加载中…
安全2.0:威胁来自网络互动
(2006-12-07 16:18:29)| 分类: 工作 |
在1.0时代,安全行业的首要任务是保护基础架构;而进入2.0后,则升级为保护用户的互动行为
威胁升级:于无声处听惊雷
弗兰克的话并非围危言耸听。当今IT业界最大的讽刺之一是,随着宽带应用的继续增长,网上用户的信心却在逐渐消退。针对美国10,000个家庭展开的一项调查显示,有41%的家庭因为安全问题减少了网上购物的数量。
“最新的网络安全威胁来自身份识别,来自钓鱼网站,还有虚假的网站的威胁,而这些与传统的操作系统漏洞无关,”赛门铁克公司的CTO Mark Bregman告诉《数字商业时代》。
现实社会当中,身份的确认不是件难事,但是在虚拟世界当中,用户却面临着非常大的挑战。据国外权威的“反钓鱼工作组”(APWG)公布的最新报告显示,今年8月,从公众或研究伙伴处接收到的“钓鱼网站”报告共26150起,其中新增加的钓鱼网站多达10091个,这两个数字与去年同期相比分别上涨了近50%。从钓鱼网站的来源国来看,中国已经成为仅次于美国的第二大来源国。而在受到攻击的行业中,金融服务行业首当其冲,如恒升银行、花旗银行和莱斯银行等都是主要的攻击目标。eBay、Google等也成为了攻击的首要目标,因为它们正在向不同的商业应用模式大举扩张。
钓鱼网站的目标往往是国际性的大品牌,“由于攻击是全球性的,它们没有必要只盯着地方性的品牌。”Websense的技术总监Mark Murtagh一语道破2.0时代安全威胁的严重性。
在Web2.0时代,网络安全威胁也脱胎换骨进入2.0时代。在过去,用户面临的威胁是喧嚣的、明显的和目标不明的。新千年到来之前,“千禧年病毒”引起了业界空前的重视,但最终得以被扼杀在襁褓之中。在新的形势下,现在用户面临的风险更加复杂,因为这样的威胁是无声的、不被注意,目标却是高度明确。同时黑客的攻击已经进入了“零时应用”阶段,一旦漏洞被发现,马上就会被利用。
从风险来源上看,过去的危险主要来自外部的黑客,而现在内部间谍和数据泄露成为了安全威胁的一大隐患。据统计结果显示,在一般的公司里,每50个文档中就有1个包含机密信息,每400封邮件中就有1封包含机密信息,而企业75%的诉讼都在某种程度上与电子邮件泄露有关。因此,未来的安全威胁的杀伤力,就不仅仅是造成服务器的崩溃,而是直接对企业的品牌造成巨大的影响。由此引发的结果是,补救的手段也变得越来越复杂,像过去那样光靠技术上移除病毒远远解决不了问题,而是必须调整或者是检查整个业务流程的运作情况。
保护交互生态系统
“若我们不能保护网上互动,则我们将不仅会延缓电子商务的增长,还将延缓所有业务的增长。我们需要保护网上互动以及确保数据得到保护”。今年10月,赛门铁克在纽约发布了“安全2.0”新战略,赛门铁克CEO John Thompson说,“安全2.0不是一种新产品或一种新的杀手级服务,而是通过整合软件、服务以及合作关系,来保护客户最重要的资产:他们的信息和交互行为。”
随着用户之间交互的趋势越来越明显,安全软件行业未来的首要任务已经由原来的保护基础架构,上升为对信息的保护,进而升级为保护用户的互动行为。作为世界第一大安全软件供应商,赛门铁克提出的安全2.0与Web2.0的发展趋势息息相关。此举也可以被看作是该公司为拥抱Web2.0迈出的一大步。“我们推出Security2.0的概念,主要是因为我们发现客户现在所享受的数字生活变得越来越丰富多彩了,用户在网上交易的习惯在不断变化,社会网络、下一代交互软件的应用在不断的增加。而且企业之间进行交互的方式也改变了许多,企业与它的供应商、合作伙伴之间的边界在不断地互相渗透,它们将共享更多的信息。”Bregman如此诠释安全2.0的内涵。“在安全2.0的战略架构下,我们不仅会根据新的威胁类型的不断发生,提供新的保护的手段,同时也会推动新的交互方式和新的商业模式的产生”
