为了确保建立的应用环境更为安全，保证公司发展和员工心态不受到影响是非常重要的;但是，对于大部分安全人员来说，更关心的现实问题是自己的饭碗会不会受到影响。

在与安全社区成员进行交流的时间，阿卡迈技术公司首席安全官安迪·埃利斯与大家分享了作为内容网络供应商是如何对信息工作流程进行重建的体会。并且，按照他的观点，这项工作也带来了积极的最终成果。

在接受ZDNet的采访时，埃利斯解释说：提高安全性的完美措施就是寻找异常行为，并且将此功能作为系统的必备选项，这样的话，错误在萌芽阶段就可以被发现。

他指出，尽管使用数字签名和查找系统漏洞属于很有价值的工作，但问题的关键是仅仅依靠这些方法，是无法为公司整体安全提供足够保障的。

他还认为，自从1997年开始从事信息安全领域方面的工作以来，互联网的出现属于技术世界中发生的最显著变化。

问题：从去年开始，分布式拒绝服务(DDoS)成为公众关注的重点。而现在，黑客攻击行为变得极为普遍，大家都见怪不怪不再感到意外了。对于安全领域过去一段时间内的变化，你认为应该如何形容?

我们所面临的是大规模攻击暴涨的现实情景。在2005年到2009年的时间，这种现象并没有表露出来;尽管偶尔也会有黑客出现，但很快就会被解决掉。固然也存在拒绝服务(DoS)攻击，但出现的次数并不多，也很快就被清除掉。

这次大规模攻击暴涨风潮的起点是2009年7月4日，在2010年第4季度的时间数量达到了顶峰。在该季度中，我们遭遇的攻击数量比前一年的总和还多，主要表现为利用拨号服务攻击中型电子零售商和电子商务网站。当匿名者团队的报复行动成为头条新闻后，被称作鲁兹安全的黑客集团就开始对公司安全网络展开了攻击。作为”反机密“联盟的成员，他们利用“谷歌黑客技术”来攻击公司网站。在针对索尼的攻击中，某些成员就可能来自鲁兹安全和著名游戏站黑客，并试图从中获取额外价值......他们试图证明一个观点。

这样，就导致公众看到了“从成功走向成功”的黑客攻击上升趋势。尽管今年的官方数字还没有公布，但我们相信呈现出增长趋势的情况不会变化。由于很多攻击都与追逐利益无关，所以，目前的重点工作应该找出实际动机以及可能带来的影响。

攻击的发展也展示出僵尸网络的增长趋势，这与宽带服务的应用和普及有着很大的关系。导致这种情况出现的重要原因之一就是，用户并没有获得足够的安全保护措施。我们认为攻击者重点关注的是拥有完善宽带基础设施的国家。举例来说，每户都拥有1Gbps宽带连接的新加坡就是僵尸网络非常喜欢的一处发展基地。因此，我们将会发现越来越多的僵尸网络通过特定语言入侵到用户系统中的情况。

对于利用网络钓鱼或者被破坏的网络服务器发送URL的攻击模式来说，具体实施过程是这样的;僵尸主控机可以选择位于葡萄牙的计算机进行入侵，这与针对没有受到良好保护的巴西系统所做的工作没有什么不一样。不过，如果发现目标运行的是英语系统，攻击者可能就会选择回避，以防止安全研究人员利用“英语”计算机系统来获得自身的详细信息。

此外，针对移动设备的攻击也呈现出继续增长的趋势。在人们看到移动攻击出现增长趋势时，会以为犯罪分子破坏的是智能手机。但实际上，真正受到攻击的是利用USB记忆棒或智能手机上的无线热点连接到移动宽带上的笔记本计算机。

你是否认为现行安全架构应该被推倒重来?

确实是这样。对于大部分用户来说，在考虑到安全问题时，关注的重点依然是清单和前人获得的经验。因此，只要建立了清单，大家就会认为任务已经完成。但反过来看的话，我们会发现清单中包含的内容必定是落后于实际环境和当前攻击的情况。

并且，在公司选择将系统迁移到云中后，这将成为一个非常棘手的问题。所有系统都变成了其它人数据中心里的虚拟机，有些安全控制措施会变得不再适用甚至无法在网络层实施。

此外，在云模式下，我们不再能够利用防火墙将应用环境与外界隔离。因此，在建立基础架构之前，我们就需要把安全方面的需求考虑进去，让其成为系统整体的必备部分，并且在分层模型中，提供必须的控制和安全功能。

尽管这将会是一项非常艰巨的任务，但我不认为它属于无法完成的;实际上，解决问题的关键是让大家从清单模式中走出来。它可以为我们提供一些帮助，但却无法完成全面保护的需要。

同样，日志审核也属于无法完成的工作?

按照正式要求，每天我们都需要对日志文件进行至少一次审核。但大家觉得这一要求真的能被完成么?

在明白为什么必须这么做的真正原因之前，人们并不喜欢对安全方面的需求进行审核。问题的关键就是，为什么应该查看当天的日志?打开日志文件，寻找可疑行为;如果这么做了，会被当作现有工作的组成部分么?

对于云环境来说，数据流量将变得无比巨大，依靠人力审核日志文件已经成为不可能完成的任务。没有人可以坐下来对日志文件进行如此长时间的审核，并从中找出发生的异常行为。我们必须使用软件来完成相应工作。人力已经无法做到这一点，这也是我们鼓励客户来使用工具的原因之一。

我们需要仔细考虑到的问题包括了，依靠当前使用的技术能够获得什么样的安全保护，以及选择这种技术的原因，还有预定目标在什么地方以及在现实世界中如何实现。

关于增强签名和查找漏洞的谈论已经有很多了。这里是否存在一种更好的模式?

(责任编辑：)