Quis custodiet ipsos custodes? 這句古典羅馬格言提出了擔憂:“誰來監督監督者?”但事實上,今天守衛著網路資訊系統的安全供應商正受到來自競爭對手、客戶、駭客以及越來越多的關注國家安全的政府的嚴格審查。《大眾科學》主編約翰·雷尼今年五月在加利福尼亞州帕洛阿爾託與來自安全行業以及一些依賴其保護的行業的代表坐下來,討論他們將面臨的挑戰。以下是這些會議部分重點內容的編輯稿。——編者
參與者 Rahul Abhyankar:McAfee公司 McAfee Avert實驗室產品管理高階總監
Whitfield Diffie:Sun Microsystems公司副總裁兼研究員、首席安全官
Art Gilliland:賽門鐵克公司資訊風險和合規產品管理副總裁
Patrick Heim:凱撒永久公司首席資訊安全官
John Landwehr:Adobe Systems公司安全解決方案和戰略總監
Steven B. Lipner:微軟公司安全工程戰略高階總監
Martin Sadler:惠普實驗室系統安全實驗室主任,惠普公司
Ryan Sherstobitoff:Panda Security US公司首席企業宣傳員,Panda Security
誰來負責? 小組成員在維護或加強資料安全方面的某些優先事項上達成了一致。其中一些是技術性的或與使用者對各種系統的體驗相關,但監管和法律框架也至關重要。
支援科學新聞
如果您喜歡這篇文章,請考慮支援我們屢獲殊榮的新聞報道,方式是 訂閱。透過購買訂閱,您正在幫助確保關於塑造我們今天世界的發現和想法的具有影響力的故事的未來。
DIFFIE:我認為,已經困擾我們的不安全性的根本原因可能是資訊安全行業擺脫責任的強大能力。如果我們想要一個安全的網際網路,正確的方法是設定一個截止日期。基本上說,“10年後,我們將對軟體安全實行嚴格責任。這意味著你最好開發出能夠承擔該責任的技術。”堅持一夜之間完成是無濟於事的。這隻會使微軟和其他人破產。但我相信,作為一個10年的國家目標,它是可以實現的。我在2002年向美國國家科學院提出了這個建議。現在,我的10年提案已經過去了六年,但它還沒有實現。[笑聲。]
SADLER:你認為這是一個國家目標而不是國際目標?
DIFFIE:是的,這是一個國際目標。美國將其作為國家目標將大大有助於使其成為國際目標。
在未來十年,對這些事情影響最大的將是網路服務,以及我所說的數字外包。目前,我們在美國的商業理念是將所有非核心能力的東西外包出去。我們將進入一個世界,那裡將有數百萬的計算服務,其他人可以比你自己做得更好。
我們今天在谷歌看到的情況只是冰山一角。美國每個組織——甚至是那些對員工電子郵件等進行嚴格監控的組織——都允許人們使用谷歌作為研究工具。這意味著那些可以訪問谷歌查詢流的人——表面上只是谷歌自己,但誰知道呢——知道這個國家每個開發團隊在做什麼。這個國家每個法律團隊在做什麼。這個國家每個營銷團隊在做什麼。
十年後,你會環顧四周,發現我們今天所說的安全計算將不復存在。也就是說,我們現在說,如果你在你自己的機器上安全地計算了某些東西,並且你充分保護了它們,那麼你就算安全地計算了。每個主要的商業程式都將不斷地轉向並在內部系統之外轉向網際網路的其餘部分。
因此,需要的是一個法律框架,要求承包商保護資訊的安全。但除非開發出技術機制以允許他們保護該資訊,否則他們無法履行這一義務。
GILLILAND:是的,但是如果你看看客戶今天實際如何實施技術,他們已經遠遠落後於技術所能做到的。這並不是說這不是我們作為一個國家和一個行業應該前進的方向,但這不一定是現在的問題。問題是如何使這項技術實用,以便客戶能夠實際解決他們自己的隱私問題、他們自己的審計流程,並按照當前標準管理他們自己資料的保護,而他們今天基本上沒有這樣做。
LIPNER:我認為有兩個組成部分。一是使基礎設施的底層足夠強大,以至於難以進行惠特所暗示的那種攻擊。第二個是提供基礎設施,以便你既在實踐上又有法律保障,知道你正在與誰打交道,以及你對你與他們的互動有什麼樣的保證。
對於企業客戶,你希望有 Art 和 Whit 正在談論的那種東西:關於如何處理你的資料的保證,描述對其限制的方式等等。對於消費者,你希望有一個他們信任並且可以正常工作的環境——因為網際網路和網際網路業務的許多增長都是基於消費者信心的。我們需要提高這種信心,並確保它是合理的。
GILLILAND:我們必須弄清楚的有趣平衡是,如何使企業能夠儘可能快地繼續共享資訊,以便他們能夠做出好的決策,同時使共享變得簡單?內容過濾和其他做法對終端使用者來說是不可見的,但可以由管理員控制,這樣你就可以使企業更快地共享資訊,但仍然感覺其安全性有保障。
DIFFIE:內容過濾怎麼可能真正不可見?我傳送電子郵件,它違反了標準,因此在傳送給某人的途中被審查了。顯然我會注意到。
