面臨淘汰的安全技術(shù)第1名:生物特征身份驗(yàn)證
生物特征身份驗(yàn)證是確保登錄安全性的“萬(wàn)靈藥”���,畢竟�,對(duì)于不擅長(zhǎng)登錄身份驗(yàn)證的人來(lái)說(shuō),通過(guò)臉�����、指紋��、DNA或者其他生物特征標(biāo)記進(jìn)行身份驗(yàn)證似乎是完美的登錄憑證����。但專家表示,生物特征識(shí)別技術(shù)并不像大多數(shù)人認(rèn)為的那么準(zhǔn)確;而且�����,一旦被盜����,你的生物識(shí)別標(biāo)識(shí)不能改變。
例如你的指紋�。大多數(shù)人只有10個(gè)手指,在你使用指紋作為生物特征登錄憑證時(shí)�,這些指紋(更準(zhǔn)確地說(shuō),這些指紋的數(shù)字形式)必須被儲(chǔ)存用于此后登錄時(shí)進(jìn)行比較���。然而����,登錄憑證經(jīng)常被泄露或被盜。如果壞人竊取了你的指紋數(shù)據(jù)�����,系統(tǒng)怎么可以辨別你的指紋與此前接收的指紋數(shù)字形式���?
在這種情況下�����,唯一的解決辦法讓所有可能依靠你的指紋識(shí)別的系統(tǒng)取消對(duì)你的指紋識(shí)別��,但這幾乎是不可能的�,對(duì)于其他生物特征標(biāo)記同樣是如此���。
而且,當(dāng)你無(wú)法再使用你的指紋����,而系統(tǒng)必須通過(guò)你的指紋來(lái)驗(yàn)證時(shí),那該怎么辦呢��?
為了抵御已經(jīng)獲取你的生物識(shí)別登錄標(biāo)記的攻擊者,唯一的方法是在使用生物識(shí)別的同時(shí)����,結(jié)合使用只有你自己知道的密碼、PIN碼等��。不過(guò)�,這些密碼也可能被泄露,智能卡和USB密鑰卡等非生物識(shí)別雙因素登錄憑證也是如此��。在這些情況下�,管理員可以簡(jiǎn)單地發(fā)給你新的物理因素,你可以使用新的PIN或密碼�����。但生物特征識(shí)別因素就不可更改�。
雖然生物識(shí)別登錄憑證正迅速成為流行的安全功能,但并沒(méi)有全面普及��。在人們意識(shí)到生物識(shí)別登錄的局限性后���,它們將會(huì)失去人氣����,總是會(huì)需要第二個(gè)驗(yàn)證形式,或者只有在不需要高安全性識(shí)別中使用��。
面臨淘汰的安全技術(shù)第2名:SSL
Netscape在1995年發(fā)明了安全套接字層(SSL)���,二十多年來(lái)�,SSL發(fā)揮了重要的作用����,但Poodle攻擊讓我們看到,SSL已經(jīng)遭到不可逆轉(zhuǎn)的破壞���,并且無(wú)法修復(fù)���。而SSL的替代品TLS(傳輸層安全)稍微好一些。在本文討論的所有面臨淘汰的安全技術(shù)中�,SSL是最可能被取代的。
問(wèn)題何在���?成千上萬(wàn)的網(wǎng)站依靠或允許SSL。如果你禁用所有SSL(這是主流瀏覽器新版本中的常見(jiàn)默認(rèn)設(shè)置)���,大多數(shù)網(wǎng)站將無(wú)法運(yùn)作�����,即使可以運(yùn)作��,也只是因?yàn)闉g覽器或應(yīng)用程序接受“降級(jí)”到SSL�。如果不是網(wǎng)站和瀏覽器,那么將會(huì)有數(shù)百萬(wàn)舊的SSH服務(wù)器�����。
