这篇文章发在绿盟科技技术内刊的2011年9月,总第14期上。主要总结了对安全业界当前实践的三个观察,提出了下一代安全体系的可能发生的三个变革 – 更加智能、面向服务、行业精细分工。应该看到,这些思考还是粗糙的,不成系统的,在逻辑上也不完整,仅供大家讨论参考。这一期技术的下载地址是: http://www.nsfocus.com/images/6_about/journal/6_10_014_j.pdf
1前言
坦白说,写本文的主要目的是反思,反思的目的是探讨和研究潜在可行的变革和创新。
虽然网络安全作为一个产业已经走过了十几年的历程,但是,应该看到网络安全产业界还处于一个相当不成熟的初步阶段,作为行业里的一个老兵,这样说内心里很不舒服也不情愿。对于行业实践中的这些“不成熟”笔者在前文“网络安全发展的战略回顾”[ZL1][ZL2]中已有不少列举,举例说:
• 网络安全相当程度上依赖于基于IP五元组之上的边界防护模型,明显落后于互联网和IT应用技术的发展
• 产业界尚未形成相对成规模的产业内分工,大多数用户和提供者处于低于规模水平的运作状态。
• 产业界的大部分维护建设工作由人工完成,自动化程度很低。
• 网络安全设备种类繁杂,之间缺少有效的集成和互动,智能化水平很低。
• 保护对象的业界缺少相对完备和公认的方法工具等评价安全投入的产出价值。
• 等等
所谓“下一代”是一个很模糊的词,本身并没有确切的时间段来区分,有点和稀泥的意味。“战略回顾”一文中描述了过去十多年时间里0.1、1.0、2.0三个时代各自的特征,也尝试着提出了Security NG的一些猜想。本文的“下一代”在“战略回顾”一文基础上,尝试将“下一代”更加具体化,与业界的实践建立更多的联系。
本文后面三节分别拣选了三个方面探讨当前安全实践中可能存在的“问题”。第2节将分析当前安全实践中基于IP五元组的“城堡”防护模型,第3节将分析以硬件盒子为主的安全产品形态方面的问题,第4节将分析安全产业在分工和互信、互动方面的问题。同时,在每个小节也提出了相应的下一代安全体系的可能特征。 Read more…
[Note] This paper was submitted to the 2nd Cyber Security Summit @London at June 1-2. A novel idea was explored to touch the critical concern surrounding ICT supply chain threats. You are welcome to download it and share your comments with the authors. Here are some comments at the web, thanks to Jart.
Abstract — Information Communication Technology, which has been more and more critical in the modern economy and society , means more than information technology and traditional telecommunications. The integrity of ICT supply chain has slightly different meaning than the traditional security and assurance. Partly for the sake of difficulties to technically testify the increasingly complicated modern ICT products, it’s by no means to figure out an end to end integrity assurance program and methodology, letting alone test cost and timing factors.
This paper investigates the threats of ICT supply chain integrity, particularly covert channel. An architectural approach, named as Architectural Solution Integration, is given out to assure the integrity of ICT system and contain the potential threats through supply chains. The quantitative assessment of ICT supply chain integrity is discussed as well, followed by the future work analysis.
Key Words — ICT Supply Chain Integrity;Assurance;Security;Covert Channel
Download the paper…
【注】好长时间没有更新了,在新浪微博上活动了一阵子,熟悉了一下新媒体 
. 想更新一下博客,又没有新的话题,只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后,主要是为了完成绿盟技术内刊的任务。请各位朋友指正。
2010年安全回顾
摘要:Stuxnet、WikiLeaks、3Q大战影响深远,本文从这三件安全事件延伸开来,综合云计算和云安全、安全海量数据挖掘,以及虚拟世界安全等方面,对安全行业的前沿技术进行简述和讨论,这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年!
