Quis custodiet ipsos custodes? 這句經典的羅馬格言擔憂道:“誰來監督監督者?” 但是,今天為聯網資訊系統站崗的安全供應商正受到來自競爭對手、客戶、駭客以及日益增多的、對國家安全感到擔憂的政府的嚴格審查。《大眾科學》主編約翰·倫尼今年五月在加利福尼亞州帕洛阿爾託市與來自安全行業以及一些將依賴他們提供的保護的行業的代表進行了座談,討論他們將面臨的挑戰。以下是這些會議部分重點內容的編輯稿;更完整的版本請點選此處。
—編輯部
參與者 Rahul Abhyankar
McAfee 公司 McAfee Avert Labs 產品管理高階總監
Whitfield Diffie
Sun 微系統公司副總裁兼院士、首席安全官
Art Gilliland
賽門鐵克公司資訊風險與合規產品管理副總裁
Patrick Heim
凱撒永久醫療集團首席資訊安全官
John Landwehr
Adobe 系統公司安全解決方案與戰略總監
Steven Lipner
微軟公司安全工程戰略高階總監
Martin Sadler
惠普實驗室惠普公司系統安全實驗室主任
Ryan Sherstobitoff
熊貓安全美國公司熊貓安全首席企業傳播官
誰負責? 小組成員就維護或加強資料安全的一些優先事項達成了一致。其中一些是技術性的,但監管和法律框架也至關重要。
支援科學新聞報道
如果您喜歡這篇文章,請考慮支援我們屢獲殊榮的新聞報道,方式是 訂閱。透過購買訂閱,您正在幫助確保未來能夠持續釋出關於塑造我們當今世界的發現和想法的有影響力的報道。
DIFFIE:未來十年對這些事情的最重要影響將是 Web 服務和我所說的數字外包。我們將進入一個世界,那裡將有數百萬種計算服務,其他人可以比您自己做得更好。十年後,您環顧四周,會發現我們今天所說的安全計算將不復存在。因此,需要的是一個法律框架,規定承包商有義務保護資訊的安全。但是,除非開發出允許他們保護該資訊的技術機制,否則他們無法履行這一義務。
GILLILAND:是的,但是如果您看看客戶今天實際實施技術的方式,他們已經遠遠落後於技術所能達到的水平。這不一定是現在的問題。問題是如何使這項技術切實可行,以便客戶能夠實際解決他們自己的隱私問題、他們自己的審計流程,並按照當前的標準管理他們自身資料的保護,而他們在很大程度上今天並沒有這樣做。
LIPNER:對於企業客戶,您需要 Art 和 Whit 所談論的那種東西:關於如何處理您的資料的保證,描述對其限制的方法等等。對於消費者,您需要一個他們信任且開箱即用的環境——因為網際網路和網際網路業務的許多增長都基於消費者信心。我們需要提高這種信心,並確保這種信心是合理的。
GILLILAND:我們必須弄清楚的有趣的平衡是,如何在使企業能夠繼續儘可能快速地共享資訊以便他們能夠做出良好決策的同時,使這種共享變得簡單?
