Symantec的CTO Robert Clyde在安全领域具有着超过25年的经验,并且负责的业务几乎都同财富500强企业相关,最近却在IT业的信息科技-消息共享暨分析中心(IT-ISAC)执行委员会中却扮演着财务官的角色。他是这一组织的创始人之一。
对于今后的IT安全产业而言,什么将会是最大的驱动力?
来自病毒的威胁将继续成为推动安全业务发展的因素。去年,有92%的企业受到了病毒的攻击,并且剩下8%的企业很可能也有被感染的经历只是没有发现罢了。
恶意代码(malware)攻击的数量同样在增加,并且还会继续上升,网络入侵(network intrusion)事件也一样。攻击正在变得更加复杂,这是最为棘手的方面。
传统的安全措施有助于抵抗病毒的威胁吗?
应对式、基于签名的保护手段有效性正在减弱。从补丁发布到使用的时间已经滞后于企业安装补丁所需要的时间。即使在补丁发布时就开始处理,绝大部分的IT部门也要花上一个月来对补丁进行测试并将其安装到系统中去,而现在,黑客们会比这快很多。
因此我们需要更具有前瞻性(proactive)的安全措施。我们仍然需要签名机制,但还需要更具有预见性的新的方法。
这种预见性的方法会采用什么样的技术?
行为模块(Behaviour blocking)看起来很有前途。它借鉴了生物对付病毒的办法,通过在受到感染之前发现异常情况的办法来对自己进行保护。例如,普通的电子邮件信息包含一个显得不同寻常电子邮件程序;而实际上几乎可以100%的肯定这是病毒,因此为什么不把它隔离起来?
身份一致性(Client compliancy)则是另外一种技术。当你接入到网络中时,它可以检查你的系统软硬件是否被很好的保护起来。如果没有,你可能会被阻止接入,或只能进行有限的访问。这一技术首先会在企业中得到应用,但它将会逐渐普及到消费者市场中。
最好是把安全措施放在软件还是硬件上?
硬件是不够的。从安全产业诞生的时候开始,人们就认为应当将安全防护集成到硬件中,然后就可以一劳永逸。但这并不实际。你总是需要对其进行更新,这就是软件的问题。对于绝大部分的最终用户而言,更新硬件并不是可以考虑的选项。
那么软件公司是否应当因为编写了脆弱的代码而受到指责呢?
我们每个星期都可以在软件产品中发现53个漏洞。其中的80%同高度安全性相关。每周50这一数据已经进入了一个稳定的阶段,应该说是处于一个平衡点。个人而言我认为我们已经到了漏洞的转折点,随着功能强大的新的操作系统的上市,这一数字将会继续增加。
类似于微软的可信赖计算(Trusted Computing )有助于解决这一问题么?
可信赖计算有其积极的影响,但问题是它是否能够扭转这一趋势。这并不是数字就可以证明的。针对代码安全的漏洞扫描程序对于编写安全程序来说非常有用,但这些还未成熟的程序会提供很多虚假的报告。他们还会漏报大量真正的问题。也会有许多设计方面的问题扫描程序无法发现。因此,我并不认为关于漏洞的问题会在今后的二十年以内得到解决。
那么谁来填补漏洞会好一些呢?是商业软件公司,还是开放源代码社团?
就开放源代码社区而言,如果某人对一个代码漏洞感到忧虑,他们就会很快的修补它。而如果是一个并不明显的代码片断,那么可能会需要好几年郁闷的等待。商业公司则会在一个固定的时间段里尝试解决所有问题。绝大部分的商业公司事实上都在诚实的报告所发现的问题并努力进行修补。我不知道会有哪一个公司会对漏洞袖手旁观(或许5年前有公司会这样,但现在不会)。
外包是最佳的选择么?
这根据不同的产业会有所不同。例如制造业就喜欢外包。即使是诸如银行等你认为不会采取外包方式的行业也会将一些功能如监视、事件处理等进行外包。
绝大多数的专家认为你不会将策略发展拿来外包。对于小的企业而言,即使是把所有的东西进行外包都具有意义,但首先需要做一个教育的工作。这是一个潜在的巨大市场,任何涉及不止一个人的安全业务都可以外包。
为什么不同的企业会给病毒起不同的名字?
我们在一段时间之后就会开始对病毒命名进行标准化。如果你尝试对新的病毒作出快速的响应,同时又想为它召开一个命名会议,你不得不在这两者之间进行选择。我们要阻止威胁。
您能给对安全业务感兴趣的IT管理人士一些建议么?
如果人们在寻找一种长期都能处于有利位置的职业,那么答案就是安全业。现在每年关于计算机安全的博士学位获得者很少,例如去年在美国仅有17个。我们并没有得到全部,其中绝大部分人都留在了学术界。
部分问题在于安全是一个新的领域。直到最近,你还是不能得到一个计算机安全方面的学位。
