CheckPoint首席技术官 Tony Jarvis:
非常容幸今天来到这里,我一直在想如何开始今天的演讲,我的名字叫做Tony Jarvis,我是一名澳大利亚人,在新加坡生活和工作已经半年了。我要坦白一下,这是一个非常美丽的国家,中文也是美丽的语言,但不幸的是,当我想说中文的时候,听起来并不美丽,所以今天我还是说英语吧。
我是一名策略师,在Check Point工作。我在亚太地区经常出差,参加很多研讨会,就像今天一样。同时我还和客户见面,与他们交谈,帮他们找到在安全项目中的差距,帮助他们更好的找到工作重点,看看自己应该如何来开展下一步的改善安全的工作。
今天我要有不一样的工作的举措,因为刚才大家已经听到了很多关于网络安全的演讲,可能你会得到10个完全不同的意见,这非常正常,我们可以得到不同的观点和意见,但今天我要给大家提供这些事实,并且告诉各位,我们如何帮助自己来应对现在的安全挑战。
现在我们看看2015年的数据,我们的数据不是特别乐观,这些数据不断的上升,2015年有很多的恶意软件、攻击的上升数据,这些攻击如何发生?它是不是非常重要?如果这些攻击成功可能会带来巨大的影响。
根据研究,有超过100万的恶意软件每天都存在。
在2015年有82%的公司都曾经遭遇过恶意网站,这比前几年上升了5%,每五秒都在增加,有89%的公司都下载过恶意文档,有94%的公司都使用过高风险应用,未知恶意软件的下载量增加了9倍。
我们的安全团队非常挣扎,他们想找到什么是好软件、什么是坏软件,这对他们是巨大的挑战,因此我们必须要解决这方面的问题。
这个趋势非常有意思,2014年,我们看到有服务,我们看到了一些攻击、缓冲区溢出,这些都是以前很难看到的。我们的操作人员们会知道我们有很严重的操作故障,所以我们要制定一些补丁,还有很严重的事件。
2015年我们看到了代码的实施,代码的执行,而且会带来一些严重的后果,我们也看到了勒索软件的上升,在2016年勒索软件成为巨大的问题,也成为一大威胁,所有国家都看到了勒索软件。
另外还看到了一些国家支柱的攻击,这些攻击不断进化,它会袭击你的数据库和手机。所以这是非常耐人寻味的。到2015年我们有非常大的一个攻击,那就是OPN在美国的办公室有215万的数据都被篡改,甚至一些指纹也被篡改。
当时我就给他们一些意见和建议,一是我们要维持一个全面的服务器数据库网络设备,如果有员工使用手机和电脑有多少公司会跟踪每一位员工的设备呢?我不知道。
同时我建议他们实施一些主动漏洞扫描项目。我们建议他们去检测监测流程,这时你需要有外部的合作伙伴帮助你开展这项工作,我们需要对敏感访问实施多重认证,但很多时候一些攻击可能会绕过这些认证,这非常有意思,今年在菲律宾我们看到了相似的袭击,我们知道有550万的记录都被攻击。
在过去几年中,我告诉很多客户下一代的威胁是什么,该如何应对这些威胁,我很高兴他们和我一同探讨,我想在美国也发生过这样的事,当然没有人想来攻击我们。在菲律宾的攻击告诉我们,这样的威胁不仅仅在我们的家门口,它其实不断地在扩大,复杂度不断的在增加。
现在看一下视频。我们以前想应该有一个网络的边界,有了这个网络边界我们就可以来谈论一些概念,我们可以在网络中设一些边界,把威胁都排除在外,这在有些阶段可能有用,我们可能到工作站办公室里可能有访问的边界。
如果我们要访问互联网必须要有一个站点,现在有一些移动设备,有Wi-Fi和BPN,所以现在没有网络边界了,甚至我们的数据库都在云端注册了。
所以,我非常喜欢这样一个比喻,现在我们已经没有这样的举措了,我们应该在每一个地点和物件都进行很好的保护。
今年年初有一家叫做riban(音译)的公司,这是CSB公司,他们看到了非常大的网络软件的攻击,有67%的客户至少都收到了一个包含威胁的Email,这些攻击者都绕过了很多的保护措施,这些是勒索软件。
在2016年我们还是可以看到这样一些非常成功的攻击,我们知道这不可能是某一个点击就能带来影响,其实它是非常大规模的。
我们会进行很多的宣教活动,开展很多的活动,可能有10万个这样的客户在十几个国家开展活动。
微软也是24小时在保护自己的这些客户,虽然它采取了这些保护措施,但还是为时已晚。
大家都知道在安全领域工作,我们都会说有一些新的技术控制的手段和新的技术解决方案,这都非常重要,但远不止如此,人也非常重要。
