面臨淘汰的安全技術(shù)第1名:生物特征身份驗(yàn)證
生物特征身份驗(yàn)證是確保登錄安全性的“萬靈藥”,畢竟��,對于不擅長登錄身份驗(yàn)證的人來說���,通過臉、指紋����、DNA或者其他生物特征標(biāo)記進(jìn)行身份驗(yàn)證似乎是完美的登錄憑證。但專家表示��,生物特征識別技術(shù)并不像大多數(shù)人認(rèn)為的那么準(zhǔn)確;而且�����,一旦被盜����,你的生物識別標(biāo)識不能改變�。
例如你的指紋�����。大多數(shù)人只有10個手指�����,在你使用指紋作為生物特征登錄憑證時��,這些指紋(更準(zhǔn)確地說����,這些指紋的數(shù)字形式)必須被儲存用于此后登錄時進(jìn)行比較。然而����,登錄憑證經(jīng)常被泄露或被盜。如果壞人竊取了你的指紋數(shù)據(jù)�����,系統(tǒng)怎么可以辨別你的指紋與此前接收的指紋數(shù)字形式����?
在這種情況下�����,唯一的解決辦法讓所有可能依靠你的指紋識別的系統(tǒng)取消對你的指紋識別�����,但這幾乎是不可能的����,對于其他生物特征標(biāo)記同樣是如此�����。
而且����,當(dāng)你無法再使用你的指紋�����,而系統(tǒng)必須通過你的指紋來驗(yàn)證時����,那該怎么辦呢����?
為了抵御已經(jīng)獲取你的生物識別登錄標(biāo)記的攻擊者�����,唯一的方法是在使用生物識別的同時�,結(jié)合使用只有你自己知道的密碼、PIN碼等����。不過,這些密碼也可能被泄露�,智能卡和USB密鑰卡等非生物識別雙因素登錄憑證也是如此。在這些情況下�����,管理員可以簡單地發(fā)給你新的物理因素�����,你可以使用新的PIN或密碼����。但生物特征識別因素就不可更改�。
雖然生物識別登錄憑證正迅速成為流行的安全功能��,但并沒有全面普及�。在人們意識到生物識別登錄的局限性后,它們將會失去人氣�����,總是會需要第二個驗(yàn)證形式�����,或者只有在不需要高安全性識別中使用�。
面臨淘汰的安全技術(shù)第2名:SSL
Netscape在1995年發(fā)明了安全套接字層(SSL),二十多年來��,SSL發(fā)揮了重要的作用�,但Poodle攻擊讓我們看到����,SSL已經(jīng)遭到不可逆轉(zhuǎn)的破壞,并且無法修復(fù)��。而SSL的替代品TLS(傳輸層安全)稍微好一些。在本文討論的所有面臨淘汰的安全技術(shù)中���,SSL是最可能被取代的�����。
問題何在��?成千上萬的網(wǎng)站依靠或允許SSL���。如果你禁用所有SSL(這是主流瀏覽器新版本中的常見默認(rèn)設(shè)置),大多數(shù)網(wǎng)站將無法運(yùn)作���,即使可以運(yùn)作���,也只是因?yàn)闉g覽器或應(yīng)用程序接受“降級”到SSL。如果不是網(wǎng)站和瀏覽器�����,那么將會有數(shù)百萬舊的SSH服務(wù)器�����。
OpenSSH最近似乎不斷遭到攻擊,雖然半數(shù)OpenSSH攻擊與SSL沒有關(guān)系�,但另外一半的攻擊是因?yàn)镾SL漏洞。數(shù)百萬SSH/OpenSSH網(wǎng)站仍然在使用SSL��,盡管它們不應(yīng)該使用��。
更糟的是�,技術(shù)人員之間使用的術(shù)語也在加劇這個問題,因?yàn)橛?jì)算機(jī)安全行業(yè)幾乎每個人都將TLS數(shù)字證書稱為“SSL證書”�����,盡管他們不使用SSL�����。這就像把復(fù)印機(jī)稱為施樂����,而其實(shí)它根本不是這個品牌。如果我們將SSL淘汰��,我們需要將TLS證書稱為TLS證書�。
面臨淘汰的安全技術(shù)第3名:公鑰加密
