下面是详细的对话实录:
主持人:首先想请您介绍启明星辰以及您在启明星辰所负责的具体工作?
姚志武:启明星辰是一个专业的安全厂商,我们提供安全产品和安全服务。目前,在国内市场上还是比较有影响力,我们在各个层面,无论是在用户的需求还是在
网络安全技术方面,我们都做了很多努力。我目前在启明星辰担任威胁检测产品经理,主要是负责IDS、TDS的产品规划、产品发布以及相关工作。
天阗威胁检测与智能分析系统是启明星辰在2010年4月发布的这个产品,实际上是我们在对于大量IDS用户进行了调查之后,分析了他们的需求以及我们自身的一些技术行为之上发布的这款产品。
主持人:近期,中国互联网络信息中心在发布的《第26次中国互联网络发展状况统计报告》显示,2010年上半年有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击,有30.9%的网民账号或密码被盗过,网络安全的问题仍然制约着中国深层次的网络应用发展。您怎么看待这个数据?这会给安全厂商带来哪些机遇与挑战?
姚志武:从这个数据的情况来看,安全还是形势还是非常严峻的。就是说从我们大量的分析可以看到绝大部分用户可能都是暴露在攻击之下,而且,还有很多用户感染了木马、病毒。也就是说,用户自身的一些数据和观念都存在一些问题。对于安全厂商来说,我们是需要给用户提供更加方便更加有效的工具来帮助用户抵御威胁,加强安全。
主持人:用户在上网设置账号与密码,您有没有一些好的建议与IT168网友分享?
姚志武:对于普通用户来说,密码实际上是需要有一定的复杂度不能过于简单,特别是这种生日四位数或者六位数密码,平时可以设置一些相对复杂的安全密码。当然,更重要的是对自身系统与防病毒软件保持更新,另外,对于网站,我们要小心一些,尽量选择可信任网站去访问,一些不信任的网站或者以前不太知道的网站,还是要尽量小心点。
主持人:CNNIC最新发布的数据显示,中国的互联网用户已经突破4亿,在这么一个高百分比的攻击率数字面前,您觉得这给安全厂商带来哪些挑战和机遇?
姚志武:作为安全厂商来说,需要给用户提供更多易用产品。为什么会出现这么多的攻击?实际上,安全还是一个相对比较专业的一个领域,它有一定的技术挑战,对于很多用户来说,还不太了解威胁来自于什么地方或者说他的哪些行为会导致很容易受到攻击,在这样的情况之下,作为安全厂商而言,需要更多的
易用性强产品,同时,我们可能需要为用户提供更多的信息,让用户能够了解到安全实质。了解它的危险来自于什么地方,了解自己的弱点在什么地方,哪些地方容易被病毒或者木马攻击。
主持人:有网友在IT168网络安全频道看到“可视化TDS让安全变得简单”这样的字样,平时交流会问我些字的具体意思,今天您能给我们的网友解释一下具体的涵义吗?
姚志武:我刚才提到过安全是非常专业的一个问题,之所以会比较困难,之所以这么多用户会被攻击,很大程度上来说,就是说存在一些技术障碍。很多用户理解这个技术的话,都存在一些障碍或者说我们处理好安全问题都存在一些困难,安全产品之让用户理解的很好有一定难度。
从IDS产品来看,IDS实际上是一个检测分析的一个工具或系统。这套系统是通过对网络上的相关数据分析,然后发现病毒传播、入侵、后门以及木马等相关活动。实际上,从网络数据本身来说,很多正常行为和攻击行为非常类似,如果仅仅只是看一个片段或者说是当前的一个状态,有时候我们难以区分它是一个正常访问还是一个攻击行为。
比如说有一次发现网络上某个用户登录时,发现密码错误,那么这也是一个用户真正的输出密码还是说某人在猜测这个密码?如果我们单看这一次,很难判断出这是一个攻击还是一个正常行为,正是由于这个原因,作为IDS产品或者说我们的威胁入侵检测产品,它会对大量的网络数据进行分析,之后,对于这种可疑行为,通常情况下都会产品报警,那么这个报警到底是不是一个具体的攻击,往往需要进一步分析,这就会涉及到非常多的专业知识,包括操作系统、协议甚至涉及到网络拓扑结构、应用的相关知识,要判断出来的话还会涉及到后续的工作。从IDS一条报警的发生到确认它是一个真实攻击甚至是处理它的话,需要很多的背景知识,或者说对现在网络了解的情况之下,对于一个管理员或者企业用户来说,可能不一定有足够的时间去搜集相关的信息来判断。那么,他处理这套事件就会碰到困难,这就是我们之前谈到的安全事件处理会存在难度。
启明星辰TDS产品主要是在IDS的产品上,以前的IDS用户会碰到这样的问题,即当报警产生之后,到底是不是安全事件,到底是不是一个真正攻击,如果是一个真正的攻击,又怎么去解决安全问题会有一定的难度,这就是困难所在。启明星辰TDS产品就是要使得这些能够变得更加安全。我们怎么样来让这个东西变得更加安全?实际上TDS产品集成了很多专家的经验,也就是说,可能以前是需要这个人工来判断的经验知识,把启明星辰IDS接到系统当中,通过智能化的方式帮助管理人员判断。通过智能化之后使得我们的事件很少,用直观的方式表判断出来,这个就是启明星辰的“可视化TDS 让安全变得这么简单”。
主持人:启明星辰天阗威胁检测与智能分析系统(TDS)还有哪些优势?