关键词:2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP Read more…
光有雄心和豪情远远不够,一定要有切实可行的战术和手段来实现它。对中国CEO而言,这其实比盖茨之道更容易复制。
【中国企业家网】2月24日是乔布斯的生日,这个双鱼座男人,在他过去的56年里,人生彪悍,狠字当头,他是硅谷的首席创新总监,商界贝多芬,IT业的拿破仑,当然,他也被称为“美国最粗暴的老板”,就在去年,他骂过谷歌的“不作恶”是狗屎以后,又痛骂Adobe Flash。
但是,乔布斯正变得虚弱,他的近况不太好,甚至有谣言说“只有六周生命”,他最近的照片被曝光,依旧是标志性的new balance鞋子,牛仔裤,套头衫,不过,猛人乔布斯变得消瘦、步履蹒跚,他牵动了全球的眼光,大家都在猜想离开乔布斯的苹果该走向何方?
不管如何,有理由相信:乔布斯为这个世界透支了生命。乔布斯在斯坦福有个著名的演讲:“提醒自己快死了,是我在判断重大决定时,最重要的工具。因为几乎每件事,所有外界期望、所有名誉、所有对困窘或失败的恐惧,在面对死亡时,全都消失了,只有最重要的东西才会留下。” Read more…
2010年12月13日,时值10年岁末,美国贸易委员会发布针对商业机构对用户隐私数据保护的白皮书,针对商业机构收集使用保护用户数据的过程中,如何保护用户隐私的问题,拿出了初步的指南意见。
该指南意见的使用范围非常广泛,适用于所有商业机构,只要它收集或收集过消费者数据,或有可能联系到某个特别消费者、计算机或其它设备的数据。基本上,所有的运营商、银行、证券公司、保险公司、学校、医院、超市、汽车4S店等,在当前打着各种提高客户满意度、加强CRM管理的旗号下进行的各种商业促销行为,肯定都在此使用范围内。
下面是该白皮书的几点主要内容:
- 商业机构应该切实提高保护用户隐私的相关实践,包括数据安全、收集限度、数据保留制度以及数据精确度等。这些实践应该融于各种应用设计、开发甚至整个生命周期。
- 商业机构应该简化在收集用户数据时给用户的选择,以便用户作出快速清楚的选择。
- 商业机构关于尊重隐私等声明和提示应该更加清楚、简短、标准化,保证用户更好的理解,以及横向对比隐私保护实践。
- 在商业结构打算以收集数据时隐私条款上不同的方式使用数据前,必须向用户提供非常显式的提示并获得用户明确的确认。
- 所有相关各方应该就商业数据隐私保护实践尽力教育消费者。
考虑到我们刚刚发生的3Q大战、大家天天收到的令人恼火的“骚扰”“广告”电话,期待我国的用户隐私数据保护立法行动。
近日华为总裁任正非在云计算研讨会上发表演讲,他表示,华为首先是基于电信运营商需求来做云平台、云应用。在云平台上要在不太长的时间里赶上、超越思科,在云业务上我们要追赶谷歌。
华为廿年来,从青纱帐里走出来,一个孤独的“农民”,走在一条曲曲弯弯的田间小路,像当年堂吉诃德一样的封闭,手拿长矛,单打独斗,跌跌撞撞 地,走到今 天。当我们打开眼界一看,我们已经不得不改变自己长期的封闭自我的方式。以前华为跟别的公司合作,一两年后,华为就把这些公司吃了或甩了,这是“黑寡妇” 的做法。
华为昨日正式面向全球发布了云计算战略及端到端的解决方案。其云计算解决方案包括SingleCLOUD云平台解决方案和电信应用云解决方案。 华为总裁任正非在发布会上发言时表示,“我们在云平台上要在不太长的时间里赶上、超越思科,在云业务上我们要追赶谷歌。”他同时称,“让全世界所有的人, 像用电一样享用信息的应用与服务。”
以下为任正非在华为云计算发布会上的发言:
云计算是一种新的技术,它像IP技术一样,可以用在任何信息传播需要的地方。如同IP改变了整个通讯产业一样,云计算也将改变整个信息产业。未 来信息的广阔包容,规模无比,覆盖天涯,蓬勃发展,风起云涌,烟消云散……,多么变幻无穷,多么像云一样不可估量,这多么形象地描述了未来的信息浪潮。获 得信息需要技术的变革,商业模式的创新,它的特性决定了,任何人都无力独揽狂澜。开放、合作是云产业未来的最重要的标志。 Read more…
Global and local regulations are evolving across all industries and sectors. Here is a selection of the ever-increasing number of regulatory frameworks:
- All sectors and industries –
