这篇文章发在绿盟科技技术内刊的2011年9月,总第14期上。主要总结了对安全业界当前实践的三个观察,提出了下一代安全体系的可能发生的三个变革 – 更加智能、面向服务、行业精细分工。应该看到,这些思考还是粗糙的,不成系统的,在逻辑上也不完整,仅供大家讨论参考。这一期技术的下载地址是: http://www.nsfocus.com/images/6_about/journal/6_10_014_j.pdf
1前言
坦白说,写本文的主要目的是反思,反思的目的是探讨和研究潜在可行的变革和创新。
虽然网络安全作为一个产业已经走过了十几年的历程,但是,应该看到网络安全产业界还处于一个相当不成熟的初步阶段,作为行业里的一个老兵,这样说内心里很不舒服也不情愿。对于行业实践中的这些“不成熟”笔者在前文“网络安全发展的战略回顾”[ZL1][ZL2]中已有不少列举,举例说:
• 网络安全相当程度上依赖于基于IP五元组之上的边界防护模型,明显落后于互联网和IT应用技术的发展
• 产业界尚未形成相对成规模的产业内分工,大多数用户和提供者处于低于规模水平的运作状态。
• 产业界的大部分维护建设工作由人工完成,自动化程度很低。
• 网络安全设备种类繁杂,之间缺少有效的集成和互动,智能化水平很低。
• 保护对象的业界缺少相对完备和公认的方法工具等评价安全投入的产出价值。
• 等等
所谓“下一代”是一个很模糊的词,本身并没有确切的时间段来区分,有点和稀泥的意味。“战略回顾”一文中描述了过去十多年时间里0.1、1.0、2.0三个时代各自的特征,也尝试着提出了Security NG的一些猜想。本文的“下一代”在“战略回顾”一文基础上,尝试将“下一代”更加具体化,与业界的实践建立更多的联系。
本文后面三节分别拣选了三个方面探讨当前安全实践中可能存在的“问题”。第2节将分析当前安全实践中基于IP五元组的“城堡”防护模型,第3节将分析以硬件盒子为主的安全产品形态方面的问题,第4节将分析安全产业在分工和互信、互动方面的问题。同时,在每个小节也提出了相应的下一代安全体系的可能特征。 Read more…
[Note] This paper was submitted to the 2nd Cyber Security Summit @London at June 1-2. A novel idea was explored to touch the critical concern surrounding ICT supply chain threats. You are welcome to download it and share your comments with the authors. Here are some comments at the web, thanks to Jart.
Abstract — Information Communication Technology, which has been more and more critical in the modern economy and society , means more than information technology and traditional telecommunications. The integrity of ICT supply chain has slightly different meaning than the traditional security and assurance. Partly for the sake of difficulties to technically testify the increasingly complicated modern ICT products, it’s by no means to figure out an end to end integrity assurance program and methodology, letting alone test cost and timing factors.
This paper investigates the threats of ICT supply chain integrity, particularly covert channel. An architectural approach, named as Architectural Solution Integration, is given out to assure the integrity of ICT system and contain the potential threats through supply chains. The quantitative assessment of ICT supply chain integrity is discussed as well, followed by the future work analysis.
Key Words — ICT Supply Chain Integrity;Assurance;Security;Covert Channel
Download the paper…
【注】好长时间没有更新了,在新浪微博上活动了一阵子,熟悉了一下新媒体 
. 想更新一下博客,又没有新的话题,只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后,主要是为了完成绿盟技术内刊的任务。请各位朋友指正。
2010年安全回顾
摘要:Stuxnet、WikiLeaks、3Q大战影响深远,本文从这三件安全事件延伸开来,综合云计算和云安全、安全海量数据挖掘,以及虚拟世界安全等方面,对安全行业的前沿技术进行简述和讨论,这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年!
