郭涛
如果说以前安全产品的开发主要依靠人的智慧和经验,以及有限的数据,那么现在安全产品的开发和安全服务的提供则与大数据密不可分。赛门铁克SOC的扩充与完善,将为赛门铁克基于大数据的安全服务奠定坚实的基础。
12月2日,赛门铁克公司宣布,将投入超过 5000万美元用于加强公司在全球市场中的网络安全服务业务。其中,部分资金已投入于12月2日正式开始运营的位于新加坡的赛门铁克安全运营中心(Security Operation Center,SOC)。赛门铁克大手笔建立和扩展SOC,一个核心目的是扩大它在亚太地区的业务规模,助力客户获得更全面的监测和安全大数据,更好地应对高级威胁。
大数据与安全密不可分
与VERITAS拆分后,赛门铁克仍是全球安全领域最大的公司,年收入约40亿美元,其中企业级安全业务和消费类安全业务的收入各占一半。赛门铁克公司亚太及日本区高级副总裁Sanjay Rohatgi表示:“拆分后,我们在安全领域将更加专注,并向纵深发展。先期投入的5000万美元只是冰山一角。未来,我们还会加紧收购,会有更多资金用于业务规模的扩充。”
赛门铁克的现有业务一分为二,即企业级安全业务和消费类安全业务,两者既相对独立又相互依存、互为补充。在企业级安全业务领域,赛门铁克将坚定地执行“统一安全”的新策略,重点发展四大核心业务,包括威胁防护、信息防护、统一的安全分析平台和网络安全服务。这也是赛门铁克企业级安全服务的四大支柱。在消费类安全业务领域,诺顿仍是主打产品。诺顿不仅仅是一个杀毒软件,还是一个可以跨越不同硬件平台(各种PC或移动终端)、操作系统(包括Windwos、iOS等)的安全产品平台,还可以云服务的形式出现。
企业和个人面临的风险不同,黑客的攻击能力和攻击方式也不相同,所以要在产品上区分出企业级安全解决方案和消费类安全产品。另一方面,针对企业和个人的安全情报收集工作是有相关性的,信息可以互用。所以,赛门铁克也一直强调,提供端到端的安全解决方案,保护企业和个人免受安全威胁。
如果说以前安全产品的开发主要依靠人的智慧和经验,以及有限的数据,那么现在安全产品的开发和安全服务的提供则与大数据密不可分。通过对大量安全事件和各类相关信息的收集、分析,企业可以更及时地发现安全威胁和漏洞,提前做好防御工作,尽量避免或减少网络攻击所带来的损失。在赛门铁克企业级安全业务的四大支柱中,统一的安全分析平台和网络安全服务就是以大数据为依托的。
统一的安全分析平台是赛门铁克安全架构的核心,它能够收集大量安全探测器的结果,并针对本地和全球威胁进行高效分析。统一的分析平台是一个底层基础架构,它通过API接口可以支持很多应用,包括其他安全厂商的产品,以及应用服务商或系统集成商的产品,为平台提供丰富的数据源。统一的安全分析平台的价值在于可以充分利用与安全相关的大数据。
网络安全服务是赛门铁克目前增长最快的业务之一。网络安全服务涵盖事前、事中、事后,包括威胁监测服务、事故响应服务、攻防模拟服务、大数据服务等,覆盖整个生命周期。“我们拥有独一无二的全球安全情报网络,它是为用户提供网络安全服务的基础。”Sanjay Rohatgi表示,未来,赛门铁克在网络安全服务领域将拥有更多商业机会。
发挥SOC的支撑作用
赛门铁克在全球范围内部署了一张智能的数据情报网络,它能及时监测各地的安全事件,收集各类相关信息,并提供给赛门铁克的安全专家,用于安全分析,从而找到安全漏洞,并据此研究出有效的安全对策。
这张智能的数据情报网络的支柱就是分布于全球各地的SOC。赛门铁克在全球共有6个SOC,分布在美国、英国、日本、印度、澳大利业和新加坡,其中4个SOC设在亚太地区,足见赛门铁克对亚太市场的重视。这些SOC每天分析来自全球的300亿个日志信息,全年无休地提供企业级保护,帮助企业强化安全防御能力,以应对每天出现的新型威胁。赛门铁克亚太及日本区网络安全服务高级总监Peter Sparkes带领记者参观新加坡SOC时介绍说:“我们的SOC可以根据用户选定的地点,实时展示以该地点为核心的两平方公里范围内所有监测点一小时内的数据。SOC不仅具有强大的数据收集能力,而且还提供专业的大数据分析能力,从而最大化赛门铁克的安全保护能力。”
随着新加坡SOC的启用,企业将能获取大量的安全数据,进行准确的威胁检测,并能够主动获得新型威胁通知,从而确保企业的敏感信息得到全面保护。新加坡SOC将帮助企业缩短从检测到响应的时间,降低运作成本,并主动应对新兴威胁。
