Quis custodiet ipsos custodes? 这句古典罗马格言提出了担忧:“谁来监督监督者?”但事实上,今天守卫着网络信息系统的安全供应商正受到来自竞争对手、客户、黑客以及越来越多的关注国家安全的政府的严格审查。《大众科学》主编约翰·雷尼今年五月在加利福尼亚州帕洛阿尔托与来自安全行业以及一些依赖其保护的行业的代表坐下来,讨论他们将面临的挑战。以下是这些会议部分重点内容的编辑稿。——编者
参与者 Rahul Abhyankar:McAfee公司 McAfee Avert实验室产品管理高级总监
Whitfield Diffie:Sun Microsystems公司副总裁兼研究员、首席安全官
Art Gilliland:赛门铁克公司信息风险和合规产品管理副总裁
Patrick Heim:凯撒永久公司首席信息安全官
John Landwehr:Adobe Systems公司安全解决方案和战略总监
Steven B. Lipner:微软公司安全工程战略高级总监
Martin Sadler:惠普实验室系统安全实验室主任,惠普公司
Ryan Sherstobitoff:Panda Security US公司首席企业宣传员,Panda Security
谁来负责? 小组成员在维护或加强数据安全方面的某些优先事项上达成了一致。其中一些是技术性的或与用户对各种系统的体验相关,但监管和法律框架也至关重要。
支持科学新闻
如果您喜欢这篇文章,请考虑支持我们屡获殊荣的新闻报道,方式是 订阅。通过购买订阅,您正在帮助确保关于塑造我们今天世界的发现和想法的具有影响力的故事的未来。
DIFFIE:我认为,已经困扰我们的不安全性的根本原因可能是信息安全行业摆脱责任的强大能力。如果我们想要一个安全的互联网,正确的方法是设定一个截止日期。基本上说,“10年后,我们将对软件安全实行严格责任。这意味着你最好开发出能够承担该责任的技术。”坚持一夜之间完成是无济于事的。这只会使微软和其他人破产。但我相信,作为一个10年的国家目标,它是可以实现的。我在2002年向美国国家科学院提出了这个建议。现在,我的10年提案已经过去了六年,但它还没有实现。[笑声。]
SADLER:你认为这是一个国家目标而不是国际目标?
DIFFIE:是的,这是一个国际目标。美国将其作为国家目标将大大有助于使其成为国际目标。
在未来十年,对这些事情影响最大的将是网络服务,以及我所说的数字外包。目前,我们在美国的商业理念是将所有非核心能力的东西外包出去。我们将进入一个世界,那里将有数百万的计算服务,其他人可以比你自己做得更好。
我们今天在谷歌看到的情况只是冰山一角。美国每个组织——甚至是那些对员工电子邮件等进行严格监控的组织——都允许人们使用谷歌作为研究工具。这意味着那些可以访问谷歌查询流的人——表面上只是谷歌自己,但谁知道呢——知道这个国家每个开发团队在做什么。这个国家每个法律团队在做什么。这个国家每个营销团队在做什么。
十年后,你会环顾四周,发现我们今天所说的安全计算将不复存在。也就是说,我们现在说,如果你在你自己的机器上安全地计算了某些东西,并且你充分保护了它们,那么你就算安全地计算了。每个主要的商业程序都将不断地转向并在内部系统之外转向互联网的其余部分。
因此,需要的是一个法律框架,要求承包商保护信息的安全。但除非开发出技术机制以允许他们保护该信息,否则他们无法履行这一义务。
GILLILAND:是的,但是如果你看看客户今天实际如何实施技术,他们已经远远落后于技术所能做到的。这并不是说这不是我们作为一个国家和一个行业应该前进的方向,但这不一定是现在的问题。问题是如何使这项技术实用,以便客户能够实际解决他们自己的隐私问题、他们自己的审计流程,并按照当前标准管理他们自己数据的保护,而他们今天基本上没有这样做。
LIPNER:我认为有两个组成部分。一是使基础设施的底层足够强大,以至于难以进行惠特所暗示的那种攻击。第二个是提供基础设施,以便你既在实践上又有法律保障,知道你正在与谁打交道,以及你对你与他们的互动有什么样的保证。