OpenSSH最近似乎不斷遭到攻擊����,雖然半數(shù)OpenSSH攻擊與SSL沒(méi)有關(guān)系,但另外一半的攻擊是因?yàn)镾SL漏洞�����。數(shù)百萬(wàn)SSH/OpenSSH網(wǎng)站仍然在使用SSL���,盡管它們不應(yīng)該使用�。
更糟的是�,技術(shù)人員之間使用的術(shù)語(yǔ)也在加劇這個(gè)問(wèn)題,因?yàn)橛?jì)算機(jī)安全行業(yè)幾乎每個(gè)人都將TLS數(shù)字證書(shū)稱為“SSL證書(shū)”,盡管他們不使用SSL����。這就像把復(fù)印機(jī)稱為施樂(lè),而其實(shí)它根本不是這個(gè)品牌�����。如果我們將SSL淘汰�����,我們需要將TLS證書(shū)稱為T(mén)LS證書(shū)�����。
面臨淘汰的安全技術(shù)第3名:公鑰加密
這可能會(huì)讓有些人感到驚訝����,但在量子計(jì)算和密碼學(xué)研究成功后,現(xiàn)在我們使用的大多數(shù)公鑰加密(RSA���、Diffie-Hellman等)的機(jī)密很快會(huì)成為可讀����。很多人早就預(yù)計(jì),在幾年后我們將會(huì)看到可用的量子計(jì)算��。當(dāng)研究人員最終實(shí)現(xiàn)量子計(jì)算后�,大多數(shù)公共加密算法將會(huì)被破解��。世界各地的間諜機(jī)構(gòu)多年來(lái)一直在保存加密的機(jī)密�,等待這些技術(shù)突破,或者根據(jù)傳聞稱�����,他們已經(jīng)破解了這個(gè)問(wèn)題���,并正在閱讀我們的秘密�����。
長(zhǎng)期以來(lái)�,Bruce Schneier等加密專家質(zhì)疑量子密碼技術(shù)的力量����。但即使是批評(píng)家也不排除這種可能性,即RSA���、Diffie-Hellmann甚至是ECC加密的信息都可能會(huì)變成可讀�。
這并不是說(shuō)沒(méi)有反量子加密算法,基于lattice的加密技術(shù)和Supersingular Isogeny Key Exchange等就是這樣的加密算法����。
面臨淘汰的安全技術(shù)第4名:IPsec
在啟用后,IPsec允許兩個(gè)或多個(gè)點(diǎn)之間的所有網(wǎng)絡(luò)流量受到加密保護(hù)��,以確保數(shù)據(jù)包的完整性和隱私性��。IPsec發(fā)明于1993年�,并在1995年成為開(kāi)放標(biāo)準(zhǔn),它受到數(shù)百家供應(yīng)商的支持�����,應(yīng)用在數(shù)百萬(wàn)企業(yè)計(jì)算機(jī)中����。
與本文中探討的大多數(shù)面臨淘汰的加密技術(shù)不同,IPsec還很好用���,但它存在兩個(gè)問(wèn)題���。
首先���,盡管廣泛得到使用和部署,但它從未達(dá)到必要的臨界點(diǎn)以保持它更長(zhǎng)的使用�����。此外��,IPsec很復(fù)雜����,并非受到所有供應(yīng)商的支持���。
IPsec的復(fù)雜性也帶來(lái)性能問(wèn)題���。當(dāng)它啟用時(shí),可能顯著減慢使用它的所有連接���,除非你在隧道的兩側(cè)使用專門(mén)的IPsec硬件��。因此���,數(shù)據(jù)庫(kù)和大多數(shù)網(wǎng)絡(luò)服務(wù)器不能使用它���。并且,這兩種類型的服務(wù)器是大多數(shù)重要數(shù)據(jù)保存的位置����,如果不能保存最重要的數(shù)據(jù),它有什么用處呢��?
