头们打算靠什么来守住他们的阵地呢?答案是:钱。在过去的两年内,Check Point公司、思科、迈克菲公司以及赛门铁克在数据丢失防护(DLP)方面都投入了重金,他们纷纷想把这项技术整合到各自的威胁管理体系中。当然,他们有充分的理由这么做:根据隐私权信息中心(Privacy Rights Clearinghous)的报告,自2005年起,美国共有2.16亿份个人识别数据记录被泄露。
赛门铁克在以3.5亿美元收购Vontu公司之后,将以基于网络和终端的DLP技术纳入到了它的体系中。迈克菲斥资2,000万美元收购了Onigma公司及其终端DLP技术后,也为它自行开发的网络DLP产品增添了砝码。
赛门铁克与迈克菲的网络和主机DLP产品都能创建敏感数据的指纹。指纹创建完毕之后,这些产品将监测与指纹[url=http://database.ctocio.com.cn/]数据库[/url]匹配的内容的出站流量,并执行由系统管理员定义的策略,如隔离杀毒等。终端产品也具有相同的功能,甚至在电脑未连接上公司局域网时也可用于执行反泄露策略。
尽管基于指纹的DLP产品并非各类法规要求的强制性产品,但服务商都认为它们有助于企业达到规定的标准。赛门铁克还暗示,DLP技术应当成为信息生命周期管理系统的一部分,而这正是该公司Veritas储存产品的功能范围。事实上,在信息的储存和归档以及实时数据的保护方面,企业面临着同样多的要求。在赛门铁克的愿景中,系统管理员们将能在企业员工和伙伴创建及使用信息的同时,设置信息策略。此外,在上述的信息数据根据电子检索([url=http://whatis.ctocio.com.cn/searchwhatis/246/5947746.shtml]e-[/url]discovery)和记录保存的要求被最终储存到某一文档时,系统管理员也能设置策略对该数据进行追踪。
和整体风险管理一样,全球数据生命周期管理也是一个宏伟的愿景,一个远大的目标,它的实施需要对无数的产品进行大批量的整合。
在能够加密本地驱动器和控制U盘等移动媒体的软件上,Check Point和迈克菲也花销不菲,两家公司总共投入了近10亿美元。这些技术与DLP技术结合起来,为上述设备中的数据提供了双重保险。在支付卡产业(Payment Card Industry,下称[url=http://whatis.ctocio.com.cn/searchwhatis/468/6025968.shtml]PCI[/url])数据安全标准及健康保险流通与责任法案(Health Insurance Portability and Accountability Act,下称HIPAA)等大多数法律法规中,都有明确的加密要求。在美国许多州的非法获取信息通知法中,对采取了加密措施的企业都设有豁免条款。
迈克菲的数据保护产品组合在这场竞争中处于领先地位,它们覆盖了整个网络和终端。该公司也提供终端加密服务,虽然它尚未将加密软件SafeBoot集成到自己的王牌管理控制台E-Policy Orchestrator中。赛门铁克则没有属于自己的终端加密能力。
Check Point表示它会将终端加密技术放在首位,因为越来越多的企业会给员工配备笔记本电脑,而很多时候敏感数据外泄就是由于笔记本电脑遗失或被盗引起的。
该公司正试图将新近收购的Pointsec公司的软件集成到自己的终端安全产品Integrity Secure Client中,该产品目前具有主机入侵防护、防火墙、反间谍软件和远程网络访问等功能。Check Point还打算在2008年下半年,将Pointsec整合到自身产品的中央管理控制台SmartCenter中。
当然,一旦Pointsec的整合完成,Check Point很可能还会进一步添加更多的功能。公司必须掌握了基于指纹的DLP技术,才能底气十足地宣称自己拥有强大的泄露防护能力。
Check Point也打算生产基于指纹的DLP产品,它采取的方式不外乎两种:收购,或是自行研发。该公司目前拒绝透露具体的细节,仅表示在2008年上半年将会对外公布。
思科为了在自己的产品体系中引入DLP产品,也做出了大手笔——8.3亿美元收购了网关安全产品供应商IronPort公司。IronPort可以扫描出站的结构性数据,如信用卡号码等。它还能通过对包含敏感数据的信息等进行加密来执行策略。主机入侵防护软件Cisco Security Agent也具有DLP功能。该软件可以阻止用户将敏感数据从本地受保护的文件库里复制到另一文件或[url=http://smallbizit.ctocio.com.cn/emailaq/]电子邮件[/url]中。此外,它还具有设备控制功能,使用户无法将数据存入可移动媒体。
PCI带来滚滚财源
一谈起PCI数据安全标准,网络安全服务商们就会两眼放光。当初,各大信用卡品牌为了遏制疯狂的信用卡号盗窃行为,制定了这套安全标准,要求任何接受信用卡支付或处理信用卡交易的组织都必须严格遵守。未能达到这些标准的企业将被它们的商业银行处以罚款。