GILLILAND:是的,但你應該使使用者看不到該資料的分類。你不是要求他們說,“這是一份重要的檔案嗎?” 你應該問的是,“這是否是不應該傳送出去的東西?” 儘量防止人們意外共享不應該共享的資料。
危險的人為因素 由於使用者容易犯錯以及他們(無論是否無意)為了易用性而犧牲資料安全的傾向,使用者本身可能成為安全系統的阿喀琉斯之踵。因此,技術有責任彌補使用者可能出現的失誤。
HEIM:我們不應低估人為因素。美國的技術人員有一種傾向,認為技術是解決方案。現在我們看到,對系統的忽視和維護不善導致的安全故障也產生了廣泛的影響。
我把它比作開車。我們之所以有駕照之類的控制措施,是為了讓人們至少對道路規則以及如何安全操作車輛有一個基本的瞭解,從而最大限度地降低這些風險。我認為沒有對終端使用者進行足夠的教育推廣,讓他們瞭解如何安全使用他們的系統。我並不是說一定要有“網路駕照”,但是你知道,這可能不是一個壞主意,因為我們看到許多觀察到的問題本質上是行為上的。
DIFFIE:你看,這恰恰是一個極其可怕的想法。網路空間是未來的世界。如果你沒有在那裡存在的權利,你就沒有一個自由的社會。
LANDWEHR:我有一個故事可以說明這種人為因素。從某種意義上說,這是我第一次接觸到身份盜竊。早在1992年,我申請了一張信用卡——我可能想獲得更多積分或一個免費烤麵包機之類的東西——結果被拒絕了。我索要了一份我的信用報告,上面有一項來自收款機構的記錄。我給他們打電話問:“這是什麼,我不知道是什麼。”(當然,給收款機構打電話說“我不知道這是什麼,我不欠你們錢”對任何人來說都會立即是一場艱難的戰鬥。)他們說有一位病人在佛羅里達州去看醫生,花了75.00美元的醫療服務費,但沒有支付賬單。
發生的事情是,診所裡的某人寫下了那位病人的社會安全號碼,除了一個數字外,與我的社會安全號碼相同。在病歷上,可能手寫了一個六或八或九,其中一個環被打開了,或者類似的情況。然後這個錯誤傳播到整個系統中。因此,不僅這個賬單被記錄在我的信用報告中,而且那個人的名字也出現在我的信用報告中了。
然後我打電話給信用報告機構說:“我不是這個人。我很輕易就能證明這不是我的名字。”他們說:“嗯,這是你的社會安全號碼嗎?”我說:“是的,但那不是我的名字,而且我之前從未見過這位醫生。我從未在佛羅里達州看過醫生。”信用機構隨後將其刪除;催收機構又將其放回。這就像一場持續了好幾個月的乒乓球遊戲。最後,我不得不請律師事務所給信用報告機構和催收機構發了一封信,說:“我們已準備好提起訴訟。我們將帶我們的客戶走進法庭,以證明這不是所說的病人。”
故事變得更有趣了。律師發出這封信後,我收到了一封回信,上面寫著“我們很抱歉。在某個環節出現了錯誤,此人”他們拼出了他的真實姓名,“的社會安全號碼有誤。他們的社會安全號碼是這個;您的社會安全號碼是那個,您可以看到這種情況是如何發生的。”他們竟然在給我的信中打印出了另一個人的姓名和社會安全號碼!
因此,即使在你所談論的技術的上游,人為因素也絕對適用。這就是為什麼需要進行教育的原因。在整個過程中,你需要能夠審視系統,並說:“當出現問題時,你如何證明你就是你所說的那個人?以及如何防止其他人聲稱他們是你?”
DIFFIE:但這個故事的錯誤在於責任。關鍵是,人們使用權力的主要目的是談判擺脫責任。這正是信貸催收行業所做的事情。如果它對其錯誤承擔嚴格的責任,因此有義務賠償你因此損失的金錢和時間,那麼這些錯誤就會少得多。但這永遠不會發生,因為這個行業,像我們其他行業一樣,擁有巨大的權力來說:“如果你讓我們遵守這些標準,你將會削弱我們並損害社會。”
ABHYANKAR:人為因素是我們不能忽視的。我們最近慶祝了垃圾郵件誕生 30 週年。電子郵件仍然是會被利用的東西。技術有一個黑暗的底面,壞人的創新速度,以及利用社會工程技術竊取你的資料的技巧,比好人的創新速度快得多。這僅靠技術是無法解決的。
GILLILAND:如果你看看我們一直在做的研究,大約 98% 的資料丟失是由於人為錯誤和流程故障造成的。身處安全行業,我們總是要與壞人作鬥爭。但壞人並不是資料丟失的主要問題。現實情況是,即使經過 30 年的垃圾郵件,壞人也會像我們一樣繼續投資於創新,因為他們傳送垃圾郵件能賺錢。竊取資訊永遠是某些人的生意,你永遠無法 100% 地對抗他們。但我們可以阻止大部分人為和流程錯誤。
HEIM:除了行為方面,個人也存在結構性挑戰。我們每天都會看到,如果技術組織本身無法預測個人的需求,他們就會在許多情況下使用消費級技術來完成工作。
SHERSTOBITOFF:對。如果你透過 Gmail 將資訊傳送給自己以便在家工作,我們就無法保證你的資訊安全。
HEIM:當然,如果個人無法透過安全技術來實現其需求,他們會使用消費技術進行補償,例如安裝無線接入路由器或將資料複製到 USB 驅動器。因此,存在技術挑戰,但也存在經濟方面的挑戰。正確地做好資訊科技需要什麼?以安全的方式完成,並以人們能夠完成工作且無需繞過流程的方式完成?