关键词:2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP Read more…
2010年12月13日,时值10年岁末,美国贸易委员会发布针对商业机构对用户隐私数据保护的白皮书,针对商业机构收集使用保护用户数据的过程中,如何保护用户隐私的问题,拿出了初步的指南意见。
该指南意见的使用范围非常广泛,适用于所有商业机构,只要它收集或收集过消费者数据,或有可能联系到某个特别消费者、计算机或其它设备的数据。基本上,所有的运营商、银行、证券公司、保险公司、学校、医院、超市、汽车4S店等,在当前打着各种提高客户满意度、加强CRM管理的旗号下进行的各种商业促销行为,肯定都在此使用范围内。
下面是该白皮书的几点主要内容:
- 商业机构应该切实提高保护用户隐私的相关实践,包括数据安全、收集限度、数据保留制度以及数据精确度等。这些实践应该融于各种应用设计、开发甚至整个生命周期。
- 商业机构应该简化在收集用户数据时给用户的选择,以便用户作出快速清楚的选择。
- 商业机构关于尊重隐私等声明和提示应该更加清楚、简短、标准化,保证用户更好的理解,以及横向对比隐私保护实践。
- 在商业结构打算以收集数据时隐私条款上不同的方式使用数据前,必须向用户提供非常显式的提示并获得用户明确的确认。
- 所有相关各方应该就商业数据隐私保护实践尽力教育消费者。
考虑到我们刚刚发生的3Q大战、大家天天收到的令人恼火的“骚扰”“广告”电话,期待我国的用户隐私数据保护立法行动。
Global and local regulations are evolving across all industries and sectors. Here is a selection of the ever-increasing number of regulatory frameworks:
- All sectors and industries –
Enterprise Risk Management (ERM), Electronic discovery (e-discovery), Financial Statements (IFRS,GAAP), Sarbanes Oxley (SOX), EuroSox, Customer Data Privacy and Protection (EU e-privacy), Business Continuity Management, Data Protection Act (EU, UK, Germany), IT Security, IT Controls and Compliance (ITIL, CobiT, ISO), Payment Card Industry Data Security Standard (PCI DSS). Read more…
2010年11月2日,美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件,文件阐述了美国政府对于云计算服务的基本立场和政策,分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等,并针对云计算的安全防护,以NIST和FISMA的相关安全标准和控制为基础,发布了征求意见稿。
文件首先指出采用云计算对于美国政府来说是风险也是机遇,机遇体现在更高的IT效率,成本方面的节省以及绿色计算等带来的环境保护。但是,要不要采用云计算不是一个基于技术的决定,而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险,并与自己的安全需求进行比对分析。
Cloud Computing systems are hosted on large, multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process once and share the results with customer agencies.
文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定,从而加速云计算的评估和采用,降低风险评估的费用。 Read more…
在前不久9月2日召开的云安全联盟中国峰会上,在F&S的Cathy分享了有关亚太地区云计算应用的调研数据。还有以前看到的不少资料,亚太地区在云计算的接受程度和应用上与美欧相比,都有些落后。云安全的相关研究也类似的感觉,主要的体现在于公开可得的相关资料多来自美欧,来自亚太地区的贡献相对较少。
10月份澳洲犯罪学研究所发布一份彩皮书 – Cloud computing: Challenges
and future directions, 即云计算之挑战和未来方向。彩皮书对当前云计算技术的动因和主要架构进行了综述,对云计算带来的各种挑战进行了分析。应该说,挑战分析与云安全联盟的7大安全威胁相比很有特色,也很有启发性。彩皮书可以在此下载到.
彩皮书的作者是Raymond Choo博士,上个月在新加坡Govware会议上有缘结识。Raymond著述丰硕,也是很有影响的意见领袖,相关内容参见:http://www.aic.gov.au/about_aic/research_programs/staff/choo_raymond.aspx 希望以后有机会能邀请Raymond到中国来,认识更多的国内朋友。
在云安全联盟的相关活动中,除澳洲外,我们还能明显地感觉到日本和印度逐渐加快的节奏。其社区的活动温度比我们要高好几度,政府的推进,从政策上、投入上都很明显,似乎进入国家战略的范畴了。参见以下这则新闻:http://e.nikkei.com/e/fr/tnks/Nni20100616D16JFN05.htm Read more…
云安全联盟 CSA(Cloud Security Alliance)成立于2009年的RSA大会,云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。自成立以来, CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到目前为止,CSA的企业成员多达50个以上,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。云安全联盟中国区分会是CSA在中国的分支组织。
CISRG是一个活跃的技术研究团队,团队成员都拥有自己特定的技术研究方向,目前的研究方向主要有:操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。
2010年11月,让我们相聚上海,继续讨论信息安全这个永恒的主题。
详细日程和演讲嘉宾等更详细内容参见:http://www.tektalk.org/?p=12158
9月份的最后几天,有幸到新加坡参加了Govware 2010大会,整个大会从28日到30日为时三天,着实是令人兴奋的三天,不仅仅是白天的议题和展览,每天晚上的招待酒会也是让人流连忘返。回到北京,还处于国庆长假之中,有时间来回顾总结一下。