Enterprise Risk Management (ERM), Electronic discovery (e-discovery), Financial Statements (IFRS,GAAP), Sarbanes Oxley (SOX), EuroSox, Customer Data Privacy and Protection (EU e-privacy), Business Continuity Management, Data Protection Act (EU, UK, Germany), IT Security, IT Controls and Compliance (ITIL, CobiT, ISO), Payment Card Industry Data Security Standard (PCI DSS). Read more…
2010年11月2日,美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件,文件阐述了美国政府对于云计算服务的基本立场和政策,分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等,并针对云计算的安全防护,以NIST和FISMA的相关安全标准和控制为基础,发布了征求意见稿。
文件首先指出采用云计算对于美国政府来说是风险也是机遇,机遇体现在更高的IT效率,成本方面的节省以及绿色计算等带来的环境保护。但是,要不要采用云计算不是一个基于技术的决定,而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险,并与自己的安全需求进行比对分析。
Cloud Computing systems are hosted on large, multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process once and share the results with customer agencies.
文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定,从而加速云计算的评估和采用,降低风险评估的费用。 Read more…
在前不久9月2日召开的云安全联盟中国峰会上,在F&S的Cathy分享了有关亚太地区云计算应用的调研数据。还有以前看到的不少资料,亚太地区在云计算的接受程度和应用上与美欧相比,都有些落后。云安全的相关研究也类似的感觉,主要的体现在于公开可得的相关资料多来自美欧,来自亚太地区的贡献相对较少。
10月份澳洲犯罪学研究所发布一份彩皮书 – Cloud computing: Challenges
and future directions, 即云计算之挑战和未来方向。彩皮书对当前云计算技术的动因和主要架构进行了综述,对云计算带来的各种挑战进行了分析。应该说,挑战分析与云安全联盟的7大安全威胁相比很有特色,也很有启发性。彩皮书可以在此下载到.
彩皮书的作者是Raymond Choo博士,上个月在新加坡Govware会议上有缘结识。Raymond著述丰硕,也是很有影响的意见领袖,相关内容参见:http://www.aic.gov.au/about_aic/research_programs/staff/choo_raymond.aspx 希望以后有机会能邀请Raymond到中国来,认识更多的国内朋友。
在云安全联盟的相关活动中,除澳洲外,我们还能明显地感觉到日本和印度逐渐加快的节奏。其社区的活动温度比我们要高好几度,政府的推进,从政策上、投入上都很明显,似乎进入国家战略的范畴了。参见以下这则新闻:http://e.nikkei.com/e/fr/tnks/Nni20100616D16JFN05.htm Read more…
云安全联盟 CSA(Cloud Security Alliance)成立于2009年的RSA大会,云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。自成立以来, CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到目前为止,CSA的企业成员多达50个以上,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。云安全联盟中国区分会是CSA在中国的分支组织。
CISRG是一个活跃的技术研究团队,团队成员都拥有自己特定的技术研究方向,目前的研究方向主要有:操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。
2010年11月,让我们相聚上海,继续讨论信息安全这个永恒的主题。
详细日程和演讲嘉宾等更详细内容参见:http://www.tektalk.org/?p=12158
9月份的最后几天,有幸到新加坡参加了Govware 2010大会,整个大会从28日到30日为时三天,着实是令人兴奋的三天,不仅仅是白天的议题和展览,每天晚上的招待酒会也是让人流连忘返。回到北京,还处于国庆长假之中,有时间来回顾总结一下。
