偉創(chuàng)軟件：辦公軟件專家

在線辦公自動(dòng)化系統(tǒng)專題

在線辦公自動(dòng)化系統(tǒng)：面臨淘汰的十項(xiàng)安全技術(shù)

    面臨淘汰的安全技術(shù)第1名：生物特征身份驗(yàn)證

    生物特征身份驗(yàn)證是確保登錄安全性的“萬靈藥”，畢竟，對(duì)于不擅長登錄身份驗(yàn)證的人來說，通過臉、指紋、DNA或者其他生物特征標(biāo)記進(jìn)行身份驗(yàn)證似乎是完美的登錄憑證。但專家表示，生物特征識(shí)別技術(shù)并不像大多數(shù)人認(rèn)為的那么準(zhǔn)確;而且，一旦被盜，你的生物識(shí)別標(biāo)識(shí)不能改變。

    例如你的指紋。大多數(shù)人只有10個(gè)手指，在你使用指紋作為生物特征登錄憑證時(shí)，這些指紋(更準(zhǔn)確地說，這些指紋的數(shù)字形式)必須被儲(chǔ)存用于此后登錄時(shí)進(jìn)行比較。然而，登錄憑證經(jīng)常被泄露或被盜。如果壞人竊取了你的指紋數(shù)據(jù)，系統(tǒng)怎么可以辨別你的指紋與此前接收的指紋數(shù)字形式？

    在這種情況下，唯一的解決辦法讓所有可能依靠你的指紋識(shí)別的系統(tǒng)取消對(duì)你的指紋識(shí)別，但這幾乎是不可能的，對(duì)于其他生物特征標(biāo)記同樣是如此。

    而且，當(dāng)你無法再使用你的指紋，而系統(tǒng)必須通過你的指紋來驗(yàn)證時(shí)，那該怎么辦呢？

    為了抵御已經(jīng)獲取你的生物識(shí)別登錄標(biāo)記的攻擊者，唯一的方法是在使用生物識(shí)別的同時(shí)，結(jié)合使用只有你自己知道的密碼、PIN碼等。不過，這些密碼也可能被泄露，智能卡和USB密鑰卡等非生物識(shí)別雙因素登錄憑證也是如此。在這些情況下，管理員可以簡單地發(fā)給你新的物理因素，你可以使用新的PIN或密碼。但生物特征識(shí)別因素就不可更改。

    雖然生物識(shí)別登錄憑證正迅速成為流行的安全功能，但并沒有全面普及。在人們意識(shí)到生物識(shí)別登錄的局限性后，它們將會(huì)失去人氣，總是會(huì)需要第二個(gè)驗(yàn)證形式，或者只有在不需要高安全性識(shí)別中使用。

    面臨淘汰的安全技術(shù)第2名：SSL

    Netscape在1995年發(fā)明了安全套接字層(SSL)，二十多年來，SSL發(fā)揮了重要的作用，但Poodle攻擊讓我們看到，SSL已經(jīng)遭到不可逆轉(zhuǎn)的破壞，并且無法修復(fù)。而SSL的替代品TLS(傳輸層安全)稍微好一些。在本文討論的所有面臨淘汰的安全技術(shù)中，SSL是最可能被取代的。

    問題何在？成千上萬的網(wǎng)站依靠或允許SSL。如果你禁用所有SSL(這是主流瀏覽器新版本中的常見默認(rèn)設(shè)置)，大多數(shù)網(wǎng)站將無法運(yùn)作，即使可以運(yùn)作，也只是因?yàn)闉g覽器或應(yīng)用程序接受“降級(jí)”到SSL。如果不是網(wǎng)站和瀏覽器，那么將會(huì)有數(shù)百萬舊的SSH服務(wù)器。

    OpenSSH最近似乎不斷遭到攻擊，雖然半數(shù)OpenSSH攻擊與SSL沒有關(guān)系，但另外一半的攻擊是因?yàn)镾SL漏洞。數(shù)百萬SSH/OpenSSH網(wǎng)站仍然在使用SSL，盡管它們不應(yīng)該使用。