這可能會讓有些人感到驚訝����,但在量子計(jì)算和密碼學(xué)研究成功后�,現(xiàn)在我們使用的大多數(shù)公鑰加密(RSA��、Diffie-Hellman等)的機(jī)密很快會成為可讀����。很多人早就預(yù)計(jì),在幾年后我們將會看到可用的量子計(jì)算�。當(dāng)研究人員最終實(shí)現(xiàn)量子計(jì)算后,大多數(shù)公共加密算法將會被破解��。世界各地的間諜機(jī)構(gòu)多年來一直在保存加密的機(jī)密�����,等待這些技術(shù)突破����,或者根據(jù)傳聞稱,他們已經(jīng)破解了這個問題��,并正在閱讀我們的秘密��。
長期以來,Bruce Schneier等加密專家質(zhì)疑量子密碼技術(shù)的力量��。但即使是批評家也不排除這種可能性�����,即RSA��、Diffie-Hellmann甚至是ECC加密的信息都可能會變成可讀�。
這并不是說沒有反量子加密算法,基于lattice的加密技術(shù)和Supersingular Isogeny Key Exchange等就是這樣的加密算法���。
面臨淘汰的安全技術(shù)第4名:IPsec
在啟用后���,IPsec允許兩個或多個點(diǎn)之間的所有網(wǎng)絡(luò)流量受到加密保護(hù),以確保數(shù)據(jù)包的完整性和隱私性�。IPsec發(fā)明于1993年,并在1995年成為開放標(biāo)準(zhǔn)����,它受到數(shù)百家供應(yīng)商的支持,應(yīng)用在數(shù)百萬企業(yè)計(jì)算機(jī)中��。
與本文中探討的大多數(shù)面臨淘汰的加密技術(shù)不同����,IPsec還很好用���,但它存在兩個問題�����。
首先��,盡管廣泛得到使用和部署�����,但它從未達(dá)到必要的臨界點(diǎn)以保持它更長的使用�����。此外�����,IPsec很復(fù)雜�����,并非受到所有供應(yīng)商的支持。
IPsec的復(fù)雜性也帶來性能問題�����。當(dāng)它啟用時���,可能顯著減慢使用它的所有連接�,除非你在隧道的兩側(cè)使用專門的IPsec硬件��。因此���,數(shù)據(jù)庫和大多數(shù)網(wǎng)絡(luò)服務(wù)器不能使用它�����。并且����,這兩種類型的服務(wù)器是大多數(shù)重要數(shù)據(jù)保存的位置��,如果不能保存最重要的數(shù)據(jù)��,它有什么用處呢���?
另外�,盡管它是常用的開放標(biāo)準(zhǔn),但I(xiàn)Psec部署在供應(yīng)商之間通常不可行�����,這是阻止其廣泛部署的另一個因素�����。
但I(xiàn)Psec的“喪鐘”主要是HTTPS的普及�。當(dāng)你啟用hTTPS時�,你不會需要IPsec。這是一個非此即彼的決定����,HTTPS已經(jīng)贏了。只要你有有效的TLS數(shù)字證書和兼容的客戶端�,這就會可行:沒有互操作性問題,低復(fù)雜度���。這會有一些性能影響�,但對大多數(shù)用戶來說并不明顯��。這個世界正在迅速變成HTTPS默認(rèn)的世界,而同時�����,IPsec將會消亡��。
面臨淘汰的安全技術(shù)第5名:防火墻
HTTPS的普及基本上也宣告了傳統(tǒng)防火墻的末日��。筆者在2012年時提出這個結(jié)論時���,很多人會說筆者錯了���,因?yàn)槿旰螅阑饓θ匀浑S處可見��。但大多數(shù)防火墻沒有配置����,大多數(shù)防火墻也沒有太多價值,而且有過于寬松的規(guī)則�����,這基本上意味著防火墻有害無益���,它智慧減緩網(wǎng)絡(luò)連接���。
無論你怎么定義防火墻���,它必須包含一些部分僅允許特定的預(yù)定義的端口。隨著我們轉(zhuǎn)移到僅HTTPS的網(wǎng)絡(luò)連接���,所有防火墻最終將只有少數(shù)規(guī)則—HTTP/HTTPS也許還有DNS���。DNS���、DHCP等其他協(xié)議也將開始使用HTTPS��,當(dāng)發(fā)生這種情況時����,防火墻該何去何從���?
