安全觀察 再探安全性的十個永恆定律,第 3 部分
Jesper M. Johansson
“安全性的十個永恆定律”對您來說也許並不陌生。 這篇關於安全性的文章大約在 8 年前發表,至今仍然廣受推崇與重視。 儘管如此,過去 8 年來所發生的變化也不容小覷,因此我把這十個永恆定律重新審視了一番,看看它們是否仍然適用於今日。 我在《安全觀察》專欄的前兩篇系列文章中已經討論了前七條。
儘管近幾年來安全性和連線性飛速發展,但到目前為止,前七條定律仍然非常經得起考驗。 雖然有少數幾條定律現在的解釋有些差別,而且其中一兩條甚至不如以往絕對,但是它們仍然具有足夠的權威。 它們仍然非常適用于制定資訊安全性策略,而且在一般的定律系統中,我們希望定律與我們一起成長、與時俱進。
本月我將討論最後三條定律,並針對環境將如何變化和創造這些定律都無法解釋的新領域而發表一下見解。 如果您尚未看過 原始文章,可以在 TechNet 找到。
定律 #8:病毒掃描程式過期,比完全沒有病毒掃描程式好不到哪裡去。
在所有定律中,這是最能看出年代的一條。 這並不意味著已經沒有任何病毒了 — 其實恰恰相反。 現在的防毒軟體供應商宣稱它們每年都會添加成千上百個傳播媒介。 Symantec 在 2008 年 4 月份發表的《Symantec Global Internet Security Threat Report》中,宣佈它現在可以檢測到 100 多萬個不同的威脅。
第 8 條定律之所以會洩露它的年代,是因為它指定了病毒掃描程式。 雖然 20 世紀 90 年代末期是聞毒色變的年代,但是,與 Microsoft Word 巨集病毒做鬥爭的時代已經一去不復返了。 現在,我們擔心的是病毒、蠕蟲、間諜軟體、廣告軟體、擊鍵記錄器、Rootkit、仿冒網站、垃圾郵件以及機器人。 如果這些仍不足以讓您保持警惕,那麼還有 假反惡意軟體。
與我們要應付的所有其他邪惡事物相比,病毒是一種相當古怪的技術。 如果您的防毒軟體已經過期,或者您只剩下檢測病毒的軟體,是否會出問題?當然會出問題。 實際上,現在已經沒有只能檢測病毒的反惡意軟體了,因此,這條針對病毒掃描程式的法律才會透露它的年代。 反惡意軟體解決方案所能檢測到的不光是病毒,它的用處很大。
正如我在由三部分組成的系列文章的最後一部分《 密碼和信用卡》中指出,這已經演變成一個核取方塊體系了。 在該系統中,各個安全性軟體供應商爭相互競爭,看誰能夠填寫更多核取方塊。 其中一種填寫核取方塊的方法就是防止各種不同類型的惡意軟體。
大多數反惡意軟體都以套件形式推出,其中這些套件不僅能執行反惡意軟體的功能,還包含管理所有功能的主控台。 圖 1 展示了 Microsoft Windows Live OneCare 提供的主控台,其中包括防病毒、防間諜軟體以及備份功能;可以跟蹤 Internet Explorer 中內置的仿冒篩選器,另外還隨附一個不是以 Windows 內置防火牆為基礎的防火牆(安全性套件中常見的備份)。 目前,防毒軟體通常都會附帶更多東西,是名符其實的反惡意軟體。
圖 1 Live OneCare 主控台是當前常見的安全性套件(按一下圖像以查看大圖)
這是因為惡意軟體比以前更多了,而且編寫惡意軟體的不法分子更加擅長將其偽裝成合法軟體,這些所謂的“合法軟體”簡直就是集木馬軟體和其他惡意軟體的大全。
一般使用者根本很難辨別合法軟體和惡意軟體,並且許多惡意軟體通常以廣告的形式通過合法網站或曾經是合法網站提供。 有的甚至無需訪問網站,也無需使用者交互,就能自動發動攻擊。
反惡意軟體可以説明檢測一些這樣的惡意軟體。 將此類犯罪降低到最小程度的最好方法是使用反惡意軟體和謹慎操作電腦,二者雙管齊下。 有些人可能認為只需謹慎操作就足夠了,但是這得依靠明智的判斷和常識 — 而這兩種能力都不是一般人所能擁有的。
或者考慮一下另一種情況:孩子使用電腦。 孩子沒有相關的經驗可以參考;而且許多父母甚至對電腦安全性認識不夠,因此無法告訴孩子們安全性的重要;此外,大人根本不可能時時刻刻都監督孩子使用電腦。
這時候,反惡意軟體至少可以提供部分安全網,但同時也迫使不法份子更加精益求精。 最後演變成惡性循環,當惡意軟體變得更加厲害時,當然對它也就更加退避三舍了。