危險的人為因素 使用者自身可能成為安全系統的阿喀琉斯之踵,因為他們容易犯錯,並且傾向於(儘管是不自覺地)為了易用性而犧牲資料安全。因此,彌補使用者潛在失誤的責任落在了技術身上。
HEIM:我們不應低估人為因素。我將其比作駕駛。我們之所以設定駕駛執照之類的管理措施,是為了讓人們至少對道路規則以及如何安全操作車輛有一個基本的瞭解,以便我們可以最大限度地減少這些風險。我認為,對於終端使用者如何安全地使用他們的系統,教育普及還不夠。我並不是說一定需要“網路駕駛執照”,但你知道,這可能不是一個壞主意,因為我們看到許多許多觀察到的問題本質上是行為性的。
DIFFIE:看,那恰恰會是一個極其可怕的想法。網路空間是未來的世界。如果您沒有權利在那裡,您就沒有一個自由的社會。
ABHYANKAR:人為因素是我們不能忽視的。我們最近慶祝了垃圾郵件誕生 30 週年。電子郵件仍然是一種被利用的東西。技術有一個黑暗的底端,壞人的創新速度以及他們竊取您資料的社會工程學技巧遠遠領先於好人。這單靠技術是無法解決的。
GILLILAND:如果您看看我們一直在做的研究,大約 98% 的資料丟失是由於人為錯誤和流程中斷造成的。身處安全行業,我們將永遠與壞人作鬥爭。但壞人並不是資料丟失的主要問題。能夠竊取資訊將永遠是某些人的生意,您永遠無法 100% 與他們作鬥爭。但是我們可以阻止很大一部分人為和流程錯誤。
HEIM:我們每天都看到,如果技術組織本身無法預測個人的需求,在許多情況下,他們會自行啟用消費級技術來完成工作。
現代駭客行為的經濟學 駭客行為不再是好奇或無聊的程式設計師的專屬領域。惡意軟體的生產現在已成為一項業務,這一事實深刻地改變了挑戰的範圍。
ABHYANKAR:駭客行為的經濟模式已經非常成熟,以至於如果它是合法的,並且您是一位風險投資家,希望將資金投入這項業務,您將獲得良好的回報,對吧?傳送惡意電子郵件的成本一直在下降。網路中的匿名性使得從法律執行和起訴的角度更難追蹤壞人。
SHERSTOBITOFF:許多活動實際上並非以最初的駭客為中心。他們正在使用中間人。當您實際調查時,最終會找到一些人——他們稱之為“騾子”——他們根本沒有意識到或知道自己正在成為整個計劃的受害者。我們看到,來自那些說“我為您提供一份很棒的工作!每週賺 1000 美元!”的網站的激增就是這種結果。執法部門無法找到建立惡意軟體的駭客;駭客或攻擊者早已消失得無影無蹤。駭客實際上並不進行攻擊;他們出售這些創造物來賺錢。有一個地下經濟專門銷售這些攻擊。您現在可以花 1200 美元購買一些東西,成為一名網路罪犯。
SADLER:那麼,鑑於我們都瞭解壞人變得多麼複雜,您認為我們應該採取什麼程度的合作?因為,本質上,我們仍然都在競爭。我們是分散的,而壞人是協調的。並且有大量證據表明,這些不同的有組織犯罪團伙實際上正在彼此交易這些東西。我們自己之間沒有那種程度的合作。
SHERSTOBITOFF:這就是為什麼我主張在這裡採取與供應商無關的方法。要規避這種威脅,不僅需要技術方法,還需要社群共享響應,研究實驗室共同努力,分享他們所看到的情況。因為實際上,我們實驗室中的並非所有惡意軟體樣本都來自我們的客戶。我們也從行業內的其他人那裡獲得它們。在頂層,我們不像不共戴天的競爭對手。這是一個整個行業都需要應對的共同問題。
更好的教育?還是更好的設計? 或許令人驚訝的是,小組成員普遍預見到,透過更好地教育終端使用者,資料安全方面不會取得持久的改進:威脅的性質變化太快了。
LIPNER:我們需要減輕終端使用者接受複雜教育的負擔,並達到技術只是在幫助使用者安全,而不是給使用者帶來彈出視窗疲勞的程度,因為這會適得其反。構建安全系統在很大程度上與使用者體驗有關。我認為整個行業都忽視了這一點。
SADLER:我不認為我們應該把重點放在教育上。我認為只有極其籠統的教育才能持續超過六個月。您看看全球的許多教育計劃,它們在告訴人們要做什麼方面都非常非常短期。安裝最新的防病毒軟體,諸如此類的東西。
HEIM:如果人們真的知道安裝免費的動畫屏保小部件的後果——本質上,他們是在說,“我信任這個小部件的開發者,讓他們完全訪問我的系統和我所有的資料”——這可能會改變人們的線上行為方式。
SADLER:我認為有一個答案。您訓練年幼的孩子,當他們外出時,要注意社群。“這些社群有點安全;這些社群不安全。” 現在網際網路上的等價物是,我們帶著我們所有的銀行賬戶走進最不安全的社群,然後當我們被搶劫時,我們感到驚訝。必須要有關注點的分離。您希望人們能夠下載最新的屏保程式,但在他們環境的一部分中,這不會影響他們的銀行賬戶。
HEIM:但是,當我們處理大規模基礎設施時,您需要能夠快速應用新補丁並保持環境的穩定性。而且,應用安全補丁是否不會導致崩潰並不總是顯而易見的。
GILLILAND:我同意不應該有像駕駛執照一樣的網際網路使用證書。但是,當您走進一家公司時,為什麼我們不應該進行基本的終端使用者教育呢?“這是您的筆記型電腦,這是您的 PDA。我將教您賽門鐵克公司的安全原則。”
SADLER:您認為這些原則能持續多久?
