像黑客一样思考――惠普安全之道

黑客的攻击已经变得无孔不入，仅靠几个厂商的网络安全解决方案无异于杯水车薪。安全厂商只有联合起来，采取主动防御策略，并赋予安全方案更多的智能，才能在与黑客的交锋中处于不败之地。

　　中国工程院院士邬贺铨在接受媒体采访时曾表示，万物互联网的时代即将到来。万物互联不仅将使人们的工作和生活变得更加便利，同时也会让企业的网络安全承受更大的压力。

　　惠普的安全之道，其中很重要的一条就是开放和联合。举例来说，惠普每年都会举办一个自己的安全大会――HP Protect大会。往年，参与这个大会的都是惠普的用户和安全合作伙伴。2014年9月举办的HP Protect大会有了一个明显的变化，参会的1500多名嘉宾中有很多业内的专业安全人士，以及其他安全厂商。HP Protect大会变得越来越像一个中立的安全行业大会，各安全厂商可以在这里洽谈合作，共同抵御层出不穷、变化多端的网络安全威胁。

　　立体防御

　　以前，每个安全厂商都感觉自己是最棒的，能够独立为客户提供全面的安全解决方案。但惠普改变了策略，与业内持共同见解的安全厂商于2014年共同成立了一个安全联盟。这个安全联盟可以实现安全、智能、分析的共享。“如果惠普发现了一个新的安全威胁，又是惠普的安全产品不能解决的问题，那么惠普就会把相关的信息分享给联盟中的其他友商。”惠普公司企业安全产品北亚区总经理姚翔向记者解释说，“有些时候，为了解决某个安全问题，必须将惠普的产品与其他厂商的产品整合在一起。比如，为了完成人物身份识别，可能要把惠普安全解决方案与其他厂商的门禁系统、摄像头等产品集成在一起。黑客对一些主流的安全产品的研究是非常深入的。如果我们能够实现多家厂商的联盟，那么黑客的攻击难度也会增加。”

　　现在，与惠普达成合作协议的厂商主要包括趋势科技、InQuest、BlueCoat等。比如，惠普与趋势科技合作研究并发布了HP TippingPoint Advanced Threat Appliance (ATA)产品。惠普与其他安全厂商的联合产品研发还在进行中。“我们与其他安全厂商的合作开发将从安全智能共享切入。以后，在后台信息的共享中，我们与其他厂商的合作会更多。”姚翔表示，“我们与其他安全厂商要实现方案级的融合，就是在不同公司的产品间实现信息的智能传送和共享。”

　　安全的范围实在太广了。黑客的狡猾表现在，它们会跨越不同的领域而且绕开已知的防护进行攻击，这就要求企业必须构建更加立体的防护网络。因此，只有更多的安全厂商联合起来，才能满足立体防护的需求。这也是惠普为什么如此大力倡导安全联盟的原因。惠普安全的整体策略可以用“风险管理+安全情报”来概括，其中安全情报的获取与共享就是惠普倡导的安全联盟的一个重要职责。

　　做好打持久战的准备

　　你的电脑、QQ、银行卡用的是同一个密码吗?很多人为了省事，所有的密码都是一样的，这就造成了巨大的安全风险。很多企业因为在安全上投入了巨资却没有见到效果(没有安全事件发生)，所以常常纠结以后还要不要持续对安全进行投入。上述两个例子非常具有代表性。这些不正确的想法、做法导致了安全风险始终无法避免。