DIFFIE:簡而言之,缺少功能常常是一個安全問題。如果系統沒有提供安全地完成你所需要做的能力,你仍然會做你需要做的事情。這個問題在第一次世界大戰時就為軍方所知。
GILLILAND:這就是啟用與保護的問題。你如何讓企業有效地使用可能沒有快速、安全、無縫執行所需功能或特性的技術?
SHERSTOBITOFF:關於流程故障的另一件事是,它為網路犯罪分子創造了主要的滋生地,因為配置和變更管理不符合標準。如果我們沒有嚴格的流程來控制或保護資訊,那麼從組織中獲取資訊會容易得多。駭客開始明白:“嘿,你知道嗎?這不符合標準,所以攻擊起來容易得多。”
所以,這有點像入室盜竊。我不會攻擊有 20 個警報器和監控攝像頭的房子。我會去容易進入的地方,鎖很容易被撬開,沒有監控攝像頭,而且很黑。如果人們開始通過後門通道傳送資料,就會導致攔截和中間人攻擊。
誰在控制?一些小組成員提到了讓外部人員維護系統安全的可取性(如果不是必要性)與放棄對該系統的完全控制的不安感之間的緊張關係。
DIFFIE:基本的商業事實是,我們,作為製造商,對控制我們客戶的軟體和遠端更新非常感興趣。基本上,這會給系統帶來不穩定性。你真正想要控制你自己的計算機的願望,無論你是一個個人使用者還是一個公司,都與製造商的願望相悖,而製造商在談判中處於更有利的地位。他們實際上對你擁有一個安全的系統並不感興趣。
GILLILAND:不過,你剛才所說的有趣挑戰在於,像我們這樣的公司能夠訪問計算機的很大一部分原因是市場變化太快。以拉胡爾談到的垃圾郵件為例。垃圾郵件攻擊發生,然後在幾個小時內結束。現在是幾小時和幾分鐘,對嗎?
為了幫助公司應對這種情況,你需要能夠向其傳送資料以增強其安全性。有時只是一種病毒簽名。有時是對軟體框架的程式碼更改,因為新的垃圾郵件以不同的方式工作。影像垃圾郵件就是一個很好的例子。需要新的程式碼來幫助公司對抗這種垃圾郵件攻擊。公司要求我們更快地響應:“幫助我降低管理成本;幫助我降低管理難度。”因此,這回到了你關於外包的觀點。
DIFFIE:哦,我並不是說沒有這種需求。
LIPNER:在減少我們看到的,比如 2001 年那種大規模、蔓延的攻擊方面,產生重大影響的一件事是,客戶過去會在安全補丁釋出 60 天、90 天后應用,或者根本不應用。如今,大多數消費者都啟用了自動更新並安裝了更新。啟用這一更改需要在我們和客戶方面都進行流程更改,因為如果人們要依賴你並如此快速地更新,你希望確保你不會意外地破壞他們。
如果 Kaiser Permanente 選擇不從外部更新其系統,它當然可以進行安全分析並應用補償控制,並以其他方式保護其系統。但是,很多使用者寧願依賴其他人。我寧願依賴供應商來更新我的軟體,因為他們瞭解該軟體,以及它如何被攻擊以及它應該做什麼。
現代駭客攻擊的經濟學 駭客攻擊不再僅僅是好奇或無聊的程式設計師的領域。惡意軟體的生產現在是一項業務,而這一事實本身就深刻地改變了挑戰的範圍。
HEIM:也許這裡的安全供應商可以給我們一些看法。一開始,廣泛的蠕蟲式攻擊主要是為了炫耀而具有破壞性,例如,展示駭客可以摧毀多少網際網路。如今,攻擊幾乎 100% 是出於經濟目的,如果它是出於經濟目的,並且網際網路是你通往受害者的途徑,你為什麼要用毀滅性的蠕蟲來破壞它呢?這對你的商業模式適得其反。
SHERSTOBITOFF:我相信我們所有來自防病毒領域的同仁都可以同意,我們看到兩件事。一是,大規模傳播惡意軟體的情況不再存在;他們專注於有針對性的攻擊。他們專注於“我可以滲透哪些公司?”但還有另一種策略:他們釋出大量全新的惡意軟體,希望簽名檔案無法跟上最新的速度。
