面臨淘汰的安全技術(shù)第1名:生物特征身份驗(yàn)證
生物特征身份驗(yàn)證是確保登錄安全性的“萬(wàn)靈藥”�,畢竟,對(duì)于不擅長(zhǎng)登錄身份驗(yàn)證的人來(lái)說(shuō),通過(guò)臉��、指紋����、DNA或者其他生物特征標(biāo)記進(jìn)行身份驗(yàn)證似乎是完美的登錄憑證。但專家表示����,生物特征識(shí)別技術(shù)并不像大多數(shù)人認(rèn)為的那么準(zhǔn)確;而且,一旦被盜���,你的生物識(shí)別標(biāo)識(shí)不能改變����。
例如你的指紋��。大多數(shù)人只有10個(gè)手指���,在你使用指紋作為生物特征登錄憑證時(shí)����,這些指紋(更準(zhǔn)確地說(shuō)���,這些指紋的數(shù)字形式)必須被儲(chǔ)存用于此后登錄時(shí)進(jìn)行比較��。然而�����,登錄憑證經(jīng)常被泄露或被盜�����。如果壞人竊取了你的指紋數(shù)據(jù)��,系統(tǒng)怎么可以辨別你的指紋與此前接收的指紋數(shù)字形式�����?
在這種情況下���,唯一的解決辦法讓所有可能依靠你的指紋識(shí)別的系統(tǒng)取消對(duì)你的指紋識(shí)別�����,但這幾乎是不可能的,對(duì)于其他生物特征標(biāo)記同樣是如此�����。
而且,當(dāng)你無(wú)法再使用你的指紋��,而系統(tǒng)必須通過(guò)你的指紋來(lái)驗(yàn)證時(shí)�,那該怎么辦呢?
為了抵御已經(jīng)獲取你的生物識(shí)別登錄標(biāo)記的攻擊者����,唯一的方法是在使用生物識(shí)別的同時(shí),結(jié)合使用只有你自己知道的密碼���、PIN碼等�。不過(guò)���,這些密碼也可能被泄露����,智能卡和USB密鑰卡等非生物識(shí)別雙因素登錄憑證也是如此�����。在這些情況下�,管理員可以簡(jiǎn)單地發(fā)給你新的物理因素���,你可以使用新的PIN或密碼。但生物特征識(shí)別因素就不可更改���。
雖然生物識(shí)別登錄憑證正迅速成為流行的安全功能����,但并沒有全面普及�����。在人們意識(shí)到生物識(shí)別登錄的局限性后���,它們將會(huì)失去人氣�,總是會(huì)需要第二個(gè)驗(yàn)證形式�����,或者只有在不需要高安全性識(shí)別中使用��。
面臨淘汰的安全技術(shù)第2名:SSL
Netscape在1995年發(fā)明了安全套接字層(SSL)����,二十多年來(lái)�,SSL發(fā)揮了重要的作用����,但Poodle攻擊讓我們看到��,SSL已經(jīng)遭到不可逆轉(zhuǎn)的破壞�����,并且無(wú)法修復(fù)����。而SSL的替代品TLS(傳輸層安全)稍微好一些。在本文討論的所有面臨淘汰的安全技術(shù)中��,SSL是最可能被取代的�。
問題何在?成千上萬(wàn)的網(wǎng)站依靠或允許SSL�����。如果你禁用所有SSL(這是主流瀏覽器新版本中的常見默認(rèn)設(shè)置)���,大多數(shù)網(wǎng)站將無(wú)法運(yùn)作����,即使可以運(yùn)作,也只是因?yàn)闉g覽器或應(yīng)用程序接受“降級(jí)”到SSL��。如果不是網(wǎng)站和瀏覽器���,那么將會(huì)有數(shù)百萬(wàn)舊的SSH服務(wù)器����。