1 Govware 2010大会
我是第一次听说并很荣幸地作为受邀Speaker参加大会,有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上,Govware不仅仅是新加坡一个国家的安全展会或研讨会,它的影响已拓展至整个亚太地区,演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全,战略可以有两个意思,一个是宏观的、全局的,另一个是长期的、长远的。
2 保护关键信息基础设施CIIP
前面几次大会都参加了云计算/云安全的话题,此次Govware2010也有一个单独的云计算Track(清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲,可惜由于时间冲突没有听得上)。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题,好在公司在此方面积累甚多,不少同事热心帮助。最后定下来的题目是:Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等,介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…
在云计算时代,基于IP的安全策略效用将大打折扣,随时随地的数据和服务访问要求安全访问控制要能够基于“用户”和“数据”。同时,为了强化“用户”和“数据”的访问控制,双因子认证将会变得更加普遍,甚至成为缺省设置,例如网络访问与下一代身份证ID之类的硬Token结合在一起。当然,为了保护公民隐私,在实名制的ID认证和实际的网络身份之间有必要在技术上实现一种匿名层(Anonymization)…
上面都是技术层面上的讨论,事实上,最为脆弱的部分并不在于技术,而是在于社会工程打击的目标 – 缺少安全意识和技能的“人”。就如同大家在车站机场商场等公开场合到处可见的“注意保管您的随身物品”提醒牌,互联网上要安全冲浪、保护隐私最重要的就是要有“意识”。撇开普通老百姓,从政府、企业、组织等高度来看,就是要让安全意识从安全经理和安全主管那里,外延到最高管理层、财务和业务负责人、所有的普通员工等。
这是个典型的“说起来容易做起来难”的事,难在有钱有权的没有动力,有动力没有资源。大洋对岸从去年开始设立了全国的安全月 – 十月份。今年的主题是 – 我们共同的责任 (Our Shared Responsibility)。这个事情值得我们借鉴。
今天在浏览Beaker的博客时,看到一则很有趣的活动。Beaker在推动一个叫做Hackid的公益项目 – 安全从孩子们抓起。
Hackid通过举办以孩子们为主的技术沙龙和动手活动,来激发孩子们对于基础电子、互联网、创新等的兴趣,提高孩子们的动手能力,提升孩子们对于互联网基础知识的了解…下面是其官方页面中的活动内容介绍: Read more…
IaaS, PaaS, SaaS, Azure, EC2, SQS, AppEngine, Hadoop, Coherence,……. 最近开始关注Cloud Computing方面的一些动向,但是很快被这些新名词搞得晕头转向。好在找到了下面这个Cloud Computing Taxonomy,它很清晰的对Cloud Computing的Vendor和New Technologies进行了归类:
这个Taxonomy的作者是Pater Laird,他曾经是BEA/Oracle Weblogic SaaS平台的Chief Architect。大家有兴趣可以看看他的Blog (http://peterlaird.blogspot.com/)。
另外,VMWorld 2010今天在旧金山的Mosconi Center召开。VMWare是很重要的Cloud Computing Infrastructure的提供商,所以VMWorld大会在Cloud Computing中的地位也举足轻重,很多IT厂商包括Cisco, HP, EMC, NetApp, Dell, Intel等都在VMWorld上有很大的展台。这两天有时间的话我会去VMWorld转转,有什么好东西回来向诸位报告。
最近美国IT企业并购可谓遍地开花,这边Intel刚刚宣布购买McAfee,那边Dell和HP还在为存储服务商3PAR打的不可开交(让我想起去年NetApp和EMC争夺Data Domain的案例),3PAR的股票从两个星期前的10美元不到已经涨到接近28美元。今天华尔街日报又传出安全厂商ArcSight正在和Oracle, IBM, HP, EMC和CA等潜在买家接洽,消息传出后ArcSight的股票(ARST)应声涨了30%。