    更糟的是，技術(shù)人員之間使用的術(shù)語也在加劇這個(gè)問題，因?yàn)橛?jì)算機(jī)安全行業(yè)幾乎每個(gè)人都將TLS數(shù)字證書稱為“SSL證書”，盡管他們不使用SSL。這就像把復(fù)印機(jī)稱為施樂，而其實(shí)它根本不是這個(gè)品牌。如果我們將SSL淘汰，我們需要將TLS證書稱為TLS證書。

    面臨淘汰的安全技術(shù)第3名：公鑰加密

    這可能會(huì)讓有些人感到驚訝，但在量子計(jì)算和密碼學(xué)研究成功后，現(xiàn)在我們使用的大多數(shù)公鑰加密(RSA、Diffie-Hellman等)的機(jī)密很快會(huì)成為可讀。很多人早就預(yù)計(jì)，在幾年后我們將會(huì)看到可用的量子計(jì)算。當(dāng)研究人員最終實(shí)現(xiàn)量子計(jì)算后，大多數(shù)公共加密算法將會(huì)被破解。世界各地的間諜機(jī)構(gòu)多年來一直在保存加密的機(jī)密，等待這些技術(shù)突破，或者根據(jù)傳聞稱，他們已經(jīng)破解了這個(gè)問題，并正在閱讀我們的秘密。

    長期以來，Bruce Schneier等加密專家質(zhì)疑量子密碼技術(shù)的力量。但即使是批評(píng)家也不排除這種可能性，即RSA、Diffie-Hellmann甚至是ECC加密的信息都可能會(huì)變成可讀。

    這并不是說沒有反量子加密算法，基于lattice的加密技術(shù)和Supersingular Isogeny Key Exchange等就是這樣的加密算法。

    面臨淘汰的安全技術(shù)第4名：IPsec

    在啟用后，IPsec允許兩個(gè)或多個(gè)點(diǎn)之間的所有網(wǎng)絡(luò)流量受到加密保護(hù)，以確保數(shù)據(jù)包的完整性和隱私性。IPsec發(fā)明于1993年，并在1995年成為開放標(biāo)準(zhǔn)，它受到數(shù)百家供應(yīng)商的支持，應(yīng)用在數(shù)百萬企業(yè)計(jì)算機(jī)中。

    與本文中探討的大多數(shù)面臨淘汰的加密技術(shù)不同，IPsec還很好用，但它存在兩個(gè)問題。

    首先，盡管廣泛得到使用和部署，但它從未達(dá)到必要的臨界點(diǎn)以保持它更長的使用。此外，IPsec很復(fù)雜，并非受到所有供應(yīng)商的支持。

    IPsec的復(fù)雜性也帶來性能問題。當(dāng)它啟用時(shí)，可能顯著減慢使用它的所有連接，除非你在隧道的兩側(cè)使用專門的IPsec硬件。因此，數(shù)據(jù)庫和大多數(shù)網(wǎng)絡(luò)服務(wù)器不能使用它。并且，這兩種類型的服務(wù)器是大多數(shù)重要數(shù)據(jù)保存的位置，如果不能保存最重要的數(shù)據(jù)，它有什么用處呢？

    另外，盡管它是常用的開放標(biāo)準(zhǔn)，但I(xiàn)Psec部署在供應(yīng)商之間通常不可行，這是阻止其廣泛部署的另一個(gè)因素。

    但I(xiàn)Psec的“喪鐘”主要是HTTPS的普及。當(dāng)你啟用hTTPS時(shí)，你不會(huì)需要IPsec。這是一個(gè)非此即彼的決定，HTTPS已經(jīng)贏了。只要你有有效的TLS數(shù)字證書和兼容的客戶端，這就會(huì)可行：沒有互操作性問題，低復(fù)雜度。這會(huì)有一些性能影響，但對(duì)大多數(shù)用戶來說并不明顯。這個(gè)世界正在迅速變成HTTPS默認(rèn)的世界，而同時(shí)，IPsec將會(huì)消亡。