在我旅行的时候是在新西兰或者银行,银行会有关于钓鱼网站的培训,我们不仅帮助他们的客户来判断如何解决这些威胁,而且帮助他们判断一个项目,如果你看到可疑的项目,安全人员就会跟进,看看这是不是一个恶意的软件。所以,它当时也是非常感谢我们。
另一方面,有一个人告诉我们,如果我们带来了这样一个恶意软件,很多时候您仅仅点击了不该点击的链接,这可能会带来一些危险。
另外我们还有一些流程,这些流程也是可以把我们的控制技术纳入进去的,包括我们可以改变控制,曾经我在银行和他们合作过,我看到很多案例,如果你只是改变控制也会变得失控。
我曾经看到一个项目,如果要改变就要经历一个防火墙,包括你的服务和应用。
当时有40人参与进来,但是总会有人没有回复Email,到第二周整个流程又发生了,这个改变并没有发生,所有人操纵的流程也可能帮助我们,也可能阻碍我们,所以技术专家必须要检查我们的体系,从宏观来检查。
今天大家都谈到预防,预防不是一直有效,我们都知道漏洞不可避免,只是说什么时候你会碰到漏洞,这是一个运气的问题。是的,你不可能预防所有的问题,但你还是可以采取措施尽可能避免这些漏洞。
为什么我们觉得你不可能避免漏洞呢?当然会有一些原因,我想其中的一个原因,我们会有一些沙箱,如果你去检查一个稳当的话,可能需要6分钟的时间来拿出一个结论,如果是用沙箱就更快了,我们会把文件给用户使用沙箱,6分钟后我们就看到已经很快的解决了。
现在我们有下一代的沙箱,它也会有一些很好的文档的干净版本,也能够在背后进行一个沙箱的操作,这就是下一代的沙箱的概念。
这对于我们的事件响应意味着什么?这是非常重要的,我们是不是有很多不同的应用呢?这会非常的昂贵,我们是不是能够就我们看到的事件进行一个很好的响应呢?
在美国一般是一个小时400到500美元,我们不可能一直这样做,在今年年初我们有SWIFT网络,当时银行付了2000万美元就得到了700个小时的工作,但他们没有足够多的信息。所以,我们要做得更多。
当时这个供应商就说,我们还需要175个小时,但银行说我们付不起这么多的钱,所以这是在漏洞发现后4个月发生的事。
所以它必须要很好的进行管理,管理需要很好的明确的结果,而且它需要有一个时间表和预算。
我们都知道SWIFT之后有一些什么样的影响,包括孟加拉国中央银行受到了影响,而且整个事件也是不断的增加。这些被报告的事件不断在上升,很多国家比如英国都没有强制的发生,可以看到这些是在不断的上升的。
曾经有一个安全人员告诉银行,你必须要去定期进行检查,要检查你的网络,但很多时候他们没有防火墙。当然你不需要成为一个技术专家来了解这些风险。
我们还有更多的控制,以前有一些可以选择的,可以不用或者不是强制的,但2018年以后可能这些控制就是必须的了,不是可选的了。
我们可以看看这些重要的点,我们需要监管。以前是要合规就行了,需要一些规则,现在我们也是这样做,但我们要评估风险,对我们有什么样的影响,我们怎么做。
这实际上是有进步了,并不是以前合规了,我们有更新的规定,我们可以看看有不同的地域,还有买家方面的影响。
比如我们有防火墙,我们可以把进攻挡在外面,今天有侦查、回复和解决,如果有问题了我们要进行反应。
很多的技术越来越成熟,我们需要人工的、自动的,这是好消息,这也变化了,因为在硅谷有很多基金,可以有创业公司,创业公司也有很多成功的经验、还有并购。最后入侵者黑客侵入计算机进行勒索,我们的设备应该更强有力的来反抗这些攻击。
我们知道这些变化不可避免,我们有很多的中间环节和供应商,有很多的问题,有时候我们花更多的时间在市场上,在整合方面了,我们需要所有的关键点,这样的话使他们相关的,入侵者可能会更聪明或者更成熟了。
我们和供应商进行讨论的时候,我们就说你并不仅仅要保持原先的情况,要有创新的思想,创新的头脑,我们和这些供应商说你们要有长期的战略,可能这是一个五年的投资,这么一个路径。
我们的建议,我们已知的,比如有一些威胁者在那里很长时间了,我们都知道了,这是非常有意思的数据,90%的漏洞,在2015年使用的是脆弱性。
实际上这些脆弱性是2002年就开始的,但到现在我们还不知道怎么办,所以我们要更新系统,打补丁,以足够的支持。还有一些我们测不到的威胁,比如你是不是做了足够的工作,有什么新的情况。
最后还有一些合规的情况,比如要保护现在的框架,我们要保护风险,这实际上给我们很多的成果。我们要知道趋势,现在是什么,未来是什么。
安全是和趋势相关的,如果知道趋势我们就知道是不是有非常好的保护措施了。非常感谢,大家的聆听。
上一篇:潘建伟+陈宇翱:新量子革命