网络安全 频道

数据泄露“凶猛”,谁是“终结者”

  【IT168 访谈】企业如果要成为数据泄露频发事件的“幸存者”,不妨认真聆听安华金和CEO刘晓韬怎么说?

  随着近几年数据泄露事件频发,包括一些拖库、撞库的事件也引起了众多网友的关注,个人隐私的泄露成为广大网友比较关注的问题,越来越多的企事业单位对此重视度提高。安华金和作为一家为客户持续提供全面的数据库安全产品及解决方案的厂商,对此有着自己独特的视角和看法。近期,安华金和CEO刘晓韬做客IT168演播室,与广大用户畅谈数据库安全市场的发展状况,未来的发展趋势,以及安华金和如何保障企业的核心数据安全。

  数据泄露进入“新常态”

  IT168:如何看待目前频发的数据泄露事件?

  安华金和刘晓韬:关于信息泄露事件,现在有一个新词叫做新常态,现在几乎每天都能看到很多的数据泄露事件的发生,在安华金和创建之初,已经意识到安全市场的前景,随着信息化与互联网的发展,数据安全也将是政府和普通民众共同关注的一个问题。但是没有想到这两年泄露事件来的这么迅猛,说严重一点有些出乎意料的迅猛。从四月份暴漏的社保大规模信息泄露之后,互联网圈也相继爆出信息泄露事件。

  这些不太平的背后却有着客观规律,首先,国家信息化发展到现阶段,已经积累了很多有价值的东西,不像以前家里一穷二白的时候不用上锁,当家里积累财富多到一定程度的时候才开始要上锁,要开始装防盗门甚至雇佣保镖,这充分说明一件事,我们国家有钱了,网上的数据库里面的数据也都有了价值;其次,我们现在倡导的互联互通、倡导的信息共享,在这种情况下可访问数据的途径变多了,那么在系统中留下的后门和窃取数据的途径也变多了;再者,数据的价值增大,就形成了产业链,黑产交易增加。这种情况下信息泄露事件频发也就不足为怪了。

  IT168:为什么企业面对数据安全所产生的问题时,会如此的手足无措?

  安华金和刘晓韬:这种手足无措,源于2个方面:一是,客观原因,情况复杂了,信息化发展自身建设能力增强的同时,黑客的能力也在不断进步。而系统越复杂,自身的漏洞也会越多,漏洞越多伴随着的是黑客的攻击手段也会越来越多。以前黑客往往都是直接攻击,现在又出现了APT攻击,APT攻击意味着潜伏期更长了,攻击手段也不仅仅限于技术手段,还融入了社会工程学,另外,利益驱动下,企业内部人员,也会越过法律干这些事。所以从客观环境来说,信息泄露的事件本身变得复杂,以前的安全防护思维去做安全防护已经跟不上现在的发展了,同时需要兼顾企业对于安全防护的重视度。

  二是,主观原因。很多新兴企业,如互联网金融P2P企业,他们首要忙的是让业务系统运转,至于这里面的信息安不安全往往是第二步,这跟我们国家的立法环境也有很大的关系。目前在我们国家企业的信息泄露之后,企业的安全责任很低。sony泄露事件出来后sony的高层要开新闻发布会,得进行道歉,得进行赔偿。但是国内的企业在出现信息泄露之后几乎就没有企业站出来开很正式的新闻发布会进行道歉,更别说对用户赔偿了,因为企业的犯错成本很低,企业不愿意在信息安全方面做更多投资。

  据安华金和观察,在国外信息安全防护方面,主观上的意愿比较强烈,但是由于现在客观环境非常复杂,谁也不能保证数据信息的绝对安全。此外,安防技术和攻防技术的发展,以前我们可能更加注重边界防护,强调对外部人员的防护,但现在的实际情况是不光有来自外部的攻击,也有内外部的沟通,这就是堡垒从内部被攻破;还有,在网络通讯层乔装打扮,突破边界进入到内部。如今,信息安全又在考虑塔式防守,就是边界防御被突破后,内部防御怎样再进一步加强。这些都说明我们在下一步信息安全的理念上要配合国家和企业,但是这个前提是企业的安全意识要加强才行。

  数据库在裸奔 数据泄露后知后觉

  IT168:安华金和觉得在数据库安全方面,企业的重视程度如何?企业在主观意识上有没有提升或改变?

