Ely Kahn已經(jīng)在國家安全領(lǐng)域擁有十年以上工作經(jīng)驗——具體來說，他曾就職于運輸安全管理局、國土安全部以及總統(tǒng)行政辦公室(他在這里擔任網(wǎng)絡(luò)安全負責(zé)人職務(wù))。2012年，他加入一個由多位前任國家安全局工程師所組成的團隊，共同建立起Sqrrl——這是一家以開源Accumulo技術(shù)(由他們在情報機構(gòu)任職期間所開發(fā))為基礎(chǔ)的數(shù)據(jù)庫企業(yè)。Kahn于本周參與到Structure Show播客當中，與大家共同探討哪些技術(shù)值得關(guān)注、哪些群體在使用這些技術(shù)、國家安全與技術(shù)領(lǐng)域又為此儲備有哪些應(yīng)對策略等。

下面我們將對整個采訪過程加以概述，其具體內(nèi)容涵蓋了多個重要議題，從為Hadoop類技術(shù)(例如Accumulo)提供安全支持到即將出現(xiàn)的、針對關(guān)鍵性基礎(chǔ)設(shè)施的攻擊活動可謂包羅萬項。當然，對Accumulo工作機制以及高級分析技術(shù)如何改進網(wǎng)絡(luò)安全效果感興趣的朋友可能希望親自聆聽整個交流過程。如果有機會的話，請大家于本月十九到二十號兩天參加我們的Structure Data大會，屆時博思艾倫咨詢公司的Peter Guerra將結(jié)合親身經(jīng)歷談?wù)勅绾卫么髷?shù)據(jù)技術(shù)對抗網(wǎng)絡(luò)威脅。

“棱鏡門”？沒錯，那就是我們這套數(shù)據(jù)庫

“Accumulo正是國安局業(yè)務(wù)架構(gòu)的核心機制。大部分國安局的主要分析應(yīng)用都運行在Accumulo之上，”Kahn表示。“我不會深入列舉每一種應(yīng)用方案，因為這個話題太大、一時半會講不清楚;但可以肯定的是，人們聽說過的大部分應(yīng)用都確實擁有Accumulo后端。”

除了在業(yè)務(wù)架構(gòu)中扮演核心角色之外，Accumulo可能也是批評者們對于國安局非議最大的對象。盡管它能夠很容易地通過技術(shù)手段識別異常行為與可疑目標，或者檢測已知犯罪嫌疑人的網(wǎng)絡(luò)活動，但國安局顯然還抱有更大的野心——也就是Kahn所謂“生命分析模式”：

“事實上，這項技術(shù)的主要目標在于進行異常行為檢測，這也正是我們的關(guān)注重點。我們要如何建立一套正常行為模式，再根據(jù)正?；鶞手笜藱z測偏離值？具體作法可能需要涉及數(shù)量龐大的用例……”

“我們目前正在進行的大量工作都圍繞著圖形分析機制展開，同時建立起巨大、穩(wěn)定而且分散的數(shù)據(jù)集圖形——首先根據(jù)某個特定用例構(gòu)建出正常行為數(shù)據(jù)的曲線圖，然后檢測既定目標的時間行為模式與正常情況存在何種偏差。”

整個國防部都在加入到行動中來

政府方面希望用于支持國安局的處理方案也能滲透到國防部的整個體系當中。作為國安局業(yè)務(wù)流程中的重要組成部分，Accumulo的任務(wù)在于建立一套通用云計算與數(shù)據(jù)基礎(chǔ)設(shè)施，從而將整個機構(gòu)內(nèi)的資源整合起來;現(xiàn)在國防部也希望對全部現(xiàn)有數(shù)據(jù)加以匯總——上到無人機飛行距離、下至醫(yī)療數(shù)據(jù)——并整理成一套單獨的可分析系統(tǒng)。

“目前正在進行的主要推進項目名為‘聯(lián)合信息環(huán)境’，其目的是在整個國防部當中開發(fā)出通用型云與數(shù)據(jù)云架構(gòu)，包含龐大的用例集合——將網(wǎng)絡(luò)安全、戰(zhàn)地情報甚至是醫(yī)療用例全部囊括其中，”Kahn解釋道。

企業(yè)用戶可能與國安局情況不同，但他們同樣尊重技術(shù)

“不管人們?nèi)绾螐恼谓嵌瓤创龂簿?，我認為人們應(yīng)該已經(jīng)意識到、國安局正扮演著大數(shù)據(jù)技術(shù)與安全方案的領(lǐng)導(dǎo)者。所以在這個意義上，我得說國安局一直以來的處理方式都是有章可循的，”Kahn在面對Sqrrl公司作為國安局技術(shù)基礎(chǔ)作何感想的問題時回應(yīng)稱。“當然，我也參加了一系列會議，并與來自Pandora、Facebook公司乃至Web應(yīng)用廠商的員工們進行了溝通，他們可能會從自身角度出發(fā)對我們的發(fā)展經(jīng)歷提出質(zhì)疑;不過以決策制定者的眼光來看，這倒不是什么壞事。”

那么政策制定者們到底如何看待Sqrrl在安全方面作出的努力？“我們的產(chǎn)品已經(jīng)入駐全球財富二十強企業(yè)中的三家，全球五十強企業(yè)中的五家，客戶數(shù)量也達到數(shù)十家，”Kahn指出。他隨后補充稱，鑒于Cloudera與Hortonworks等Hadoop廠商正越來越多地對Accumulo提供支持，“我認為部分大型Hadoop廠商們已經(jīng)發(fā)現(xiàn)，如果他們想在政府機構(gòu)當中有所建樹，就必須要支持Accumulo。”

網(wǎng)絡(luò)安全現(xiàn)狀：危機無處不在，但形勢漸漸轉(zhuǎn)好

首先公布幾條好消息，這也是過去幾周以來剛剛?cè)〉玫淖钚鲁晒?/p>

“國土安全部與國家標準及技術(shù)協(xié)會都已經(jīng)通過行政命令作出一系列重大努力，旨在建立一套能夠被用于至少能在實施初期有效提高安全指標的網(wǎng)絡(luò)安全框架，且供人們自愿使用。因此我們第一次拿出了一套詳盡的說明文檔，大家可以通過查閱了解到關(guān)鍵性基礎(chǔ)設(shè)施所應(yīng)該遵循的最低執(zhí)行標準 。這聽起來簡單，但對于網(wǎng)絡(luò)安全這樣復(fù)雜度極高的領(lǐng)域而言，此番努力已經(jīng)堪稱重大進步。”

不過Kahn也補充道，所謂“重大進步”距離完美成果還有很長的路要走：“僅僅堅持最低基準還遠遠不夠。”

他同時指出，《紐約時報》曾經(jīng)報道過多起其它國家對我們的電網(wǎng)體系進行滲透的消息，是的，只不過暫時還沒有發(fā)生實質(zhì)性災(zāi)難。就個人而言，我認為這很可能只是時間問題，但愿別出什么大亂子。”