主要包含防火墻通常是抵御針對易受攻擊服務(wù)的遠(yuǎn)程攻擊�。遠(yuǎn)程易受攻擊服務(wù)�����、遠(yuǎn)程可利用緩沖區(qū)溢出,曾經(jīng)是最常見的攻擊����,例如Robert Morris互聯(lián)網(wǎng)蠕蟲病毒、Code Red�����、Blaster和SQL Slammer����。但你最后一次聽到全球性快速反應(yīng)的緩沖區(qū)溢出蠕蟲是什么時候?也許是在上世紀(jì)80年代和90年代�。從本質(zhì)上講,如果你沒有未修復(fù)的易受攻擊的監(jiān)聽服務(wù)���,那么�����,你就不需要傳統(tǒng)防火墻���,現(xiàn)在你不需要��。是的��,你并不需要防火墻����。
防火墻供應(yīng)商通常會稱他們的“先進(jìn)”防火墻具有超越傳統(tǒng)防火墻的功能�,非常值得購買,但事實(shí)證明并非如此���。如果它們執(zhí)行深度包檢測或簽名掃描���,這要么會顯著減慢網(wǎng)絡(luò)流量,并充斥著誤報(bào)��,要么僅掃描小部分攻擊�����。大多數(shù)先進(jìn)的防火墻僅掃描幾十到幾百個攻擊��,而現(xiàn)在�����,每天會新出現(xiàn)39萬惡意軟件���,還不包括與合法活動沒有區(qū)別的攻擊�����。
即使防火墻可很好地抵御攻擊�,但它們并沒有真正的作用�,因?yàn)樗鼈儫o法阻止大多數(shù)企業(yè)每天面臨的兩個最大惡意攻擊:未打補(bǔ)丁的軟件和社會工程學(xué)。
無論出于何種原因�����,防火墻現(xiàn)在幾乎已經(jīng)沒有用��。
面臨淘汰的安全技術(shù)第6名:防病毒掃描儀
根據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示�����,目前惡意程序已經(jīng)達(dá)到幾十到數(shù)百萬計(jì)���,這個事實(shí)讓防病毒掃描儀幾乎沒有可用性��。
但并不是完全無用��,因?yàn)樗鼈儠䦷椭胀ㄓ脩糇柚?0%到99.9%的攻擊����。但普通用戶每年面對著數(shù)百惡意程序;即使是最好的情況下,攻擊者總會贏一次��。
這并不是說我們不應(yīng)該表揚(yáng)防病毒供應(yīng)商����,他們已經(jīng)做了很好的工作。但真正讓防病毒掃描儀淘汰的不是惡意軟件的數(shù)量����。而是白名單,現(xiàn)在�,一般電腦會運(yùn)行你安裝的任何程序,這也是惡意軟件無處不在的原因�����。但計(jì)算機(jī)和操作系統(tǒng)制造商開始改變這種模式����,“默認(rèn)運(yùn)行,阻止異�!闭谧屛唤o“默認(rèn)阻止,允許特例”��。
當(dāng)然����,計(jì)算機(jī)早就有白名單程序,又稱為應(yīng)用程序控制程序�����。在2009年��,筆者就評估了一些比較受歡迎的產(chǎn)品����,問題是:大多數(shù)人沒有使用白名單技術(shù),即使這是內(nèi)置技術(shù)����。最大的障礙是什么呢?如果用戶無法按意愿安裝自己想要的程序���,他們可能會做什么呢��?而如果允許他們安裝����,還有巨大的管理工作。
但惡意軟件和攻擊者正變得越來越普遍和嚴(yán)重����,供應(yīng)商正在開始在默認(rèn)情況下啟用白名單。Apple公司的OS X在三年前的Gatekeeper中退出了默認(rèn)的白名單技術(shù)���,而iOS設(shè)備也只能允許App Store中經(jīng)批準(zhǔn)的應(yīng)用程序(除非設(shè)備越獄)����。Apple公司的做法非常成功地阻止了一些惡意程序��。
微軟早就有類似的機(jī)制��,通過其軟件限制政策和AppLocker���,但其Windows 10中DeviceGuard具有更強(qiáng)大的機(jī)制�����。微軟的Windows Store也提供與蘋果公司的App Store相同的保護(hù)�。雖然微軟不會在默認(rèn)情況下啟用DeviceGuard或者僅允許使用Windows Store����,但這些功能就在那里,比以前更容易使用����。
在白名單成為主流操作系統(tǒng)的默認(rèn)設(shè)置后,惡意軟件和防病毒掃描儀都將消失���。
面臨淘汰的安全技術(shù)第7名:反垃圾郵件
垃圾郵件仍然占互聯(lián)網(wǎng)電子郵件的一半以上����。你可能不會注意到這一點(diǎn)����,這主要?dú)w功于反垃圾郵件,該技術(shù)已經(jīng)達(dá)到非常精確的水平��。然而�����,垃圾郵件發(fā)送者每天會發(fā)出數(shù)十億不必要的郵件���,最終��,只有兩件事情會阻止他們:通用�����、普適�、高保證的認(rèn)證和更有凝聚力的國際法律。
