Palo Alto Network 徐涌：APT攻击成为企业信息安全之殇

　　“双11“的线上电商热潮刚过，双12又在掀起一股线下移动支付的潮流。看着大妈们拿着手机在超市、大卖场排着长队等待付款，不得不令人感叹，移动互联网早已不再是年轻人的专利。

　　但在尽情地购物的同时，你的银行密码、个人证件信息、联络信息等可能成为暴露在黑客面前的网络攻击目标。

　　这样的故事，并不遥远。就在去年美国双11“黑五”期间，美国零售巨头Target被曝出超过4000万信用卡和借记卡账务信息被盗，最终影响人数达7000万。 Target表示，此次事故造成的损失达到1.48亿美元。

　　在这个移动互联的时代，信息安全，已经成为一个全民问题。

　　“事实上，如今的网络攻击技术比起20年前没有大的变化，不同的是一旦被攻击成功，造成的影响和损失变得格外巨大。”网络安全厂商Palo Alto Network大中华区销售总裁徐涌在接受笔者采访时表示。

　　移动互联网蓬勃发展的背面：信息安全愈加严峻

　　当乔布斯这样的硅谷创新者把计算机变成了个人消费品，让手机行业真正进入了智能化时代，普通人的信息消费成本大大降低，使得全球信息量有了爆炸式的增长。这也让信息安全面对更大的挑战。徐涌向笔者列举了以下数据：

　　“过去12月，全球范围内有48％的电子商务和在线零售机构，以及41％的金融服务机构，都因为网络犯罪丢失了金融相关信息。

　　根据纽约金融服务局对全州154银行的网络安全状况进行了为期１年的持续调查，过去３年里，纽约州大多数银行都遭受过网络入侵或企图入侵的威胁。在网络入侵导致的各类问题中，银行账户被盗占46％，身份信息被盗占18％，电信网络中断占15％。”

　　在中国，个人信息遭泄露的事件亦频频发生。2012年CSDN论坛用户数据被盗，  2013年10月，如家等连锁酒店2000万条客户信息遭泄露，2014年年初携程“泄密门”……相信这些事件很多人都还记忆犹新。

　　信息安全问题越来越受到国家的高度重视。2009年，个人信息安全首次被我国刑法纳入保护。在今年10月提交的《中华人民共和国刑法修正案（九）（草案）》中，全国人大又进一步加强了对个人信息保护力度，明确规定了不管是个体还是单位，只要导致用户信息泄露产生严重后果，都将承担刑事责任。

　　攻守之间：如何打好信息安全攻坚战

　　除了法律上对于责任的追究以及对用户合法权益的维护，在技术上如何真正加强信息安全的防线更是重中之重。

　　对此，徐涌认为，攻击技术在过去20年并没有发生实质性地提高或改变，但是以“APT”（可持续性攻击）为代表的攻击手段开始流行，让网络攻击方式变得更为系统而综合，这令企业更加防不胜防，同时，由于互联网的普及，攻击后产生的利益或者说伤害变得无比巨大。

　　本文开头提到的“Target信用卡泄露”是第一起因为APT攻击而造成巨大损失的事件。Target的CIO和董事长、总裁兼首席执行官都因此引咎辞职。

　　徐涌表示，黑客仔细研究了Target的供应链各个环节，然后选定了Target的一家第三方供应商为目标，通过窃取员工的个人信息，获得系统权限，接着在POS系统中植入软件，感染了所有刷卡机，截取了刷卡机上的信用卡信息，最后成功入侵数据中心，窃走了所有的用户信息。

　　APT攻击所涉及的都是钓鱼、漏洞、植入后门等常见的攻击技术，但是通过对这些犯罪手段地综合性运用，最终成功绕过企业安全防线，造成了严重损失。

　　这正是APT的最可怕之处。它以一种“Kill Chain”（威胁杀伤链）的攻击手法，通过一系列的策划活动，可以从企业供应链的任何一个网络节点入侵，从而盗取珍贵信息资料。这意味着不仅仅是企业本身，还有企业之间多年经营建立起来的商业互联结构也成为了被攻击的弱点。

　　徐涌认为，这是未来几年拥有敏感信息的行业所面临的巨大挑战，“显然你很难一下子弥补全部的漏洞，而且这种攻击方式没有特征码能扫描， 传统的病毒防护手段失效。”

　　谁是当下能拯救摩根大通的公司？

　　今年10月，美国摩根大通银行承认，在最近一次针对该银行的网络攻击中，7600万家庭用户和700万小型企业的联络信息被泄露。 在此次攻击发生之前，摩根大通董事长兼首席执行官杰米·戴蒙曾公开表示，摩根大通将每年在网络安全方面投入２.５亿美元，并在2014年底前安排１０００名工作人员负责此事。

　　以摩根大通如此的投入，依然防不胜防。这对企业的信息安全提出了一个大难题，究竟要花多少钱，需要怎样的技术才能防守住类似于APT这样的新型攻击？

　　“Palo Alto Network是当下唯一能够应对这样攻击的公司。”这句话并非来自Palo Alto Network的自夸，而是美国知名投资家和股市评论员Jim Crame在电视上对摩根大通遭攻击之事的评价。

　　徐涌表示，Palo Alto Network之所以得此赞誉，是因其一直走在企业安全领域的前列。早在2008年，Palo Alto Network就率先提出了“下一代防火墙”的概念，如今，Palo Alto又先人一步，对这一概念进行升级，提出了下一代的企业安全平台。

　　“传统补丁式技术演进运维成本很高，不能解决应用级的安全技术，而纵向的积木式演进需要多次开包，导致CPU性能下降，而且扩展性差，无法应对APT这样的组合式攻击。Palo Alto提出的企业安全平台能实现针对APT攻击的Kill Chain的全面防御覆盖。”

　　该企业安全平台包括三大组成部分，下一代防火墙、威胁智能分析云和下一代端点安全防护（Endpoint Protection）。其中，Endpoint Protection让企业防线从网络端口延伸到终端，如果以Target为例，就是将防护延伸到刷卡POS机。对于没有特征码的攻击手段，通过逻辑来判断用户行为的合理性，一旦被认为有恶意，则威胁智能分析云将截住信息包，并将攻击行为通知所有的终端和防火墙。”

　　Palo Alto Network在中国

　　去年，Palo Alto Network在大中国区业务增长率是128%。目前Palo Alto Network的用户已经涵盖制造业、教育行业、汽车业、高科技行业、金融业等众多领域。徐涌透露，中国最大的数通产品设备制造商、最大的PC公司、最大的软件外包企业都采用了Palo Alto Network的方案，而在金融行业，Palo Alto Network的足迹则遍布了中国前六大银行的境外分支机构。

　　令人意外的是，虽然Palo Alto Network全球研发中心位于美国，但其中一半以上的员工均来自中国大陆，全球研发主管更是清华毕业。笔者以为，这或许是对信息安全领域中国力量崛起的另一种极佳诠释。