網絡安全的本質是攻防對抗。既然是對抗,就有對手,既然有對手,就有動機和謀略,至于對手為達到某一目的所采用的具體方法,則是非常多變的了。
很多人還沒有真正認識到網絡安全的這一特點。在網絡安全對抗中,完全局限于具體技術方法層面的兵來將擋,就會始終陷于被動;忽略對手主觀能動性 的特點,認為存在某種可以一勞永逸解決問題的“銀子彈”,則早晚會吃大虧。網絡安全工作中更需要的不是自然科學規律,而是孫子兵法。我們不但需要了解對手 的各種攻擊技術,更需要理解“白開心”、“淘黑金”、“純小偷”和“大玩家”們的不同。
技術和環境的變化會徹底改變攻防戰法與安全態勢。在今天全球高度互聯的信息社會下,任何一個小的產品或者系統,都開放在全球不同動機的攻擊者面 前。這些產品或系統的任何一個設計漏洞、管理員或用戶的任何一個不當使用或者疏忽,都可能被某個角落里的攻擊者所利用,用于竊取隱私、盜竊金錢、甚至殺人 越貨。唯一的問題就是,你會不會成為目標,以及什么時候成為目標。如果心存僥幸覺得自己永遠不會是目標,那就大錯特錯了:每個人都有很高的可能成為達成最 終目標所利用的對象(你可能要為此而承擔一些責任),每個人都有更高的可能“城門失火、殃及池魚”—因為關鍵基礎設施受到攻擊而損害自己的利益或安全。
因此,鴕鳥思想是非常要不得的。禁止研究某個系統或者產品的漏洞缺陷,不能讓安全防護方盡量多盡量早地發現問題和消除隱患,得益的是不受本國法 律管轄的世界其他地方的攻擊者(本國境內的違法者當然也是受益者,總之就是便宜了壞人);通過封閉研發的方式,寄希望于攻擊者不知道系統是怎么實現的從而 無法攻擊,同樣是十分脆弱和危險的,因為對這種保密的效果自己是無從知曉的,從而可能導致自己覺得安全實際早已被人掌握的安全假象。而且只要系統投入使 用,攻擊者就可以開始研究找到攻擊方法,而封閉研發欠缺真正的攻防考驗,往往更加脆弱;以為找過“權威”隊伍進行過安全檢查、符合強制的安全標準就可以高 枕無憂了,這是忘記了攻擊者的方法可能不是從“權威”那里學的,長期實戰的攻擊者的能力也不見得比所謂的“權威”隊伍低;等等。
“是騾子是馬,拉出來遛遛”,這是網絡安全能力檢驗的一條基本思路。追求實效的安全競賽,就是這一思想的重要踐行。“XP挑戰賽”中,主流XP 安全防護產品直接面對全社會的研究人員的挑戰,很多廠商從中找到了改進產品的新方法,持續下去的話,這些產品就會在不斷的錘煉中成為真正的強 者;“GeekPwn”、“XCTF”等比賽,則是通過社會研究人員尋找更多產品的安全問題、通過實戰對抗培養和發現實戰人才的重要活動。這些做法,也是 國際上通行的最佳實踐。我們需要的是改變觀念、完善規則和機制,讓我們的網絡安全能力不斷得到實實在在的提升。
共有條評論