Arcsight的潜在买家中没有Cisco,这让我比较吃惊。ArcSight是做SIEM (Security Information and Event Management)的,和Cisco的MARS直接竞争,我一直觉得Cisco是ArcSight最合适的买家。Symantec的产品和ArcSight也有很好的整合度,本来也是一个潜在的买家,不过在Mcafee被收购后,它自身可能也难逃最终被收购的命运。相对而言,ArcSight产品的整合度和Oracle的Enterprise Manager或者HP的OpenView就没有那么高。
信息安全这几年来一直是一个增长很快的领域,并且正在成为企业整体解决方案中不可或缺的一部分,这也是为什么近几年IT巨头纷纷出手收购安全公司。此外,独立的安全公司规模往往较小,比较容易被收购。比如安全行业的”巨头” Symantec的市值也不过110亿美元,为IBM的1/15,HP的1/9,Oracle和Cisco的1/10。抚今追昔,下面我们来看看最近几年美国的IT巨头们都收购了哪些安全企业:
IBM:
- 2010年7月:BigFix (Security Management)
- 2009年11月:Guardium (Database Security)
- 2007年6月:Watchfire (security testing)
- 2006年 8月:ISS
Cisco:
- 2009年12 月:Scansafe (Saas WebSecurity)
- 2007年11 月:Securent (Entitlement Management)
- 2007年1月: IronPort (Email and Web Security)
HP:
- 2010 年8月: Fortify (Software Security)
- 2009年11月:3Com (Tippingpoint)
- 2007年6月:SPI Dynamics (Web Security Testing)
Intel:
EMC:
- 2009年5月:Configuresoft (Change and Compliance management)
- 2006年6月:RSA Security
最后来说说我比较熟悉的Oracle:
Oracle除了今年5月份收购英国的数据库防火墙公司Secerno外,其在安全领域的并购主要集中在身份管理(Identity Management)领域。当然,Oracle对Sun和BEA的收购也为其带来了一些安全产品。 目前Oracle在安全方面的产品主要集中在Database Security,Identity Management和Enterprise Manager这三个产品线。尤其在Identity Management领域,在收购Sun后,Oracle俨然已经成为这个领域最有实力的厂家。
抚今追昔之后,让我们再来展望一下未来,看看还有哪些安全企业可能被IT巨头们收入囊中。下面是几个我认为最可能被收购的安全公司:
- Symantec (SYMC): Symantec除非自己做大做强,否则难逃被并购的命运。不过其110亿美元的市值有些高,使得眼下其被收购的吸引力不大。估计等它的股票再跌一跌,到市值相对便宜的时候就会有IT巨头出手。
- Sourcefire (FIRE): 不到7亿美元的市值,今天Arcsight的消息出来之后其股票也跟着涨了11%,来看华尔街对其被收购的预期比较大。
- Fortinet (FTNT): 13亿美元的市值。Fortinet的创始人早期创立了Netscreen,后来卖给了Juniper,不知道若干年后会不会把Fortinet再卖给Cisco或者Juniper?
- Palo Alto Networks (private):小型的防火墙公司,产品很有特色。不知道会不会被Cisco或者Juniper收入囊中。
- Qualys (private):一直有Qualys将要上市的传言,不过近来美国股市表现不佳,短期内其上市的可能性不大。如果拖延太久而VC又想早日套现的话,Qualys也很可能被收购。
昨天晚上的手机短信就没有断,不少朋友都在议论这个收购。 同意Jeff的看法,Intel这个“跨界”距离忒大了些。此前,也一直风传TrendMicro/McAfee等独立安全公司在寻找购并机会,包括Hp收购McAfee,看到这个消息还是让人吃惊。
后面怎么也得有段时间McAfee独立运作了,也看不出有什么中间交叉业务,McAfee, an Intel company. 有新闻认为Intel出手是看好手机和硬件安全云云,有些牵强。
这个收购时Intel42年历史上的最大手笔,WSJ评论也表达了Intel有些“冲动”的担心,点击看华尔街日报的相关新闻和评论….. Read more…
Recent Comments