对于企业客户,你希望有 Art 和 Whit 正在谈论的那种东西:关于如何处理你的数据的保证,描述对其限制的方式等等。对于消费者,你希望有一个他们信任并且可以正常工作的环境——因为互联网和互联网业务的许多增长都是基于消费者信心的。我们需要提高这种信心,并确保它是合理的。
GILLILAND:我们必须弄清楚的有趣平衡是,如何使企业能够尽可能快地继续共享信息,以便他们能够做出好的决策,同时使共享变得简单?内容过滤和其他做法对最终用户来说是不可见的,但可以由管理员控制,这样你就可以使企业更快地共享信息,但仍然感觉其安全性有保障。
DIFFIE:内容过滤怎么可能真正不可见?我发送电子邮件,它违反了标准,因此在发送给某人的途中被审查了。显然我会注意到。
GILLILAND:是的,但你应该使用户看不到该数据的分类。你不是要求他们说,“这是一份重要的文件吗?” 你应该问的是,“这是否是不应该发送出去的东西?” 尽量防止人们意外共享不应该共享的数据。
危险的人为因素 由于用户容易犯错以及他们(无论是否无意)为了易用性而牺牲数据安全的倾向,用户本身可能成为安全系统的阿喀琉斯之踵。因此,技术有责任弥补用户可能出现的失误。
HEIM:我们不应低估人为因素。美国的技术人员有一种倾向,认为技术是解决方案。现在我们看到,对系统的忽视和维护不善导致的安全故障也产生了广泛的影响。
我把它比作开车。我们之所以有驾照之类的控制措施,是为了让人们至少对道路规则以及如何安全操作车辆有一个基本的了解,从而最大限度地降低这些风险。我认为没有对最终用户进行足够的教育推广,让他们了解如何安全使用他们的系统。我并不是说一定要有“网络驾照”,但是你知道,这可能不是一个坏主意,因为我们看到许多观察到的问题本质上是行为上的。
DIFFIE:你看,这恰恰是一个极其可怕的想法。网络空间是未来的世界。如果你没有在那里存在的权利,你就没有一个自由的社会。
LANDWEHR:我有一个故事可以说明这种人为因素。从某种意义上说,这是我第一次接触到身份盗窃。早在1992年,我申请了一张信用卡——我可能想获得更多积分或一个免费烤面包机之类的东西——结果被拒绝了。我索要了一份我的信用报告,上面有一项来自收款机构的记录。我给他们打电话问:“这是什么,我不知道是什么。”(当然,给收款机构打电话说“我不知道这是什么,我不欠你们钱”对任何人来说都会立即是一场艰难的战斗。)他们说有一位病人在佛罗里达州去看医生,花了75.00美元的医疗服务费,但没有支付账单。
发生的事情是,诊所里的某人写下了那位病人的社会安全号码,除了一个数字外,与我的社会安全号码相同。在病历上,可能手写了一个六或八或九,其中一个环被打开了,或者类似的情况。然后这个错误传播到整个系统中。因此,不仅这个账单被记录在我的信用报告中,而且那个人的名字也出现在我的信用报告中了。
然后我打电话给信用报告机构说:“我不是这个人。我很轻易就能证明这不是我的名字。”他们说:“嗯,这是你的社会安全号码吗?”我说:“是的,但那不是我的名字,而且我之前从未见过这位医生。我从未在佛罗里达州看过医生。”信用机构随后将其删除;催收机构又将其放回。这就像一场持续了好几个月的乒乓球游戏。最后,我不得不请律师事务所给信用报告机构和催收机构发了一封信,说:“我们已准备好提起诉讼。我们将带我们的客户走进法庭,以证明这不是所说的病人。”
故事变得更有趣了。律师发出这封信后,我收到了一封回信,上面写着“我们很抱歉。在某个环节出现了错误,此人”他们拼出了他的真实姓名,“的社会安全号码有误。他们的社会安全号码是这个;您的社会安全号码是那个,您可以看到这种情况是如何发生的。”他们竟然在给我的信中打印出了另一个人的姓名和社会安全号码!
因此,即使在你所谈论的技术的上游,人为因素也绝对适用。这就是为什么需要进行教育的原因。在整个过程中,你需要能够审视系统,并说:“当出现问题时,你如何证明你就是你所说的那个人?以及如何防止其他人声称他们是你?”