反惡意軟體至少可以將最基本的惡意軟體驅離該體系,以便使安全性專業人員專心對付更複雜的攻擊。 如果該系統沒有反惡意軟體,那很可能連不太複雜的惡意軟體都可以肆無忌憚的欺負我們。 到時候問題可能比現在要嚴重好幾百倍。
然而,以上內容都沒有回答“定律 8 是否仍然成立?”的問題。 顯然,這取決於怎樣解釋。 從最單純的角度來看,這條定律陳述的是,過期的防毒軟體,似乎比完全沒有防毒軟體好不到哪兒去。 但是,以惡意軟體突變的速度來看,我們很容易發現過期的防毒軟體完全沒有任何用處。 這也許有點誇張,但並不是完全沒有根據。
對於定律 8 更實際的方法,就是針對如今的環境將它重新解讀。 因此,我將把它重申為“必須使用且隨時更新反惡意軟體”。 如果我們從更實用的角度來看待定律 8,那麼這條定律肯定仍然成立。 畢竟,就連反惡意軟體最堅決的反對者,都無法斷言應該將它從安全體系中完全刪除。
我個人傾向于從公平的角度看待這幾條的定律,我認為定律 8 仍然成立。 但是我還要加上一點,就是從惡意軟體的突變速度來看,隨時更新反惡意軟體絕對至關重要。
定律 #9:絕對匿名在現實生活和 Web 上都不切實際。
每當思考這條定律時,我就忍不住想嘲諷一下我們的政府和大企業,他們是如何信誓旦旦地向我們保證根本沒有匿名。 美國政府和 The TJX Companies 共同表示,美國約半數人口的個人資訊已經輸入地下犯罪組織的文檔中。 我倒是很樂意想像真的有匿名這種東西存在,事實上,當今世界根本不存在匿名(除非您願意完全與社會脫節、放棄您的銀行帳戶、搬到無人的荒島上以及徹底從人間蒸發)。
關於我們所有人的資訊這麼多,以至於我們可以故意扔掉一些,或者從彼此之間的交流中收集一些。 社交網站共同確認使用 Internet 的大部分成人和許多兒童都會公開大量的個人資訊。 其中的許多資訊可能並不一定是我們希望別人可以訪問的。 有的資訊會對我們或其他人帶來麻煩。 (別忘了,您將來的雇主可能會看到您的指控照片)。
有的資訊無疑是有害資訊。 電話號碼、位址、財務狀況以及任何個人資訊都應該被視為機密資訊。 例如,有位使用者想出一個好方法來跟蹤用於進行銀行業務、管理信用卡等事務的所有 Internet 網站。 他創建了一個自訂主頁,裡面列了所有他需要的連結。 為了方便記住所有所需的資訊,他還掃描了自己所有的重要文檔,包括印有銀行帳號的支票、信用卡(正反兩面)、駕照、護照,甚至還包括社會保障卡。
如果他把網頁放在安全的地方,那當然很方便。 遺憾的是,託管在他的 ISP 上的個人主頁並不隱密。 在從他的頁面點進去的每頁上,訪客字串都會顯示 URL。 只要沿著那個 URL 找回去,就會找到在犯罪市場值好幾千美元的個人資訊。 這個例子雖然有點極端,不過它提出的重點相當有用,即一定要小心管理您允許發佈上網的個人資訊。
雖然社交網站通常提供詳盡的隱私選項,但預設情況下並不啟用這些選項。 圖 2 顯示了 Facebook 的隱私控制項,但這並不是其預設設置。 重點在於,雖然您無法預測會絕對匿名,但只要小心行事,仍然可以保留一定程度的匿名。
圖 2 更改預設值就可以限制 Facebook 上的隱私設置(按一下圖像以查看大圖)
與現實生活一樣,Internet 上的隱私多半取決於您的管理方式。 即使政府機構或企業對您的個人資訊管理不善,您也無能為力,但是您可以減輕這個漏洞所造成的影響。 您可以儘量避免透露太多不是絕對必要的資訊。
控制個人資訊一個非常有用的辦法是,向主要的信用報告機構申請詐騙警告。 遺憾的是,經過信用報告機構持續鍥而不捨的遊說,才終於批准他們獲得這些詐騙警告,但非常麻煩。 代價是每家機構 6 美元到 12 美元不等,每三個月一期,而且通常必須手動更新。 另外還有一個更好的選擇,就是採用協力廠商服務,例如 Debix (debix.com),請他們為您建立詐騙警告。
如果不需要取得信用貸款,您可以建立信貸凍結,防止任何人取得您的信貸報告。 但是信用報告機構已經確認信貸凍結在大部分的情況下都屬於非法,而且很多時候只限于個人資訊已被竊取的人才能使用。 另外,信貸凍結的費用較高,而且常常必須通過認證的郵件才能安裝。 (奇怪的是,通常只需一通電話就能撤銷。 )
另一個控制個人資訊的方法就是限制獲取資訊的物件。 不要將資訊交給不需要這些資訊的組織,儘量與您信任的組織合作,並且不要光顧那些過去對您的保護漠不關心的組織。 獲得基本資料不必建立帳戶和提供證書。 如果必須在網站註冊才能訪問產品手冊,請不要使用此產品,或者使用假資訊註冊。 如果需要填寫電子郵寄地址,請使用免費的 Web 郵件服務來設置臨時的假帳戶。