另外��,盡管它是常用的開(kāi)放標(biāo)準(zhǔn)���,但I(xiàn)Psec部署在供應(yīng)商之間通常不可行����,這是阻止其廣泛部署的另一個(gè)因素�。
但I(xiàn)Psec的“喪鐘”主要是HTTPS的普及。當(dāng)你啟用hTTPS時(shí)��,你不會(huì)需要IPsec�����。這是一個(gè)非此即彼的決定�����,HTTPS已經(jīng)贏了。只要你有有效的TLS數(shù)字證書(shū)和兼容的客戶端���,這就會(huì)可行:沒(méi)有互操作性問(wèn)題����,低復(fù)雜度��。這會(huì)有一些性能影響�����,但對(duì)大多數(shù)用戶來(lái)說(shuō)并不明顯��。這個(gè)世界正在迅速變成HTTPS默認(rèn)的世界�,而同時(shí)�,IPsec將會(huì)消亡。
面臨淘汰的安全技術(shù)第5名:防火墻
HTTPS的普及基本上也宣告了傳統(tǒng)防火墻的末日����。筆者在2012年時(shí)提出這個(gè)結(jié)論時(shí),很多人會(huì)說(shuō)筆者錯(cuò)了���,因?yàn)槿旰�����,防火墻仍然隨處可見(jiàn)�����。但大多數(shù)防火墻沒(méi)有配置���,大多數(shù)防火墻也沒(méi)有太多價(jià)值�,而且有過(guò)于寬松的規(guī)則����,這基本上意味著防火墻有害無(wú)益,它智慧減緩網(wǎng)絡(luò)連接����。
無(wú)論你怎么定義防火墻,它必須包含一些部分僅允許特定的預(yù)定義的端口�����。隨著我們轉(zhuǎn)移到僅HTTPS的網(wǎng)絡(luò)連接���,所有防火墻最終將只有少數(shù)規(guī)則—HTTP/HTTPS也許還有DNS���。DNS���、DHCP等其他協(xié)議也將開(kāi)始使用HTTPS,當(dāng)發(fā)生這種情況時(shí)���,防火墻該何去何從�����?
主要包含防火墻通常是抵御針對(duì)易受攻擊服務(wù)的遠(yuǎn)程攻擊。遠(yuǎn)程易受攻擊服務(wù)���、遠(yuǎn)程可利用緩沖區(qū)溢出���,曾經(jīng)是最常見(jiàn)的攻擊,例如Robert Morris互聯(lián)網(wǎng)蠕蟲(chóng)病毒���、Code Red����、Blaster和SQL Slammer。但你最后一次聽(tīng)到全球性快速反應(yīng)的緩沖區(qū)溢出蠕蟲(chóng)是什么時(shí)候�?也許是在上世紀(jì)80年代和90年代。從本質(zhì)上講��,如果你沒(méi)有未修復(fù)的易受攻擊的監(jiān)聽(tīng)服務(wù)����,那么,你就不需要傳統(tǒng)防火墻����,現(xiàn)在你不需要。是的���,你并不需要防火墻�。
防火墻供應(yīng)商通常會(huì)稱他們的“先進(jìn)”防火墻具有超越傳統(tǒng)防火墻的功能�����,非常值得購(gòu)買(mǎi)�����,但事實(shí)證明并非如此。如果它們執(zhí)行深度包檢測(cè)或簽名掃描���,這要么會(huì)顯著減慢網(wǎng)絡(luò)流量�,并充斥著誤報(bào)����,要么僅掃描小部分攻擊。大多數(shù)先進(jìn)的防火墻僅掃描幾十到幾百個(gè)攻擊��,而現(xiàn)在���,每天會(huì)新出現(xiàn)39萬(wàn)惡意軟件���,還不包括與合法活動(dòng)沒(méi)有區(qū)別的攻擊。
即使防火墻可很好地抵御攻擊�����,但它們并沒(méi)有真正的作用�����,因?yàn)樗鼈儫o(wú)法阻止大多數(shù)企業(yè)每天面臨的兩個(gè)最大惡意攻擊:未打補(bǔ)丁的軟件和社會(huì)工程學(xué)���。
無(wú)論出于何種原因�����,防火墻現(xiàn)在幾乎已經(jīng)沒(méi)有用���。
面臨淘汰的安全技術(shù)第6名:防病毒掃描儀