  安华金和刘晓韬:企业以前所强调的那些安全概念,“觉得东西放到家里就相对安全了,把家里的防盗门装好,家里的东西本身就不需要再做什么安全措施。”这好比数据库都是放到企业内部或者内网当中,企业外围加上防火墙,再加一些控制就变得很安全。实际上这并不符合当前的实际情况。

  因为,首先很多企业、政府请第三方开发人员,可以直接访问数据库,或弄一个测试库,但测试库又与真实数据库中的数据想通,实际上在这种情况下数据库中的数据是可以直接被开发人员拿走的;第二是运维,运维人员的问题在于现在一些企业和政府缺乏足够的运维人员,运维也是外包服务,这就造成外部的运维人员可以直接接触到企业或者政府的生产库,所以这些外部的运维人员是可以直接把数据库中的数据拿走。第三是数据库服务器丢,数据库服务器丢失以后,实际上后端的那些数据存储是完全有手段还原成明文的,那个时候数据自身的一些防护措施已经不起作用了。

  现在企业数据库中的数据就好比家庭的核心资产,金条,银票,存折什么的。总得想一些手段对核心资产进行防护。所以说现在的边界防住了,内部不设防,这种思想非常落后。但数据库中的数据,和现实中的实物还不一样,丢失可察觉可见,然而数据库中的数据被拷贝走了,企业可能一点感觉都没有,因为虽然数据被拷贝,但是数据库中的数据还在,只能等数据流传出去,被利用后,才有所察觉。所以据调查显示,往往数据被盗走3-6个月,企业才知道。

  现在用户对数据库安全的认识度在逐渐提高,现在一些大型的解决方案里面逐渐都加入了数据库防护的措施。个人认为这两年整体的产业氛围发生很大的变化,大家也逐渐都意识到目前整个信息安全的短板是在数据库安全防护上。但这个产业也是刚刚兴起,个人判断中国目前有80%的数据库还在裸奔,缺少防护措施。

  数据库安全“木桶效应”显现

  IT168:安华金和如何看待数据库安全在整体信息安全市场的重要性?未来的发展态势如何?

  安华金和刘晓韬:我国目前信息安全在整体信息化中的占比是偏低的,在国外可能达到10%到20%,我们国内可能在2.5%到5%之间。但随着信息泄露的立法的加强,国家网信办等相关部门的成立会有所改善。实际上目前我们国家的一些政府部门的法规制度还是非常棒的,比如说保密局的分级保密政策、公安部的等级保护政策。比如说保密局的一票否决,防护措施不达标是不允许进入系统的。如果有这样一个标准来加大企业对信息安全的重视和投入,那么我个人认为数据库安全的比重也会提升。

  安全是一个“木桶”原理,往往是从最短板的地方流出,那么现在发生的信息泄露事件90%以上都和数据库有关,所以我认为数据库安全这一块在整个信息安全中的比重会进一步提升,这个比重我认为在将来会提升到接近20%这样一个比例,也会随着我国在信息安全领域比重的扩大而不断扩大。关键还是我国对信息安全的立法和企业自身安全意识的提升。

  IT168:怎么看待目前国内外数据库安全发展状态的一个对比情况?

  安华金和刘晓韬:国外的数据库安全起步比较早,还有立法支撑,比如说塞班斯法案,对于上市企业的数据库审计是有要求和标准的,立法中要求所有对于数据库中变更类的操作都要留下痕迹;还有PCI DSS法案,要求所有的信用卡信息存储中对于PIN码信息要进行扰乱或者加密存储;针对于医疗的法案,要求对于所有的患者信息进行安全防护和审计。因为国外的立法比较早,所以会带动国外这些数据库安全企业的成立也比较早。国外一些数据库安全做的比较好的公司比如说Guardium、Imperva、Sentrigo、Secerno这些公司都是专业的做数据库安全的公司,他们大都在04年,05年就已经开始创建,所以说国外对于数据库安全的重视程度要比我们国内早很多,而且这些理念也被国际上一些大的信息化厂商所接受,比如说IBM把Guardium收购了,收购完成之后数据库安全这块已经成为他的整个信息安全很重要的一部分。McAfee收购了Sentrigo,把Sentrigo的数据库安全解决方案加入到了他们整体的信息安全解决方案中。还有oracle, oracle本身就是一家做数据库的厂商,但是他们发现他们自己的安全也不够,收购了一家数据库安全公司叫Secerno,他通过这个体系加强本身的数据库安全。这说明从大的政策环境和大的厂商环境都已经认识到数据库安全这一领域的重要性,而且数据库安全不应该是本身的数据库厂商去做,而是有第三方厂商来做会更为专业一些。

