记者:目前McAfee最关注的技术都包含哪些方面?
陈联:目前McAfee最关注3个方面的技术:IPS、漏洞管理,以及间谍软件。IPS是入侵预防系统,是一 个主动的防御过程。相对于传统的IDS,因为IDS有大量的误报现象,所以需要一种方案解决这个问题。现在的IPS一是基于特种匹配,第二是基于行为分析。目前IPS市场有两大类 产品,一类是基于主机的入侵防护系统,一个是基于网络的入侵防护系统。通常情况下,选用网络的比较多一些,在关键网络和出口上都会部署一些基于网络的IPS系统,可以实时 检测一些攻击,把这些攻击阻挡掉。但是针对比较安全的网络情况下,单纯基于网络的防护系统还是不够的,还需要配一些基于主机的。主要原因是,现在的攻击最终目的还是攻 击服务器,服务器的防护是最后一道的防线。比如有一些攻击是靠传统的网络防护检测不出来,一个企业在构建IPS系统的时候,首先考虑基于网络的防护是必不可少的。在我们的 骨干网中,一定要部署这样一些产品防护攻击,另外在比较关键的服务器上,比如说数据库服务器,我们的WEB服务器上,一定要布一些基于主机的防护系统。主机型IPS能够防止 服务器的弱点被利用,不过因为服务器平台已经运行了包括防病毒软件在内的多种安全应用,所以主机型IPS的普及速度比不上网络型IPS。网络型IPS部署在网络的进出口,预先对 入侵活动和攻击性流量进行拦截,避免其造成任何损失。网络型IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认 其中不包含异常活动或可疑内容后,再通过另外一个端口将网络流量传送到内部系统中。这样一来,有问题的数据包以及所有来自同一数据流的后续数据包,都能够在网络型IPS设 备中被清除掉。由于网络型IPS能够在线实时去除恶意流量,具有状态检测的功能,综合检测多种入侵攻击,同时不需要设立IP地址就可以透明地连接到网络上,不会对用户网络和 系统造成影响,因而受到用户的青睐。
漏洞管理方面,都说七分管理、三分技术,管理上往往很难要求每个IT管理人员都有非常多的经验,因此我们利用一套成型的技术来制定病毒防范政策,企业可以按照自身的情 况来管理,但是如果太严了,性能就可能有问题,太松了,自然就会有漏洞,所以我们有一套成型的技术来帮助用户协调这两方面的矛盾。中国大部分的商业银行,都比较成功地 采用了我们这项技术,现在基本上是离不开这项技术的支持了。因为管理上面,哪怕是非常小的一个漏洞,都会造成非常大的损失。
间谍软件方面,这是今年安全领域的热门话题,目前平均每台电脑中运行着近28个间谍件程序,而30%以上的系统中有木马或系统监视程序。所以McAfee公司以8600万美元现金 收购了Foundstone公司,而Foundstone拥有检测和管理软件漏洞的软件。收购将把Foundstone的漏洞管理软件增加到McAfee越来越长的安全产品名单中。McAfee计划把Foundstone 发现和补救软件漏洞的技术整合到它的入侵检测和安全策略管理产品中,使企业能够识别和保护高优先级计算机资产不受攻击。作为协议的组成部分,Foundstone的专业服务群组 将成为McAfee服务团队的一部分。在McAfee的计划中,还将陆续将反间谍软件侦测功能加入其它产品线中,例如线上防毒服务等,然现阶段时程表未定。
记者:究竟什么是漏洞?漏洞是指在方法、管理或者技术中存在的缺点,而这个缺点可以导致影响、降低IT安全。那么,漏洞的制造者们有哪些?
陈联 :提供商造成的漏洞、开发者造成的漏洞、错误的配置、策略的违背等都会引发漏洞的产生。因此漏洞是方法、管理、技术上存在缺陷而造成的。目前严重的安全事件大多数是由 缓冲区溢出所导致,McAfee在自己的实验里加强了对溢出型漏洞的研究和跟踪,并且把针对溢出型攻击的相应防范手段推送到IPS设备的策略库中。这项缓冲区溢出分析技术使得 McAfee的IPS设备能够检测七层的数据包,实现对应用的主动保护。管理上来说,分四个层面:防垃圾邮、防病毒、内容过滤、网络入侵防护。所以有一个真正的防护体系应该有这 样四道闸门,从而组成了一个深层次的防护系统。
漏洞管理的生命周期包括了10个步骤。
第一,设定弱点管理策略;
第二,清查资产种类与数量;
第三,定义资产价值与重要性;
第四,执行弱点扫描;
第 五,执行威胁比对;
第六,计算风险等级、找出风险所在;
第七,实时阻断各类入侵;
第八,修补弱点、追踪进度与成效;
第九,以量化方式评估弱点管理成效 ;
第十,检查是否符合预先设定的标准。
漏洞出现后,首先要求网络或系统管理人员在指定期限内修补漏洞,然后,网络或系统管理人员按照指示在期限内修补漏洞,最后,主管确认漏洞是否修复完毕。这三个步骤构 成了一个完整的漏洞管理流程。
记者:未来1~2年,McAfee会关注什么技术?
陈联:主要是针对中央安全管理的研究。目前其实这方面的工作已经开展,主要是针对事件的管理。
记者:从技术上来看,今后的病毒的发展趋势是什么样的?
陈联:病毒爆发的时间越来越短,速度越来越快,我感到网络本身的吞吐量上升也是一个联 系。我感到,从用户方面来说,更关键的是怎样有一个行之有效的手段和技术,把漏洞堵住。现在的病毒向网络化发展,自己感染,也感染其他的计算机,是通过系统中的一些漏 洞进行传播,一个是危害比较大。第二是传播速度比较快。下载防病毒软件已经远远不够了,所以传统的技术要和新技术结合,把后门和漏洞都堵上,即使有病毒,漏洞补好了, 就感染不了我们的系统,这是我们倡导的主动防御的概念。(责任编辑:刘燕之)
此外,陈联曾于多家科技公司担当产品管理及商业发展职务,包括出任美国大通银行安全顾问,期间成功设计及实施多项安全方案。