OpenSSH最近似乎不斷遭到攻擊�,雖然半數(shù)OpenSSH攻擊與SSL沒有關(guān)系,但另外一半的攻擊是因?yàn)镾SL漏洞���。數(shù)百萬(wàn)SSH/OpenSSH網(wǎng)站仍然在使用SSL�,盡管它們不應(yīng)該使用�。
更糟的是,技術(shù)人員之間使用的術(shù)語(yǔ)也在加劇這個(gè)問題�����,因?yàn)橛?jì)算機(jī)安全行業(yè)幾乎每個(gè)人都將TLS數(shù)字證書稱為“SSL證書”�����,盡管他們不使用SSL。這就像把復(fù)印機(jī)稱為施樂���,而其實(shí)它根本不是這個(gè)品牌�����。如果我們將SSL淘汰,我們需要將TLS證書稱為TLS證書���。
面臨淘汰的安全技術(shù)第3名:公鑰加密
這可能會(huì)讓有些人感到驚訝��,但在量子計(jì)算和密碼學(xué)研究成功后��,現(xiàn)在我們使用的大多數(shù)公鑰加密(RSA���、Diffie-Hellman等)的機(jī)密很快會(huì)成為可讀。很多人早就預(yù)計(jì)��,在幾年后我們將會(huì)看到可用的量子計(jì)算�����。當(dāng)研究人員最終實(shí)現(xiàn)量子計(jì)算后,大多數(shù)公共加密算法將會(huì)被破解�����。世界各地的間諜機(jī)構(gòu)多年來(lái)一直在保存加密的機(jī)密�����,等待這些技術(shù)突破��,或者根據(jù)傳聞稱�����,他們已經(jīng)破解了這個(gè)問題�����,并正在閱讀我們的秘密�。
長(zhǎng)期以來(lái),Bruce Schneier等加密專家質(zhì)疑量子密碼技術(shù)的力量�����。但即使是批評(píng)家也不排除這種可能性�����,即RSA、Diffie-Hellmann甚至是ECC加密的信息都可能會(huì)變成可讀�����。
這并不是說(shuō)沒有反量子加密算法���,基于lattice的加密技術(shù)和Supersingular Isogeny Key Exchange等就是這樣的加密算法�。
面臨淘汰的安全技術(shù)第4名:IPsec
在啟用后�,IPsec允許兩個(gè)或多個(gè)點(diǎn)之間的所有網(wǎng)絡(luò)流量受到加密保護(hù)����,以確保數(shù)據(jù)包的完整性和隱私性。IPsec發(fā)明于1993年�,并在1995年成為開放標(biāo)準(zhǔn),它受到數(shù)百家供應(yīng)商的支持���,應(yīng)用在數(shù)百萬(wàn)企業(yè)計(jì)算機(jī)中����。
與本文中探討的大多數(shù)面臨淘汰的加密技術(shù)不同��,IPsec還很好用,但它存在兩個(gè)問題���。
首先�,盡管廣泛得到使用和部署����,但它從未達(dá)到必要的臨界點(diǎn)以保持它更長(zhǎng)的使用。此外�����,IPsec很復(fù)雜�����,并非受到所有供應(yīng)商的支持��。
IPsec的復(fù)雜性也帶來(lái)性能問題����。當(dāng)它啟用時(shí),可能顯著減慢使用它的所有連接�����,除非你在隧道的兩側(cè)使用專門的IPsec硬件。因此�����,數(shù)據(jù)庫(kù)和大多數(shù)網(wǎng)絡(luò)服務(wù)器不能使用它�����。并且����,這兩種類型的服務(wù)器是大多數(shù)重要數(shù)據(jù)保存的位置,如果不能保存最重要的數(shù)據(jù)��,它有什么用處呢����?
