写在前面
信息安全是一个永恒的话题,也是企业CIO、CSO们关注的重点。就在今年的5月12日,WannaCry勒索病毒大规模爆发,再一次为企业的信息安全敲响了警钟。
可以说,我们面对的安全问题,从来没有像今天这么复杂,企业的信息安全,也从来没有像今天这么重要。一方面,随着大数据时代的到来,数据已成为企业的核心资产,变得越来越重要。云计算和移动互联网的普及,又使企业IT基础架构的边界越来越模糊,数据变得无处不在。另一方面,来自外部和内部的安全威胁越来越频繁,威胁手段也越来越多样化、专业化。
在这样的背景下,我们应该树立怎样的安全理念?应该用哪些工具来保护我们的关键数据和知识产权?面对安全威胁的“杀伤链”,我们应该从哪里入手,将其尽早斩断?在下一个WannaCry到来之前,我们应该做好哪些准备?
带着这些问题,我们采访了Forcepoint准能科技的技术总监冯文豪先生。
下面就请看选型宝首席架构师李维良与冯文豪先生的精彩对话吧。
李维良
在了解准能科技的时候,我们常会看到Forcepoint、Websense这些名字,请您介绍一下它们之间的关系和渊源。
冯文豪
大家对Forcepoint这个名字可能还比较陌生,毕竟这个名字从去年年初才开始使用。我们的前身叫Websense,中文名字叫韦伯森斯。Websense进入中国非常早,发展也非常的快。后来,通过一系列的收购、合并,我们在2016年初,成立了一家名叫Forcepoint的公司,中文名字是准能科技。
以前,Websense主要立足于Web安全、邮件安全和数据安全,并且在市场口碑,以及第三方的评估报告中,获得了非常多的认可。大家对Gartner的评估报告比较熟悉,从有数据泄漏防护(DLP)评估到现在,我们连续9年被评为领导者。
为什么要成立Forcepoint这家公司呢?从公司的战略角度来说,我们希望能走得更远,成为全球信息安全,或者说内容安全领域的最强者。因此,Forcepoint在整合了Websense原有的一系列产品之后,还在近些年成功收购了很多产品线,目的就是希望能够建立一个基于威胁生命周期的更加完整的安全体系,并为用户提供更全面、更强大的安全保护。
李维良
就在不久前的5月12日,WannaCry勒索病毒席卷网络,造成了巨大的经济损失,引起了一片恐慌。那么,WannaCry勒索病毒有什么特点?它的大面积爆发,给企业的数据安全带来了哪些警示?
冯文豪
WannaCry确实达到了让很多企业“想哭”的效果。其实,和2016年下半年、2017年年初时曾经爆发过的几次勒索软件病毒相比,WannaCry的隐蔽性和***手法并没有什么特殊之处,但是它利用了一个时间差,得以快速传播。从微软3月份提供相关漏洞的补丁,到5月份病毒爆发,中间有两个月的时间,但很多企业因为疏忽大意,没有及时打补丁,结果不幸中招。
关于WannaCry,我们应该思考的另外一个问题是:它的入口在哪里?是从哪里进来的?对企业信息系统来说,有两个入口最关键,一个是Web,一个是邮件。对于Web来说,我可以把它封掉,或者隔离一些权限,但邮件不同,它是一个正常的业务通道,我们不可能封掉它。在这样的情况下,很多外部***和新型威胁,就会首先从邮件这个薄弱环节***进来。
对企业来说,一定要保持对安全威胁的高度警惕,时刻关注安全动态,及时更新系统、安装补丁,做好备份。对员工来说,要不断提高安全意识,养成良好的行为习惯,不让堡垒从内部被攻破。同时,企业要建立一套完整的防御体系,从邮件这样的薄弱环节开始,全面防范安全威胁,保护好自己的核心数据。我想,这些都是WannaCry带给我们的重要警示。
李维良
我注意到,Forcepoint安全实验室提出了“杀伤链”,也就是威胁生命周期的概念。这是一个怎样的概念?在“杀伤链”中,邮件起到了什么样的作用呢?