根據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,目前惡意程序已經(jīng)達(dá)到幾十到數(shù)百萬(wàn)計(jì)����,這個(gè)事實(shí)讓防病毒掃描儀幾乎沒(méi)有可用性。
但并不是完全無(wú)用����,因?yàn)樗鼈儠?huì)幫助普通用戶阻止80%到99.9%的攻擊。但普通用戶每年面對(duì)著數(shù)百惡意程序;即使是最好的情況下�,攻擊者總會(huì)贏一次。
這并不是說(shuō)我們不應(yīng)該表?yè)P(yáng)防病毒供應(yīng)商��,他們已經(jīng)做了很好的工作���。但真正讓防病毒掃描儀淘汰的不是惡意軟件的數(shù)量�。而是白名單��,現(xiàn)在,一般電腦會(huì)運(yùn)行你安裝的任何程序�����,這也是惡意軟件無(wú)處不在的原因����。但計(jì)算機(jī)和操作系統(tǒng)制造商開(kāi)始改變這種模式,“默認(rèn)運(yùn)行����,阻止異常”正在讓位給“默認(rèn)阻止��,允許特例”�����。
當(dāng)然��,計(jì)算機(jī)早就有白名單程序�,又稱為應(yīng)用程序控制程序。在2009年��,筆者就評(píng)估了一些比較受歡迎的產(chǎn)品���,問(wèn)題是:大多數(shù)人沒(méi)有使用白名單技術(shù)�,即使這是內(nèi)置技術(shù)���。最大的障礙是什么呢��?如果用戶無(wú)法按意愿安裝自己想要的程序����,他們可能會(huì)做什么呢���?而如果允許他們安裝�,還有巨大的管理工作�。
但惡意軟件和攻擊者正變得越來(lái)越普遍和嚴(yán)重,供應(yīng)商正在開(kāi)始在默認(rèn)情況下啟用白名單�。Apple公司的OS X在三年前的Gatekeeper中退出了默認(rèn)的白名單技術(shù),而iOS設(shè)備也只能允許App Store中經(jīng)批準(zhǔn)的應(yīng)用程序(除非設(shè)備越獄)��。Apple公司的做法非常成功地阻止了一些惡意程序����。
微軟早就有類似的機(jī)制,通過(guò)其軟件限制政策和AppLocker�,但其Windows 10中DeviceGuard具有更強(qiáng)大的機(jī)制�。微軟的Windows Store也提供與蘋(píng)果公司的App Store相同的保護(hù)����。雖然微軟不會(huì)在默認(rèn)情況下啟用DeviceGuard或者僅允許使用Windows Store,但這些功能就在那里�����,比以前更容易使用�����。
在白名單成為主流操作系統(tǒng)的默認(rèn)設(shè)置后���,惡意軟件和防病毒掃描儀都將消失��。
面臨淘汰的安全技術(shù)第7名:反垃圾郵件
垃圾郵件仍然占互聯(lián)網(wǎng)電子郵件的一半以上��。你可能不會(huì)注意到這一點(diǎn)�����,這主要?dú)w功于反垃圾郵件���,該技術(shù)已經(jīng)達(dá)到非常精確的水平��。然而,垃圾郵件發(fā)送者每天會(huì)發(fā)出數(shù)十億不必要的郵件��,最終��,只有兩件事情會(huì)阻止他們:通用����、普適、高保證的認(rèn)證和更有凝聚力的國(guó)際法律����。
垃圾郵件發(fā)送者仍然存在是因?yàn)槲覀儾荒茌p易抓住他們。但隨著互聯(lián)網(wǎng)逐漸成熟�,普遍的匿名性將會(huì)被普遍的高保障身份所取代。這樣的話�,當(dāng)有人發(fā)送向你郵件時(shí),你可以確保他們的身份����。
只有當(dāng)所有用戶采用雙因素(或更高版)身份驗(yàn)證來(lái)驗(yàn)證其身份,還有使用身份保證的計(jì)算機(jī)和網(wǎng)絡(luò)時(shí)��,我們才可能建立高保證的身份體系����。發(fā)送器和接收器之間將會(huì)有更高水平的可靠性�����,部分這種可靠性將由HTTPS提供�,但最終將在身份驗(yàn)證的每個(gè)階段需要額外的機(jī)制��,以確保用戶的身份����。