另外��,盡管它是常用的開放標(biāo)準(zhǔn)�����,但I(xiàn)Psec部署在供應(yīng)商之間通常不可行��,這是阻止其廣泛部署的另一個(gè)因素。
但I(xiàn)Psec的“喪鐘”主要是HTTPS的普及����。當(dāng)你啟用hTTPS時(shí),你不會(huì)需要IPsec�����。這是一個(gè)非此即彼的決定��,HTTPS已經(jīng)贏了�。只要你有有效的TLS數(shù)字證書和兼容的客戶端,這就會(huì)可行:沒有互操作性問題�����,低復(fù)雜度����。這會(huì)有一些性能影響,但對(duì)大多數(shù)用戶來(lái)說(shuō)并不明顯�����。這個(gè)世界正在迅速變成HTTPS默認(rèn)的世界�,而同時(shí)���,IPsec將會(huì)消亡。
面臨淘汰的安全技術(shù)第5名:防火墻
HTTPS的普及基本上也宣告了傳統(tǒng)防火墻的末日��。筆者在2012年時(shí)提出這個(gè)結(jié)論時(shí)���,很多人會(huì)說(shuō)筆者錯(cuò)了��,因?yàn)槿旰����,防火墻仍然隨處可見����。但大多數(shù)防火墻沒有配置,大多數(shù)防火墻也沒有太多價(jià)值�,而且有過(guò)于寬松的規(guī)則,這基本上意味著防火墻有害無(wú)益�,它智慧減緩網(wǎng)絡(luò)連接����。
無(wú)論你怎么定義防火墻,它必須包含一些部分僅允許特定的預(yù)定義的端口����。隨著我們轉(zhuǎn)移到僅HTTPS的網(wǎng)絡(luò)連接���,所有防火墻最終將只有少數(shù)規(guī)則—HTTP/HTTPS也許還有DNS。DNS�、DHCP等其他協(xié)議也將開始使用HTTPS,當(dāng)發(fā)生這種情況時(shí)��,防火墻該何去何從���?
主要包含防火墻通常是抵御針對(duì)易受攻擊服務(wù)的遠(yuǎn)程攻擊��。遠(yuǎn)程易受攻擊服務(wù)�、遠(yuǎn)程可利用緩沖區(qū)溢出�����,曾經(jīng)是最常見的攻擊��,例如Robert Morris互聯(lián)網(wǎng)蠕蟲病毒�、Code Red、Blaster和SQL Slammer����。但你最后一次聽到全球性快速反應(yīng)的緩沖區(qū)溢出蠕蟲是什么時(shí)候����?也許是在上世紀(jì)80年代和90年代�。從本質(zhì)上講,如果你沒有未修復(fù)的易受攻擊的監(jiān)聽服務(wù)���,那么�����,你就不需要傳統(tǒng)防火墻�,現(xiàn)在你不需要���。是的�����,你并不需要防火墻����。
防火墻供應(yīng)商通常會(huì)稱他們的“先進(jìn)”防火墻具有超越傳統(tǒng)防火墻的功能��,非常值得購(gòu)買�����,但事實(shí)證明并非如此�。如果它們執(zhí)行深度包檢測(cè)或簽名掃描,這要么會(huì)顯著減慢網(wǎng)絡(luò)流量��,并充斥著誤報(bào)����,要么僅掃描小部分攻擊。大多數(shù)先進(jìn)的防火墻僅掃描幾十到幾百個(gè)攻擊��,而現(xiàn)在����,每天會(huì)新出現(xiàn)39萬(wàn)惡意軟件,還不包括與合法活動(dòng)沒有區(qū)別的攻擊����。
即使防火墻可很好地抵御攻擊,但它們并沒有真正的作用�����,因?yàn)樗鼈儫o(wú)法阻止大多數(shù)企業(yè)每天面臨的兩個(gè)最大惡意攻擊:未打補(bǔ)丁的軟件和社會(huì)工程學(xué)。
無(wú)論出于何種原因�����,防火墻現(xiàn)在幾乎已經(jīng)沒有用��。
面臨淘汰的安全技術(shù)第6名:防病毒掃描儀
根據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示���,目前惡意程序已經(jīng)達(dá)到幾十到數(shù)百萬(wàn)計(jì)����,這個(gè)事實(shí)讓防病毒掃描儀幾乎沒有可用性�。