    面臨淘汰的安全技術(shù)第5名：防火墻

    HTTPS的普及基本上也宣告了傳統(tǒng)防火墻的末日。筆者在2012年時(shí)提出這個(gè)結(jié)論時(shí)，很多人會(huì)說筆者錯(cuò)了，因?yàn)槿�年后，防火墻仍然隨處可見。但大多數(shù)防火墻沒有配置，大多數(shù)防火墻也沒有太多價(jià)值，而且有過于寬松的規(guī)則，這基本上意味著防火墻有害無益，它智慧減緩網(wǎng)絡(luò)連接。

    無論你怎么定義防火墻，它必須包含一些部分僅允許特定的預(yù)定義的端口。隨著我們轉(zhuǎn)移到僅HTTPS的網(wǎng)絡(luò)連接，所有防火墻最終將只有少數(shù)規(guī)則—HTTP/HTTPS也許還有DNS。DNS、DHCP等其他協(xié)議也將開始使用HTTPS，當(dāng)發(fā)生這種情況時(shí)，防火墻該何去何從？

    主要包含防火墻通常是抵御針對(duì)易受攻擊服務(wù)的遠(yuǎn)程攻擊。遠(yuǎn)程易受攻擊服務(wù)、遠(yuǎn)程可利用緩沖區(qū)溢出，曾經(jīng)是最常見的攻擊，例如Robert Morris互聯(lián)網(wǎng)蠕蟲病毒、Code Red、Blaster和SQL Slammer。但你最后一次聽到全球性快速反應(yīng)的緩沖區(qū)溢出蠕蟲是什么時(shí)候？也許是在上世紀(jì)80年代和90年代。從本質(zhì)上講，如果你沒有未修復(fù)的易受攻擊的監(jiān)聽服務(wù)，那么，你就不需要傳統(tǒng)防火墻，現(xiàn)在你不需要。是的，你并不需要防火墻。

    防火墻供應(yīng)商通常會(huì)稱他們的“先進(jìn)”防火墻具有超越傳統(tǒng)防火墻的功能，非常值得購買，但事實(shí)證明并非如此。如果它們執(zhí)行深度包檢測或簽名掃描，這要么會(huì)顯著減慢網(wǎng)絡(luò)流量，并充斥著誤報(bào)，要么僅掃描小部分攻擊。大多數(shù)先進(jìn)的防火墻僅掃描幾十到幾百個(gè)攻擊，而現(xiàn)在，每天會(huì)新出現(xiàn)39萬惡意軟件，還不包括與合法活動(dòng)沒有區(qū)別的攻擊。

    即使防火墻可很好地抵御攻擊，但它們并沒有真正的作用，因?yàn)樗鼈儫o法阻止大多數(shù)企業(yè)每天面臨的兩個(gè)最大惡意攻擊：未打補(bǔ)丁的軟件和社會(huì)工程學(xué)。

    無論出于何種原因，防火墻現(xiàn)在幾乎已經(jīng)沒有用。

    面臨淘汰的安全技術(shù)第6名：防病毒掃描儀

    根據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示，目前惡意程序已經(jīng)達(dá)到幾十到數(shù)百萬計(jì)，這個(gè)事實(shí)讓防病毒掃描儀幾乎沒有可用性。

    但并不是完全無用，因?yàn)樗鼈儠?huì)幫助普通用戶阻止80%到99.9%的攻擊。但普通用戶每年面對(duì)著數(shù)百惡意程序;即使是最好的情況下，攻擊者總會(huì)贏一次。