如同Web2.0的概念推出之初业界对其的质疑一样,目前业内对“安全2.0”的说法尚未能完全接受。个人用户关心的是未来在网络上的交流与交易是否能够受到保护。目前赛门铁克已经推出几款安全2.0框架底下的产品,或者已经公布了一些产品的上市路线图。而对于企业及用户,他们则更关心赛门铁克如何在更长远的未来兑现它的承诺,真正实现“保护信息、保护交互”。
对此,Mark认为,目前的确有一些小公司非常专注于下一代安全产品的开发,而且在某些专业领域是比较领先的,“一旦发现有需要的话,赛门铁克也会考虑来并购更多的公司。”
据悉,赛门铁克将与VeriSign公司联合推出安全解决方案,解决网络中日趋增多的消费者身份盗用和诈欺问题。而在企业安全领域,赛门铁克将与咨询公司Accenture合作,联合帮助企业管理安全业务、开发安全应用软件、遵守监管规则。
原载于《数字商业时代》2005年12月刊
采访·撰文=许凤婷
“技术滋生了犯罪,”11月13日,在美国佛罗里达亚特兰大大学召开的网络安全讨论会上,一位风度翩翩的老人吸引了济济一堂的听众。他并不是高科技精英,而是美国家喻户晓的“大骗子”弗兰克·阿巴格内尔。对,就是大导演史蒂芬·斯皮尔伯格的电影《逍遥法外》(Catch
Me If You
Can)中的那名“多面大盗”的原型。30年前,19岁的弗兰克通过伪装身份和支票,骗取了250万美元,后来他改邪归正,被FBI雇用,并为世界500强中的众多公司设计支票。
“现在人们再也看不到骗子了,因为他们都是在千里以外。”年近花甲的弗兰克对网络犯罪有着独到的见解,“伪造身份变得越来越容易,在我的一生中,从来没有看到比现在更容易的时候。”弗兰克还在现场扮演网络罪犯,演示了窃取CIA某位官员私人信息的过程。当然,他的目的是告诫大家提高警惕:企业的安全措施、政府的相关法规都很重要,而且,“最终如何保护自己的信息,只能由消费者自己决定。
“现在人们再也看不到骗子了,因为他们都是在千里以外。”年近花甲的弗兰克对网络犯罪有着独到的见解,“伪造身份变得越来越容易,在我的一生中,从来没有看到比现在更容易的时候。”弗兰克还在现场扮演网络罪犯,演示了窃取CIA某位官员私人信息的过程。当然,他的目的是告诫大家提高警惕:企业的安全措施、政府的相关法规都很重要,而且,“最终如何保护自己的信息,只能由消费者自己决定。
威胁升级:于无声处听惊雷
弗兰克的话并非围危言耸听。当今IT业界最大的讽刺之一是,随着宽带应用的继续增长,网上用户的信心却在逐渐消退。针对美国10,000个家庭展开的一项调查显示,有41%的家庭因为安全问题减少了网上购物的数量。
“最新的网络安全威胁来自身份识别,来自钓鱼网站,还有虚假的网站的威胁,而这些与传统的操作系统漏洞无关,”赛门铁克公司的CTO Mark Bregman告诉《数字商业时代》。
现实社会当中,身份的确认不是件难事,但是在虚拟世界当中,用户却面临着非常大的挑战。据国外权威的“反钓鱼工作组”(APWG)公布的最新报告显示,今年8月,从公众或研究伙伴处接收到的“钓鱼网站”报告共26150起,其中新增加的钓鱼网站多达10091个,这两个数字与去年同期相比分别上涨了近50%。从钓鱼网站的来源国来看,中国已经成为仅次于美国的第二大来源国。而在受到攻击的行业中,金融服务行业首当其冲,如恒升银行、花旗银行和莱斯银行等都是主要的攻击目标。eBay、Google等也成为了攻击的首要目标,因为它们正在向不同的商业应用模式大举扩张。