因此,這就是為什麼我們的客戶,我確信你們中的一些客戶也是如此,正在尋求外包服務,這種服務更多地進入“安全即服務”平臺,我們可以在駭客進行有針對性的攻擊時持續應用即時更新。
ABHYANKAR:是的,我的意思是,駭客攻擊的經濟模式已經如此完善,如果它是合法的,而你是一個風險投資家,希望向這項業務投入資金,你將會獲得良好的回報,對嗎?傳送惡意電子郵件的成本一直在降低。網路中的匿名性使得從法律執行和起訴的角度更難追蹤壞人。
SHERSTOBITOFF:尤其當攻擊來自中國和俄羅斯等外國時。很多活動實際上並非以原始駭客為中心。他們正在使用中間人。因此,當你實際調查時,你最終會接觸到那些被稱為“騾子”的個人,他們沒有意識到或不知道他們正成為這個整個計劃的受害者。我們看到,那些說“我為你提供一份好工作!每週賺一千美元!”的網站的激增導致了這種情況的出現。執法部門無法找到建立惡意軟體的駭客;駭客或攻擊者早已消失。駭客實際上並不實施攻擊;他們出售這些創造物以牟利。
因此,有一個地下經濟體專門銷售這些攻擊。你現在可以花 1200 美元購買一些東西,成為一名網路罪犯;這太簡單了,你隔壁的鄰居就可以成為一個殭屍網路的主人。實施犯罪並不難,當沒有技術經驗的普通百姓也可能成為殭屍網路主腦時,它會增加對個人隱私的潛在侵犯次數。
SADLER:那麼,既然我們都瞭解壞人變得多麼老練,你認為我們應該採用什麼程度的合作?因為本質上,我們仍然都在競爭。我們是分散的,而壞人是協調的。並且有大量證據表明,這些不同的有組織犯罪分子實際上是在彼此之間交易這些東西。我們彼此之間沒有這種程度的合作。
謝爾斯托比托夫:這就是我為什麼主張在這裡採用廠商無關的方法。要規避這種威脅,不僅需要技術手段,還需要社群共享響應,研究實驗室共同分享他們所看到的。因為我們實驗室中的惡意軟體樣本並非都來自我們的客戶。我們確實從行業內的其他人那裡獲取了一些。我確信我們從 McAfee 收到了一些,我也確信我們從賽門鐵克收到了一些。所以在頂層,我們不像死對頭。這是整個行業需要共同應對的普遍問題。
改進技術 儘管每個人都同意需要在多個層面上改進安全系統的技術,但對於問題的最佳解決方案存在爭議。
海姆:讓我分享一些客戶的挫敗感。歸根結底,我們甚至沒有解決許多最基本的問題。我們仍然依賴於與人類歷史一樣悠久的密碼。我們仍然在緩衝區溢位和 C 程式設計的其他遺留問題方面存在重大問題。我們仍然沒有超越用於識別惡意程式碼的簽名,儘管研究人員已經承諾演算法和其他進展已有二十多年了。因此,我們正在關注這些不斷演變的威脅,但我們尚未解決基本問題。老實說,作為客戶,我被要求做的事情是繼續購買更多的創可貼。在創可貼上貼創可貼;買很多很多創可貼。銷售這些產品有強大的經濟模式。但我沒有看到任何人嘗試以任何程度的關注來解決根本問題。
謝爾斯托比托夫:我的意思是,你可以解決密碼問題。你可以一直打補丁。但問題是。因為駭客行為是為了盈利,駭客會竭盡全力尋找新的漏洞。而且因為這裡存在有組織的駭客團伙——我的意思是,他們有自己的質量保證等等——他們仍然會領先一步。因此,這就是為什麼仍然需要技術來規避這些攻擊,即使保護作業系統的基礎也需要與之並行改進。我們不能缺少任何一個。
利普納:我認為帕特里克你提出的關於事情仍然沒有達到應有水平的觀點很棒。我們正在為社群倡導的——不僅僅是微軟的倡議——是端到端信任的概念,它實際上有兩個方面。一個方面是,是的,你必須做基礎工作。你必須消除緩衝區溢位。你必須消除漏洞。你必須消除跨站點指令碼等等。坦率地說,由於我們擁有的技術遺產,這些事情很難做到。它們不會在一夜之間實現。另一方面是,我們必須圍繞問責製做出一些根本性的改變。我們需要擺脫密碼。我的意思是,我們已經說了,我不知道,10 年或 20 年了?
