面臨淘汰的安全技術第1名:生物特征身份驗證
生物特征身份驗證是確保登錄安全性的“萬靈藥”,畢竟�,對于不擅長登錄身份驗證的人來說,通過臉����、指紋、DNA或者其他生物特征標記進行身份驗證似乎是完美的登錄憑證�����。但專家表示,生物特征識別技術并不像大多數(shù)人認為的那么準確;而且�����,一旦被盜����,你的生物識別標識不能改變。
例如你的指紋���。大多數(shù)人只有10個手指���,在你使用指紋作為生物特征登錄憑證時,這些指紋(更準確地說��,這些指紋的數(shù)字形式)必須被儲存用于此后登錄時進行比較���。然而����,登錄憑證經(jīng)常被泄露或被盜�。如果壞人竊取了你的指紋數(shù)據(jù),系統(tǒng)怎么可以辨別你的指紋與此前接收的指紋數(shù)字形式����?
在這種情況下,唯一的解決辦法讓所有可能依靠你的指紋識別的系統(tǒng)取消對你的指紋識別����,但這幾乎是不可能的,對于其他生物特征標記同樣是如此�����。
而且���,當你無法再使用你的指紋�,而系統(tǒng)必須通過你的指紋來驗證時�����,那該怎么辦呢��?
為了抵御已經(jīng)獲取你的生物識別登錄標記的攻擊者��,唯一的方法是在使用生物識別的同時����,結合使用只有你自己知道的密碼�����、PIN碼等�����。不過���,這些密碼也可能被泄露,智能卡和USB密鑰卡等非生物識別雙因素登錄憑證也是如此�����。在這些情況下���,管理員可以簡單地發(fā)給你新的物理因素�,你可以使用新的PIN或密碼���。但生物特征識別因素就不可更改�。
雖然生物識別登錄憑證正迅速成為流行的安全功能����,但并沒有全面普及����。在人們意識到生物識別登錄的局限性后����,它們將會失去人氣����,總是會需要第二個驗證形式,或者只有在不需要高安全性識別中使用��。
面臨淘汰的安全技術第2名:SSL
Netscape在1995年發(fā)明了安全套接字層(SSL)��,二十多年來��,SSL發(fā)揮了重要的作用�����,但Poodle攻擊讓我們看到����,SSL已經(jīng)遭到不可逆轉(zhuǎn)的破壞,并且無法修復�����。而SSL的替代品TLS(傳輸層安全)稍微好一些。在本文討論的所有面臨淘汰的安全技術中�����,SSL是最可能被取代的����。
問題何在?成千上萬的網(wǎng)站依靠或允許SSL�����。如果你禁用所有SSL(這是主流瀏覽器新版本中的常見默認設置)��,大多數(shù)網(wǎng)站將無法運作���,即使可以運作���,也只是因為瀏覽器或應用程序接受“降級”到SSL。如果不是網(wǎng)站和瀏覽器��,那么將會有數(shù)百萬舊的SSH服務器。
OpenSSH最近似乎不斷遭到攻擊��,雖然半數(shù)OpenSSH攻擊與SSL沒有關系�,但另外一半的攻擊是因為SSL漏洞。數(shù)百萬SSH/OpenSSH網(wǎng)站仍然在使用SSL�,盡管它們不應該使用。
更糟的是�����,技術人員之間使用的術語也在加劇這個問題���,因為計算機安全行業(yè)幾乎每個人都將TLS數(shù)字證書稱為“SSL證書”,盡管他們不使用SSL�����。這就像把復印機稱為施樂�����,而其實它根本不是這個品牌�����。如果我們將SSL淘汰,我們需要將TLS證書稱為TLS證書�。
面臨淘汰的安全技術第3名:公鑰加密
