Q:你怎样看待2012年可能出现的恶意软件?
Crosby:我认为今年恶意软件的数量会显著增长,目前恶意软件每年都呈指数增长,这种情况会持续下去。它会成为美国大型企业甚至是联邦机构的主要威胁。简而言之,现在全国的网络间谍行为在不断加剧。这并非网络战,而是大规模的网络间谍行为。而且这种情况会持续。但是,新的一年会有很多新机遇。虚拟化在IT系统中的使用还是头一回,而这也极大改变了对安全的支持。
Q:那是怎样呢?
Crosby:传统IT状态不佳。例如我在与一家大型军事组织合作,他们告诉我需要两个防火墙,两个Web应用防火墙,两个端点安全措施。问题出来了,为什么要两个呢?他们不得不选择两个供应商。然后确定自己可以获取更多保护。而他们也不知道两个是否足够。
Q:他们是同时使用两重保护?
Crosby:是的。目前黑名单的方法已经被打破。白名单对于你认识的员工有用。虽然你知道自己使用的程序,但是当你的应用和操作系统处于特定状态,在处理不良数据时你却无法了解其中的情况。而这也是在你的系统被入侵后所发生的事情。你的浏览器没有恶意,只是在浏览某些特定网站时才出现攻击。列白名单的方式很好。只不过它不是长久之计,因为不适合没有使用过的代码。
如果你多看几家供应商,多看看业内的不同的领域,就会发现大家目标一致。而这才会促成一个更可靠的架构。
Q:目标是什么,如何才能实现?
Crosby:桌面虚拟化供应商试图走这条路,他们认为虚拟桌面更安全。个人觉得这是因为它更集中而并不是因为它无法应对浏览器中的攻击。传统的端点安全专家或网络安全专家试图提供更好的检测方式。他们正不熟模糊逻辑,而这种逻辑并未对我有何启发。模糊逻辑不是获取客户信任的好方法。然后会有DLP人员试图从桌面偷走更具入侵性的控件。
他们想让你认为使用的东西是值得信任的。
Q:现在有哪些工具有用?
Crosby:我坚信创建可信赖架构的唯一方式是从一开始就对系统建立信任。虚拟化技术,硬件虚拟化以及其他硬件功能都是实现特定运行时语境隔离粒度的基本要素。只要这样才能创建更可靠的架构。
Q:目前已经达到什么程度?
Crosby:今年我们可以看到一些利用虚拟化的产品,特别是与端点和云相关的产品,目的是让软件运行更可靠。这将成为行业的一个新起点。而且,你会看到有越来越多的人开始依赖于服务器和客户端上的可信赖boot和可信赖bootstrap,这样你就可以证实软件运行堆栈的状态,至少在它开始运行的时候,然后可能使用hypervisor执行检测来确保运行时堆栈不被修改。
第一项技术将和Intel与McAfee的DeepSafe差不多。其目的是使用虚拟化技术,一个hypervisor持续记录运行中的软件系统还未被损坏的传输频段。
Hypervisor 为此提供了替换执行环境,这个环境优先级别高,不易被攻击,可作为安全架构的核心使用,用来检测或是为信任度做正面描述。
Hypervisor可能成为市场上OEM堆栈的一部分,那样整个工具套件市场的格局都会出现变化。
Q:你对今年公共云安全有哪些看法?
Crosby:我坚信Amazon等架构比企业自己创建的架构要好。用人来控制数据不是一件好事。我在Amazon S3上有大量数据,可以到上面寻找所需的数据。而且,他们也有资源来处理分布式DOS攻击,这是企业所没有的。
Q:那么你认为公共云可以提供更好的安全性对吗?
Crosby:它们可以用一种正式且深刻的方式保护架构。这是一般企业用普通企业软件系统无法做到的。通常,在安全措施跑偏的地方并不是执行的人不够内行,只是客观上出了问题而且人也是会犯错的。企业面临的问题是可调整的。