DIFFIE:但这个故事的错误在于责任。关键是,人们使用权力的主要目的是谈判摆脱责任。这正是信贷催收行业所做的事情。如果它对其错误承担严格的责任,因此有义务赔偿你因此损失的金钱和时间,那么这些错误就会少得多。但这永远不会发生,因为这个行业,像我们其他行业一样,拥有巨大的权力来说:“如果你让我们遵守这些标准,你将会削弱我们并损害社会。”
ABHYANKAR:人为因素是我们不能忽视的。我们最近庆祝了垃圾邮件诞生 30 周年。电子邮件仍然是会被利用的东西。技术有一个黑暗的底面,坏人的创新速度,以及利用社会工程技术窃取你的数据的技巧,比好人的创新速度快得多。这仅靠技术是无法解决的。
GILLILAND:如果你看看我们一直在做的研究,大约 98% 的数据丢失是由于人为错误和流程故障造成的。身处安全行业,我们总是要与坏人作斗争。但坏人并不是数据丢失的主要问题。现实情况是,即使经过 30 年的垃圾邮件,坏人也会像我们一样继续投资于创新,因为他们发送垃圾邮件能赚钱。窃取信息永远是某些人的生意,你永远无法 100% 地对抗他们。但我们可以阻止大部分人为和流程错误。
HEIM:除了行为方面,个人也存在结构性挑战。我们每天都会看到,如果技术组织本身无法预测个人的需求,他们就会在许多情况下使用消费级技术来完成工作。
SHERSTOBITOFF:对。如果你通过 Gmail 将信息发送给自己以便在家工作,我们就无法保证你的信息安全。
HEIM:当然,如果个人无法通过安全技术来实现其需求,他们会使用消费技术进行补偿,例如安装无线接入路由器或将数据复制到 USB 驱动器。因此,存在技术挑战,但也存在经济方面的挑战。正确地做好信息技术需要什么?以安全的方式完成,并以人们能够完成工作且无需绕过流程的方式完成?
DIFFIE:简而言之,缺少功能常常是一个安全问题。如果系统没有提供安全地完成你所需要做的能力,你仍然会做你需要做的事情。这个问题在第一次世界大战时就为军方所知。
GILLILAND:这就是启用与保护的问题。你如何让企业有效地使用可能没有快速、安全、无缝运行所需功能或特性的技术?
SHERSTOBITOFF:关于流程故障的另一件事是,它为网络犯罪分子创造了主要的滋生地,因为配置和变更管理不符合标准。如果我们没有严格的流程来控制或保护信息,那么从组织中获取信息会容易得多。黑客开始明白:“嘿,你知道吗?这不符合标准,所以攻击起来容易得多。”
所以,这有点像入室盗窃。我不会攻击有 20 个警报器和监控摄像头的房子。我会去容易进入的地方,锁很容易被撬开,没有监控摄像头,而且很黑。如果人们开始通过后门通道发送数据,就会导致拦截和中间人攻击。
谁在控制?一些小组成员提到了让外部人员维护系统安全的可取性(如果不是必要性)与放弃对该系统的完全控制的不安感之间的紧张关系。
DIFFIE:基本的商业事实是,我们,作为制造商,对控制我们客户的软件和远程更新非常感兴趣。基本上,这会给系统带来不稳定性。你真正想要控制你自己的计算机的愿望,无论你是一个个人用户还是一个公司,都与制造商的愿望相悖,而制造商在谈判中处于更有利的地位。他们实际上对你拥有一个安全的系统并不感兴趣。
GILLILAND:不过,你刚才所说的有趣挑战在于,像我们这样的公司能够访问计算机的很大一部分原因是市场变化太快。以拉胡尔谈到的垃圾邮件为例。垃圾邮件攻击发生,然后在几个小时内结束。现在是几小时和几分钟,对吗?
