每年安全厂商都会云集RSA大会重申自己抵御黑客入侵、保证数据安全的承诺。每年企业和政府网站都继续沦为基本攻击的牺牲品。可笑的是,超级安全厂商RSA不久前也遭受黑客攻击,数字认证巨头VeriSign也曾遭遇攻击。
每年安全厂商都会云集RSA大会重申自己抵御黑客入侵、保证数据安全的承诺。每年企业和政府网站都继续沦为基本攻击的牺牲品。可笑的是,超级安全厂商RSA不久前也遭受黑客攻击,数字认证巨头VeriSign也曾遭遇攻击。
换句话说,除了安全厂商传播其专业术语外,情况并没有多少改变。Akamai安全智能主管乔希·科曼(Josh Corman)说:“这是圣烛节(预示着春天来了)。”
RSA执行主席阿特·科维罗(Art Coviello)在主题演讲中承认当前安全模式不恰当,但最终还是陷入为自己振作士气的老套路。他说:“不会再有大量公司遭受攻击,包括RSA。我们能够一起吸取教训、走出困境,比以往更聪明、更强大。”
事实真是这样吗?历史证明事实并非如此。安全业并未保护好我们的数据,也没有有效抵御试图盗窃我们身份的“恶势力”。相反,安全厂商不断向我们发出更新更可怕的威胁警告,黑客入侵的危险级别不断提高,数据破坏日益严重,刚升级的新产品迅速过时。而且这种情况在日复一日地重复着。
ICANN总裁兼CEO、前美国网络安全中心主任罗德·贝科斯托(Rod Beckstrom)预测:“网络安全周期将伴随者我们的生命,业界需要较长时间演变。”
当然,尽管网络安全业界正在演变,但我们仍需要认真对待现有的各种缺陷,面临未来令我们头痛的安全问题时无话可说。毕竟当今世界充满了记录银行账号信息的键盘记录器,充满了“先进威胁”或长期从事工业间谍活动的APT。政府在未经加密的笔记本上存储的秘密面临黑客攻击风险,破坏国家核武器计划的Stuxnet超级工厂病毒正在肆虐。
安全产业惰性显然是被批判目标。科曼等批评家指出,如果安全厂商能够履行自己的承诺,就应该远离企业。科曼说:“安全产业不是以为用户提供安全为目的,而是以赚钱为目的,以最低的投资获得最高的营收回报。”
即使我们不象科曼那么尖锐,但仍有两大障碍横亘在我们和安全厂商之间。
第一,黑客和安全厂商之间似乎存在着无休止的军备竞赛,短期内双方的较量还没有缓和迹象。
第二,至少从目前看黑客的进攻势头较厂商抵御力量更凶猛。
综合上述两条,足以使每个人对安全厂商失望。一位要求匿名的顶级安全厂商高管承认,安全厂商的技术创新已落后于黑客进攻技术,黑客的攻击动机已远远超越让企业感到自己面临风险的水平。
这名匿名高管称:“以前从未出现投入大量人力和金钱却鲜有收获的情况。”
问题出在目前联网计算机、软件和社交网络日益普及上。黑客拥有更多攻击目标。二十年前,我们还没有手机、Facebook及上网控制设备。数字盗贼在企业尚未意识到自己还未上锁之前已经通过侧门偷偷溜入后院了。
黑客是一些速成学习者,即使企业设置了强大的防御系统,黑客也能够发现进入计算机系统的新方法。当反病毒软件拦截恶意件时,潜伏的黑客会利用狡猾的社会工程伎俩将用户诱骗至恶意件。
更糟糕的是寻找、测试和修补威胁计算机漏洞的软件人员使用的工具过于落后。例如反病毒签名升级已被从根本上瓦解,但大量公司仍在依靠该安全软件。公共密钥基础结构尚未成为现实。有人希望大型数据分析能够识别缺陷、阻止黑客。我们将拭目以待。
北美G数据软件(G Data Software North America)总裁大卫·佩里(David Perry)说:“我们正在探讨这些问题,但目前还没有找到解决方案。大家都期望出现一个能够一劳永逸地解决问题的方案,但我们还没有发现一个这样的方案。”
企业和消费者仍然希望有一个易用的解决方案,但这种方案通常落入黑客之手。当用户看到有关身份欺诈和数据入侵的报道时,很容易购买一款新反病毒软件包,而不去分析问题,转换工具。思科高级安全研究员玛丽·兰德斯曼(Mary Landesman)说:“大家都有一种心态,认为我们能够推出另一款产品来解决问题。”
让企业投入时间和金钱去解决其安全问题非常困难,因为企业经常认为自己没有遭遇安全问题,直到被黑客攻击后,企业才能够意识到安全的重要性。对一些企业而言,知道的太多反而是一件坏事。玛丽说:“企业会掩盖一些问题,因为如果企业发现问题,就需要提交一份SEC文件。”
当然,如果软件比较安全会更好。部分安全专家在推动一种更积极主动的安全方案,与帮助人们健康的预防药类似。软件代码越安全,黑客攻击的机会就越小。
软件安全咨询公司Cigital首席技术官盖里·麦克格劳(Gary McGraw)说:“参加本次大会的大多数RSA厂商都是应激性安全厂商,其理念是保护被黑人群免遭坏人算计。但其理念却行不通。”
软件安全理念助力微软在过去10年中不提高Windows的安全性。微软发布软件开发生命周期项目,关注软件安全并获得成功,使其产品成为业界最安全产品。
但该解决方案无法量化,尤其在编码人员编写出满足新设备需求的应用时更是无法做到量化。麦克格劳说:“我们知道如何创建每平方英寸软件中漏洞较少的软件,但问题是我们现在创建的代码较以前多得多,平方英寸要换做平方英里计算。”
BT首席安全官布鲁斯·施奈尔(Bruce Schneier)说,由于安全涉及的领域太多,我们无法提供一个简单的答案。他说:“安全的根本问题是使用的技术、执行、用户界面、安装、升级等所有辅助事情,安全问题还牵涉经济:部署安全技术的人员没有财务动机……负责安全的人员没有能力解决,有能力解决的却不负责安全问题。”
没有人希望为别人提供安全而付费。施奈尔说:“安全问题就象污染问题一样,大家都可能造成污染同时又都是受害者。没有政府干预,市场本身无法解决污染问题。”
网友评论