　　记者每次采访姚翔，他都能举出一大串数字，说明现在的安全形势有多严峻。“统计数据显示，2014年，全球用于安全防护的投资已达460亿美元。黑客成功入侵企业的数量增加了20%，而单次入侵成功所带来的安全防护成本也增加了30%。”姚翔表示，比这些数字更让人担忧的是，企业在发现了安全漏洞后却不知道如何进行防护。这好比人生了病，却不知道应该用什么样的药或疫苗来消灭病毒，而是要经过反复测试，最终才能找到相关的疫苗，这中间的“空档期”对于企业业务的安全可能是致命的。姚翔又举了另外一个例子：“美国大型零售商Target曾经遭遇黑客攻击，导致消费者的信用卡信息泄露。时至今日，Target面临的诉讼还没有处理完，而Target公司的多名高管也因此事而下台。”这样的例子不胜枚举，比如前一段时间闹得沸沸扬扬的索尼影视娱乐有限公司被攻击的事件，未上影的电影被提前公布在互联网上。很多受到攻击的企业并不知道安全漏洞的存在，也不知黑客何时进行的攻击，关键是不知道该如何应对。姚翔表示，造成这种情况，并不是因为企业对安全不重视、不投入，而是新技术的出现让安全形势变得越来越复杂。比如，云计算的出现提高了人们访问信息的便利性，但同时也会导致人们对信息的管控能力的减弱。

　　有没有一种一劳永逸的方法来应对不断变化的安全威胁呢?“没有。”姚翔斩钉截铁地回答，“技术一直在发展之中。企业使用的新技术也会被黑客利用，而且黑客受经济利益的驱动，可能比一般企业还热衷利用新技术。因此，企业必须做好打持久战的准备。”

　　姚翔表示，企业在安全方面必须具有前瞻性。今天，企业的系统没出事并不代表企业的系统是安全的，因为有可能系统被感染了，但还没有发生数据泄漏，或企业没有发现黑客正在窃取数据。因此，企业要对整个数据访问的业务逻辑进行重新梳理，并制定一些业务安全规则。

　　很多用户现在对云服务还持观望态度，其中很重要的一个原因就是担心云的安全。2014年12月，亚马逊AWS第一次在中国举办技术大会。当时，国内外很多安全厂商都高调宣布与亚马逊AWS在安全方面有深入的合作。姚翔也表示，惠普与许多公有云服务商保持着合作。HP ArcSight Logger与一些公有云厂商的服务有比较好的集成，可以把公有云中异常数据的日志模拟成用户本地设备的信息传回到私有云中，让客户进行比对，同时提供事件关联性分析，从而发现和定位安全问题。这样一来，即使是云中的数据也不会成为安全的盲点。

　　大数据与安全相结合

　　大数据的覆盖范围比安全要广。大数据中很重要的一部分内容是商务智能、业务分析和预测，这些是安全以前不会涉及的领域。但是现在，安全厂商通过大数据对黑客的行为进行分析，可以了解最新的攻击方式。比如，惠普通过像日志这样的产品，把大数据的基础架构引擎拿过来，使得对安全问题的分析变得更快或者能够掌握更多数据。姚翔表示：“大数据与安全结合已经是一个趋势。有了大数据以后，我们可以把与安全有关的日志分析转变为一个大数据的问题。现在，这项技术已经比较成熟。”

　　在全球范围内，第一个上市的大数据公司Splunk就是一个日志分析的行家。现在，它的一项主要业务就是利用日志分析帮助客户实现安全防护。国内一家初创的安全公司瀚思安信，走的也是大数据分析这条路。大数据可以用来从一些纷繁复杂的事件中找到规律，比如消费习惯、异常行为等。这对于安全分析是有利的。不过，我们也不能忽视，黑客也会利用大数据来进行安全攻击。最典型的例子就是安全中的社交工程。黑客会利用大数据破解个人的社交账号密码，针对个人实施精准的攻击。

　　惠普最新发布的HP ArcSight Logger 6.0就是一个日志管理软件，可将机器数据的收集、存储和分析统一起来，以巩固安全性和合规性。HP ArcSight Logger 6.0能够提供增强的可扩展性，相对于上一代产品，其性能提高 10 倍，数据处理能力提高8 倍。HP ArcSight Logger 6.0可以索引的数据量达到8TB，相当于可以关联、索引过去一两年内的所有日志数据，基本上可以看到整个安全攻击的全貌，而一般的日志管理软件只能关联和索引一两个月内的数据。

　　除了升级HP ArcSight Logger以外，惠普还推出了汇聚了一整套增强网络防御、自动化拦截、高级威胁检测与分析功能的HP TippingPoint Advanced Threat Appliance (ATA)安全产品和能够实现应用程序自我保护服务的HP Application Defender。