为了帮助公司应对这种情况,你需要能够向其发送数据以增强其安全性。有时只是一种病毒签名。有时是对软件框架的代码更改,因为新的垃圾邮件以不同的方式工作。图像垃圾邮件就是一个很好的例子。需要新的代码来帮助公司对抗这种垃圾邮件攻击。公司要求我们更快地响应:“帮助我降低管理成本;帮助我降低管理难度。”因此,这回到了你关于外包的观点。
DIFFIE:哦,我并不是说没有这种需求。
LIPNER:在减少我们看到的,比如 2001 年那种大规模、蔓延的攻击方面,产生重大影响的一件事是,客户过去会在安全补丁发布 60 天、90 天后应用,或者根本不应用。如今,大多数消费者都启用了自动更新并安装了更新。启用这一更改需要在我们和客户方面都进行流程更改,因为如果人们要依赖你并如此快速地更新,你希望确保你不会意外地破坏他们。
如果 Kaiser Permanente 选择不从外部更新其系统,它当然可以进行安全分析并应用补偿控制,并以其他方式保护其系统。但是,很多用户宁愿依赖其他人。我宁愿依赖供应商来更新我的软件,因为他们了解该软件,以及它如何被攻击以及它应该做什么。
现代黑客攻击的经济学 黑客攻击不再仅仅是好奇或无聊的程序员的领域。恶意软件的生产现在是一项业务,而这一事实本身就深刻地改变了挑战的范围。
HEIM:也许这里的安全供应商可以给我们一些看法。一开始,广泛的蠕虫式攻击主要是为了炫耀而具有破坏性,例如,展示黑客可以摧毁多少互联网。如今,攻击几乎 100% 是出于经济目的,如果它是出于经济目的,并且互联网是你通往受害者的途径,你为什么要用毁灭性的蠕虫来破坏它呢?这对你的商业模式适得其反。
SHERSTOBITOFF:我相信我们所有来自防病毒领域的同仁都可以同意,我们看到两件事。一是,大规模传播恶意软件的情况不再存在;他们专注于有针对性的攻击。他们专注于“我可以渗透哪些公司?”但还有另一种策略:他们发布大量全新的恶意软件,希望签名文件无法跟上最新的速度。
因此,这就是为什么我们的客户,我确信你们中的一些客户也是如此,正在寻求外包服务,这种服务更多地进入“安全即服务”平台,我们可以在黑客进行有针对性的攻击时持续应用实时更新。
ABHYANKAR:是的,我的意思是,黑客攻击的经济模式已经如此完善,如果它是合法的,而你是一个风险投资家,希望向这项业务投入资金,你将会获得良好的回报,对吗?发送恶意电子邮件的成本一直在降低。网络中的匿名性使得从法律执行和起诉的角度更难追踪坏人。
SHERSTOBITOFF:尤其当攻击来自中国和俄罗斯等外国时。很多活动实际上并非以原始黑客为中心。他们正在使用中间人。因此,当你实际调查时,你最终会接触到那些被称为“骡子”的个人,他们没有意识到或不知道他们正成为这个整个计划的受害者。我们看到,那些说“我为你提供一份好工作!每周赚一千美元!”的网站的激增导致了这种情况的出现。执法部门无法找到创建恶意软件的黑客;黑客或攻击者早已消失。黑客实际上并不实施攻击;他们出售这些创造物以牟利。
因此,有一个地下经济体专门销售这些攻击。你现在可以花 1200 美元购买一些东西,成为一名网络罪犯;这太简单了,你隔壁的邻居就可以成为一个僵尸网络的主人。实施犯罪并不难,当没有技术经验的普通百姓也可能成为僵尸网络主脑时,它会增加对个人隐私的潜在侵犯次数。
SADLER:那么,既然我们都了解坏人变得多么老练,你认为我们应该采用什么程度的合作?因为本质上,我们仍然都在竞争。我们是分散的,而坏人是协调的。并且有大量证据表明,这些不同的有组织犯罪分子实际上是在彼此之间交易这些东西。我们彼此之间没有这种程度的合作。
谢尔斯托比托夫:这就是我为什么主张在这里采用厂商无关的方法。要规避这种威胁,不仅需要技术手段,还需要社区共享响应,研究实验室共同分享他们所看到的。因为我们实验室中的恶意软件样本并非都来自我们的客户。我们确实从行业内的其他人那里获取了一些。我确信我们从 McAfee 收到了一些,我也确信我们从赛门铁克收到了一些。所以在顶层,我们不像死对头。这是整个行业需要共同应对的普遍问题。