赛门铁克高级副总裁兼网络安全服务总经理 Samir Kapuria 表示:“如今,企业仅仅依靠技术已经无法防御各种高级威胁。企业需要安全专家来解析,并为关键安全事件进行优先级划分,然后采取相应的行动。新加坡SOC的建立,以及赛门铁克在亚太地区的投资将提高该地区的安全可见性,提高客户的安全操作能力,保护客户的关键信息与资产。”
目前,新加坡SOC拥有80名运营人员,另有一些研发人员,承担着SOC和安全响应中心的双重职能。在新加坡SOC正式运营后,赛门铁克将继续扩展和完善其他的SOC。赛门铁克计划将位于印度金奈的SOC的专家扩展到200人,紧接着将扩充位于东京的SOC。这两项工作大约要花费两年时间。在这之后,赛门铁克将继续扩展欧洲的SOC。当所有的扩展工作完成后,赛门铁克将在全球范围拥有8个安全运营中心、超过500位认证的网络安全专家。
“赛门铁克暂时没有在中国建立SOC的计划。”Sanjay Rohatgi表示,“SOC是全球性布局。所有的SOC要为全球的客户服务,而并不是SOC建在哪里就只为当地的用户服务。现有的SOC可以覆盖中国市场和客户。另外,SOC的建设和扩展需要相当大的资金投入和人力投入。目前,SOC专家的录取比例是50∶1。赛门铁克之所以不惜巨资在新加坡建立SOC,主要还是因为这里有丰富的专业人才,可以提供多种语言的服务。”
未来,赛门铁克会继续加大对网络安全服务技术的投入,包括大数据分析和分布式计算。赛门铁克网络安全服务将为客户提供集安全托管服务、DeepSight Intelligence、事故响应、安全模拟培训于一体的强大产品组合。
2016安全新趋势
在新加坡举行的SOC启用仪式上,赛门铁克还发布了《2016年安全威胁趋势预测》。
上个世纪90年代,所谓的黑客还是那些计算机和安全技术的发烧友。他们出于个人兴趣和爱好,或是为了单纯地炫技,才不断寻找机会攻破一些政府机构或大企业的防火墙。但是现在呢?网络犯罪成了有组织、针对性极强的“活儿”。网络罪犯为了钱不择手段,让用户、安全厂商持续“喊打”。
如今,网络罪犯不仅技术高超,资源充足,并具有相当的耐心,能够对全球消费者、企业和政府进行高成功率的网络攻击。通过大规模盗取的私人信息,网络攻击者已将网络犯罪变为重要的获利手段。
1.物联网设备亟须保护
随着消费者购买越来越多的智能手表、活动追踪器、全息耳机和其他物联网设备,提高物联网设备安全的需求变得更加迫切。Gartner发布的《物联网概述》中提到,到2020年,大约有300亿个互联设备将在行业中得到广泛使用,物联网将渗透至企业中的每一个角落。毫无疑问,物联网设备市场将会不断扩大,但低成本硬件平台和操作系统的差异性仍将导致该市场较为分散。针对物联网设备的攻击将会逐步增加。近年来在移动领域,针对Android平台的攻击已经屡见不鲜。系统制造商们正在针对它们所支持的生态系统加强安全防护开发,例如苹果公司的HomeKit等。
医疗设备的安全性将在2016年成为主要话题之一。起搏器或胰岛素泵等生命维持设备可能会遭受网络攻击。但幸运的是,除了概念性验证的安全研究外,全球尚未出现此类事件的报道。
原来用于IT的安全策略和方法,现在还能适用于对物联网设备的保护吗?赛门铁克物联网部门高级总监Brian Witten回应说:“两者的安全保护原则是相同的,只是具体的使用背景、保护方法和优先级不同而已。针对IT设备的保护往往只考虑单一环节,针对物联网设备的安全保护则更强调整体性,而且有优先级,白名单、加密和恢复显得更重要。”
在针对物联网的安全保护方面,赛门铁克会与合作伙伴深入合作,一方面,与合作伙伴提供集成式的安全方案,将赛门铁克的安全技术嵌入到合作伙伴的物联网解决方案中;另一方面,赛门铁克会与物联网的合伙伴进行产品的兼容性测试和认证,由用户决定是否采用赛门铁克的安全方案。
2016年,政府将不得不完善相关法规。部分国家或行业将开始制定指导方针来解决物联网设备所面临的信息使用、数据所有权和同意书风险。
2.将有越来越多针对苹果设备的攻击
IDC的调研数据显示,苹果公司目前占据13.5%的全球智能手机出货量和7.5%的全球计算机出货量。随着苹果设备用户量的不断飙升,苹果用户吸引了攻击者的注意,越来越多的攻击者开始开发能够感染并运行Mac OS X或iOS系统的恶意软件。