迪菲:我不同意。我不認為我們應該擺脫密碼。我認為它們應該以不同的方式工作……
利普納:我們需要更強的身份驗證。我們需要達到使用者以不以個人身份資訊為代價的方式進行身份驗證的程度,並且使用者可以知道他們正在與誰打交道。因為許多垃圾郵件和許多虛假的網站都是為了愚弄使用者。這部分是使用者和培訓的問題。但很大程度上是技術問題。我們應該構建技術,以便向用戶呈現他們可以信任和理解的環境。而且他們不應該點選 38 個級別的 SSL 對話方塊才能獲得它。
更好的教育?還是更好的設計? 或許令人驚訝的是,專家組普遍認為,透過更好地教育終端使用者,資料安全方面不會有持久的改進:威脅的性質變化太快了。
利普納:我們需要將複雜的安全教育的負擔從終端使用者身上轉移開,達到技術只是幫助使用者安全,而不是給使用者施加彈出疲勞的程度。因為這會適得其反。構建安全系統在很大程度上與使用者體驗有關。而且我認為整個行業對這一點都重視不足。
薩德勒:我認為我們根本不應該強調教育。我認為只有極其籠統的教育才能持續六個月以上。你看看全球的許多教育專案,它們在告訴人們做什麼方面非常非常短期。安裝最新的防病毒軟體,諸如此類。誰知道我們是否會在兩年、五年甚至更久的時間內執行防病毒程式……
海姆:我認為人們仍然缺乏一些基本的理解。現在,如果人們真的知道,如果他們安裝那個免費的動畫螢幕保護程式小部件——本質上,他們是在說,“我信任這個小部件的開發者,讓他們完全訪問我的系統和我的所有資料。”——這可能會改變人們的想法。這可能會改變人們線上行為的方式。沒有什麼真的是免費的,你知道。我曾要求人們思考經濟模式。你免費下載了一些東西,為什麼那個開發者會坐下來開發它呢?是的,有一些開源模式,但也存在許多隱藏的商業模式,這些模式侵犯了個人隱私和安全。
迪菲:在討論“免費”這個詞的不同含義時,你有“免費啤酒!”和“言論自由!”的例子,最近有人添加了一個——這是一個很棒的例子——“免費小狗!”[笑聲。]幾年前,我和妻子買了一隻狗。可能預付了一千美元。但它是一隻大狗。它不適合我們的汽車。所以又花了 30,000 美元買了一輛麵包車,最終花了 100 萬美元在伍德賽德買了一棟房子,足夠這隻狗跑了,對吧?當你獲得免費的東西時,“免費小狗!”是一個非常重要的原則。[笑聲。]
薩德勒:但我認為有一個答案。答案是,當你訓練年幼的孩子外出時,要注意周圍的社群。“這些社群有點安全;這些社群不安全。”現在網際網路上的等價物是,我們帶著我們所有的銀行賬戶走進我們所知的最不安全的社群。然後當我們被搶劫時,我們會感到驚訝。我認為必須要有關注點分離。你希望人們能夠下載最新的螢幕保護程式,但在他們環境的一部分中,它不會影響他們的銀行帳戶,也不會影響他們關心的事情。
阿比揚卡:必須有一種以不需要太多教育的方式向用戶傳達危險的方法。需要有一個概念,就像,你知道,你走進一個社群,看到一個明顯的跡象,表明可能有些不對勁。因此,如果你在網際網路上具有等效的安全和危險表示,那麼終端使用者就會更加意識到風險在哪裡或不在哪裡。
迪菲:是的,但是網際網路中存在固有的區域性性損失,對嗎?在某種意義上,在操場上玩耍的五歲兒童擁有完全的安全。基本上,沒有成年人可以假扮操場上的五歲兒童。然而,在線上環境中,很多人可以進行模仿。這只是一個最極端的例子,說明在現實世界中,意外地誤入不熟悉、不舒服的社群並不容易。然而,網際網路的優點在於,你只需單擊一下即可訪問任何內容。90% 的時間你從中獲益,10% 的時間你抱怨它。
謝爾斯托比托夫:攻擊者也開始偽造這個載體。他們開始攻擊人們信任的合法網站。幾周前,駭客能夠在國土安全部網站上放置木馬。因此,“如果我遠離網際網路的黑暗面,我就會安全”的原則不再適用。現在就像,“你最好注意並擁有必要的技術”,比如打補丁。
海姆:但是,當我們在處理大規模基礎設施時,你必須保持生產控制紀律的原則。你需要在能夠快速應用新補丁並保持環境穩定方面具有非常強的反應能力。而且,如果你應用安全補丁,你不會崩潰,這並不總是很明確。有時,非常小的更改可能會產生非常重大的影響。
謝爾斯托比托夫:是的,在大多數情況下,這些攻擊都是在利用已修補的漏洞。駭客期望使用者沒有盡到應有的責任;平均 80 歲的老人可能不知道他們需要進行 Windows 更新。我們發現這些攻擊的成功率更高,因為有很大一部分使用者長期沒有安裝防病毒軟體。我們談論的是幾個月、幾個月和幾個月。他們沒有意識到,如果他們不做這些基本的內務處理任務,他們就會面臨風險。
這與公司方面的情況大不相同,因為正如你所說,公司方面有變更控制。我們不確定補丁會做什麼。但是,當我們談論消費者方面時,我們看到的平均漏洞是我們已經解決的。根據我們收集的內部統計資料,這是一個趨勢,他們並不總是保持系統最新,甚至沒有采取基本必要的措施。
吉利蘭:這讓我們回到了關於培訓與技術的對話,對嗎?有很多非常酷的新技術可以進行啟發式阻止以及其他一些複雜的東西。但它沒有得到廣泛部署,也沒有被使用。我的意思是,我確信 Sun 和 Microsoft 以及我們和你們都有一些太空時代的技術,能夠打贏其中一些戰鬥。
但是,你需要這些東西能夠快速部署,並具備一定的規模,才能開始阻止攻擊。因此,必須在使用者教育和我們這邊的創新之間取得平衡,儘量減少必要的教育。我認為這就是你之前所說的起點,帕特里克,當時你談到我們需要某種訪問許可證或某種培訓。
我同意惠特的觀點:不應該有像駕駛執照一樣的政府證書來使用網際網路。但是,當你走進一家公司時,為什麼我們不進行基本的終端使用者教育呢?“這是你的筆記型電腦,這是你的PDA,這是你的其他任何裝置。我將教你賽門鐵克的安全原則。”
薩德勒:你認為這些原則能持續多久?