  我们国家现在在去IOE,其中一个方向,拿国产库替代国际库,觉得这样就安全了。我觉得这个思想也是存在偏颇度的,先不讨论国产能否替代得了国外的库,国产的库就算把国外的库替代了,它在安全上也有很大的隐患。为什么?在CVE上,国际漏洞库上清一色暴露的都是国际大库的项目,像oracle、sqlserver、Mysql,没人暴露国产库的漏洞。没人暴露不代表你没有问题,只不过现在还没有黑客盯上你,安全局没有盯上你,真正盯上你,去发现问题,去测的话,问题非常多。为什么,国产库想替代国外的库首先还是要在功能性、稳定性方面去发力,做安全性的这些措施,由于资源有限投入不会更多。然而我们国家目前往往是要在核心要害部门用国产的数据库替代国外的数据库,关于这一块的研究和防护加强也是未来安华金和的一个主题。

  安华金和比竞争对手更了解数据库

  IT168:你觉得目前安华金和在数据库安全上怎样设计未来的战略方向?和别的厂商相比最大优势或差异化是怎么体现出来?

  安华金和刘晓韬:安华金和与安全厂商的差异化,这也是公司最本质的竞争力或者说未来发展的一个基础。安华金和这批人有一个特点,是数据库出身做安全。研发团队核心成员都是曾经老牌数据库厂商南大通用的核心研发人员。包括我自己,我那个时候也是在南大通用做内核研发。在那个时候要做内核研发,得储备对数据库整体的架构知识,对数据库的存储机制、通讯机制要有很好的理解,还要去研究一些国外厂商。比如说oracle的体系结构是什么样,SQlserver是什么样,My-sql是什么样,My-sql的整套源码我们都懂,对数据库的理解力上,在整个安全圈里应该是最强的。需要了解需要保护的产品是什么样,才能清晰的理解安全问题在哪。

  传统的大厂商,类似于启明、天融信、绿盟这些大厂他们是在做网络,他们那一帮人做网络的基因非常好。但是他们做数据库这一块,他们可能没有安华金和做的专业。技术这个东西纯靠人堆,不一定能堆出来。靠人堆是工程上的活,技术在一个企业里往往需要一个灵魂,这种灵魂性的人物往往决定的就是你的技术方向,你的技术架构是什么样的,我们在这个方向上有优势。现在一些传统大厂商也开始推一些数据安全产品,但大多还是用网络产品的思维做数据库安全产品。

  现在有一部分大厂逐渐认识到这个问题了,现在跟安华金和的合作力度也非常高,我们大家共同来做数据库安全这个事情。

  IT168:如果要面对国外厂商或国内的一些竞争对手的话,您觉得要怎样来和他们进行竞争呢?

  安华金和刘晓韬:面对国际厂商,安华金和CEO刘晓韬坦言,国外厂商仍是我们现学习的对象,我们先当好学生,先学好他们的产品,但是我们也有信心,中国未来将是数据处理最大的市场,中国受到的安全危险不亚于美国。越有用户场景,使用程度越高的地方最终会产生出越成熟的产品,随着安华金和在中国这个市场上打拼,逐渐形成世界上最为领先的最为健壮的数据库安全产品。任何一个国家的安全政策也不可能对外完全开放,一些核心的领域,数据库都在用国外的,安全防护再用国外的,这样从整体安全体系结构来讲,实际上风险系数是相当高的,这一块也会是我们跟国外厂商竞争的优势。

  面对国内市场,第一,安华金和起步比较早,2010年开始做数据库安全产品;第二,团队对数据库内核理解使我们比其他厂商效率更高。安华金和从2014年正式推出审计产品,到现在2015年才一年多,但从市场反馈来看,我们的产品在这个市场上算是最前列的。从目前协议解析的准确性,数据处理的性能上,还有一些专业度上我们还是非常靠前的。最近有一个大牌的安全厂商弄了七八家产品进行选型测试,我们也参加了,最终的结果是安华金和业内知名。

  公司从成立到现在已经推出了目前国内最全的数据库安全产品线,从数据库漏扫,数据库加密,数据库防火墙到数据库审计,覆盖了数据库的事前事中事后,我们今年还要陆续推出类似于数据库漏洞验证、虚拟补丁专版这样的产品,安华金和基本上会保持每年一个产品的节奏朝前推进。

  把脉行业需求 深挖数据访问行为

  IT168:安华金和的产品和解决方案在行业上的应用表现如何?给他们的建议是什么?