冯文豪
杀伤链的原文是Kill Chain,其实最早是由洛克希德·马丁公司提出的。他们最早发现了APT***,并将整个***过程还原出来,从而产生了Kill Chain这个概念。
传统的网络***,通常是以层层***的方式进入企业和组织的,但在我们设置了防火墙、IPS、邮件网关等多道防御系统之后,这样的***方式将显得太繁琐、太艰难了。于是就出现了APT(Advanced Persistent Threat),也就是高级持续性威胁。
APT***的“杀伤链”,从侦查、诱饵、重定向,到最后的数据窃取,一共有7个步骤,整个过程设计精密,环环相扣。APT有几个特性,其中最重要的特性是隐蔽性强,它不在乎时间,它更在乎效果。第二,它不会采用层层***的方式来***,而是利用企业现有的这两个主要业务通道来***,一个通道是邮件,另一个通道是Web。因为业务需要,绝大多数企业不会关闭这两个通道。据统计,超过90% 的APT***是从邮件开始的,所以,做好邮件安全,就可以从源头斩断威胁数据安全的“杀伤链”。
李维良
来自邮件的***和威胁中,鱼叉式***、BEC等和传统的钓鱼邮件有什么区别?
冯文豪
从垃圾邮件到钓鱼邮件,再到BEC和鱼叉式***,这是一个历史演进的过程。邮件最早被不法分子利用,主要是发送一些广告和政治敏感性内容,这就是所谓的垃圾邮件。***者觉得邮件其实是个很好的渠道,与其发小广告,我还不如去做一些更“有意义”的事情,于是,钓鱼邮件就出现了。钓鱼邮件通过群发的方式,引诱人们去做一些事情,从而达到诈骗的目的。
钓鱼邮件之后,又出现了BEC,全称叫Business Email Compromise,我们可把它理解为针对企业的金融诈骗。与普通钓鱼邮件相比,BEC更有针对性。比如,不法分子会先窃取企业CEO的邮箱密码,然后冒充CEO给财务人员发邮件,指令财务人员给某个账户汇款。这种邮件看起来和普通的业务邮件一模一样,有很大的迷惑性,一不小心就会中招。
再后来,就是我们现在面临的鱼叉式***。这种***的目的,已经不局限于骗取钱财,而是通过邮件,获取企业特权帐号等信息,然后再利用这种信息,进一步得到更多的利益。鱼叉式***的目的性更强,***对象也不仅限于高管和财务,而可能是企业全体员工。只有从中找到任何一个漏洞,它就可以想办法去突破你。
李维良
您今天带来给大家试用的邮件安全网关,它的工作原理是怎样的?它和传统的邮件安全产品有什么区别?
冯文豪
现在大部分企业部署的和邮件相关的安全系统,基本还停留在对垃圾邮件、病毒邮件的静态防护阶段。这类系统更多是基于静态特征来识别危险,它不关注内容,看不到邮件里钓鱼之类的链接, 因此,它对APT或勒索软件这样的高级威胁是很难防御的。另外,这类系统更多关注邮件的“入”,而不关心“出”。
其实,早在Websense时期, 我们就注意到传统邮件安全产品存在的这些问题,并且针对这些问题,提出了一个新的一体化解决方案。我们的方案,不再局限于对垃圾邮件和病毒邮件的防护,而是从“入站”和“出站”两个角度,重新审视邮件安全,并提供更全面、更深入的安全防护。
对于入站邮件,我们的网关会对其内容进行分析,看里有没有包含恶意网址,这是传统的邮件网关做不到的。另外,对于一些未知的新型威胁,我们会把它放到“沙箱”(sandbox)里模拟运行,并通过分析运行结果,预估它的风险。
对于出站邮件,传统的做法是先备份存档,出事后再回查。但当企业的规模达到一定水平之后,从海量邮件里查找问题邮件,无异于大海捞针,是非常困难的。而我们的做法是,先为出站邮件预设一道防线,分析评估哪些邮件该发,哪些不该发。对于不该发的邮件,网关会发出警告,或提醒用户先找上级审批。
通过内容分析、沙箱模拟等一系列手段,我们邮件安全网关可以从出站和入站两个角度,为用户提供一套更完整防御机制。
李维良
我想,很多用户也会关心,邮件安全网关和防火墙有什么不同?