吉利蘭:原則可以持續很長時間。
迪菲:這取決於它們是什麼。
吉利蘭:“不要開啟來自你不認識的人的電子郵件或附件。”
迪菲:這是一個毫無希望的規則。
利普納:我認為這絕對正確。解決這個問題的唯一方法是使用底層安全和身份驗證。你給使用者一個選擇,但他們必須知道有些東西是安全的,無論是網站、附件還是可執行檔案。有一些信譽服務可以讓人們決定信任誰,然後系統為他們強制執行安全。如果你告訴使用者,“你必須閱讀程式碼,你必須解釋SSL對話方塊”,那就太難了。對於凱撒醫療來說,這沒問題。帕特里克可以建立所有這些策略。但是對於終端使用者來說,你必須提供一個經過身份驗證的基礎設施,讓他們知道他們正在與誰打交道,以及他們信任誰。
吉利蘭:如果給終端使用者機會,即使彈出警告說“警告:此網站似乎很危險”,他們也會在沒有一定程度教育的情況下違反信任,但如果網站說“點選這裡觀看布蘭妮·斯皮爾斯的裸體”,他們仍然會這樣做。最有效的病毒傳播方式始終是社會工程。始終如此。你看即時訊息,你看電子郵件,它始終是社會工程。
更好的保護方式一種備受推崇的解決方案是透過使用密碼學和多個獨立的“金鑰”(例如智慧卡或令牌)來保護資料,使被盜資料無法使用,從而降低駭客攻擊系統的動機。
蘭德韋爾:難道我們不能用另一種方式來看待這個問題嗎?與其過多關注如何教育使用者,瞭解什麼是惡意軟體,不如改變駭客的遊戲規則,讓他們對攻擊我們的計算機不那麼感興趣,因為我們更擅長保護計算機上的資訊。然後,如果任何人偷走了磁碟上的檔案,它們都是加密的。如果有人意外地透過電子郵件傳送了某些內容,它也是加密的。如果它去了不該去的地方,他們就沒有開啟它的金鑰。
此外,如果我們經常訪問的網站不使用靜態文字密碼,而是使用更安全的東西,並且有人碰巧進行了網路釣魚詐騙或安裝了鍵盤記錄器,他們也不會捕獲人們完整的登入資訊。如果我們能夠使用智慧卡或其他雙因素加密技術,那麼入侵計算機就不再有趣了,因為計算機內部磁碟上執行的和記憶體中執行的所有內容,如果沒有外部身份驗證機制,都將毫無用處。
迪菲:考慮到我們嘗試做這些事情的時間,它們肯定比聽起來要難得多。
吉利蘭:我會說它們已經存在了,但終端使用者看不到它們。所以沒有人知道這些東西存在。
海姆:我認為你暗示的是數字版權管理——在資料級別保護資料本身。從概念上講,這很棒。但是,如果你看看音樂行業的歷史,例如,它並不完全成功。我認為最近發生了一個案例,某些網站被關閉,合法購買內容的人無法再訪問金鑰,他們對購買內容的合法訪問權喪失了。因此,除非我們擁有極其強大的基礎設施來維持對資料的金鑰的長期持續訪問,否則可能會產生非常重大的影響。
阿比安卡:一個巨大的挑戰是,在大多陣列織中,關於這些重要資料儲存在哪裡,在哪些系統中,如何被操作,以及由哪些流程操作,都不是很清楚……
舍斯托比托夫:同意。我想說,在金融界,他們正在進行帶外身份驗證的演變。例如,美國銀行最近實施了手機帶外身份驗證。它提供了額外的身份驗證層,很難被破解,尤其是當金鑰是隨機的,並且是通過當今駭客無法攔截的機制傳送時。
因此,銀行目前決定採用多因素身份驗證,超越密碼,超越令牌,轉向帶外身份驗證。一些高層交易員正在獲得身份驗證裝置、智慧金鑰、RSA令牌。金融界的一些人還在後端加入了異常檢測,以檢測可疑的模式和定位。最終,金融機構正在調整其技術和身份驗證機制,以便他們基本上不邀請駭客。正如你所說的:讓他們對攻擊失去興趣。如果他們無法透過身份驗證,那還有什麼意義呢?