  安华金和刘晓韬:从行业的角度来讲,目前信息泄露的重灾区是运营商、金融,近两年P2P暴露出来的风险更高一些。还有能源行业,因为是国家战略基础设施,受到技术威胁的风险比较大。还有政府行业,尤其是跟民生相关的行业压力会比较大,比如说社保,公积金等,这些面临的压力都不小。另外一个领域是互联网,主要是以企业为主,提供互联网服务的无论是商城也好,金融也好,社交媒体网站也好,受到的压力非常大。

  安华金和未来在行业上,会关注民生安全相关性比较高的一些领域。虽然我们现在的销售模式是以渠道商为主,但因为安华金和是一个技术导向型的公司,需要好的产品必须跟行业需求紧密结合,深度去研究这些行业的需求,发展出具有行业针对性的产品,而不是一个标准品去推进。

  相信未来这些行业也是需要行业化一体化的安全管制,而不是说很多分散性的产品部署下去。比如可能需要行业统一化的视图,从上到下整体性的监管,数据的分析,整体性的问题监控。数据库设备持续监管可能都会存在,那个时候就需要有面对行业大型的一体化的产品出现。包括未来采集数据整体的分析,回到安华金和的老本行,数据处理这一块可能都会产生一些新的需求。

  未来安华金和做安全的一个优势,是会把部署下去的设备的数据采集下来,如数据库的访问过程信息,这些信息会变成一种非常独特的信息来源,往往可以分析出很多东西来。过程信息就是一些复杂的攻击行为能通过过程信息做累积性的分析,比如说我要分析企业不同应用访问的性能压力状况,不同的IP地址,不同的地区访问的业务压力状况都可以做。还有一些跟行业结合的,比如说社保行业骗保数据异动,金融行业的金融欺诈,税务行业的骗税,都可以通过访问过程给出建议性的报警,而这些是通过单纯的当前数据直接分析很难实现的。

  云上的数据库安全将成重点

  IT168:现在安华金和有数据库防火墙、数据库审计产品、数据库加密等产品,他们未来在安华金和整个产品线是一个怎样的地位?

  安华金和刘晓韬:安华金和现在主要聚焦于对单体的数据库防护,这块市场,公司现有产品有两三年时间就可以处于行业前列;但是安华金和要进入到一个更大的市场空间,未来有更长远的计划。

  第一,当前产品云化,并迅速推出云上解决方案。未来的数据重心都会向云上转移,很多用户担心自己的东西不在自己家里放着,这个东西安全性怎么样,这是公有云的问题。还有一些私有云,比如企业,政府单位内部建一个云,原来业务单位的数据在别人的地方拿到你这儿以后,之后这个数据安全谁负责,做云的人也担心,这个东西丢了,以前不是我的责任,现在是我的责任了,业务单位也担心,以前数据在我这儿,现在放到你那了,怎么办?因此说,云上的数据库安全将会是一个非常核心的重点。

  第二,就是要扩大对云上数据的防护范围,不仅仅是当前保护的关系性数据库,可能要对一些nosql还有一些文本提供一些数据库防护的解决方案。

  第三,当未来等数据安全设备部署量大的时候,过程信息产生以后进行大数据分析,对行业产生增值性的服务。

  IT168:您觉得还有哪些是未来信息安全可以关注的方向?

  安华金和刘晓韬:据个人观察,现在如通过情报感知预测未来的攻击,防范APT攻击;随着互联网+推广,互联网+逐渐就是把物联网概念整合起来,将来在物联网安全一定是很重要的方向,把信息化跟个人联系更紧密了,家里的冰箱彩电,你正在开的汽车,将来的可穿戴设备,跟你生活密切相关,安全性要求可能会更高。随着人类生活跟电子化、信息化融合越高的时候,对安全的要求也会更高。

  安华金和B轮融资已经启动

  IT168:绿盟对安华金和进行了A轮的投资,安华金和在资本市场方面有什么新进展?以及跟绿盟之间的合作是什么样的状况?

  安华金和刘晓韬:首先谈一下跟绿盟科技的合作,我们都是技术型的公司,所以文化认同感很强,从绿盟接触安华金和,到投资确认,以及很严谨的对安华金和的产品进行了测试,总共不到4个月。据我们所知,绿盟在跟我们沟通前实际上考察了100多个企业,我们是绿盟上市以后投资的第一家公司,比亿赛通要早。投资以后,双方在产品的合作上推进速度也非常快。

  目前,安华金和已经启动B轮融资,一方面为加速企业发展,另一方面现在真的感觉到在信息安全市场有很多机会,安华金和需要加速,抓住时机。既然安华金和已经在数据库安全方向有了领先,下一步考虑发挥更核心优势,在云端发力,进行数据处理分析,加强品牌建设等。B轮会锁定一些比A轮投资方绿盟科技有更大影响力的战略投资,如果引入一些金融财务类的投、融资,则会在国内一线VC中选择。安华金和希望在信息安全发展大势中,获得更好的成长。

0
相关文章