這十項現在很牛的安全技術,馬上就要被淘汰了

2015-10-09 19:21:00
老任
轉貼:
游俠安全網
2472
摘要:任何新的技術都會帶來新的風險,安全系統必須努力抵御各種層出不窮的攻擊。

你最近有沒有啟用軟盤的寫保護模式來抵御啟動病毒或惡意覆蓋?你有沒有關閉調制解調器來阻止黑客?你是否上傳ansi.sys驅動程序來防止惡意文本文件重新映射你的鍵盤以讓你的下一個按鍵重新格式化你的硬盤驅動器?你是否有檢查你的autoexec.bat和config.sys文件以確保沒有惡意條目被插入到自動啟動惡意軟件?

如果你在計算機安全領域有足夠長時間,你肯定看到過各種各樣安全技術。現在這個時候,我們可以開始預測哪些技術將會繼續改進,哪些技術早晚會過時。攻擊和技術的變化速度意味著所謂的尖端防御技術(例如生物特征身份驗證和高級防火墻)最終將會消失,本文中讓我們看看哪些防御技術將會被淘汰。

面臨淘汰的安全技術第1名:生物特征身份驗證

生物特征身份驗證是確保登錄安全性的“萬靈藥”,畢竟,對于不擅長登錄身份驗證的人來說,通過臉、指紋、DNA或者其他生物特征標記進行身份驗證似乎是完美的登錄憑證。但專家表示,生物特征識別技術并不像大多數人認為的那么準確;而且,一旦被盜,你的生物識別標識不能改變。

例如你的指紋。大多數人只有10個手指,在你使用指紋作為生物特征登錄憑證時,這些指紋(更準確地說,這些指紋的數字形式)必須被儲存用于此后登錄時進行比較。然而,登錄憑證經常被泄露或被盜。如果壞人竊取了你的指紋數據,系統怎么可以辨別你的指紋與此前接收的指紋數字形式?

在這種情況下,唯一的解決辦法讓所有可能依靠你的指紋識別的系統取消對你的指紋識別,但這幾乎是不可能的,對于其他生物特征標記同樣是如此。

而且,當你無法再使用你的指紋,而系統必須通過你的指紋來驗證時,那該怎么辦呢?

為了抵御已經獲取你的生物識別登錄標記的攻擊者,唯一的方法是在使用生物識別的同時,結合使用只有你自己知道的密碼、PIN碼等。不過,這些密碼也可能被泄露,智能卡和USB密鑰卡等非生物識別雙因素登錄憑證也是如此。在這些情況下,管理員可以簡單地發給你新的物理因素,你可以使用新的PIN或密碼。但生物特征識別因素就不可更改。

雖然生物識別登錄憑證正迅速成為流行的安全功能,但并沒有全面普及。在人們意識到生物識別登錄的局限性后,它們將會失去人氣,總是會需要第二個驗證形式,或者只有在不需要高安全性識別中使用。

面臨淘汰的安全技術第2名: SSL

Netscape在1995年發明了安全套接字層(SSL),二十多年來,SSL發揮了重要的作用,但Poodle攻擊讓我們看到,SSL已經遭到不可逆轉的破壞,并且無法修復。而SSL的替代品TLS(傳輸層安全)稍微好一些。在本文討論的所有面臨淘汰的安全技術中,SSL是最可能被取代的。

問題何在?成千上萬的網站依靠或允許SSL。如果你禁用所有SSL(這是主流瀏覽器新版本中的常見默認設置),大多數網站將無法運作,即使可以運作,也只是因為瀏覽器或應用程序接受“降級”到SSL。如果不是網站和瀏覽器,那么將會有數百萬舊的SSH服務器。

OpenSSH最近似乎不斷遭到攻擊,雖然半數OpenSSH攻擊與SSL沒有關系,但另外一半的攻擊是因為SSL漏洞。數百萬SSH/OpenSSH網站仍然在使用SSL,盡管它們不應該使用。