改进技术 尽管每个人都同意需要在多个层面上改进安全系统的技术,但对于问题的最佳解决方案存在争议。
海姆:让我分享一些客户的挫败感。归根结底,我们甚至没有解决许多最基本的问题。我们仍然依赖于与人类历史一样悠久的密码。我们仍然在缓冲区溢出和 C 编程的其他遗留问题方面存在重大问题。我们仍然没有超越用于识别恶意代码的签名,尽管研究人员已经承诺算法和其他进展已有二十多年了。因此,我们正在关注这些不断演变的威胁,但我们尚未解决基本问题。老实说,作为客户,我被要求做的事情是继续购买更多的创可贴。在创可贴上贴创可贴;买很多很多创可贴。销售这些产品有强大的经济模式。但我没有看到任何人尝试以任何程度的关注来解决根本问题。
谢尔斯托比托夫:我的意思是,你可以解决密码问题。你可以一直打补丁。但问题是。因为黑客行为是为了盈利,黑客会竭尽全力寻找新的漏洞。而且因为这里存在有组织的黑客团伙——我的意思是,他们有自己的质量保证等等——他们仍然会领先一步。因此,这就是为什么仍然需要技术来规避这些攻击,即使保护操作系统的基础也需要与之并行改进。我们不能缺少任何一个。
利普纳:我认为帕特里克你提出的关于事情仍然没有达到应有水平的观点很棒。我们正在为社区倡导的——不仅仅是微软的倡议——是端到端信任的概念,它实际上有两个方面。一个方面是,是的,你必须做基础工作。你必须消除缓冲区溢出。你必须消除漏洞。你必须消除跨站点脚本等等。坦率地说,由于我们拥有的技术遗产,这些事情很难做到。它们不会在一夜之间实现。另一方面是,我们必须围绕问责制做出一些根本性的改变。我们需要摆脱密码。我的意思是,我们已经说了,我不知道,10 年或 20 年了?
迪菲:我不同意。我不认为我们应该摆脱密码。我认为它们应该以不同的方式工作……
利普纳:我们需要更强的身份验证。我们需要达到用户以不以个人身份信息为代价的方式进行身份验证的程度,并且用户可以知道他们正在与谁打交道。因为许多垃圾邮件和许多虚假的网站都是为了愚弄用户。这部分是用户和培训的问题。但很大程度上是技术问题。我们应该构建技术,以便向用户呈现他们可以信任和理解的环境。而且他们不应该点击 38 个级别的 SSL 对话框才能获得它。
更好的教育?还是更好的设计? 或许令人惊讶的是,专家组普遍认为,通过更好地教育终端用户,数据安全方面不会有持久的改进:威胁的性质变化太快了。
利普纳:我们需要将复杂的安全教育的负担从终端用户身上转移开,达到技术只是帮助用户安全,而不是给用户施加弹出疲劳的程度。因为这会适得其反。构建安全系统在很大程度上与用户体验有关。而且我认为整个行业对这一点都重视不足。
萨德勒:我认为我们根本不应该强调教育。我认为只有极其笼统的教育才能持续六个月以上。你看看全球的许多教育项目,它们在告诉人们做什么方面非常非常短期。安装最新的防病毒软件,诸如此类。谁知道我们是否会在两年、五年甚至更久的时间内运行防病毒程序……
海姆:我认为人们仍然缺乏一些基本的理解。现在,如果人们真的知道,如果他们安装那个免费的动画屏幕保护程序小部件——本质上,他们是在说,“我信任这个小部件的开发者,让他们完全访问我的系统和我的所有数据。”——这可能会改变人们的想法。这可能会改变人们在线行为的方式。没有什么真的是免费的,你知道。我曾要求人们思考经济模式。你免费下载了一些东西,为什么那个开发者会坐下来开发它呢?是的,有一些开源模式,但也存在许多隐藏的商业模式,这些模式侵犯了个人隐私和安全。