這可能會讓有些人感到驚訝,但在量子計算和密碼學研究成功后��,現(xiàn)在我們使用的大多數(shù)公鑰加密(RSA��、Diffie-Hellman等)的機密很快會成為可讀�。很多人早就預計,在幾年后我們將會看到可用的量子計算���。當研究人員最終實現(xiàn)量子計算后�����,大多數(shù)公共加密算法將會被破解����。世界各地的間諜機構多年來一直在保存加密的機密�,等待這些技術突破,或者根據(jù)傳聞稱��,他們已經(jīng)破解了這個問題����,并正在閱讀我們的秘密�。
長期以來�����,Bruce Schneier等加密專家質(zhì)疑量子密碼技術的力量����。但即使是批評家也不排除這種可能性,即RSA���、Diffie-Hellmann甚至是ECC加密的信息都可能會變成可讀�。
這并不是說沒有反量子加密算法�,基于lattice的加密技術和Supersingular Isogeny Key Exchange等就是這樣的加密算法。
面臨淘汰的安全技術第4名:IPsec
在啟用后����,IPsec允許兩個或多個點之間的所有網(wǎng)絡流量受到加密保護���,以確保數(shù)據(jù)包的完整性和隱私性��。IPsec發(fā)明于1993年���,并在1995年成為開放標準,它受到數(shù)百家供應商的支持,應用在數(shù)百萬企業(yè)計算機中�����。
與本文中探討的大多數(shù)面臨淘汰的加密技術不同��,IPsec還很好用��,但它存在兩個問題�����。
首先��,盡管廣泛得到使用和部署��,但它從未達到必要的臨界點以保持它更長的使用��。此外��,IPsec很復雜���,并非受到所有供應商的支持��。
IPsec的復雜性也帶來性能問題��。當它啟用時�,可能顯著減慢使用它的所有連接,除非你在隧道的兩側使用專門的IPsec硬件����。因此,數(shù)據(jù)庫和大多數(shù)網(wǎng)絡服務器不能使用它�。并且,這兩種類型的服務器是大多數(shù)重要數(shù)據(jù)保存的位置����,如果不能保存最重要的數(shù)據(jù),它有什么用處呢���?
另外��,盡管它是常用的開放標準��,但IPsec部署在供應商之間通常不可行����,這是阻止其廣泛部署的另一個因素�����。
但IPsec的“喪鐘”主要是HTTPS的普及����。當你啟用hTTPS時,你不會需要IPsec��。這是一個非此即彼的決定��,HTTPS已經(jīng)贏了���。只要你有有效的TLS數(shù)字證書和兼容的客戶端�,這就會可行:沒有互操作性問題�,低復雜度。這會有一些性能影響��,但對大多數(shù)用戶來說并不明顯�����。這個世界正在迅速變成HTTPS默認的世界��,而同時����,IPsec將會消亡��。
面臨淘汰的安全技術第5名:防火墻
HTTPS的普及基本上也宣告了傳統(tǒng)防火墻的末日�。筆者在2012年時提出這個結論時��,很多人會說筆者錯了����,因為三年后,防火墻仍然隨處可見��。但大多數(shù)防火墻沒有配置����,大多數(shù)防火墻也沒有太多價值,而且有過于寬松的規(guī)則��,這基本上意味著防火墻有害無益�����,它智慧減緩網(wǎng)絡連接�。
無論你怎么定義防火墻,它必須包含一些部分僅允許特定的預定義的端口��。隨著我們轉(zhuǎn)移到僅HTTPS的網(wǎng)絡連接���,所有防火墻最終將只有少數(shù)規(guī)則—HTTP/HTTPS也許還有DNS��。DNS�����、DHCP等其他協(xié)議也將開始使用HTTPS�����,當發(fā)生這種情況時����,防火墻該何去何從��?
