RSA Conference 2008 今年4月初在美國舊金山舉辦,是全球重要資安活動,不僅可看到產、學界的資安議題,各大廠商高層也提供精闢演講。
去年由Bill Gates做完其最後一年的RSA 開場演說後,今年由美國前副總統高
爾(Al Gore)擔任主要的Keynote演講者,RSA Conference可以說是眾星雲集的資安嘉年華會。以下是本刊特派員在現場的直擊報導,給您第一手的資訊,如果明年要參加,現在得開始訂位了。
話說,看整年的資安趨勢就是到美國RSA Conference一點都沒錯,但是令人有點失望的是,今年並沒有特別新的議題。所以,我們只能看到美國現在熱門的議題,說穿了,熱門議題只有一個主菜-法規遵循(RegulationCompliance),其他如端點安全NAC、防制資料外洩DLP等,都只能算是小菜,因為法規的要求所創造出來的市場,已經大的難以想像,所以在各家廠商的攤位與宣傳物上面來看,都會看到XXXComplianced 的字樣,加上今年9月即將通過的支付卡產業資料安全標準的新版,大家無不摩拳擦掌,大肆宣揚其如何幫助法規遵循的功能與稽核報表。整個會場滿滿的攤位,據大會指出有超過300家的國內外廠商進駐,而今年的報名人數則由去年1.5萬人成長至1.7萬人。
焦點演說
當然,重頭戲都是在幾位明星身上,前美國副總統高爾則是其一,這行程是大會很晚才敲定的,本來未規劃要去聽這場演講,但是在大家慫恿之下,應該去聽一下高單價的演講才划算。果不其然,高爾還是從全球暖化的議題切入,提出了新的證據證明大家如果再不抵制美國等大戶對於地球的消費,我們都會死的很慘或過的很差。不過這點倒是與資安所談到的虛擬化安全(Virtual Security)剛好結合在一起,減少能源的浪費,還是要小心看不見的虛擬世界。他說,公司的網路面對的是無聲的威脅,就像是全球面臨二氧化碳太多的問題,都是無聲無息的。
他認為區域的利益衝突,思維很少能從世界的角度來出發,當我們把時間軸線拉長之後,就會發現這短短的幾十年,已經將地球的祖產消耗殆盡。最後終於談到,二氧化碳是無形的,
需要資訊科技來追蹤其增長速度,這就是他會到RSA來演講的原因,同時
也希望大家要深思現在科技的能源效率。如何能更有效的應用有限資源,
另外一個不能錯過的就是資安啟蒙老師Bruce Schneier,可以說是整個
產業中最有洞悉力與遠見的一位,不過他這次講的梗,還是跟他前幾次講的差不多,不過對於第一次聽的人應該會有一些啟發。主要是談對人對於安全
的feel,就是所謂的安全心理學—人性。大家會認為資安是電腦的問題,不過Bruce舉出很多例子要告訴大家,資安一直都是人的問題,將社會現象的哲學 轉換成安全威脅的實證,這些話從大師口中說出,真的不同凡響。
如同往年,賽門鐵克CEO John Thompson也受邀為主講人,他提出3個對未來的預測:惡意程式數量會超過正常的系統(現在應該早就超過),因此以
後要執行系統和軟體都要透過白名單機制。其次,美國人最擔心的身分與隱私問題,會開始由企業再深入客戶,企業要提供這種保護與服務給客戶。另
外第3個預測是老調重彈的數位版權管理,他預言將來不只是對於電影和音樂的保護,而是所有數位內容都要納入其中。而安全的戰場已經從以前對於
基礎設施保護轉向資訊為核心的資安防護。對於企業及政府來說,在複雜的IT環境中要做好資安,必須建立使用以資訊為核心的安全政策,是絕對必要
的。他表示,企業要從資訊為核心來看安全,也就像是洋蔥一層一層地區分區核心資訊,以及相對應的風險管理對策。最後,他指出現在資料外洩問題
已經嚴重2倍,包含有7成的惡意程式都是為了竊取資訊,帶來很嚴重的商業威脅。他也幫IT人員出一口氣,資訊安全是每一個人的責任,不只是IT人員
的責任,大家都要了解到這個連接在一起的世界,充滿著挑戰與威脅。他認為,現在應該要開始改變公共政策,美國議員已經意識到保護消費者個資的
重要,但要更進一步從聯邦法規下手,提供更高層次的保障,保護消費者的隱私。
準備迎接下一版的 PCI-DSS
下一版支付卡產業資料安全標準(PCI-DSS)將在9月推出。PCI安全標準會議的總經理Bob Russo表示,雖然我無法明確告訴你改版的編號從1.2到2.0這種
細節,但是這些變更都是必要的,都是企業必須要做到的項目。改變的需求來源都是從上一版業主實際操作下發現的回饋資訊,所以內容不會是太過於