迪菲:雙因素具有真正的優勢,即這兩個組成部分往往以不同的方式丟失。
蘭德韋爾:我們看到圍繞智慧卡有很多活動。我這裡有我的智慧卡徽章,它與我用來進入我們在世界各地的建築物的徽章相同,但它也有PKI(公鑰基礎設施)憑證,我可以用來登入應用程式、加密業務文件和數字簽名PDF表格。還有一個PIN碼來保護它,就像ATM卡一樣。如果你從我這裡偷了卡,你可以在PIN碼上猜幾次,然後它就會停止工作。
美國聯邦政府正在向每位政府僱員推出帶有PKI的智慧卡徽章。員工只需將徽章插入電腦,然後使用PIN碼登入,他們就不必記住複雜的使用者名稱稱和密碼。在海外,整個國家都在向公民發放智慧卡。比利時正在推出電子身份證,以便更好地保護其公民及其線上個人身份資訊。你的電腦上有一個智慧卡讀卡器,你將卡插入其中,它在底層進行真正的PKI加密,以簽名、加密和驗證電子資訊。但是,終端使用者只需要知道,“我將卡插入插槽,然後像在銀行一樣輸入我的PIN碼,這使得人們更難在電子世界中冒充我。”
不過,一些挑戰是組織內的權力孤島。有控制徽章的物理安全團隊,然後是有控制身份驗證基礎設施的IT安全團隊,然後是有控制文件和表格的團隊。我認為教育的機會是展示團隊如何協同工作,不僅在組織內部,而且在跨組織之間,使用安全技術,使線上流程比其傳統的紙質流程更快、更便宜、更安全。
海姆:同樣,這又回到了規模問題。在香港或比利時,這是可行的,尤其是在中央政府強大,可以強制執行這些事情的情況下。如果我們看看或在一個行業內,當你有一個定義明確的某種工作流程時,你可以從中獲得經濟效益。但是,例如,在美國這樣大的規模中,尤其是在各州和個人更喜歡自由地做他們想做的事情時,像國家身份證這樣的宏偉計劃確實與多元化社會背道而馳。
利普納:我認為我們不需要國家身份證,我們只需要使我們現有的卡更強大。
迪菲:原則上,《真實身份法案》就是這樣做的。
阿比安卡:《真實身份法案》的實施存在很多實際限制。誰來維護這個中央資料庫?各州將如何針對它進行身份驗證?再次回到智慧卡,這現在是一個單點故障嗎?因為現在你所有的身份都在那張卡里,如果它丟失了,那麼妥協的代價就會高得多。
利普納:我認為,美國任何真正的使用者身份驗證解決方案都必須承認一系列憑證、一系列身份驗證或證明機構,並且系統必須處理這些憑證。我們不會為使用者設立單一的銀河身份證。我們可能會有多個。你必須讓它們易於使用。我不知道這是否意味著裝滿智慧卡的錢包。我現在有一個裝滿信用卡的錢包,它們不會給我帶來不便,因為它們易於使用,而且我知道該使用哪些卡。
蘭德韋爾:但我認為有趣的是,這裡有兩方面。有些組織已經認識我並擁有我的個人身份資訊。他們需要保護它;我們都同意這一點。另一方面是那些以電子方式註冊新客戶、新患者或新公民的組織;他們需要更好地審查這些人是誰。問題是當來自第一組組織的資訊在使用者不知情的情況下發送到第二組組織時。那時經常發生身份盜竊。我們能做些什麼來更好地控制身份冒充,即有人錯誤地聲稱訪問了從未見過的醫生,或註冊了信用卡,或以你的名義購買了汽車或房子?
國際視角各國對資料安全和隱私的看法差異很大。在許多方面,美國在應對日益增長的威脅方面落後於其他國家。
舍斯托比托夫:從歐洲的角度來看,我們看到金融界正在採用智慧卡。他們正在採用物理端點,因為使用者人口並不多。當我們談論美國銀行時,他們有多少使用者?他們面臨的風險是否足夠大——因為他們有反欺詐保險。他們可以透過反欺詐保險來登出損失。因此,實施和承擔安裝端點安全技術的成本是否值得?
但是,我們也看到有交易和異常檢測,可以在冒充或受害期間發現高風險行為。它會考慮多個因素。使用者是從哪裡連線的?凌晨2:00連線是他的使用模式嗎?他應該在全國各地支付平板電視嗎?所有這些都被彙總並計算到整體行為配置檔案中。然後,機構可以將策略應用於具有較高風險的某些使用者群體,並減輕相關損失。
我想說,大約在18個月內,美國可能會被迫提供涉及某種廉價令牌的端點安全身份驗證。但是現在,考慮這一點還為時過早,還需要十八個月。
迪菲:我注意到,當你使用令牌時,你將控制權從使用者轉移到其他人。密碼方案的一大優點是,你可以透過網路與某人建立聯絡和身份,為其分配密碼,並且這隻在你倆之間進行。你在這方面擁有平等的角色,而不是他們透過向你發放一些識別性的物理物件,需要知道你在哪裡才能將它傳送給你等等,從而獲得對你的一定程度的控制權。
薩德勒:我認為在法國、德國和英國,教育小型企業的力度比美國大得多。因此,儘管我反對教育,但我認為美國可能需要在為小型企業建立一些基本措施。此外,歐洲,特別是在英國和德國,學術界、政府機構和產業界之間的對話比美國要好得多。考慮到我們必須調動資源來對抗壞人,我認為美國在這些參與者之間沒有表現出足夠的共同對話。歐洲在解決這類問題方面做得更多。
舍斯托比托夫:在美國,我們沒有看到執法部門和產業界之間的無縫合作。我們看到歐洲出現了專門打擊網路犯罪的工作組。他們正在採取遠超前的行動。但是,從我們與 FBI 的談話來看,這種情況在這個國家還不存在。我們正在朝著這個方向發展,但還不是 100%,而他們都在相互合作,以實現身份的聯邦化。
利普納:由於歐洲和美國政府有其特定的用途和國家目標,我認為需要額外的標準。我認為這些標準必須是國際性的。一些特定的政策將你依賴的物件進行國有化,但基礎技術和架構實際上必須符合國際標準。
吉利蘭:顯然,整個歐洲都有大量的不同的隱私法規。這對賽門鐵克的影響是,全球公司購買我們的軟體,並且必須根據不同國家的隱私法規對其進行不同的配置。因此,能夠管理這一點是其中的一部分。公司正在試圖弄清楚如何遵守某些流程或政策框架,以便儘可能地遵守規則。
我認為這是我們在這裡沒有花太多時間討論的挑戰。那些一直試圖遵守隱私法規的人和公司,如何證明他們一直在這樣做?