主要包含防火墻通常是抵御針對易受攻擊服務的遠程攻擊����。遠程易受攻擊服務、遠程可利用緩沖區(qū)溢出�,曾經(jīng)是最常見的攻擊,例如Robert Morris互聯(lián)網(wǎng)蠕蟲病毒����、Code Red��、Blaster和SQL Slammer�����。但你最后一次聽到全球性快速反應的緩沖區(qū)溢出蠕蟲是什么時候��?也許是在上世紀80年代和90年代����。從本質(zhì)上講�����,如果你沒有未修復的易受攻擊的監(jiān)聽服務��,那么����,你就不需要傳統(tǒng)防火墻,現(xiàn)在你不需要���。是的�,你并不需要防火墻。
防火墻供應商通常會稱他們的“先進”防火墻具有超越傳統(tǒng)防火墻的功能����,非常值得購買�,但事實證明并非如此。如果它們執(zhí)行深度包檢測或簽名掃描����,這要么會顯著減慢網(wǎng)絡流量,并充斥著誤報��,要么僅掃描小部分攻擊�����。大多數(shù)先進的防火墻僅掃描幾十到幾百個攻擊�����,而現(xiàn)在�����,每天會新出現(xiàn)39萬惡意軟件�����,還不包括與合法活動沒有區(qū)別的攻擊。
即使防火墻可很好地抵御攻擊�,但它們并沒有真正的作用,因為它們無法阻止大多數(shù)企業(yè)每天面臨的兩個最大惡意攻擊:未打補丁的軟件和社會工程學����。
無論出于何種原因,防火墻現(xiàn)在幾乎已經(jīng)沒有用��。
面臨淘汰的安全技術第6名:防病毒掃描儀
根據(jù)統(tǒng)計數(shù)據(jù)顯示���,目前惡意程序已經(jīng)達到幾十到數(shù)百萬計��,這個事實讓防病毒掃描儀幾乎沒有可用性���。
但并不是完全無用,因為它們會幫助普通用戶阻止80%到99.9%的攻擊��。但普通用戶每年面對著數(shù)百惡意程序;即使是最好的情況下�,攻擊者總會贏一次。
這并不是說我們不應該表揚防病毒供應商�����,他們已經(jīng)做了很好的工作。但真正讓防病毒掃描儀淘汰的不是惡意軟件的數(shù)量�。而是白名單,現(xiàn)在����,一般電腦會運行你安裝的任何程序,這也是惡意軟件無處不在的原因�。但計算機和操作系統(tǒng)制造商開始改變這種模式,“默認運行��,阻止異���!闭谧屛唤o“默認阻止,允許特例”���。
當然����,計算機早就有白名單程序�����,又稱為應用程序控制程序�����。在2009年,筆者就評估了一些比較受歡迎的產(chǎn)品�,問題是:大多數(shù)人沒有使用白名單技術,即使這是內(nèi)置技術��。最大的障礙是什么呢�����?如果用戶無法按意愿安裝自己想要的程序�,他們可能會做什么呢?而如果允許他們安裝�����,還有巨大的管理工作�。
但惡意軟件和攻擊者正變得越來越普遍和嚴重,供應商正在開始在默認情況下啟用白名單����。Apple公司的OS X在三年前的Gatekeeper中退出了默認的白名單技術,而iOS設備也只能允許App Store中經(jīng)批準的應用程序(除非設備越獄)����。Apple公司的做法非常成功地阻止了一些惡意程序�。
微軟早就有類似的機制��,通過其軟件限制政策和AppLocker�����,但其Windows 10中DeviceGuard具有更強大的機制�。微軟的Windows Store也提供與蘋果公司的App Store相同的保護。雖然微軟不會在默認情況下啟用DeviceGuard或者僅允許使用Windows Store�����,但這些功能就在那里��,比以前更容易使用����。
在白名單成為主流操作系統(tǒng)的默認設置后��,惡意軟件和防病毒掃描儀都將消失�。
面臨淘汰的安全技術第7名:反垃圾郵件
垃圾郵件仍然占互聯(lián)網(wǎng)電子郵件的一半以上。你可能不會注意到這一點�����,這主要歸功于反垃圾郵件,該技術已經(jīng)達到非常精確的水平�����。然而�����,垃圾郵件發(fā)送者每天會發(fā)出數(shù)十億不必要的郵件����,最終,只有兩件事情會阻止他們:通用�、普適、高保證的認證和更有凝聚力的國際法律��。