姚志武:实际TDS关注的是用户对于整个安全事件的处理过程,传统的IDS产品发现是一个攻击报警马上出来,后续需要管理员大量工作,启明星辰TDS产品可以帮企业管理员来解决后续的一些问题,我们给它提供辅助处理手段,我们还会出周期性报表,在报表上给用户提供网络安全发展的趋势,通过这个变化情况能够判断这个安全状态的变化趋势。
主持人:我们知道启明星辰天阗威胁检测(TDS)继承传统IDS威胁检测能力,能给我们的网友介绍一下TDS与IDS之间的渊源关系吗?
姚志武:启明星辰TDS作为一个威胁检测产品,底层会使用很多IDS的检测技术。IDS技术包括协议分析技术、特征匹配以及一些专用的算法匹配技术,这在IDS和TDS当中都有。启明星辰在IDS上有非常多的积累,所以说TDS相应也继承了这部分的积累,也就是说,TDS在检测技术这个层面的话实际上是继承了IDS的一些优势。
主持人:在TDS中,威胁检测与智能分析是两套不同的系统吗?他们之间是一个什么样的工作原理?
姚志武:启明星辰天阗威胁检测与智能分析系统和天阗入侵检测与管理系统,目前是两套系统,那么这两套系统主要区分是天阗入侵检测与管理系统,也就是我们说的IDS产品主要注重对网络上报文的检测和分析,那么产生事件对于这一个TDS系统的主要关注的是如何从事件当中分析出值得重点关注的事件,如何去处理,安全趋势如何变化,它的主要功能和特性是集中在后端的这一部分。
主持人:启明星辰天阗威胁检测(TDS)是一个检测与分析的一款产品,那么企业在解决方面还需要哪些产品才能构成一套完整的安全防范解决方案?
姚志武:通常情况下,安全是需要基于边界的,也就是说网络是需要划分出边界,在边界上需要部署一些防护性产品,在边界防御上内部网络中需要像IDS产品,终端上可能需要一些防病毒产品或者安全管理产品,在业务上有可能还需要审计系统来确认内部操作都是安全的,再就是用户需要来定期了解支撑网络是否有弱点,部署漏洞管理产品。
主持人:您怎么看待国内威胁检测类产品这个市场?
姚志武:目前来看的话,国内安全产品实际上还是存在良莠不齐的一种状况,也就是说,IDS产品在中国差不多有十年左右的历史,而用户对IDS产品已经有比较多的认识,通过这么多年和企业用户的交流以及用户自身理解,用户对企业安全需求有非常多的认识。从安全厂商的情况来看,国内已经具备一些有开发实力的厂商开发检测产品,那么目前来说这对市场有非常好的支撑作用。当然也有一些安全产品可能还是需要有一些改善的空间,真正达到用户要求。
主持人:企业在采购威胁检测类产品的时候应该注意什么?什么样产品才是一款好的威胁检测类产品?
姚志武:入侵检测产品和普通防护性产品还不太一样,入侵检测产品要检测攻击与威胁,而攻击和威胁手段在不断变化、随时更新。企业用户在挑选此类产品,第一需要看的是用户是否具有漏洞发觉能力,也就是说,是否能够跟踪最新漏洞,能够定制新策略、能够更新新的检测方法、可以直观判断的标准。
第一条、 我们可以看一看安全厂商提供的检测特征升级库是否是在定期更新,当然更新的周期是越短越好;
第二条、 我们要看这个产品是否符合自己所需要,它是否能够检测到这个系统当中真正的攻击,它的协议分析是不是够强?
第三条、 它的漏洞攻击的覆盖能力是不是足够?
在不同环境下,对于此类安全产品具体要求会有一些变化,但基本上要从这几个角度进行考虑。
主持人:启明星辰TDS产品在下半年会有什么新的计划?
姚志武:启明星辰TDS系统仍然会继续向前发展,我们比较专注在TDS产品线,会专注在检测这个小范围,目前,有大量的用户实际上已经部署了入侵检测系统,他们实际上是在不断的反馈一些新的需求,从市场来看,这种需求还会越来越多,特别是奥运会、世博会等等这种大型活动,它对安全的要求会越来越高,那么检测系统会越来越多,启明星辰TDS系统在智能化和可视化方面已经走出非常重要一步,在后一阶段,我们会继续加强智能化和可视化,使得启明星辰TDS能够发挥更大的作用。我们会增加一项对于资产信息、环境信息的一些感知能力和相关功能,使得我们这个产品能够和用户的网络管理层面能够结合起来。
主持人:今天我们的探讨话题到此结束,感谢姚总在百忙之中参加我们IT168的视频访谈,希望启明星辰TDS产品能够使安全变得更简单、能够使企业的安全更加安全,谢谢大家。
姚志武:谢谢大家。