    這并不是說我們不應(yīng)該表揚(yáng)防病毒供應(yīng)商，他們已經(jīng)做了很好的工作。但真正讓防病毒掃描儀淘汰的不是惡意軟件的數(shù)量。而是白名單，現(xiàn)在，一般電腦會(huì)運(yùn)行你安裝的任何程序，這也是惡意軟件無處不在的原因。但計(jì)算機(jī)和操作系統(tǒng)制造商開始改變這種模式，“默認(rèn)運(yùn)行，阻止異常”正在讓位給“默認(rèn)阻止，允許特例”。

    當(dāng)然，計(jì)算機(jī)早就有白名單程序，又稱為應(yīng)用程序控制程序。在2009年，筆者就評(píng)估了一些比較受歡迎的產(chǎn)品，問題是：大多數(shù)人沒有使用白名單技術(shù)，即使這是內(nèi)置技術(shù)。最大的障礙是什么呢？如果用戶無法按意愿安裝自己想要的程序，他們可能會(huì)做什么呢？而如果允許他們安裝，還有巨大的管理工作。

    但惡意軟件和攻擊者正變得越來越普遍和嚴(yán)重，供應(yīng)商正在開始在默認(rèn)情況下啟用白名單。Apple公司的OS X在三年前的Gatekeeper中退出了默認(rèn)的白名單技術(shù)，而iOS設(shè)備也只能允許App Store中經(jīng)批準(zhǔn)的應(yīng)用程序(除非設(shè)備越獄)。Apple公司的做法非常成功地阻止了一些惡意程序。

    微軟早就有類似的機(jī)制，通過其軟件限制政策和AppLocker，但其Windows 10中DeviceGuard具有更強(qiáng)大的機(jī)制。微軟的Windows Store也提供與蘋果公司的App Store相同的保護(hù)。雖然微軟不會(huì)在默認(rèn)情況下啟用DeviceGuard或者僅允許使用Windows Store，但這些功能就在那里，比以前更容易使用。

    在白名單成為主流操作系統(tǒng)的默認(rèn)設(shè)置后，惡意軟件和防病毒掃描儀都將消失。

    面臨淘汰的安全技術(shù)第7名：反垃圾郵件

    垃圾郵件仍然占互聯(lián)網(wǎng)電子郵件的一半以上。你可能不會(huì)注意到這一點(diǎn)，這主要?dú)w功于反垃圾郵件，該技術(shù)已經(jīng)達(dá)到非常精確的水平。然而，垃圾郵件發(fā)送者每天會(huì)發(fā)出數(shù)十億不必要的郵件，最終，只有兩件事情會(huì)阻止他們：通用、普適、高保證的認(rèn)證和更有凝聚力的國際法律。

    垃圾郵件發(fā)送者仍然存在是因?yàn)槲覀儾荒茌p易抓住他們。但隨著互聯(lián)網(wǎng)逐漸成熟，普遍的匿名性將會(huì)被普遍的高保障身份所取代。這樣的話，當(dāng)有人發(fā)送向你郵件時(shí)，你可以確保他們的身份。

    只有當(dāng)所有用戶采用雙因素(或更高版)身份驗(yàn)證來驗(yàn)證其身份，還有使用身份保證的計(jì)算機(jī)和網(wǎng)絡(luò)時(shí)，我們才可能建立高保證的身份體系。發(fā)送器和接收器之間將會(huì)有更高水平的可靠性，部分這種可靠性將由HTTPS提供，但最終將在身份驗(yàn)證的每個(gè)階段需要額外的機(jī)制，以確保用戶的身份。

    現(xiàn)在，幾乎任何人都可以宣稱自己是某某某，而且沒有普遍的方式來驗(yàn)證每個(gè)人的說法，但這將會(huì)改變。我們依靠的所有關(guān)鍵基礎(chǔ)設(shè)施(交通、電力等)需要這種身份保證�；ヂ�(lián)網(wǎng)現(xiàn)在可能還是狂野的西部，但最終將會(huì)發(fā)生改變。