垃圾郵件發(fā)送者仍然存在是因為我們不能輕易抓住他們���。但隨著互聯(lián)網(wǎng)逐漸成熟���,普遍的匿名性將會被普遍的高保障身份所取代。這樣的話�����,當有人發(fā)送向你郵件時,你可以確保他們的身份��。
只有當所有用戶采用雙因素(或更高版)身份驗證來驗證其身份��,還有使用身份保證的計算機和網(wǎng)絡時����,我們才可能建立高保證的身份體系。發(fā)送器和接收器之間將會有更高水平的可靠性�,部分這種可靠性將由HTTPS提供,但最終將在身份驗證的每個階段需要額外的機制��,以確保用戶的身份��。
現(xiàn)在�����,幾乎任何人都可以宣稱自己是某某某���,而且沒有普遍的方式來驗證每個人的說法,但這將會改變���。我們依靠的所有關鍵基礎設施(交通�����、電力等)需要這種身份保證�����;ヂ(lián)網(wǎng)現(xiàn)在可能還是狂野的西部��,但最終將會發(fā)生改變���。
同時,在不久的將來����,在幾乎每起網(wǎng)絡刑事起訴中涉及的國際邊界問題可能得到解決。現(xiàn)在��,很多大國不接受其他國家提供的證據(jù)��,這使得逮捕垃圾郵件發(fā)送者幾乎不可能��。你可以收集所有證據(jù)���,但如果攻擊者的所在國不執(zhí)行逮捕���,你的工作都是徒勞�����。
但是����,隨著互聯(lián)網(wǎng)逐漸成熟��,那些不幫助逮捕互聯(lián)網(wǎng)最大罪犯的國家將受到懲罰��,并可能放置到黑名單中�。事實上,已經(jīng)有國家是這樣�。例如,很多公司和網(wǎng)站拒絕來自俄羅斯的流量���,無論是合法與否�����。
面臨淘汰的安全技術第8名:反DoS保護技術
上述提到的身份保護機制也將讓拒絕服務攻擊和抵御它們的技術面臨淘汰。
現(xiàn)在��,任何人都可以啟用免費的互聯(lián)網(wǎng)工具來用數(shù)十億數(shù)據(jù)包來淹沒網(wǎng)站。大多數(shù)操作系統(tǒng)都有內(nèi)置反DoS攻擊保護�����,并且��,當遭受海量假信息的襲擊時還有幾十家供應商可以幫助保護你的網(wǎng)站�����。但身份保證將可以阻止所有DoS流量的發(fā)送者��,在我們發(fā)現(xiàn)他們后����,就可以逮捕他們。
例如:早在20世紀20年代���,當時出現(xiàn)了很多著名的銀行劫匪�,而銀行最終加強了其保護機制���,警察也可更好地識別和逮捕他們��。如果這些劫匪仍然打劫銀行��,他們會被逮捕�����。DoS發(fā)送者也會面臨這樣的結果�����。只有我們能夠找到他們��,他們就會消失�。
面臨淘汰的安全技術第9名:海量事件日志
計算機安全事件監(jiān)控和預警是很困難的事情。每臺計算機可容易地每天收集數(shù)萬事件日志��,并將這些日志收集到集中式日志數(shù)據(jù)庫�����,很快你會需要PB級存儲空間�����,F(xiàn)在的事件日志管理系統(tǒng)因其龐大的磁盤存儲陣列規(guī)模而被稱贊���。
唯一的問題是:這種事件日志記錄行不通�。當幾乎每個收集的事件數(shù)據(jù)包沒有價值且未讀時���,所有這些未讀事件會帶來巨大的存儲成本浪費����。很快管理員會要求應用程序和操作系統(tǒng)供應商給他們更多信號和更少的噪音����,給他們更有用的事件,而不是無效的信息��。換句話說��,事件日志供應商將很快會開始吹捧他們的產(chǎn)品占用多小的空間而不是多少錢���。
面臨淘汰的安全技術第10名:匿名工具
最后�,任何匿名和隱私錯誤的痕跡將被徹底抹去�����。匿名躲藏的攻擊者將會被逮捕����,并用其真實的身份得到監(jiān)獄編號��。
事實是�,匿名工具已經(jīng)不可行�。很多公司以及執(zhí)法機構已經(jīng)知道你是誰。唯一的區(qū)別是����,在未來,每個人將會心中有數(shù)�����,并停止假裝他們正在保持隱蔽和匿名�。
..
|