PCI数据安全标准对零售商的影响最大,因为他们大都缺乏现场的安全和[url=http://whatis.ctocio.com.cn/searchwhatis/250/6025750.shtml]IT[/url]专业人士来贯彻和执行这套标准。这时,网络安全服务商就有用武之地了,他们对照法规标准帮助客户勘查现有的安全流程,看看在哪些环节上客户需要采取全新的技术来确保安全。
PCI明确列出了一系列必需的技术,包括反病毒软件、防火墙、入侵探测系统、加密技术以及漏洞评估等。相比之下,HIPAA之类的法规就没那么严格了,因而对构成“符合规定”的解释(及咨询)也要宽松得多。
PCI的明确规定让安全服务商们嗅到了商业宝藏。但是,他们在做出承诺时却非常谨慎。比如说,思科就表示,虽然它以自身的产品为基础,建立了专门针对零售行业的PCI规定平台,但企业配置了该平台并不意味着就一定能达到PCI标准——它只是很重要的一步而已。
IBM也加入到了这场PCI竞争中,不过它付出代价相当沉重:IBM以13亿美元的天价买下了互联网安全系统公司([url=http://whatis.ctocio.com.cn/searchwhatis/127/6025627.shtml]Internet[/url] Security Systems,下称ISS),包括该公司的咨询管理服务及产品线。为了进一步武装自己的达标体系,IBM还收购了审计及合规性软件与服务的供应商Consul公司,以及Web应用程序漏洞扫描服务商Watchfire公司。
去年11月,IBM宣布将开发一个把自身产品和服务融为一体的项目,以帮助客户达到PCI规定的标准。这个以服务为导向的项目包括咨询工作与网络扫描等。
在产品方面,IBM借助PCI专用的漏洞评估对ISS Proventia Network Scanner进行了升级。公司还表示,它的统一威胁管理解决方案Proventia Network Multifunction Security仅用一个产品就能满足12项PCI要求中的10项。
IBM深信,越来越多的企业正在寻找可以成为战略伙伴的安全服务商。典型的例子之一是休斯网络系统公司(Hughes Network Systems,下称休斯公司)。该公司主要为零售商、餐馆及其他领域的企业提供[url=http://whatis.ctocio.com.cn/searchwhatis/167/7582667.shtml]托管[/url]网络服务。这些网络包括有线网络、无线网络及卫星网络等,它们都可用于传输信用卡数据,因此必须达到PCI的要求。
为了确保自己的各种网络体系符合PCI标准,休斯公司拉来了IBM做技术顾问。休斯公司的网络基础设施及安全部门高级总监马特·凯尼恩(Matt Kenyon)表示,他们现在的一切工作都是在按照PCI标准的要求进行。在IBM的帮助下,休斯公司制定了正式的策略和流程,以便自己能够更轻松地报告PCI标准的达标情况。此外,IBM ISS还提供该标准要求的外部扫描服务。
凯尼恩特别提到,客户们总是在要求对现有的网络基础设施进行调整,比如说添加无线服务功能,或是允许管理层人员从家中访问特定的企业局域网。有了IBM顾问团的协助,休斯公司就能在不违反PCI规定的情况下,满足客户的要求。
由于每家客户企业都少不了要出季度报表和年度报表,并且还要随时进行安全扫描,因此休斯公司便与IBM顾问团建立了长期的合作关系。
达标:在摸索中前行
人们往往可以从遵守某一标准的过程中,摸索出遵守其他标准的最佳办法。“每天都会有人在要求这要求那的。”费城证券交易所(Philadelphia Stock Exchange)质量安全副总裁伯尼·唐纳利(Bernie Donnelly)说。从美国证券交易委员会(Securities And Exchange Commission)到他的内部审计团队,唐纳利每天开口闭口谈的问题就是如何达标。
正因为如此,唐纳利学会了从战略而不是战术上思考。当审计官们要求该交易所的后台批量处理系统建立附加的制衡机制时,唐纳利就意识到,他们最终肯定会对分类帐户提出同样的要求。
“如果你在某一个系统中需要它,那么在其他系统中肯定也需要它。” 唐纳利说,“与其被人牵一步走一步,倒不如主动地去找出问题的真正症结。这样一来,你的业务水准也会随之提高。”
精明的安全专家不会把达标和安全混为一谈。唐纳利说:“达标只是第三方对你日常工作的认证。”如同运动员赢得金牌一样,最终取得达标认证是长期日常工作水到渠成的结果。随着安全服务商建立的威胁管理体系越来越完善,这些日常工作将得到极大的简化。诚然,一种产品再好也不可能达到面面俱到的程度,但我们可以不断增加它的功能、简化它的管理,这样的改善无疑是网络安全系统的架构者们最乐意看到的了。
cylnet 2008-7-15 16:27
IT服务管理:[url]http://www.feifanit.com.cn/productITSM.htm[/url]