    同時(shí)，在不久的將來，在幾乎每起網(wǎng)絡(luò)刑事起訴中涉及的國際邊界問題可能得到解決�，F(xiàn)在，很多大國不接受其他國家提供的證據(jù)，這使得逮捕垃圾郵件發(fā)送者幾乎不可能。你可以收集所有證據(jù)，但如果攻擊者的所在國不執(zhí)行逮捕，你的工作都是徒勞。

    但是，隨著互聯(lián)網(wǎng)逐漸成熟，那些不幫助逮捕互聯(lián)網(wǎng)最大罪犯的國家將受到懲罰，并可能放置到黑名單中。事實(shí)上，已經(jīng)有國家是這樣。例如，很多公司和網(wǎng)站拒絕來自俄羅斯的流量，無論是合法與否。

    面臨淘汰的安全技術(shù)第8名：反DoS保護(hù)技術(shù)

    上述提到的身份保護(hù)機(jī)制也將讓拒絕服務(wù)攻擊和抵御它們的技術(shù)面臨淘汰。

    現(xiàn)在，任何人都可以啟用免費(fèi)的互聯(lián)網(wǎng)工具來用數(shù)十億數(shù)據(jù)包來淹沒網(wǎng)站。大多數(shù)操作系統(tǒng)都有內(nèi)置反DoS攻擊保護(hù)，并且，當(dāng)遭受海量假信息的襲擊時(shí)還有幾十家供應(yīng)商可以幫助保護(hù)你的網(wǎng)站。但身份保證將可以阻止所有DoS流量的發(fā)送者，在我們發(fā)現(xiàn)他們后，就可以逮捕他們。

    例如：早在20世紀(jì)20年代，當(dāng)時(shí)出現(xiàn)了很多著名的銀行劫匪，而銀行最終加強(qiáng)了其保護(hù)機(jī)制，警察也可更好地識(shí)別和逮捕他們。如果這些劫匪仍然打劫銀行，他們會(huì)被逮捕。DoS發(fā)送者也會(huì)面臨這樣的結(jié)果。只有我們能夠找到他們，他們就會(huì)消失。

    面臨淘汰的安全技術(shù)第9名：海量事件日志

    計(jì)算機(jī)安全事件監(jiān)控和預(yù)警是很困難的事情。每臺(tái)計(jì)算機(jī)可容易地每天收集數(shù)萬事件日志，并將這些日志收集到集中式日志數(shù)據(jù)庫，很快你會(huì)需要PB級(jí)存儲(chǔ)空間。現(xiàn)在的事件日志管理系統(tǒng)因其龐大的磁盤存儲(chǔ)陣列規(guī)模而被稱贊。

    唯一的問題是：這種事件日志記錄行不通。當(dāng)幾乎每個(gè)收集的事件數(shù)據(jù)包沒有價(jià)值且未讀時(shí)，所有這些未讀事件會(huì)帶來巨大的存儲(chǔ)成本浪費(fèi)。很快管理員會(huì)要求應(yīng)用程序和操作系統(tǒng)供應(yīng)商給他們更多信號(hào)和更少的噪音，給他們更有用的事件，而不是無效的信息。換句話說，事件日志供應(yīng)商將很快會(huì)開始吹捧他們的產(chǎn)品占用多小的空間而不是多少錢。

    面臨淘汰的安全技術(shù)第10名：匿名工具

    最后，任何匿名和隱私錯(cuò)誤的痕跡將被徹底抹去。匿名躲藏的攻擊者將會(huì)被逮捕，并用其真實(shí)的身份得到監(jiān)獄編號(hào)。

    事實(shí)是，匿名工具已經(jīng)不可行。很多公司以及執(zhí)法機(jī)構(gòu)已經(jīng)知道你是誰。唯一的區(qū)別是，在未來，每個(gè)人將會(huì)心中有數(shù)，并停止假裝他們正在保持隱蔽和匿名。