钓鱼网站的目标往往是国际性的大品牌,“由于攻击是全球性的,它们没有必要只盯着地方性的品牌。”Websense的技术总监Mark Murtagh一语道破2.0时代安全威胁的严重性。
在Web2.0时代,网络安全威胁也脱胎换骨进入2.0时代。在过去,用户面临的威胁是喧嚣的、明显的和目标不明的。新千年到来之前,“千禧年病毒”引起了业界空前的重视,但最终得以被扼杀在襁褓之中。在新的形势下,现在用户面临的风险更加复杂,因为这样的威胁是无声的、不被注意,目标却是高度明确。同时黑客的攻击已经进入了“零时应用”阶段,一旦漏洞被发现,马上就会被利用。
从风险来源上看,过去的危险主要来自外部的黑客,而现在内部间谍和数据泄露成为了安全威胁的一大隐患。据统计结果显示,在一般的公司里,每50个文档中就有1个包含机密信息,每400封邮件中就有1封包含机密信息,而企业75%的诉讼都在某种程度上与电子邮件泄露有关。因此,未来的安全威胁的杀伤力,就不仅仅是造成服务器的崩溃,而是直接对企业的品牌造成巨大的影响。由此引发的结果是,补救的手段也变得越来越复杂,像过去那样光靠技术上移除病毒远远解决不了问题,而是必须调整或者是检查整个业务流程的运作情况。
保护交互生态系统
“若我们不能保护网上互动,则我们将不仅会延缓电子商务的增长,还将延缓所有业务的增长。我们需要保护网上互动以及确保数据得到保护”。今年10月,赛门铁克在纽约发布了“安全2.0”新战略,赛门铁克CEO John Thompson说,“安全2.0不是一种新产品或一种新的杀手级服务,而是通过整合软件、服务以及合作关系,来保护客户最重要的资产:他们的信息和交互行为。”
随着用户之间交互的趋势越来越明显,安全软件行业未来的首要任务已经由原来的保护基础架构,上升为对信息的保护,进而升级为保护用户的互动行为。作为世界第一大安全软件供应商,赛门铁克提出的安全2.0与Web2.0的发展趋势息息相关。此举也可以被看作是该公司为拥抱Web2.0迈出的一大步。“我们推出Security2.0的概念,主要是因为我们发现客户现在所享受的数字生活变得越来越丰富多彩了,用户在网上交易的习惯在不断变化,社会网络、下一代交互软件的应用在不断的增加。而且企业之间进行交互的方式也改变了许多,企业与它的供应商、合作伙伴之间的边界在不断地互相渗透,它们将共享更多的信息。”Bregman如此诠释安全2.0的内涵。“在安全2.0的战略架构下,我们不仅会根据新的威胁类型的不断发生,提供新的保护的手段,同时也会推动新的交互方式和新的商业模式的产生”
如同Web2.0的概念推出之初业界对其的质疑一样,目前业内对“安全2.0”的说法尚未能完全接受。个人用户关心的是未来在网络上的交流与交易是否能够受到保护。目前赛门铁克已经推出几款安全2.0框架底下的产品,或者已经公布了一些产品的上市路线图。而对于企业及用户,他们则更关心赛门铁克如何在更长远的未来兑现它的承诺,真正实现“保护信息、保护交互”。
对此,Mark认为,目前的确有一些小公司非常专注于下一代安全产品的开发,而且在某些专业领域是比较领先的,“一旦发现有需要的话,赛门铁克也会考虑来并购更多的公司。”
据悉,赛门铁克将与VeriSign公司联合推出安全解决方案,解决网络中日趋增多的消费者身份盗用和诈欺问题。而在企业安全领域,赛门铁克将与咨询公司Accenture合作,联合帮助企业管理安全业务、开发安全应用软件、遵守监管规则。
安全市场升温