1 Govware 2010大会
我是第一次听说并很荣幸地作为受邀Speaker参加大会,有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上,Govware不仅仅是新加坡一个国家的安全展会或研讨会,它的影响已拓展至整个亚太地区,演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全,战略可以有两个意思,一个是宏观的、全局的,另一个是长期的、长远的。
2 保护关键信息基础设施CIIP
前面几次大会都参加了云计算/云安全的话题,此次Govware2010也有一个单独的云计算Track(清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲,可惜由于时间冲突没有听得上)。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题,好在公司在此方面积累甚多,不少同事热心帮助。最后定下来的题目是:Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等,介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…
在云计算时代,基于IP的安全策略效用将大打折扣,随时随地的数据和服务访问要求安全访问控制要能够基于“用户”和“数据”。同时,为了强化“用户”和“数据”的访问控制,双因子认证将会变得更加普遍,甚至成为缺省设置,例如网络访问与下一代身份证ID之类的硬Token结合在一起。当然,为了保护公民隐私,在实名制的ID认证和实际的网络身份之间有必要在技术上实现一种匿名层(Anonymization)…
上面都是技术层面上的讨论,事实上,最为脆弱的部分并不在于技术,而是在于社会工程打击的目标 – 缺少安全意识和技能的“人”。就如同大家在车站机场商场等公开场合到处可见的“注意保管您的随身物品”提醒牌,互联网上要安全冲浪、保护隐私最重要的就是要有“意识”。撇开普通老百姓,从政府、企业、组织等高度来看,就是要让安全意识从安全经理和安全主管那里,外延到最高管理层、财务和业务负责人、所有的普通员工等。
这是个典型的“说起来容易做起来难”的事,难在有钱有权的没有动力,有动力没有资源。大洋对岸从去年开始设立了全国的安全月 – 十月份。今年的主题是 – 我们共同的责任 (Our Shared Responsibility)。这个事情值得我们借鉴。
今天在浏览Beaker的博客时,看到一则很有趣的活动。Beaker在推动一个叫做Hackid的公益项目 – 安全从孩子们抓起。
Hackid通过举办以孩子们为主的技术沙龙和动手活动,来激发孩子们对于基础电子、互联网、创新等的兴趣,提高孩子们的动手能力,提升孩子们对于互联网基础知识的了解…下面是其官方页面中的活动内容介绍: Read more…
最近美国IT企业并购可谓遍地开花,这边Intel刚刚宣布购买McAfee,那边Dell和HP还在为存储服务商3PAR打的不可开交(让我想起去年NetApp和EMC争夺Data Domain的案例),3PAR的股票从两个星期前的10美元不到已经涨到接近28美元。今天华尔街日报又传出安全厂商ArcSight正在和Oracle, IBM, HP, EMC和CA等潜在买家接洽,消息传出后ArcSight的股票(ARST)应声涨了30%。
Arcsight的潜在买家中没有Cisco,这让我比较吃惊。ArcSight是做SIEM (Security Information and Event Management)的,和Cisco的MARS直接竞争,我一直觉得Cisco是ArcSight最合适的买家。Symantec的产品和ArcSight也有很好的整合度,本来也是一个潜在的买家,不过在Mcafee被收购后,它自身可能也难逃最终被收购的命运。相对而言,ArcSight产品的整合度和Oracle的Enterprise Manager或者HP的OpenView就没有那么高。
信息安全这几年来一直是一个增长很快的领域,并且正在成为企业整体解决方案中不可或缺的一部分,这也是为什么近几年IT巨头纷纷出手收购安全公司。此外,独立的安全公司规模往往较小,比较容易被收购。比如安全行业的”巨头” Symantec的市值也不过110亿美元,为IBM的1/15,HP的1/9,Oracle和Cisco的1/10。抚今追昔,下面我们来看看最近几年美国的IT巨头们都收购了哪些安全企业:
IBM:
- 2010年7月:BigFix (Security Management)
- 2009年11月:Guardium (Database Security)
- 2007年6月:Watchfire (security testing)
- 2006年 8月:ISS
Cisco:
- 2009年12 月:Scansafe (Saas WebSecurity)
- 2007年11 月:Securent (Entitlement Management)
- 2007年1月: IronPort (Email and Web Security)
HP:
- 2010 年8月: Fortify (Software Security)
- 2009年11月:3Com (Tippingpoint)
- 2007年6月:SPI Dynamics (Web Security Testing)
Intel:
EMC:
- 2009年5月:Configuresoft (Change and Compliance management)
- 2006年6月:RSA Security
最后来说说我比较熟悉的Oracle:
Oracle除了今年5月份收购英国的数据库防火墙公司Secerno外,其在安全领域的并购主要集中在身份管理(Identity Management)领域。当然,Oracle对Sun和BEA的收购也为其带来了一些安全产品。 目前Oracle在安全方面的产品主要集中在Database Security,Identity Management和Enterprise Manager这三个产品线。尤其在Identity Management领域,在收购Sun后,Oracle俨然已经成为这个领域最有实力的厂家。
抚今追昔之后,让我们再来展望一下未来,看看还有哪些安全企业可能被IT巨头们收入囊中。下面是几个我认为最可能被收购的安全公司:
- Symantec (SYMC): Symantec除非自己做大做强,否则难逃被并购的命运。不过其110亿美元的市值有些高,使得眼下其被收购的吸引力不大。估计等它的股票再跌一跌,到市值相对便宜的时候就会有IT巨头出手。
- Sourcefire (FIRE): 不到7亿美元的市值,今天Arcsight的消息出来之后其股票也跟着涨了11%,来看华尔街对其被收购的预期比较大。
- Fortinet (FTNT): 13亿美元的市值。Fortinet的创始人早期创立了Netscreen,后来卖给了Juniper,不知道若干年后会不会把Fortinet再卖给Cisco或者Juniper?
