Paul Januszkiewicz:对IT审计来说,我们要做的是对这个技术进一步了解,因为新的技术还没有实施,还处于测试的阶段,所以我们要了解技术的相关情况然后进行审计,我们觉得在IT审计这块,不断了解新技术、新东西是非常正常的现象。我觉得未来的趋势应该不会有太大的改变,唯一的改变可能就是人们对安全的意识不断加强。比如我们今天开的信息安全国际论坛就是进行充分的沟通,加强安全意识。因为现在我们会发现安全问题确实会影响到我们的生活和发展。人们也越来越多的意识到安全问题。因为总是有不同的新技术,新技术会带来新问题,新问题出现以后人们可能还会再看老技术带来老的问题,人们还要进一步推动新技术,所以会不断进展。
李玲玲:传统的安全审计到云计算环境下,差别大吗?
Paul Januszkiewicz:基本的理念还是一样的,我们还是针对相关的服务进行审计,但是在云的环境中还是有所不同,我们会比较关注信息和数据在不同端传输中的情况。技术不同,但基本的理念还是一样的。数据传输方面,在云端、客户端、私有云环境下、合作伙伴环境下数据的传输和加密过程是我们关注的重要方面。
王文文:作为经验丰富的网络安全专家,您常用的安全审计工具能介绍一下吗?
Paul Januszkiewicz:这要看哪个领域,比如WEB安全测试,我会用Acunetix,工具可以自动做一些工作,我们也做一些手动工作。
王文文:您目前的工作中,哪一类渗透测试做的比较多?
Paul Januszkiewicz:我做的测试主要是IT系统内部,比较少做网络测试,主要针对的是边界测试,所谓边界就是一边是网络,一边是客户自己的系统,在这两个主体中间,边界是我们的工作重点,通过渗透测试可以看到,从Web网络角度看,客户系统有哪些显而易见的漏洞。是我们也会做内部测试看看存在哪些潜在的风险。所以我们有三方面,一方面做Web测试,Web测试主要是意见收集,看看网络情况如何,第二方面是边界测试,所谓边界测试是看数据安全的问题,第三方面是内部的系统测试,主要是看内部系统本身的配置。
王文文:您现在还自己挖掘漏洞吗?
Paul Januszkiewicz:这是我个人的兴趣,但我不是专业做这个的。
王文文:像您这样的专业人士是否会使用MSF和BT 5这样的工具?
Paul Januszkiewicz:当然。比如Back track系列吧,我之前常用的版本就有BT2和BT4。
Paul Januszkiewicz:我不能说一点挑战都没有,但出现的新技术并不是完全全新的东西,很多协议被破坏的时候只是对一些技术产生挑战,但对现用密码学所有的方法来说,它的功能还是比较完善的,而且比较适用于当下的情况,没有出现什么问题。比如你在云中发布应用软件,一般来说不允许再进行修改,如果修改的话需要重新输密码。但现在有新的技术,允许自己的环境和云环境进行对话,从而不需要进行密码修改。这就是以需求为基础的技术,这种技术是新发展,当然会给我们带来一些新问题。但也会给我们带来全新的防护模式。一旦出现新技术的时候,就有一些原有的技术做全新模式的搭建,在搭建的基础上保证新技术还是安全的,所以这更多的是架构师要考虑的,在新的IT架构下如何让原有技术和新技术在新环境下保持安全。
Paul Januszkiewicz:这主要看SLA(服务水平协议),公司用数据中心是购买服务,服务供应商会告诉你SLA中规定一定时间内99.9%的情况不会出问题,也许会有一些风险,但虚拟化带来的风险并不是这么大,比较大的问题是你和数据中心的沟通和交流不如以前频繁了,另外你这里出了问题后,服务商会说我这面的数据中心没有出现问题,责任很难追究。也许技术以后会出现新的突破并带来新的挑战,但目前问题还不大,你的数据安全还是取决于你和服务商之间签订的SLA协议。
Paul Januszkiewicz:不管技术设施方面,还是新的操作系统方面,一旦有新的发展我们都会进行关注,因为客户会用新技术、新系统,我们肯定要率先熟悉,熟悉后才可以帮助客户提供服务进行相关的测试。2002年微软发布了新的操作系统,我们就要去了解相应的功能,因为这个功能可能和以前的微软操作系统不同。我们本身是给微软提供服务,所以说微软会多一点。基本上我们要对新技术、新系统进行调查研究才能提供各种各样的测试服务,同时我是企业安全的MVP,所以可以访问微软源代码。有这样的权限可以帮助我了解具体的问题出在哪儿或者说具体发生了什么情况。
陈毅东:您有获取微软源代码的资质?