与桌面领域的Windows系统和移动领域的Android系统相比,目前针对苹果操作系统的威胁数量并不太多。但是近几年,已被发现的针对苹果设备安全的威胁数量呈稳步增长的趋势,相关恶意软件感染水平也在过去的18个月中出现激增的状态。安全研究人员对苹果软件漏洞给予了更多关注,仅在去年就发现了多个高级别漏洞。零日漏洞代理(Zero-day brokers)开始为发现苹果漏洞的人提供奖金,近期针对破解iOS 9.1系统的奖金高达100万美元。
苹果用户不该满足于目前的安全状态,而应改变对苹果设备“绝对不会受到恶意软件攻击”的错误认知。苹果用户应采取主动预防措施,防止其设备受到攻击。
3.小心防范勒索软件犯罪
从早期的俄语国家开始,勒索软件便不断发展并扩散到美国、加拿大、澳大利亚,以及亚洲等地区和国家。某些负责开发原始勒索软件的犯罪团体同样可能是扩散的参与者。不仅如此,其他罪犯团体也正在加入勒索犯罪的群体。由于诈骗带来的利润,勒索软件未来很可能在规模上进一步扩大。
赛门铁克预计,到2016年,勒索软件犯罪团体有可能与传统恶意软件发布者发生更多冲突。相较于恶意软件的谨慎,勒索软件是明目张胆地公开犯罪。当计算机感染勒索软件时,计算机用户要彻底清理设备,以删除所有恶意软件。由于勒索软件能够通过独立恶意软件安装,因此计算机上的其他恶意软件也会被同时删除,这扰乱了其他恶意软件运营商的业务模式。2016 年,越来越多的恶意软件分发网络可能会拒绝分发此类明显的勒索恶意软件,迫使勒索软件团体开发自己的分销渠道。
随着人们对诈骗事件的认识逐步提高,攻击者及其恶意软件可能进一步运用更先进的手段来逃避检测和阻止移除。此外,勒索信件或将升级,攻击者将会采用不同的诱饵来欺骗无辜用户。
勒索风险主要发生在Windows环境中,iOS环境目前还没有勒索事件发生。不过,在经济利益的驱使下,iOS环境未来也可能成为勒索的目标。所以,iOS的用户也不能掉以轻心。为避免勒索风险,用户不要点击钓鱼邮件,还要对邮件进行过滤和隔离等处理。
4.网络保险需求会增加
网络保险被客户快速接受并迅速发展的背后有两个原因:第一,新的国家法规迫使企业必须有应对信息泄露的对策;第二,利用盗取信息实施付款欺诈、身份窃取和其他形式的网络犯罪快速增长。
网络攻击与数据泄露会给企业的名誉和业务带来损失。更最重要的是,企业将为此付出十分昂贵的代价。没有企业能够对风险免疫,仅仅依靠 IT 防御会给企业造成安全上的错觉。赛门铁克预计,到2016 年,许多企业势必将网络保险作为另一种保护层,用于安全防御。
网络保险可以为企业提供防护并控制风险,但企业应该认真考虑所有的投保选项。网络保险的发展速度非常快。如今的核心保险相比3年前,可以提供更广的覆盖范围。随着数据泄露和网络风险的演变,市场中的保险服务也将不断改进和完善。
5.针对关键基础设施的攻击将更加严重
针对基础设施的攻击事件时有发生。赛门铁克预测,在2016年,这类攻击事件将愈加严重。政治目的和犯罪目的是针对关键基础设施开展攻击的两大原因,例如国家和政府机构之间的网络战,以及为获取利益和赎金的犯罪攻击。
6.更多更强烈的加密需求
加密正迅速地得到科技行业的重视。由于许多人和系统在易受攻击的网络中进行通信和交流,在交流互动中为数据进行强大的加密已得到了人们的认可,并将成为常规的安全防护方式。由于许多新设备和应用程序中的加密措施并不完善,产生的安全漏洞往往会被攻击者利用。例如,移动设备已经成为普通消费者通信、存储数据和进行常规技术交流的主要设备,其高价值使之成为网络罪犯的攻击目标。
移动系统制造商不断提高产品的加密技术,以填补应用程序和服务提供商之间的安全漏洞。尽管越来越多的加密功能可以保护用户的信息免遭攻击,但该举动也引起了部分政府的不满。他们认为,这将成为执法的阻碍。赛门铁克认为,曾经发生在20世纪90年代的加密战将在未来两年内卷土重来。
7.生物识别技术将得到广泛应用
生物识别技术的应用在过去两年内增长显著。该技术预计将在采用新型传感器的设备,以及像FIDO和TouchID等生物认证框架的主要行业领导厂商中得到广泛应用。生物识别技术能够确保识别生物特征信息(如指纹)的设备的安全。
生物识别技术的应用可以帮助企业降低对密码的依赖。
8.云安全
目前,安全问题仍是企业用户上云的最大障碍。一方面,用户要考虑访问云中的应用的安全;另一方面,还要考虑如何保证云中的数据安全。
赛门铁克信息保护业务经理Nick Savvides表示:“中小企业通常没有专业的技术人员。它们可以借助专业的第三方安全厂商提供的安全服务。赛门铁克目前可以提供云安全服务,为客户提供一体化的安全保障,产品集成度更高,专业性更强,可以更快地部署和实施。在亚太地区,安全托管服务的需求十分迫切。”