GILLILAND:原則可以持續很長時間。
DIFFIE:這取決於它們是什麼。
GILLILAND:“不要開啟來自您不認識的人的電子郵件或附件。”
DIFFIE:那是一個毫無希望的規則。
LIPNER:解決這個問題的唯一方法是使用底層安全性和身份驗證。您可以給使用者一個選擇,但他們必須知道存在一些安全的類別,無論是網站、附件還是可執行檔案。如果您告訴使用者,“您必須閱讀程式碼,或者您必須解釋 SSL 對話方塊”,那就太難了。對於終端使用者,您必須提供一個經過身份驗證的基礎設施,讓他們知道他們在與誰打交道。
GILLILAND:即使彈出警告說“警告:此站點似乎很危險”,但該站點說“單擊此處檢視布蘭妮·斯皮爾斯裸照”,終端使用者仍然會在有機會的情況下違反信任。最有效的病毒傳播方式始終是社會工程學。永遠都是。
LANDWEHR:我們是否可以考慮另一種解決這個問題的方法?與其如此專注於如何教育使用者瞭解惡意軟體,不如我們改變駭客的遊戲規則,讓他們對攻擊我們的計算機不那麼感興趣,因為我們更擅長保護計算機上的資訊。那麼,如果有人竊取了磁碟上的檔案,它們就會被加密。如果有人意外地透過電子郵件傳送了某些內容,它也會被加密。如果它去了任何不應該去的地方,他們就沒有金鑰來開啟它。
SHERSTOBITOFF:同意。在金融界,他們正在採用帶外身份驗證的演進 [透過兩個獨立系統(例如聯網計算機和手機)進行聯合身份驗證]。一些級別較高的交易員正在獲得身份驗證裝置:智慧金鑰、RSA 令牌。金融界的一些人還在後端放置了異常檢測,以檢測可疑模式和本地化。最終,金融機構正在調整其技術和身份驗證機制,以便他們基本上不招惹駭客。
LANDWEHR:我們看到圍繞智慧卡的大量活動。我這裡有我的智慧卡徽章,它與我用來進入我們在世界各地的建築物的徽章相同,但它也有一個 PKI [公鑰基礎設施] 憑證,我可以用來登入應用程式、加密業務文件和數字簽名 PDF 表單。還有一個 PIN 碼來保護它,就像 ATM 卡一樣。如果您從我這裡偷了卡,您有幾次猜測 PIN 碼的機會,然後它就會停止工作。
國際視角 各國對資料安全和隱私的看法差異很大。在許多方面,美國在應對日益增長的威脅方面落後了。
SADLER:我認為法國、德國和英國在教育小型企業方面比美國付出了更大的努力。因此,儘管我反對教育,但我認為美國可能必須為這裡的小型企業制定一些基本措施。此外,在歐洲,特別是在英國和德國,學術界、政府機構和行業之間的對話比美國更好。我認為美國沒有表現出這些方之間有任何足夠的共同對話。
SHERSTOBITOFF:我們看到歐洲正在湧現專門打擊網路犯罪的工作組。他們正在採取遠遠領先的舉措。但從我們與 FBI 的談話來看,美國在這方面仍然沒有到位。
LIPNER:由於歐洲和美國政府有特定的用途和國家目的,因此需要額外的標準。我認為它們必須是國際性的。
GILLILAND:顯然,整個歐洲都有大量的不同隱私法規在實施。公司正在努力弄清楚如何遵守一些流程或一些政策框架,以便他們能夠儘可能多地遵守規則。這是我們在這裡還沒有花很多時間討論的挑戰。一直試圖遵守隱私法規的個人和公司如何證明他們一直在這樣做? 注:本文最初以“提升網路安全”為標題發表。