本刊记者 晓辉
BehavioSec首席技术官Neil Costigan
2011年11月2 日,RSA大会信息安全国际论坛在北京召开,会上,来自全球的信息安全专家共同就现阶段的安全问题进行了探讨。本次大会嘉宾云集,记者有幸采访了BehavioSec首席技术官Neil Costigan。
Neil表示,云计算是未来的发展趋势,同样也存在安全问题,但却不是出现了新问题,而是把现在的问题更加放大了。我们要使用云计算,就必须以正确、安全的方式来使用,才能确保它的安全,这是它的优势所在。比如说如果我们将信息放在云计算上,将这些信息给予一个可靠的人进行管理,它的安全性比自己管理要高。但一定要记住,这里面总是有“人”的因素,比如可以把服务器和数据库放在云上,而将与人有关的方面处于自己的掌控之下。
因为社会工程是针对人的,在这个方面我们有两件事情要做。首先就是对人们就安全问题进行教育,我们需要进行大量的教育,就像我们以前教育他们如何使用Word或者是E-mail或者是使用浏览器一样的。这不是终点,我们应该把人本身作为使用的工具。也就是我们必须要了解他们的行为准则,利用他们这种行为准则作为加强安全的手段。比如如果我每天都去同样一个超市,我只在里面花100欧元,我在网上进行支付。如果有一天,我突然在菲律宾又花了 10万欧元,开了一辆劳斯莱斯,就说明行为上发生了异常的情况。因此,我们需要把这种异常和正常的情况进行比较,找出其中的安全隐患。另外,还有一个例子就是你一般使用电话的习惯是怎样的,按键的力度有多大、打字的速度多快、一般什么时候使用电话,以及通过GPS定位你在什么地方,这都组成了安全架构,这些都是社会工程无法轻易复制的。
另外,在安全和用户体验方面的平衡。我们的确需要更加注重用户的友好性。在我们的研究过程中,我们已经发明了一些新的技术,但还是需要一段时间对这些技术进行分析和测试。的确,我们安全行业已经认识到了给市场带来的一个最大的问题就在于它的复杂性,我们的确需要对其进行简化。这好像是一个三角架,其中一边是成本,一边是可用性,一边是安全。我们一般只能顾两个,而不能兼顾三个方面。如果你想要低成本,可能安全就没有办法保证,或者是想要可用性,安全也没有办法保证。这三者处在不断挣扎斗争的过程。我们作为研究者的工作就是要实现既有安全,又有可用性,又有低成本。现在我们的公司正在开发的技术就是将安全责任转到服务器这边,它对于用户来说是透明的,用户不需要再借助很多密码,所有这些都是透明的,通过服务器来完成。我们希望进行过培训的客户能够管理好他们的安全问题,但又不需要在这方面有任何的用户体验,所有工作都是由服务器来完成的。
现在最大的问题就是在管理系统中有很多登录的密码,因为东西很多,也许有的密码忘记修改,如果我们把这些空子都放在一个地方,如果使用的是最佳实践的方法,肯定就会得到非常具有成本效益的做法。这其实比把所有的东西都分散在其他的地方要更为安全。打个比方说,如果你的公司只给你100美元,让你做安全方面的问题,他们可以进入5个系统,你把它分摊到每一个系统上的安全成本就降低了,这样也使它的安全性能降低。因此,如果能将这100块钱花在成本最高,但是,安全性能最好的达到军事安全级别的加密预算当中,你的安全性能就可以得到提高。