激烈的變動。Russo在RSA Conference 2008中出席一場接近千人的會議中表示,PCI與法規是在座心中最關切的問題之一。變動與新增的部分則是在無線網路、應用程式安全與授權管理。PCI 標準的生命周期是2年一輪,因此新的標準會在今年9月釋出,新版重點在於應用系統的程式碼審查與保護,Russo表示,就個人而言希望大家都可以用OWASP這一類的源碼測試與弱點掃描,但是因為人工方式檢驗程式碼是很費功夫的,因此應用程式防火牆也許是新的解決方式,但必須要釐清PCI的新要求與稽核目標。
美國人一樣資安認知缺乏
國家網路安全聯盟(NCSA, National Cyber Security Alliance)發表網路犯罪報告,有71%的消費者對於殭屍網路(botnet)的認知缺乏,對於這種快速成長的網路犯罪工具的了解顯然不足,這也是造成大量個人資料外洩與身分竊盜的主要原因之一。
?59%:大多數的人認為它們的電腦不會影響到國家安全。
? 47%:駭客「不可能」使用它們的電腦進行網路攻擊、網路犯罪。
? 51%的人去年沒有改過電腦密碼。
? 48%的人不知如何保護自己免於受到網路犯罪侵害。
? 46%的消費者無法確認自己是否曾經是網路犯罪的受害者。
財務犯罪追蹤 網路犯罪變化多
美西銀行的副總McGowan在參加RSA 2008一場討論會中表示,財務經濟犯罪已經因為網際網路的發展,犯罪手法的組合包含網站、電話、電子郵件等,對於追蹤財務犯罪與徵信人員而言更是產生新的挑戰。在一些真實的案例中,竊賊在網路上蒐集客戶的資訊再藉由電話進行銀行轉帳詐騙,有時候
還利用這資訊加上社交工程詐騙到銀行的服務中心去重新設定用戶的帳戶資訊,也成為銀行業者非常頭痛的問題之一。
企業無法單靠DLP產品遏止資料外洩
防制資料外洩在RSA 2008中是一個很熱的話題,不論是產品面或者議題面,在一場高階資安管理者的論壇中,幾位來自各大財金公司的主管提到,導入防制資料外洩是一個營運決策,不只是資 安或資訊決策。解決資料外洩,不能只是靠系統,還要有管理程序,這個是千古不變的,了解人的行為後,控制、監視、預防是老早就在做的,現在只是換到資訊系統之上。同時論壇最後指出幾項如何成功佈署與執行DLP方案的挑戰與重要項目:
? 尚未導入之前,必須要能和公司從計劃面確認,公司可以很快速地全面導入文件管制與偵測的系統。一旦動作太慢,就會失效。
? 導入之後必須試行與修正系統,使其適合企業環境,也必須把誤判或假警報排除,以免影響到正常營運流程的順暢。
? 防制資料外洩本身還是仰賴公司管理與協同作業的流程,避免利益衝突,落實權責分工。
? 對於這套管理辦法要賞罰分明,還要做到全面性的員工教育。
RSA 2008的產業面消息
微軟在RSA 2008首次發布Stirling安全套裝的公開測試版。Stirling是Forefront的下一版本,強調安全政策的落實與管理。而IBM則開始對於虛擬化環境的安全有所著墨,當企業漸漸走向虛擬化環境之後,在實體世界中的安全威脅一樣會進入到虛擬環境中,Phantom是IBM所提出的虛擬化安全管理的網路與主機型入侵保護軟體,可以做到設定獨立隔離區域,鎖定虛擬化的中控主機與各虛擬機器的監控管理。趨勢科技在RSA期間也宣布買下了一家名為Identum的郵件加密公司,整合入企業產品中稱為Bristol,看來資安資訊的併購大戰還繼續延燒未止。Sourcefire 創立者Martin Roesch同時也是Snort的創始者,在大會中也秀出了新版Snort 3的畫面與功能,大談下一代的入侵偵測。
Secure Computing在RSA 2008同時公布了新的TrustedSource聯盟,這次擴大會員包含Brightfilter、C ymt e c S y s t ems、F 5、F o u n d r y N e t w o r k s、 InternetSafety.com、MarkMonitor、Riverbed Technology 與Webroot。同時對於網頁式惡意攻擊散播(Web-borne malware)的方式提出呼籲,在企業的流量中有9成是無用的信件,但是這些資訊對於資安業者非常有用,因此TrustedSource在全球各地共80多國,放了7,000多個資料蒐集器,才能分析蒐集出最新的資安動態。而此新聯盟的成立,也會牽動其他資安產業結盟的新可能,畢竟單打獨鬥的時代已經過去,還不趕快選邊站,就要等著被大軍橫掃了。