探索中国CIO人才现状 | 第四季调研报告
雅虎CISO:企业级安全公司表现有负众望
2014-08-19  来源:techtarget

在2014年黑帽大会上,雅虎首席信息安全官Alex Stamos谴责企业级安全公司没能应付好“大规模和系统多样性”,并呼吁供应商抓住机遇进行创新。

雅虎每个月需要处理来自超过8亿独立用户的流量,并运行数以万计的Web服务器。然而,根据该公司的首席信息安全官表示,安全行业并没有产品能够有效支持这种大型网络资产的规模和系统多样性。

在2014年美国黑帽大会上,雅虎的Alex Stamos(在今年年初组织了另类RSA大会--trustyCon大会)表示,安全供应商过于专注于“将更多功能整合在单一产品中”,而忽略了基本功能、带宽和处理能力,而这正是雅虎等公司保护其用户和数据所需要的功能。

这一趋势产生了Stamos所谓的“超级智能比萨饼盒”,或者说单任务安全设备,这种设备有时候只能处理该公司环境中数千台服务器中一台前端服务器的流量,因为它们要处理各种安全情报。

Stamos特别指出了类似Palo Alto公司的PA-7500等产品,该产品是Palo Alto下一代防火墙产品系列中最昂贵的产品。他表示他个人认为,PA-7050本身不错,但当开启所有安全功能时,其最大吞吐量只有100Gbps,这意味着雅虎将需要购买几百台这种设备来为该公司一台交换机的流量提供安全服务。对于像雅虎这样的高流量Web特性,这种安全架构完全不实用,这就好像把一名警察安排在城市的每个街角。

与此同时,Stamos表示雅虎的安全团队正努力辨别注册该公司各种服务的数百万用户中,哪些是合法用户,哪些正试图进行欺诈活动,这种情况就像是聚集在商场的世界末日后的幸存者面临僵尸的猛攻。

“在我们的商场中每个月有8.5亿用户,我们需要知道谁是僵尸,谁是真正想加入我们的合法用户,”Stamos表示,“这是非常难以解决的问题。”

企业安全产品:价值vs雾件

企业往往很难找到提供投资回报率的企业安全产品。他提到一家不愿透露名称的企业软件安全公司试图向其公司推销一款产品,该产品可以操纵Windows内核来判断是否有“APT攻击者”(卖方所描述的)已经渗透到Windows系统。

根据Stamos表示,该产品不仅给雅虎的架构带来了不可接受水平的平台不稳定性,而且它还完全忽略了在相同环境中运行的Mac和linux系统。

很多时候,企业安全公司忽视了各种规模的企业环境中的系统多样性;很多这些环境包含Windows替代品和孤立的传统系统,这些都是关键系统,必须得到保护。

在Stamos明确表达了他不需要安全供应商所提供的功能的同时,他还提到他希望看到更多的东西:即可以发送数据回人类的“哑巴”传感器,然后人可以查看数据判断是否存在异常,并在必要情况下进行进一步调查。Stamos提到了基本上是成功的银行业的安全模式,其中可疑转账会被银行职员标记和审查,然后他们会锁定账户直到他们联系到账户持有人。

Stamos分享了他在未来希望从企业安全公司看到的安全技术清单,包括相当于MySQL的免费增值密钥管理、具有轻型远程认证的ARM服务器和具有远程握手功能的OpenSSL。

他指出,雅虎是HackerOne的客户,他还希望看到漏洞奖赏机制添加某种形式的自动验证,让企业必须要独立评估每个提交给他们的漏洞,这将提高没有大型专门的安全团队的漏洞奖赏机制外包企业的吸引力。

最重要的是,安全行业不要再以害怕复杂攻击者(例如来自美国国家安全局)会攻击他们为借口,而不探索新的保护方法。这种借口忽略了这样的事实,绝大多数用户都不会受到这种攻击,而是受到简单钓鱼攻击的影响,这些攻击也困扰着雅虎电子邮件服务的用户。

Stamos宣布在2015年雅虎电子邮件用户将可以使用终端到终端PGP加密,他最后恳求安全行业将其注意力转移到保护“普通”用户,而不是采取默认的态度认为他们会简单地取消任何和所有安全措施。

“我最讨厌的事情是我们不能保护用户的安全,因为他们不聪明。如果我们构建的系统让25%不能使用,我们将会失败,”Stamos表示,“普通用户确实会输入其密码到任何位置,这意味着我们需要取缔密码。”

“在斯诺登泄密事件后,我们有一种虚无主义让我们没有专注于真正的东西,”Stamos补充说,“这是关于了解你用户面对的真正问题,我们作为一个行业需要放松一些限制。”