虽然病毒依然让人们头痛，但不可否认钓鱼、僵尸这些新威胁更让人胆战心惊。当黑客的目的从炫技、恶作剧变成牟利，其形式从单兵作战发展为形成完整的产业链时，企业面临的严峻形势更甚于以往。因为这已不再是企业的业务运行是否会中断的问题，而直接会危及到企业最重要的核心数据的安全。

    企业究竟应该如何看待并面对这种来自互联网的新威胁？ CIOINSIGHT记者为此采访了趋势科技公司负责全球企业营销的副总裁David Spenhoff。DavidSpenhoff在开发和销售企业软件和解决方案方面具有25年以上的经验，曾任Veritas Software公司的营销副总裁，并在Sun Microsystems公司担任过一系列职务，对企业商业需求和IT系统的深刻理解，使DavidSpenhoff对企业在Web威胁方面形成了自己独到的见解。

    CIOI:究竟什么是Web威胁？为什么趋势科技这样一个传统的防病毒厂商要如此大力强调Web威胁的重要性？

    David Spenhoff：Web威胁就是利用Internet这个平台所进行的一些恶意行为，它会自己散播、成长。我们预见到web威胁会成为未来安全方面最重要的趋势，因此要在此时提出这个问题。

    以前我们常常会听到像“红色代码”、“尼姆达”这样的全球性病毒爆发事件，但是近两年来渐渐听不到了。这是因为现在病毒爆发正走向区域化，那些全球爆发的病毒制造者，因无法从中得利而住手。一份美国官方的报告指出，利用网络犯罪的人数远远大于贩毒的人，这是个发人深省的结果。

    不可否认，Web威胁是一个新趋势，未来的威胁可能来自于以下三种方式：首先，现在都是一些很聪明的人在利益的驱动下进行网络犯罪；其次是往往利用社会工程学，一步步地让你按照其设计掉入陷阱。比如说利用人们的好奇心，当你YouTube上看到袋鼠骑自行车的视频，点击后它会提示你需要到相关的网页上去下载软件，当你下载后就将木马一起植入了自己的PC；第三则是攻击呈现出混合式特征，即很多不同的技术混在一起使用，比如说通过邮件、网页，甚至未来还会有手机和VoIP等手段，因此越来越难以防范。

    CIOI:其实We b 威胁的实质就是Internet和恶意行为。

    是这样的。但我想补充的是，当我们描述病毒时，一般都是在计算机上；但当我们定义Web威胁时，我们常常讲“Cloud（网云）”这个概念。当你的PC连接在Cloud上时，它所依托的平台就是整个网络世界。我们谈Web威胁是想表达，现在所有的病毒基本上都是从这个“Cloud”里面出来的，并在其中滋生、成长。所以最好的解决方案是能够在Cloud里面就把这个问题解决掉。

    CIOI:Web威胁对企业的安全防护产生了怎样的影响，CIO应该对Web威胁予以怎样的关注？

    在以前的旧模式之下，大部分的IT主管认为，只要病毒来了不要宕机就好，而CIO关注的是怎样使企业的网络正常运行、不要中断。但当现在的网络犯罪都是以赚钱、窃取东西为目的时，则在维护网络的正常运行之外，对CIO而言，更重要的是如何保护企业的资产，无论是人力资源的信息、财务的数据，还是公司研发的机密。

    之前我们谈网络安全或者谈防病毒，所需要防治的是网络宕机、因病毒引起的宕机。而现在除了宕机之外，还要防止别人窃取你的商业机密或专门针对企业进行敲诈勒索。这种观念的转变对CIO来说还是很重要的。

    机器全瘫掉了，你还可以复原，但有些针对企业的恶性攻击，影响就会很严重。比如说现在很多案件，都是很典型的，像僵尸，在企业的电脑里面植入一个程序，然后进行敲诈。如果现在到处都是针对银行的钓鱼网站，用户的电脑常被种上“木马”病毒，他还敢用网上银行吗？其实从长远来看，CIO一定要关注Web威胁这个问题。

    对于CIO和IT主管来说，还有一个不可推卸的任务，即帮助员工定义怎样才算是安全的网络使用，这些很多可以用策略强制来做。其实我们现在总在讲一个PPT的观念，T就是Technology（安全技术），一个P是People（人），另一个P则是Process（流程）。整个安全环境应该分为技术、人、流程3个阶段，而这3点都必须做好。安全厂商也许可以提供非常先进的技术，但是常常出现企业受到病毒的骚扰、网络的威胁，那是因为流程没有定义好或人员没有训练好而导致的。所以CIO还有另外一个任务，就是要教育员工有正确的安全概念，明确哪些行为是可以做的，为什么这样做不行而那样做却可以。