更糟的是,技術人員之間使用的術語也在加劇這個問題,因為計算機安全行業幾乎每個人都將TLS數字證書稱為“SSL證書”,盡管他們不使用SSL。這就像把復印機稱為施樂,而其實它根本不是這個品牌。如果我們將SSL淘汰,我們需要將TLS證書稱為TLS證書。

面臨淘汰的安全技術第3名:公鑰加密

這可能會讓有些人感到驚訝,但在量子計算和密碼學研究成功后,現在我們使用的大多數公鑰加密(RSA、Diffie-Hellman等)的機密很快會成為可讀。很多人早就預計,在幾年后我們將會看到可用的量子計算。當研究人員最終實現量子計算后,大多數公共加密算法將會被破解。世界各地的間諜機構多年來一直在保存加密的機密,等待這些技術突破,或者根據傳聞稱,他們已經破解了這個問題,并正在閱讀我們的秘密。

長期以來,Bruce Schneier等加密專家質疑量子密碼技術的力量。但即使是批評家也不排除這種可能性,即RSA、Diffie-Hellmann甚至是ECC加密的信息都可能會變成可讀。

這并不是說沒有反量子加密算法,基于lattice的加密技術和Supersingular Isogeny Key Exchange等就是這樣的加密算法。

面臨淘汰的安全技術第4名:IPsec

在啟用后,IPsec允許兩個或多個點之間的所有網絡流量受到加密保護,以確保數據包的完整性和隱私性。IPsec發明于1993年,并在1995年成為開放標準,它受到數百家供應商的支持,應用在數百萬企業計算機中。

與本文中探討的大多數面臨淘汰的加密技術不同,IPsec還很好用,但它存在兩個問題。

首先,盡管廣泛得到使用和部署,但它從未達到必要的臨界點以保持它更長的使用。此外,IPsec很復雜,并非受到所有供應商的支持。

IPsec的復雜性也帶來性能問題。當它啟用時,可能顯著減慢使用它的所有連接,除非你在隧道的兩側使用專門的IPsec硬件。因此,數據庫和大多數網絡服務器不能使用它。并且,這兩種類型的服務器是大多數重要數據保存的位置,如果不能保存最重要的數據,它有什么用處呢?

另外,盡管它是常用的開放標準,但IPsec部署在供應商之間通常不可行,這是阻止其廣泛部署的另一個因素。

但IPsec的“喪鐘”主要是HTTPS的普及。當你啟用hTTPS時,你不會需要IPsec。這是一個非此即彼的決定,HTTPS已經贏了。只要你有有效的TLS數字證書和兼容的客戶端,這就會可行:沒有互操作性問題,低復雜度。這會有一些性能影響,但對大多數用戶來說并不明顯。這個世界正在迅速變成HTTPS默認的世界,而同時,IPsec將會消亡。

面臨淘汰的安全技術第5名:防火墻

HTTPS的普及基本上也宣告了傳統防火墻的末日。筆者在2012年時提出這個結論時,很多人會說筆者錯了,因為三年后,防火墻仍然隨處可見。但大多數防火墻沒有配置,大多數防火墻也沒有太多價值,而且有過于寬松的規則,這基本上意味著防火墻有害無益,它智慧減緩網絡連接。

無論你怎么定義防火墻,它必須包含一些部分僅允許特定的預定義的端口。隨著我們轉移到僅HTTPS的網絡連接,所有防火墻最終將只有少數規則—HTTP/HTTPS也許還有DNS。DNS、DHCP等其他協議也將開始使用HTTPS,當發生這種情況時,防火墻該何去何從?