這些做法就是定律 9 仍然成立的明證。 在網路和現實生活保有隱私,就算在近幾年不會獲得什麼好處,至少也不會有什麼壞處。 事實上,自從原始定律發佈以來,所有資料已經全部連線,現在 Internet 已被用作使用個人資訊的大量業務的運輸通道了。
因此,現在跟蹤您的個人資訊比以往更加重要。 如果一定要修改定律 9,那就是將其重寫為“Web 上不可能有絕對匿名存在,但是您可以控制自己的匿名程度”。
定律 #10:科技不是萬靈丹。
定律 10 其實就是萬法歸宗。 它的意思是,世界上根本沒有什麼“快來救我”藍色大按鈕,就算有也沒有用。 只靠科技根本無法減輕我們的安全性顧慮。 這是一個很嚴重的問題,因為太多安全性產業一直努力說服大家科技實際就是靈丹妙藥。 重複的消息是您只需擁有最新版、最適合的安全性套件,就不必擔心其他任何事了。
其實這並不是 Scott Culp 當初撰寫定律 10 的初衷,他的本意是定律 10 應該與所有偉大的定律一樣,不斷與時俱進。 他的原始意圖指出科技本身並非牢不可破,即使真的牢不可破,攻擊者也會繞道而行。 當初撰寫十大定律時,科技安全性記錄還不是主流。 當 Microsoft 遭到圍攻時,定律 10 在某些方面是説明 Microsoft 解釋其安全性記錄的方式。
不過,從很多方面來看,定律 10 也頗有先見之明。 它其實也暗示如果提高攻擊安全性技術的成本和難度,不法份子就會把注意力從科技轉向使用者。
事實也是如此。 雖然科技很難攻破,但是人心卻恰恰相反。 所以,不法份子才會使用各種社交工程和仿冒技術來攻擊人類。 在不安全性也能貨幣化的世界裡,這就是萬物自然的發展。
定律 10 不僅成立,而且在當時還非常先進 — 先進到雖然法則在今天仍然適用,但是解釋卻似乎有些過時了。 也許是因為該定律在當初撰寫時的內涵不同於今日吧。 現在它仍然成立,只是意義已經改變,所以解讀的方式也必須隨之發展。 我們必須超越科技,從人類的利益出發,側重于安全性的進程部分。 若要成功,必須思考如何保護此體系的這些部分。
接下來討論什麼?
十大定律具有驚人的生命力已是不容置疑的事實。 它們在經過八年之後依然屹立不倒,其中有些(尤其是定律 10)甚至已經隨著時代成長,就如同昨天才撰寫的一樣。 作為萬法歸宗的最後一條定律其實相當具有遠見(至少結果是這樣)。 它似乎預見到未來會出現一條新的軟性安全道路,而這正是成就健康體系的關鍵所在。
科技不是萬靈丹。 只有先瞭解真相,才能制定這些定律。 只有相信科技並不完美,才能真正領會所有其他定律。 事實上,如果您從定律 1 條仔細讀到定律 9,就會瞭解它們所講的都是軟性安全和程式。 內容主要包括配置錯誤、遺漏修補程式、人類造成的漏洞,或是不恰當地使用它所保護的系統或資料等等。
我在著手撰寫這個包括三部分的系列報導時,原本想要加上幾條自己構想的定律,但是在分析這些定律的過程中,逐漸發現其實沒有這個必要,因為定律 10 已經涵蓋了所有其他的定律(包括我原本要說的在內)。 事實上,與其加入新定律,不如將定律 10 改寫為“科技並非萬靈丹,只有超越這種誤解才能確保安全性”。
別忘了當初撰寫這些定律時,正是 IT 環境從 Y2K 轉移到審核專業人員世界的過渡時期,而現在安全性已經攻佔所有的認同感了。
為什麼會這樣?主要是由於犯罪集團駭人的成長率。 許多不法之徒都選擇在法律保護薄弱的國家公開橫行,因為他們知道鬆散的電腦安全性可以貨幣化。 其範圍擴及毒品交易、前東歐集團 (Eastern Bloc) 的黑手黨以及恐怖份子集團等等。
目前驅使電腦犯罪的因素全部出於下列三種:貪婪、意識形態以及民族優越感。 .要對抗這三種新的攻擊,必須在永恆定律的架構內進行。 同時也必須做出難以決定的取捨,不過這個部分我將在以後的專欄中討論。
Jesper M. Johansson 是著名的財富 200 強企業的首席安全架構師,也是《TechNet 雜誌》的特約編輯。 他擁有執行資訊系統 (MIS) 的博士學位,研究安全性長達 20 多年,是 Microsoft 在企業安全性領域的最有價值專家 (MVP)。 他的最新著作是《Windows Server 2008 安全資源工具包》。