另外一个多年来与赛门铁克合作的伙伴目前的身份则发生了微妙的变化。微软公司目前拒绝公开新一代操作系统Windows Vista的核心代码,对此,Mark的评价是,“我们需要建立一个多样化的、安全的生态系统。安全软件和其他软件不同的是,一旦威胁出现,如果只有受影响的一方来解决问题,将是远远不够的。必须由多方联合起来共同防御危险的发生。如果微软封锁它的核心信息和技术,就会减少这个生态系统的多样性,同时减少了客户在面临危险时增强他们安全性的选择。”
业界有人认为,赛门铁克此次公布的安全2.0战略,目的是为了应对微软插手安全软件市场的做法。这一说法未免过于低估了这两家软件巨头之间的战事的级别。然而,赛门铁克抢在Windows Vista发布的一个多月以前公布安全2.0战略,无疑是为其在下一场战役打响以前率先抢占了一块高地。
在接受本刊采访时Mark表示,希望微软推出的Vista操作系统越来越强大,使安全厂商在这方面的担心会渐渐地减少。同时,他也明确地指出,即便是Vista上市,赛门铁克仍然有很多的机会。
“我觉得这是微软历史上第一次如此关注安全问题,但是他们所关注的安全问题还是比较侧重于传统的安全的威胁,即操作系统的漏洞。但是事实上我们现在还面临着比较多的新的威胁。”Mark如此评价两家公司微妙的关系。“所以,一方面需要微软继续加强基础设施,同时另一方面我们也要提供我们的服务来保护客户的信息,以及他们在Internet上交互的安全性。这也是微软还没有开始重点关注的。”
据悉,在11月30日发布的Windows Vista操作系统中,安全被作为最重要的特性之一写进了产品手册,而且,不仅仅针对的是系统漏洞与病毒,也增加了一些反钓鱼、防止恶意软件侵袭的新功能。
从两家的说词和目前的行动可以预见,升级的不仅仅是安全策略和操作系统。
另外一个多年来与赛门铁克合作的伙伴目前的身份则发生了微妙的变化。微软公司目前拒绝公开新一代操作系统Windows Vista的核心代码,对此,Mark的评价是,“我们需要建立一个多样化的、安全的生态系统。安全软件和其他软件不同的是,一旦威胁出现,如果只有受影响的一方来解决问题,将是远远不够的。必须由多方联合起来共同防御危险的发生。如果微软封锁它的核心信息和技术,就会减少这个生态系统的多样性,同时减少了客户在面临危险时增强他们安全性的选择。”
业界有人认为,赛门铁克此次公布的安全2.0战略,目的是为了应对微软插手安全软件市场的做法。这一说法未免过于低估了这两家软件巨头之间的战事的级别。然而,赛门铁克抢在Windows Vista发布的一个多月以前公布安全2.0战略,无疑是为其在下一场战役打响以前率先抢占了一块高地。
在接受本刊采访时Mark表示,希望微软推出的Vista操作系统越来越强大,使安全厂商在这方面的担心会渐渐地减少。同时,他也明确地指出,即便是Vista上市,赛门铁克仍然有很多的机会。
“我觉得这是微软历史上第一次如此关注安全问题,但是他们所关注的安全问题还是比较侧重于传统的安全的威胁,即操作系统的漏洞。但是事实上我们现在还面临着比较多的新的威胁。”Mark如此评价两家公司微妙的关系。“所以,一方面需要微软继续加强基础设施,同时另一方面我们也要提供我们的服务来保护客户的信息,以及他们在Internet上交互的安全性。这也是微软还没有开始重点关注的。”
据悉,在11月30日发布的Windows Vista操作系统中,安全被作为最重要的特性之一写进了产品手册,而且,不仅仅针对的是系统漏洞与病毒,也增加了一些反钓鱼、防止恶意软件侵袭的新功能。
从两家的说词和目前的行动可以预见,升级的不仅仅是安全策略和操作系统。
(后记)为了找一个关于身份识别的案例,我在上月后期的“危急关头”还下载了一部《Catch
Me If You
Can》来看,实在佩服那个骗子弗兰克,不仅智商极高,而且情商极高,骗人也不是那么容易的。
喜欢
0
赠金笔
后一篇:本年度最具颠覆性的恶搞事件