海姆:我想說有很多標準可以遵守。但根本問題是,我們正在處理合規性而不是風險管理,而且在宏大的計劃中,合規性是一個相對靜態的過程。然而,我認為我們都可以同意的一件事是,威脅是非常動態的,並且一直在發展。完全依賴合規性的靜態保護模型會失敗。合規性需要與更動態的、風險驅動的安全方法相結合。
網際網路的不足 一些與會者自願提出他們理想情況下希望對網際網路基礎設施進行哪些改變以提高其安全性。但拉胡爾·阿布揚卡爾也提出了一個問題,直指問題的核心。
利普納:我們建立了一個在全球範圍內擁有大量有價值資產的基礎設施,但它沒有身份識別或問責制。微軟可信賴計算公司副總裁斯科特·查尼曾是一名檢察官,他認為這是一個理想的犯罪環境。因此,我們需要做的是轉向更負責任的水平。不是你所做的一切都被認證或負責任,而是你所做的任何有價值的事情——無論是你孩子的遊戲還是你的銀行交易——都具有足夠的責任性和認證,讓你對你所做的事情的安全性有足夠的信心。
迪菲:順便說一句,我剛剛注意到這裡的一個不對稱現象。這裡沒有人表示贊成提高組織透明度。組織隱藏了與你打交道的員工的身份以及代表其員工的流程。這裡唯一受到懷疑的是使用者。如果你打電話給美國運通,接電話的人只會告訴你一個名字。所以你會依賴該組織要求其終端進行身份驗證,但他們試圖在你終端上奪走它。
利普納:在網際網路上,如果我知道它是美國運通而不是釣魚網站的等效網站,我會很高興。我與美國運通有關係。我決定依賴他們。如果我知道它是美國運通,那麼我在網路上會比現在更好。
阿布揚卡爾:回到基礎設施的問題,如果我們制定一項為期 10 年的提案,例如,重新發明考慮到經濟、政策、責任的網際網路……今天的網際網路需求和在其上開發的應用是否正在以如此快的速度發展,以至於任何重新發明具有內建彈性屬性的網際網路的努力都不會奏效?
結束語 利普納:在未來幾年裡,我們將不得不做出許多非常艱難的選擇和艱難的決定,以重新調整網際網路如何平衡身份驗證和隱私。用於安全和身份驗證的技術比我們今天使用的更多,但我認為非常需要對話,以便我們適當地平衡這些問題。
吉利蘭:我認為需要找到一個平衡點,無論是組織的風險管理平衡,還是如果你在網際網路上並且只是一個消費者,則是隱私和身份驗證的平衡。我認為這些事情很複雜。作為行業,我們必須為公司和個人使用者創造方法,讓他們找出他們希望在風險平衡、權衡中處於哪個位置。這是問題的核心。
海姆:採用新技術和推動增強功能的勢頭強勁。這是一個競爭非常激烈的世界,技術採用率與風險不平衡。存在一個根本性的失衡,驅使公司和個人點選“我想要閃亮的新東西”按鈕,而不是選擇“我想要更安全和保守一點”按鈕。快速採用的經濟優勢被視為超過了與安全風險相關的弊端。問題是,商業決策者對安全風險的弊端究竟瞭解多少?
舍斯托比托夫:我們需要幫助各行各業採用技術並實施措施,讓他們能夠解決並降低其特定的風險。因此,我們正在儘可能地簡化終端使用者的操作,同時牢記它正在降低非常具體的問題上的風險。但重要的問題是,我們是否真的在正確地管理網路犯罪今天的發展所帶來的風險?
蘭德維爾:我今天聽到很多次的一件事是易用性的重要性。我認為這最終是我們第一的設計目標,而底層安全技術是第二位的。易用性是第一位的,因為如果它不易使用,人們就不會使用安全技術,或者他們不會正確使用它。我認為我們需要在網路上更多關注的其他領域是身份、品牌和聲譽的概念,以及在資訊層(而不僅僅是儲存和傳輸)持續保護資訊。
阿布揚卡爾:我們使用甚至可能是濫用技術的速度變化如此之快。我們不斷建立新的聯絡,無論是在社交網路環境中,還是公司試圖建立新的方式來接觸他們的客戶。我們需要更加註意簡化技術,引導使用者走向更安全的線上體驗,並引導使用者建立能夠支援這一概念的聲譽系統。