- Palo Alto Networks (private):小型的防火墙公司,产品很有特色。不知道会不会被Cisco或者Juniper收入囊中。
- Qualys (private):一直有Qualys将要上市的传言,不过近来美国股市表现不佳,短期内其上市的可能性不大。如果拖延太久而VC又想早日套现的话,Qualys也很可能被收购。
昨天晚上的手机短信就没有断,不少朋友都在议论这个收购。 同意Jeff的看法,Intel这个“跨界”距离忒大了些。此前,也一直风传TrendMicro/McAfee等独立安全公司在寻找购并机会,包括Hp收购McAfee,看到这个消息还是让人吃惊。
后面怎么也得有段时间McAfee独立运作了,也看不出有什么中间交叉业务,McAfee, an Intel company. 有新闻认为Intel出手是看好手机和硬件安全云云,有些牵强。
这个收购时Intel42年历史上的最大手笔,WSJ评论也表达了Intel有些“冲动”的担心,点击看华尔街日报的相关新闻和评论….. Read more…
Google今天推出了面向联邦政府的云计算平台,具体的新闻请参阅: http://googleblog.blogspot.com/2010/07/introducing-google-apps-for-government.html
几点体会:
1. 山姆大叔每年在IT方面的投入超过千亿美元(联邦政府760亿美元,各地方政府500亿美元),并且这些投入受经济周期的影响很小。政府市场绝对是一块上等的奶油蛋糕。但是根据业界统计,目前美国联邦政府的云计算市场规模大概在4亿2千万美元,到2015年可能达到14亿美元,云计算刚刚开始在政府铺开。
2. 云计算安全是一个重点,面向政府的云计算,安全更是重中之重。Google宣布自己的平台取得了FISMA-Moderate的认证级别,在业界是第一家。此外,Google将面向政府的云计算平台和商用平台进行了数据隔离以确保安全性。政府对云计算的接受将有助于缓解企业对云计算安全性的担忧。
3. 前进的道路上当然不会一帆风顺。Google给洛杉矶市政府实施的云计算项目(替换了Novell的Groupwise软件)目前遇到了一些挫折。该项目如能顺利完成,洛杉矶市的3万4千名政府雇员将开始使用Google的邮箱日历等应用程序。
上周美国管理预算办公室OMB、总统网络安全特别协调员Howard、国土安全部联合发布文件,调整明确了在网络空间安全方面的任务分工:
Under various national security and homeland security Presidential directives, and pursuant to its statutory authorities, DHS oversees critical infrastructure protection, operates the United States Computer Emergency Readiness Team (US-CERT), oversees implementation of the Trusted
Internet Connection initiative, and takes other actions to help secure both the Federal civilian government systems and the private sector. At the same time, OMB has a number of
cybersecurity responsibilities, principally in connection with FISMA. The Cybersecurity Coordinator leads the interagency process for cybersecurity strategy and policy development. Read more…
印度有一个数据安全理事会DSCI(Data Security Council of India),CEO是Kamlesh Bajaj先生。他在达拉斯世界网络安全大会上作为特邀嘉宾多次主持会议。会后,Kamlesh把主要观点和动议编辑成一份白皮书,有EWI公开发行.
这份报告站位比较高,很系统地从网络空间安全有关的威胁、立法、政府、商业等各种角度做了总结回顾,改变了不少我们以前对于印度在网络安全方面的看法,推荐阅读。
下面是文档中使用的Kamlesh的官方简介:
Kamlesh Bajaj is the Chief Executive Officer of the Data Security Council of India and Head of NASSCOM Security Initiatives. He has over 30 years of experience in various capacities in the IT industry. Over the last two years, he has led the development of best practices for data protection, promoted their use by IT and business-process outsourcing companies in compliance with regulations of client countries. He was the Founder Director of the Computer Emergency Response Team in the Indian Ministry of Communications and IT. He has also served as Deputy Director General of the National Informatics Centre. He led several large projects in finance and banking, most notably the Customs EDI Project that introduced near-paperless operations in custom houses in India. Dr. Bajaj began his career as a Software Engineer at CAE Electronics in Canada. He is also a Fellow at the Institution of Electronics and Telecommunication Engineers, India, and at the National Academy of Sciences, India.
Recent Comments