冯文豪
防火墙位于内外和外网的边界,它所提供的,通常是一种“开关式”的防护。比如,设置允许POP/SMTP协议,那么,所有邮件就都可以正常通行了。虽然新一代防火墙已经可以工作在应用层,但它还是基于特征去识别危险的,对于新型威胁和数据泄漏来说,防火墙是看不到的。
邮件安全网关位于内网,它和防火墙并不冲突,可以同时工作。邮件安全网关通过内容分析、行为识别、沙箱等技术,为用户提供更高级、更专业的邮件安全防护。
李维良
Forcepoint邮件安全网关通常是如何部署的?对于一些使用第三方企业邮箱的用户,您有什么建议呢?
冯文豪
我们的邮件安全解决方案包含了传统邮件网关的功能,可以完全取代传统的方案。传统邮件网关能部署的地方,我们的邮件网关也可以部署,但我们的解决方案会相对比较完整。
除了本地部署这种典型的方式之外,我们也支持云端部署。另外,我们还有一个单独的管理平台,用于制定策略,无缝衔接各种功能,比如垃圾邮件拦截、DLP等等。通过管理平台,可以将更多的解决方整合在一起,并让它们协同工作。
如果您使用的是第三方企业邮箱,我比较倾向于采用云端的解决方案。我可以给大家举一个云端应用的个例子。现在有越来越多的企业,包括国内企业,开始把邮件系统切到Office365上,基于这种情况,我们在微软的云平台上部署了一套邮件安全解决方案,并且可以直接把邮件流量指到这个防护系统上做分析过滤。整个过程是无缝衔接起来的,而且可以实现云端策略与本地策略的同步。
李维良
Forcepoint邮件安全网关的背后,有哪些支撑技术?这些技术有什么独到之处?
冯文豪
首先,我们有一个叫做ThreatSeeker智能云的安全情报感知网络,它在全球收集最新的安全威胁,并把数据提交给我们后端的安全实验室,为研发提供支持。一旦安全实验室有新的结论出来,就会把这些特征放到我们的分析引擎里。
我们的引擎叫ACE,也就是高级分类引擎。ACE可以提供10000多种分析方法,通过打分机制,判断每个威胁的风险等级。它有一个非常强大的库和一套非常智能的算法,这是我们比较强的一个地方。
另外,我们通过一些方案整合,不断加强邮件安全网关的功能。比如前面提到的“沙箱”,就是一个非常强大的功能,它可以通过模拟运行,预判一些未知的威胁。
在内容分析方面,我们也有很多独到的技术。比如,一些员工会把本地涉密的内容先截屏,然后再以邮件附件的方式发出去。针对这种图片格式的内容,我们会在网关旁边放一个光学字符识别,也就是OCR的一个服务器,它可以自动识别图片中的文字内容,并做进一步的分析。
还有一种数据泄漏形式,我们称之为“点滴式泄漏”。它会先把一份完整的信息拆分为碎片,然后每次一点点地发出去,最后再拼接还原。对于这种隐秘的数据泄漏方式,我们的邮件安全解决方案也可以很好地识别和防范。
李维良
当我们提到安全威胁时,通常是指外部***,但我注意到,Forcepoint还非常重视来自内部的威胁,是这样吗?
