[趋势科技高层博客]云安全&采用现实：OSSEC调查显示……

Sammi888

OSSEC大约在2003年左右成立，是一个开源的基于主机的入侵侦测系统项目。2008年Third Brigade并购了它，接下来的2009年，Trend Micro又收购了Third Brigade. Trend Micro 最近完成了一项关于OSSEC基本情况的全球调查，得到了一些很有意思的结果。

OSSEC执行log 分析，文件完整性检查，政策监控， rootkit检测，实时报警和动态响应来保护服务器。OSSEC有一群相当忠实的用户—OSSEC电子邮件通讯组列表中21%的人完成了这份调查表（非常了不起的反馈率……我们送出的很有型的T恤也许也帮了一点忙）。这份2009年11月的 调查 帮我看清了一些大肆渲染的“云”表面下如今的现实。

OSSEC提供基本的服务器保护服务，给用户带来了适应性。71%的用户配置OSSEC来适应PCI命令，18%为了适应HIPAA, 18%为了适应SOX，其他还有为了适应一些如欧盟数据隐私和英国数据保护法这样的命令。当我们问起有哪些办法可以改善OSSEC，一个用户道出了很大一部分人的心声，“事实上，我真的很爱OSSEC。” 这份调查突出了OSSEC性能改善的空间（易管理性，报表，部署），不过这也是为什么你要花钱买Trend Micro Deep Security 7.0了，因为其超越OSSEC的功能性。

此次调查提供了四个有价值情报：
1.  10%的OSSEC调查回复者遭遇过数据攻破。
数据攻破的数量硬起了我的注意，特别是考虑到TrendLabs Malware Blog上报道过这个问题。调查恶意软件的研究员发现：

“在对大约一亿个被攻占的IP地址的分析中，我们发现一半的IP地址已经被感染至少300天了。如果最小时间被减少到一个月，这个比率将会增加到80%。”

十分之一的OSSEC用户曾遭受过数据攻破，TrendLabs数据显示实际数量可能会更高因为还有未侦测到的攻占。典型情况下OSSEC是用来保护服务器的（10%的OSSEC用户遭遇过数据攻破），而TrendLabs的数据有所不同因为它们除了服务器之外还包含了大量PC用户（既有商业电脑也有客户个人电脑）。

2.  OSSEC调查回复者混用多种异构的操作系统（很多Linux和Windows）和（虚拟化）系统管理程序（大多是VMware, 但也有Citrix, Hyper-V,等等）。
异构OSSEC操作系统和（虚拟化）系统管理程序的 混合使用环境需要一个解决方案来适应客户的需求。“点”安全保护方案可能只能保护这个点，但是企业不会情愿接受这样的方法。这也是为什么Trend Micro Deep Security可以支持物理的、虚拟的和云环境的原因之一。我们支持多种操作系统，VMware VMsafe 虚拟装置，并用基于agent的方法同多种（虚拟化）系统管理程序结合，满足单个控制台管理各种环境的需求。

3.  36%的回复者使用OSSEC来满足适应性的要求，其中超过2/3是为了同PCI DSS适应。
适应性引导了大部分的IT安全行动。我记得Nemertes Research的Ted Ritter最近关于虚拟化安全的一项调查显示80%的IT费用是关于适应性的。

4.  74%的回复者在考虑在公共云里部署应用时认为安全是他们最关心的问题。
对云计算采纳方面的调查结果是相对谨慎的—10个人中有两个正在评估把应用转移到公共云上。我怀疑得出这样结果的部分原因出在回复人员身上。用OSSEC的开源家伙们并没有准备好预算为云计算基础设施即服务买单（Infrastructure-as-a-Service）。
这份OSSEC调查（我想对成百上千的回复者说—感谢你们每一个人！）告诉我的是云计算正在进行，但现实状况有些落后于云计算的大肆宣传。我们将继续认真倾听开源界的声音，他们对OSSEC是如此忠诚和热情。

Covey

这篇文章太复杂了，没有看懂

Sammi888

呵呵，这是趋势全球高层的技术分享文章，也算是一个调研吧