現(xiàn)在,幾乎任何人都可以宣稱自己是某某某�,而且沒(méi)有普遍的方式來(lái)驗(yàn)證每個(gè)人的說(shuō)法,但這將會(huì)改變�。我們依靠的所有關(guān)鍵基礎(chǔ)設(shè)施(交通、電力等)需要這種身份保證���;ヂ(lián)網(wǎng)現(xiàn)在可能還是狂野的西部,但最終將會(huì)發(fā)生改變�����。
同時(shí),在不久的將來(lái)���,在幾乎每起網(wǎng)絡(luò)刑事起訴中涉及的國(guó)際邊界問(wèn)題可能得到解決��,F(xiàn)在�,很多大國(guó)不接受其他國(guó)家提供的證據(jù)��,這使得逮捕垃圾郵件發(fā)送者幾乎不可能�����。你可以收集所有證據(jù)����,但如果攻擊者的所在國(guó)不執(zhí)行逮捕���,你的工作都是徒勞��。
但是�,隨著互聯(lián)網(wǎng)逐漸成熟����,那些不幫助逮捕互聯(lián)網(wǎng)最大罪犯的國(guó)家將受到懲罰,并可能放置到黑名單中�����。事實(shí)上,已經(jīng)有國(guó)家是這樣�。例如,很多公司和網(wǎng)站拒絕來(lái)自俄羅斯的流量�,無(wú)論是合法與否。
面臨淘汰的安全技術(shù)第8名:反DoS保護(hù)技術(shù)
上述提到的身份保護(hù)機(jī)制也將讓拒絕服務(wù)攻擊和抵御它們的技術(shù)面臨淘汰�����。
現(xiàn)在�,任何人都可以啟用免費(fèi)的互聯(lián)網(wǎng)工具來(lái)用數(shù)十億數(shù)據(jù)包來(lái)淹沒(méi)網(wǎng)站。大多數(shù)操作系統(tǒng)都有內(nèi)置反DoS攻擊保護(hù)��,并且�,當(dāng)遭受海量假信息的襲擊時(shí)還有幾十家供應(yīng)商可以幫助保護(hù)你的網(wǎng)站。但身份保證將可以阻止所有DoS流量的發(fā)送者�,在我們發(fā)現(xiàn)他們后,就可以逮捕他們��。
例如:早在20世紀(jì)20年代��,當(dāng)時(shí)出現(xiàn)了很多著名的銀行劫匪�,而銀行最終加強(qiáng)了其保護(hù)機(jī)制,警察也可更好地識(shí)別和逮捕他們。如果這些劫匪仍然打劫銀行��,他們會(huì)被逮捕���。DoS發(fā)送者也會(huì)面臨這樣的結(jié)果�。只有我們能夠找到他們�,他們就會(huì)消失。
面臨淘汰的安全技術(shù)第9名:海量事件日志
計(jì)算機(jī)安全事件監(jiān)控和預(yù)警是很困難的事情��。每臺(tái)計(jì)算機(jī)可容易地每天收集數(shù)萬(wàn)事件日志�����,并將這些日志收集到集中式日志數(shù)據(jù)庫(kù)��,很快你會(huì)需要PB級(jí)存儲(chǔ)空間�����,F(xiàn)在的事件日志管理系統(tǒng)因其龐大的磁盤(pán)存儲(chǔ)陣列規(guī)模而被稱贊�����。
唯一的問(wèn)題是:這種事件日志記錄行不通��。當(dāng)幾乎每個(gè)收集的事件數(shù)據(jù)包沒(méi)有價(jià)值且未讀時(shí)�,所有這些未讀事件會(huì)帶來(lái)巨大的存儲(chǔ)成本浪費(fèi)。很快管理員會(huì)要求應(yīng)用程序和操作系統(tǒng)供應(yīng)商給他們更多信號(hào)和更少的噪音����,給他們更有用的事件,而不是無(wú)效的信息����。換句話說(shuō),事件日志供應(yīng)商將很快會(huì)開(kāi)始吹捧他們的產(chǎn)品占用多小的空間而不是多少錢(qián)����。
面臨淘汰的安全技術(shù)第10名:匿名工具
最后,任何匿名和隱私錯(cuò)誤的痕跡將被徹底抹去�����。匿名躲藏的攻擊者將會(huì)被逮捕����,并用其真實(shí)的身份得到監(jiān)獄編號(hào)。
事實(shí)是��,匿名工具已經(jīng)不可行��。很多公司以及執(zhí)法機(jī)構(gòu)已經(jīng)知道你是誰(shuí)。唯一的區(qū)別是����,在未來(lái),每個(gè)人將會(huì)心中有數(shù)���,并停止假裝他們正在保持隱蔽和匿名�。
..
|