冯文豪
没错。一直以来,在整个解决方案的设计过程中,无论从研发的角度,还是从产品的角度,我们都一直非常非常重视内部威胁。预计今年年底的时候,我们会发布一个新版本的邮件安全网关,这个版本在内部威胁的防御方面,还会更进一步。它的内部威胁分析系统,会以先进先出的方式,把终端上的所有行为记录下来。在记录的同时,可以定义很多安全管控的策略。一旦终端上的某个动作触发了预先定义的策略,它会把这台机器上这个时间节点前后一个时间段内的所有行为信息,全部传到服务器上去做分析,这样,我们就可以把这个人所做的事情完整地还原出来。通过这种方式,我们可以追溯整个事件的过程,从而更深入地了解这个员工的目的和动向。
李维良
随着云计算和移动互联网的普及,数据安全迎来了很多新的挑战,Forcepoint在这方面有怎样的布局?
冯文豪
在去年年初的时候,我们就提了一个新的理念,叫做Cloud First,也就是云优先。接下来,整个研发的战略布局,更多会以云为主导。
对于云计算背景下的数据安全问题,我们一直都非常重视,除了基于云的安全管理平台和ThreatSeeker威胁情报收集网络,另一个有代表性的例子,是我们的安全解决方案与Office365的结合。我们所有安全解决方案,包括Web安全、邮件安全、DLP等,都可以在云端部署和实施。
对于移动端,目前市场上的解决方案非常多,而我们更多关注在内容威胁方面。在今年年初的时候,我们收购了一家公司,名字叫Skyfence,目的就是为了强化对移动端的防护。在移动端,用户主要关心两个问题:一是如何保护移动端上的数据,二是怎么防止恶意APP***,把手机变成一个***入口。通过Skyfence的CASB(云应用安全代理),我们在这两块都会有很大的增强。
Skyfence的CASB解决方案,也可以和我们的DLP做集成,从而在BYOD时代,为企业的数据提供更好的保护。
李维良
Forcepoint的整体安全框架和产品布局是怎样的?
冯文豪
我们把整个的安全解决方案分成了4个维度。一个是云安全,包括了Web安全、邮件安全等针对网络入口的防御体系。第二个是数据安全,包括了数据泄漏防护(DLP)和内部威胁防护。第三个是网络安全,主要是我们收购的Stonesoft的产品体系。通过ACE、DLP等技术与新一代防火墙(NGFW)的整合,为网络边界的安全,提供更强大的防护。另外一个,就是我们称为“高级威胁分析”的平台,主要提供新型威胁的分析技术和情报分享。通过这4个维度,我们会帮助客户建立一个非常完整、非常坚固的安全防御体系。
李维良
在用户服务、技术支持、知识分享等方面,Forcepoint是怎样做的?
冯文豪
这方面的工作,我们一直都在做。比如,我们会通过一些公共平台和网站,将我们的安全分析成果快速及时地分享给我们的用户。在每年的下半年,我们会对第二年可能出现的安全风险做出预测,并将预测结果提前告知我们的用户,提醒用户及早进行安全防范。
另外一个例子,是我们有一个叫做ACE Insight的网站,可以帮助用户在线分析可疑的网址或文件,并会给用户提供一个非常完整的分析报告。对用户来讲,这些服务都是非常有价值的。
李维良
我注意到,Forcepoint提出了一个“构筑以人为本网络安全屏障”的理念,您是怎样理解这句话的?
冯文豪
谈到安全解决方案时,我们通常会从人、流程、技术三个维度去思考。但在过去,大家更多地关注在技术和流程上面,常常会忽略人。突出人的重要性,是贯穿在我们战略布局和产品研发中的重要思路。比如,我们希望通过对人的行为的分析,尽早判断出某个员工的行为是否正常,有没有风险存在。
对任何一个企业来说,安全解决方案做得再完善,都不可能完全解决问题,“人”才是整个体系里最根本的点。通过随时随地了解人们与企业的关键数据进行交互时的行为与动机,帮助企业消除安全盲点,保护好关键数据和知识产权,这是Forcepoint一直以来的努力目标。
李维良
谢谢冯总的分享,我们下期节目再见。
原文地址:https://blog.51cto.com/14440256/2422537