主要包含防火墻通常是抵御針對易受攻擊服務的遠程攻擊。遠程易受攻擊服務、遠程可利用緩沖區溢出,曾經是最常見的攻擊,例如Robert Morris互聯網蠕蟲病毒、Code Red、Blaster和SQL Slammer。但你最后一次聽到全球性快速反應的緩沖區溢出蠕蟲是什么時候?也許是在上世紀80年代和90年代。從本質上講,如果你沒有未修復的易受攻擊的監聽服務,那么,你就不需要傳統防火墻,現在你不需要。是的,你并不需要防火墻。

防火墻供應商通常會稱他們的“先進”防火墻具有超越傳統防火墻的功能,非常值得購買,但事實證明并非如此。如果它們執行深度包檢測或簽名掃描,這要么會顯著減慢網絡流量,并充斥著誤報,要么僅掃描小部分攻擊。大多數先進的防火墻僅掃描幾十到幾百個攻擊,而現在,每天會新出現39萬惡意軟件,還不包括與合法活動沒有區別的攻擊。

即使防火墻可很好地抵御攻擊,但它們并沒有真正的作用,因為它們無法阻止大多數企業每天面臨的兩個最大惡意攻擊:未打補丁的軟件和社會工程學。

無論出于何種原因,防火墻現在幾乎已經沒有用。

面臨淘汰的安全技術第6名:防病毒掃描儀

根據統計數據顯示,目前惡意程序已經達到幾十到數百萬計,這個事實讓防病毒掃描儀幾乎沒有可用性。

但并不是完全無用,因為它們會幫助普通用戶阻止80%到99.9%的攻擊。但普通用戶每年面對著數百惡意程序;即使是最好的情況下,攻擊者總會贏一次。

這并不是說我們不應該表揚防病毒供應商,他們已經做了很好的工作。但真正讓防病毒掃描儀淘汰的不是惡意軟件的數量。而是白名單,現在,一般電腦會運行你安裝的任何程序,這也是惡意軟件無處不在的原因。但計算機和操作系統制造商開始改變這種模式,“默認運行,阻止異常”正在讓位給“默認阻止,允許特例”。

當然,計算機早就有白名單程序,又稱為應用程序控制程序。在2009年,筆者就評估了一些比較受歡迎的產品,問題是:大多數人沒有使用白名單技術,即使這是內置技術。最大的障礙是什么呢?如果用戶無法按意愿安裝自己想要的程序,他們可能會做什么呢?而如果允許他們安裝,還有巨大的管理工作。

但惡意軟件和攻擊者正變得越來越普遍和嚴重,供應商正在開始在默認情況下啟用白名單。Apple公司的OS X在三年前的Gatekeeper中退出了默認的白名單技術,而iOS設備也只能允許App Store中經批準的應用程序(除非設備越獄)。Apple公司的做法非常成功地阻止了一些惡意程序。

微軟早就有類似的機制,通過其軟件限制政策和AppLocker,但其Windows 10中DeviceGuard具有更強大的機制。微軟的Windows Store也提供與蘋果公司的App Store相同的保護。雖然微軟不會在默認情況下啟用DeviceGuard或者僅允許使用Windows Store,但這些功能就在那里,比以前更容易使用。

在白名單成為主流操作系統的默認設置后,惡意軟件和防病毒掃描儀都將消失。

面臨淘汰的安全技術第7名:反垃圾郵件過濾器

垃圾郵件仍然占互聯網電子郵件的一半以上。你可能不會注意到這一點,這主要歸功于反垃圾郵件過濾器,該技術已經達到非常精確的水平。然而,垃圾郵件發送者每天會發出數十億不必要的郵件,最終,只有兩件事情會阻止他們:通用、普適、高保證的認證和更有凝聚力的國際法律。

垃圾郵件發送者仍然存在是因為我們不能輕易抓住他們。但隨著互聯網逐漸成熟,普遍的匿名性將會被普遍的高保障身份所取代。這樣的話,當有人發送向你郵件時,你可以確保他們的身份。

只有當所有用戶采用雙因素(或更高版)身份驗證來驗證其身份,還有使用身份保證的計算機和網絡時,我們才可能建立高保證的身份體系。發送器和接收器之間將會有更高水平的可靠性,部分這種可靠性將由HTTPS提供,但最終將在身份驗證的每個階段需要額外的機制,以確保用戶的身份。