垃圾郵件發(fā)送者仍然存在是因?yàn)槲覀儾荒茌p易抓住他們�����。但隨著互聯(lián)網(wǎng)逐漸成熟��,普遍的匿名性將會被普遍的高保障身份所取代�����。這樣的話���,當(dāng)有人發(fā)送向你郵件時����,你可以確保他們的身份��。
只有當(dāng)所有用戶采用雙因素(或更高版)身份驗(yàn)證來驗(yàn)證其身份,還有使用身份保證的計(jì)算機(jī)和網(wǎng)絡(luò)時���,我們才可能建立高保證的身份體系。發(fā)送器和接收器之間將會有更高水平的可靠性�����,部分這種可靠性將由HTTPS提供�,但最終將在身份驗(yàn)證的每個階段需要額外的機(jī)制,以確保用戶的身份��。
現(xiàn)在��,幾乎任何人都可以宣稱自己是某某某�����,而且沒有普遍的方式來驗(yàn)證每個人的說法��,但這將會改變�����。我們依靠的所有關(guān)鍵基礎(chǔ)設(shè)施(交通��、電力等)需要這種身份保證�;ヂ(lián)網(wǎng)現(xiàn)在可能還是狂野的西部,但最終將會發(fā)生改變��。
同時��,在不久的將來�,在幾乎每起網(wǎng)絡(luò)刑事起訴中涉及的國際邊界問題可能得到解決。現(xiàn)在��,很多大國不接受其他國家提供的證據(jù)���,這使得逮捕垃圾郵件發(fā)送者幾乎不可能��。你可以收集所有證據(jù)�,但如果攻擊者的所在國不執(zhí)行逮捕����,你的工作都是徒勞。
但是�,隨著互聯(lián)網(wǎng)逐漸成熟,那些不幫助逮捕互聯(lián)網(wǎng)最大罪犯的國家將受到懲罰�,并可能放置到黑名單中。事實(shí)上�����,已經(jīng)有國家是這樣。例如��,很多公司和網(wǎng)站拒絕來自俄羅斯的流量�,無論是合法與否。
面臨淘汰的安全技術(shù)第8名:反DoS保護(hù)技術(shù)
上述提到的身份保護(hù)機(jī)制也將讓拒絕服務(wù)攻擊和抵御它們的技術(shù)面臨淘汰����。
現(xiàn)在�,任何人都可以啟用免費(fèi)的互聯(lián)網(wǎng)工具來用數(shù)十億數(shù)據(jù)包來淹沒網(wǎng)站。大多數(shù)操作系統(tǒng)都有內(nèi)置反DoS攻擊保護(hù)��,并且����,當(dāng)遭受海量假信息的襲擊時還有幾十家供應(yīng)商可以幫助保護(hù)你的網(wǎng)站。但身份保證將可以阻止所有DoS流量的發(fā)送者����,在我們發(fā)現(xiàn)他們后,就可以逮捕他們�。
例如:早在20世紀(jì)20年代,當(dāng)時出現(xiàn)了很多著名的銀行劫匪����,而銀行最終加強(qiáng)了其保護(hù)機(jī)制���,警察也可更好地識別和逮捕他們。如果這些劫匪仍然打劫銀行�����,他們會被逮捕����。DoS發(fā)送者也會面臨這樣的結(jié)果。只有我們能夠找到他們���,他們就會消失�。
面臨淘汰的安全技術(shù)第9名:海量事件日志
計(jì)算機(jī)安全事件監(jiān)控和預(yù)警是很困難的事情����。每臺計(jì)算機(jī)可容易地每天收集數(shù)萬事件日志,并將這些日志收集到集中式日志數(shù)據(jù)庫�,很快你會需要PB級存儲空間。現(xiàn)在的事件日志管理系統(tǒng)因其龐大的磁盤存儲陣列規(guī)模而被稱贊�����。
唯一的問題是:這種事件日志記錄行不通。當(dāng)幾乎每個收集的事件數(shù)據(jù)包沒有價值且未讀時����,所有這些未讀事件會帶來巨大的存儲成本浪費(fèi)。很快管理員會要求應(yīng)用程序和操作系統(tǒng)供應(yīng)商給他們更多信號和更少的噪音����,給他們更有用的事件,而不是無效的信息�。換句話說,事件日志供應(yīng)商將很快會開始吹捧他們的產(chǎn)品占用多小的空間而不是多少錢����。
面臨淘汰的安全技術(shù)第10名:匿名工具
最后�����,任何匿名和隱私錯誤的痕跡將被徹底抹去��。匿名躲藏的攻擊者將會被逮捕����,并用其真實(shí)的身份得到監(jiān)獄編號。
事實(shí)是,匿名工具已經(jīng)不可行����。很多公司以及執(zhí)法機(jī)構(gòu)已經(jīng)知道你是誰。唯一的區(qū)別是���,在未來�,每個人將會心中有數(shù)��,并停止假裝他們正在保持隱蔽和匿名�。
..
|