但并不是完全無(wú)用,因?yàn)樗鼈儠?huì)幫助普通用戶阻止80%到99.9%的攻擊����。但普通用戶每年面對(duì)著數(shù)百惡意程序;即使是最好的情況下,攻擊者總會(huì)贏一次��。
這并不是說(shuō)我們不應(yīng)該表?yè)P(yáng)防病毒供應(yīng)商��,他們已經(jīng)做了很好的工作����。但真正讓防病毒掃描儀淘汰的不是惡意軟件的數(shù)量��。而是白名單��,現(xiàn)在,一般電腦會(huì)運(yùn)行你安裝的任何程序����,這也是惡意軟件無(wú)處不在的原因。但計(jì)算機(jī)和操作系統(tǒng)制造商開始改變這種模式��,“默認(rèn)運(yùn)行����,阻止異常”正在讓位給“默認(rèn)阻止��,允許特例”�。
當(dāng)然,計(jì)算機(jī)早就有白名單程序��,又稱為應(yīng)用程序控制程序����。在2009年,筆者就評(píng)估了一些比較受歡迎的產(chǎn)品���,問題是:大多數(shù)人沒有使用白名單技術(shù)����,即使這是內(nèi)置技術(shù)。最大的障礙是什么呢�����?如果用戶無(wú)法按意愿安裝自己想要的程序���,他們可能會(huì)做什么呢�����?而如果允許他們安裝�����,還有巨大的管理工作�����。
但惡意軟件和攻擊者正變得越來(lái)越普遍和嚴(yán)重�����,供應(yīng)商正在開始在默認(rèn)情況下啟用白名單��。Apple公司的OS X在三年前的Gatekeeper中退出了默認(rèn)的白名單技術(shù)�,而iOS設(shè)備也只能允許App Store中經(jīng)批準(zhǔn)的應(yīng)用程序(除非設(shè)備越獄)。Apple公司的做法非常成功地阻止了一些惡意程序��。
微軟早就有類似的機(jī)制�����,通過(guò)其軟件限制政策和AppLocker����,但其Windows 10中DeviceGuard具有更強(qiáng)大的機(jī)制���。微軟的Windows Store也提供與蘋果公司的App Store相同的保護(hù)���。雖然微軟不會(huì)在默認(rèn)情況下啟用DeviceGuard或者僅允許使用Windows Store,但這些功能就在那里���,比以前更容易使用����。
在白名單成為主流操作系統(tǒng)的默認(rèn)設(shè)置后,惡意軟件和防病毒掃描儀都將消失�。
面臨淘汰的安全技術(shù)第7名:反垃圾郵件
垃圾郵件仍然占互聯(lián)網(wǎng)電子郵件的一半以上。你可能不會(huì)注意到這一點(diǎn)����,這主要?dú)w功于反垃圾郵件,該技術(shù)已經(jīng)達(dá)到非常精確的水平�����。然而����,垃圾郵件發(fā)送者每天會(huì)發(fā)出數(shù)十億不必要的郵件,最終�����,只有兩件事情會(huì)阻止他們:通用�����、普適��、高保證的認(rèn)證和更有凝聚力的國(guó)際法律�。
垃圾郵件發(fā)送者仍然存在是因?yàn)槲覀儾荒茌p易抓住他們�����。但隨著互聯(lián)網(wǎng)逐漸成熟�,普遍的匿名性將會(huì)被普遍的高保障身份所取代����。這樣的話,當(dāng)有人發(fā)送向你郵件時(shí)��,你可以確保他們的身份�。
只有當(dāng)所有用戶采用雙因素(或更高版)身份驗(yàn)證來(lái)驗(yàn)證其身份����,還有使用身份保證的計(jì)算機(jī)和網(wǎng)絡(luò)時(shí),我們才可能建立高保證的身份體系�����。發(fā)送器和接收器之間將會(huì)有更高水平的可靠性���,部分這種可靠性將由HTTPS提供�����,但最終將在身份驗(yàn)證的每個(gè)階段需要額外的機(jī)制��,以確保用戶的身份����。