現在,幾乎任何人都可以宣稱自己是某某某,而且沒有普遍的方式來驗證每個人的說法,但這將會改變。我們依靠的所有關鍵基礎設施(交通、電力等)需要這種身份保證。互聯網現在可能還是狂野的西部,但最終將會發生改變。

同時,在不久的將來,在幾乎每起網絡刑事起訴中涉及的國際邊界問題可能得到解決。現在,很多大國不接受其他國家提供的證據,這使得逮捕垃圾郵件發送者幾乎不可能。你可以收集所有證據,但如果攻擊者的所在國不執行逮捕,你的工作都是徒勞。

但是,隨著互聯網逐漸成熟,那些不幫助逮捕互聯網最大罪犯的國家將受到懲罰,并可能放置到黑名單中。事實上,已經有國家是這樣。例如,很多公司和網站拒絕來自俄羅斯的流量,無論是合法與否。

面臨淘汰的安全技術第8名:反DoS保護技術

上述提到的身份保護機制也將讓拒絕服務攻擊和抵御它們的技術面臨淘汰。

現在,任何人都可以啟用免費的互聯網工具來用數十億數據包來淹沒網站。大多數操作系統都有內置反DoS攻擊保護,并且,當遭受海量假信息的襲擊時還有幾十家供應商可以幫助保護你的網站。但身份保證將可以阻止所有DoS流量的發送者,在我們發現他們后,就可以逮捕他們。

例如:早在20世紀20年代,當時出現了很多著名的銀行劫匪,而銀行最終加強了其保護機制,警察也可更好地識別和逮捕他們。如果這些劫匪仍然打劫銀行,他們會被逮捕。DoS發送者也會面臨這樣的結果。只有我們能夠找到他們,他們就會消失。

面臨淘汰的安全技術第9名:海量事件日志

計算機安全事件監控和預警是很困難的事情。每臺計算機可容易地每天收集數萬事件日志,并將這些日志收集到集中式日志數據庫,很快你會需要PB級存儲空間。現在的事件日志管理系統因其龐大的磁盤存儲陣列規模而被稱贊。

唯一的問題是:這種事件日志記錄行不通。當幾乎每個收集的事件數據包沒有價值且未讀時,所有這些未讀事件會帶來巨大的存儲成本浪費。很快管理員會要求應用程序和操作系統供應商給他們更多信號和更少的噪音,給他們更有用的事件,而不是無效的信息。換句話說,事件日志供應商將很快會開始吹捧他們的產品占用多小的空間而不是多少錢。

面臨淘汰的安全技術第10名:匿名工具

最后,任何匿名和隱私錯誤的痕跡將被徹底抹去。匿名躲藏的攻擊者將會被逮捕,并用其真實的身份得到監獄編號。

20151008223509

事實是,匿名工具已經不可行。很多公司以及執法機構已經知道你是誰。唯一的區別是,在未來,每個人將會心中有數,并停止假裝他們正在保持隱蔽和匿名。


游俠簡評

本文主要是提出問題,但沒有解決問題的“切實能落地”的方法。比如說到防病毒,文章說到白名單機制……白名單軟件能加上幾個?每天的新軟件、新版本又有多少?至少在目前為止不太可行。

可能有人說:蘋果做到了……但是蘋果更新多慢?另外一些軟件現在Android下面都有更新的版本、更好用的版本,但iOS呢?更新太慢,廣受軟件開發者詬病。白名單不安全的一個最新例證就是:XCodeGhost。不明白的請自行百度。

發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
街机金蟾捕鱼礼包激活码 陕西福利福彩快乐十分 上海时时乐开奖结果走 快速赛车计划软件 茅台酒股票代码 血战到底麻将 捕鱼来了金币怎么交 上海时时乐开奖控 jdb龙王捕鱼手机版 海南4+1开奖结果昨天 118图库l论坛 北京快3开奖遗漏一牛 36选7彩票走势图 深圳风采开奖结果玩法 跟计划倍投为什么会输 36选7大赢家 河南222选5开奖结果