Paul Januszkiewicz:只限于我个人。不是公司。这完全是个人的权限,我们不会通过这个权限,用公司的名义销售服务。此外我们也非常关注客户对我们的反馈,2004年之前我们就开始谈虚拟化的问题,2011年我们才真正谈虚拟,因为现在虚拟化才得到了真正的应用,可能也要过好几年云技术才会有成熟的应用,我们才会去谈云安全的问题。现在并非很多企业决定转向云技术,云技术现在的环境下,我们可以谈风险,问题是根本没有实例去研究并证实相关的问题,所以可能要过上几年,当云技术真正应用下去,出现安全问题,客户给我们提供反馈的意见,我们可能才能进一步研究。
Paul Januszkiewicz:我没办法讲哪个系统有更多的漏洞。但是否有漏洞,是否有问题取决于系统提出的解决方案,现在有很多大的服务公司和供应商都在用这些系统,每个系统都有自己的好处和劣势,同时这个系统背后都有完整的团队在做这些事。一旦问题出现是否可以及时响应。
王文文:您个人比较喜欢使用哪个虚拟机软件?
Paul Januszkiewicz: (调皮的挤挤眼睛)当然是微软啦。(笑)不过也用VMware。我们看到客户会同时使用不同的虚拟化产品,具体要用哪个,得比较各个虚拟化系统的优劣之后再进行判断。
陈毅东:审计测试需要注意一些什么?
Paul Januszkiewicz:第一个建议一定要得到公司管理层的批准,否则无法获取资源,也没有什么意义。另外要和财务人员进行事先沟通,让公司知道审计是做什么,目标是什么,付出了这些成本后,对公司的安全防范有什么样的好处。第三让公司内部IT人员知道审计的目的和意义是什么。我们现实中碰到很多案例,由于事先沟通没做好,审计的时候IT部门非常抵触,认为是要把IT的问题暴露给管理层,要告诉他们审计是为提供更好的环境和管理,另外也需要IT的支持。
王文文:贵公司的名称是CQURE,能解释一下这个名字的含义吗?
Paul Januszkiewicz:这个名字比较好玩的,CQURE用英文读是“安全”的意思,用CQURE来写,看起来很专业(笑着摆出得意的样子)。
王文文:我看您公司现在主要是做IT审计和渗透测试比较多,以后是否会推出自己的安全工具?
Paul Januszkiewicz:目前还没有这个想法,过两年可能会有这种想法。但至少未来三年内我是不会做这样的事。我自己也有很多想法,但这些想法没有整合到工具中去,有时候你在网上开发了工具,别人用了之后会在此基础上进行功能完善,第三个人会进一步做功能完善,这样不断循环下去,我也是这样。每个人都会用很多工具,每种工具都有自己的功能特点,我会根据功能需求进行整合,开发出自己需要的工具,覆盖自己需要的功能,但这只是想法,目前还没有进行落实。
李玲玲:您认为Windows8相比之前Windows版本,在安全方面有没有提升?
Paul Januszkiewicz:“Windows8”现在还只是一个临时的称谓。一般操作系统出来前都会有一个预览版,主要是针对开发者。以后是否就叫“Windows8”还不一定。这个版本对安全性能方面肯定会有一定的改进,但就安全来说目前版本已经做得很好了。
王文文:CQURE有没有在波兰之外设分公司?盈利情况如何?
Paul Januszkiewicz:公司总部设在波兰的原因是因为我住在波兰,但公司所有的人都是在全球范围内提供服务。今年我在波兰只接了两个项目,完全是因为觉得这两个项目还算有意思。
陈毅东:公司现在有多少员工?
Paul Januszkiewicz:我不雇佣员工,只是和别人进行合作,而且只和我相信的人进行合作,而且这些人一定要非常棒,我不会和普通人进行合作。这些人普遍来说都是我过去共事过的同事或者是我的朋友,最终要达成的目标是提供非常完整的全面的安全服务,但是在安全服务提供当中,每一块业务都要是行业内的顶尖人士来做,每个人都专注于自己那块,这样才会非常专业,我是不会接受任何的例外。
李玲玲:你是波兰女性技术小组的领导者,能否介绍一下女性技术小组是做什么工作?
Paul Januszkiewicz:这是一个现实情况,做技术的女性一般非常少,两年前我成立这样一个小组,告诉大家女性可以在技术方面做得很好,但这不是宣扬女权思想,主要是想告诉大家技术圈子里,女性可以和男性做得一样好,甚至比男人更好。在工作的时间,很多情况下一个房间里都是男性,只有一个女性,我们希望女性不要受这种环境影响,而是要把技术发挥的更好。
王文文:最后一个私人问题,能否透露一下,您平时用的彩虹表有多大?
Paul Januszkiewicz:(笑)32G。因为我的硬盘只有这么大点地方。不过用彩虹表不需要在自己的硬盘上存太多的数据,通过网络资源就够了。因为如果你自己存储数据的话,这个成本是非常高的。