    CIOI:在Web威胁之外，今后企业安全问题的发展方向是什么？

    这要看企业的商业目标和其所处的行业，其实不同行业在安全问题上的发展方向肯定不一样。比如说在如何保证企业最安全、不受网络威胁这个问题上，最简单也是最有效的办法就是把网线拔掉。很多公司都不让员工使用MSN这样的即时交流手段，甚至封掉USB接口，以此来阻隔病毒的传播。也许有些行业可以这样做，但有些行业可能就不行。比如趋势科技在印度就有软件外包的合作伙伴，沟通中很重要的方式就是MSN和邮件等，而这都要依赖网络的畅通。企业其实应该根据自己的特性来决定员工可以使用哪些应用。

    其实对于CIO来讲，还有一个需要注意的问题。现在从中国提交出去的病毒样本非常多，为什么会这样？我们分析后得出的结论之一是，可能因为中国是盗版天堂，导致无法及时更新补丁，从而使操作系统上的漏洞容易被人利用。所以CIO们还是要考虑清楚这些威胁来自于什么方向。

    CIOI:在Web防护上面，有些可能是灰色的、难以判断的内容，这样就很容易产生误杀。以趋势科技为例，如何在防护和误杀之间取得平衡？

    我听说以前整个中国市场大家都在讲自己的查杀率最高，很少有人谈到误杀的问题，但趋势科技一直没有诉求自己的查杀率如何，反而是对误杀率也很重视。其实写程序很容易，但是做到严谨并不容易。在提升查杀率的同时，减少误判，这其实就像一个天平的两端。
        漏杀对于客户来说，同样是不希望的。这个问题其实可以用层层防护的方法解决，比如说当威胁从网关进入的时候，就先在网关这点做一些处理，而不是到最后只有选择“杀”还是“放”。一旦当这些恶意的东西进入到台式机的时候，你的选择性就变得很少了。

    CIOI:你所说的这种层层防护的方式，对病毒应该是有一定效果的。但是就如你刚才所言，现在Web威胁中有很多都会采用类似于“社会工程学”这种诱导方式，而这并不是简单的查杀可以解决的。是否以前传统的安全技术在现在的发展形势下表现出了越来越大的局限性？

    其实传统的安全技术并没有过时。比如说内容扫描，就是扫描并分析内容，其目的就是要知道这是个什么东西。比如说你会在路边买一瓶没有品牌标签的水吗？内容扫描就相当于帮你喝一口水，看看究竟是否有问题。而现在新兴的信誉服务方法就是帮你验证其来源是不是可信赖的，比如说这瓶水，你不需要用自己的身体去进行测试，从品牌外观的包装上你就可以知道：它来自于哪里，可不可以信赖。如果用以前内容扫描的技术来检查一些洗钱的网站，可以发现绝对是安全的。但如果用信誉服务的技术来看的话，就会发现它不断地在更换IP地址，这就是有问题的。

    “现在所有的病毒基本上都是从着个*Cloud（网云）*里面出来的，并在其中滋生、成长。所以最好的解决方案是能够在Cloud里面就把着个问题解决掉”

    当我们知道一个东西的内容是什么，并知道它从哪儿来之后，接下来我们想要知道的就是它要干什么，即分析它的行为。即使先前它的内容和来源都没有问题，但它有一些可疑的行为，比如说一直要访问到数据库，这样的行为就会被列到可疑行为里面去。

    我们其实并不是说，异常行为侦测会比内容扫描好，某种方式会好于另一种方式。我们其实想要说的是，因为现在都是混合式攻击，所以我们必须要用混合式的方式来保护自己。

    CIOI:你认为作为一个CIO，所需要具备的最重要的三个安全观念是什么？

    第一，要认识到现在来自网络的威胁是真的。因为以前常常会说像垃圾邮件，企业也没有怎么受伤。但现在我们想告诉大家：你真的是在Web威胁的威胁之下。因为你是CIO，不能当你受伤后再来考虑。

    第二，在认识到Web威胁是实实在在的存在之后，要好好想想怎样去做防御。除了购买最新的先进技术来保护自己之外，教育企业的员工也是很重要的。

    第三，要看看企业的商业目标是什么，因为针对不同的的环境、商业需求，你要有不一样的安全措施。

转自《CIO Insight》