現(xiàn)在,幾乎任何人都可以宣稱自己是某某某�,而且沒有普遍的方式來(lái)驗(yàn)證每個(gè)人的說(shuō)法,但這將會(huì)改變�。我們依靠的所有關(guān)鍵基礎(chǔ)設(shè)施(交通、電力等)需要這種身份保證����������;ヂ(lián)網(wǎng)現(xiàn)在可能還是狂野的西部����,但最終將會(huì)發(fā)生改變。
同時(shí)����,在不久的將來(lái)��,在幾乎每起網(wǎng)絡(luò)刑事起訴中涉及的國(guó)際邊界問題可能得到解決�����,F(xiàn)在����,很多大國(guó)不接受其他國(guó)家提供的證據(jù)�����,這使得逮捕垃圾郵件發(fā)送者幾乎不可能���。你可以收集所有證據(jù)����,但如果攻擊者的所在國(guó)不執(zhí)行逮捕��,你的工作都是徒勞�����。
但是�,隨著互聯(lián)網(wǎng)逐漸成熟,那些不幫助逮捕互聯(lián)網(wǎng)最大罪犯的國(guó)家將受到懲罰��,并可能放置到黑名單中�。事實(shí)上,已經(jīng)有國(guó)家是這樣���。例如���,很多公司和網(wǎng)站拒絕來(lái)自俄羅斯的流量,無(wú)論是合法與否����。
面臨淘汰的安全技術(shù)第8名:反DoS保護(hù)技術(shù)
上述提到的身份保護(hù)機(jī)制也將讓拒絕服務(wù)攻擊和抵御它們的技術(shù)面臨淘汰。
現(xiàn)在�,任何人都可以啟用免費(fèi)的互聯(lián)網(wǎng)工具來(lái)用數(shù)十億數(shù)據(jù)包來(lái)淹沒網(wǎng)站。大多數(shù)操作系統(tǒng)都有內(nèi)置反DoS攻擊保護(hù)�����,并且���,當(dāng)遭受海量假信息的襲擊時(shí)還有幾十家供應(yīng)商可以幫助保護(hù)你的網(wǎng)站���。但身份保證將可以阻止所有DoS流量的發(fā)送者��,在我們發(fā)現(xiàn)他們后���,就可以逮捕他們。
例如:早在20世紀(jì)20年代�,當(dāng)時(shí)出現(xiàn)了很多著名的銀行劫匪,而銀行最終加強(qiáng)了其保護(hù)機(jī)制�,警察也可更好地識(shí)別和逮捕他們。如果這些劫匪仍然打劫銀行����,他們會(huì)被逮捕。DoS發(fā)送者也會(huì)面臨這樣的結(jié)果�。只有我們能夠找到他們,他們就會(huì)消失����。
面臨淘汰的安全技術(shù)第9名:海量事件日志
計(jì)算機(jī)安全事件監(jiān)控和預(yù)警是很困難的事情。每臺(tái)計(jì)算機(jī)可容易地每天收集數(shù)萬(wàn)事件日志�,并將這些日志收集到集中式日志數(shù)據(jù)庫(kù)�,很快你會(huì)需要PB級(jí)存儲(chǔ)空間。現(xiàn)在的事件日志管理系統(tǒng)因其龐大的磁盤存儲(chǔ)陣列規(guī)模而被稱贊�����。
唯一的問題是:這種事件日志記錄行不通。當(dāng)幾乎每個(gè)收集的事件數(shù)據(jù)包沒有價(jià)值且未讀時(shí)��,所有這些未讀事件會(huì)帶來(lái)巨大的存儲(chǔ)成本浪費(fèi)�。很快管理員會(huì)要求應(yīng)用程序和操作系統(tǒng)供應(yīng)商給他們更多信號(hào)和更少的噪音,給他們更有用的事件���,而不是無(wú)效的信息��。換句話說(shuō)����,事件日志供應(yīng)商將很快會(huì)開始吹捧他們的產(chǎn)品占用多小的空間而不是多少錢��。
面臨淘汰的安全技術(shù)第10名:匿名工具
最后���,任何匿名和隱私錯(cuò)誤的痕跡將被徹底抹去�����。匿名躲藏的攻擊者將會(huì)被逮捕���,并用其真實(shí)的身份得到監(jiān)獄編號(hào)�����。
事實(shí)是�����,匿名工具已經(jīng)不可行�����。很多公司以及執(zhí)法機(jī)構(gòu)已經(jīng)知道你是誰(shuí)��。唯一的區(qū)別是�,在未來(lái)���,每個(gè)人將會(huì)心中有數(shù)�����,并停止假裝他們正在保持隱蔽和匿名���。
..
|