迪菲:在讨论“免费”这个词的不同含义时,你有“免费啤酒!”和“言论自由!”的例子,最近有人添加了一个——这是一个很棒的例子——“免费小狗!”[笑声。]几年前,我和妻子买了一只狗。可能预付了一千美元。但它是一只大狗。它不适合我们的汽车。所以又花了 30,000 美元买了一辆面包车,最终花了 100 万美元在伍德赛德买了一栋房子,足够这只狗跑了,对吧?当你获得免费的东西时,“免费小狗!”是一个非常重要的原则。[笑声。]
萨德勒:但我认为有一个答案。答案是,当你训练年幼的孩子外出时,要注意周围的社区。“这些社区有点安全;这些社区不安全。”现在互联网上的等价物是,我们带着我们所有的银行账户走进我们所知的最不安全的社区。然后当我们被抢劫时,我们会感到惊讶。我认为必须要有关注点分离。你希望人们能够下载最新的屏幕保护程序,但在他们环境的一部分中,它不会影响他们的银行帐户,也不会影响他们关心的事情。
阿比扬卡:必须有一种以不需要太多教育的方式向用户传达危险的方法。需要有一个概念,就像,你知道,你走进一个社区,看到一个明显的迹象,表明可能有些不对劲。因此,如果你在互联网上具有等效的安全和危险表示,那么终端用户就会更加意识到风险在哪里或不在哪里。
迪菲:是的,但是互联网中存在固有的局部性损失,对吗?在某种意义上,在操场上玩耍的五岁儿童拥有完全的安全。基本上,没有成年人可以假扮操场上的五岁儿童。然而,在在线环境中,很多人可以进行模仿。这只是一个最极端的例子,说明在现实世界中,意外地误入不熟悉、不舒服的社区并不容易。然而,互联网的优点在于,你只需单击一下即可访问任何内容。90% 的时间你从中获益,10% 的时间你抱怨它。
谢尔斯托比托夫:攻击者也开始伪造这个载体。他们开始攻击人们信任的合法网站。几周前,黑客能够在国土安全部网站上放置木马。因此,“如果我远离互联网的黑暗面,我就会安全”的原则不再适用。现在就像,“你最好注意并拥有必要的技术”,比如打补丁。
海姆:但是,当我们在处理大规模基础设施时,你必须保持生产控制纪律的原则。你需要在能够快速应用新补丁并保持环境稳定方面具有非常强的反应能力。而且,如果你应用安全补丁,你不会崩溃,这并不总是很明确。有时,非常小的更改可能会产生非常重大的影响。
谢尔斯托比托夫:是的,在大多数情况下,这些攻击都是在利用已修补的漏洞。黑客期望用户没有尽到应有的责任;平均 80 岁的老人可能不知道他们需要进行 Windows 更新。我们发现这些攻击的成功率更高,因为有很大一部分用户长期没有安装防病毒软件。我们谈论的是几个月、几个月和几个月。他们没有意识到,如果他们不做这些基本的内务处理任务,他们就会面临风险。
这与公司方面的情况大不相同,因为正如你所说,公司方面有变更控制。我们不确定补丁会做什么。但是,当我们谈论消费者方面时,我们看到的平均漏洞是我们已经解决的。根据我们收集的内部统计数据,这是一个趋势,他们并不总是保持系统最新,甚至没有采取基本必要的措施。
吉利兰:这让我们回到了关于培训与技术的对话,对吗?有很多非常酷的新技术可以进行启发式阻止以及其他一些复杂的东西。但它没有得到广泛部署,也没有被使用。我的意思是,我确信 Sun 和 Microsoft 以及我们和你们都有一些太空时代的技术,能够打赢其中一些战斗。
但是,你需要这些东西能够快速部署,并具备一定的规模,才能开始阻止攻击。因此,必须在用户教育和我们这边的创新之间取得平衡,尽量减少必要的教育。我认为这就是你之前所说的起点,帕特里克,当时你谈到我们需要某种访问许可证或某种培训。
我同意惠特的观点:不应该有像驾驶执照一样的政府证书来使用互联网。但是,当你走进一家公司时,为什么我们不进行基本的最终用户教育呢?“这是你的笔记本电脑,这是你的PDA,这是你的其他任何设备。我将教你赛门铁克的安全原则。”
萨德勒:你认为这些原则能持续多久?
吉利兰:原则可以持续很长时间。
迪菲:这取决于它们是什么。
吉利兰:“不要打开来自你不认识的人的电子邮件或附件。”
迪菲:这是一个毫无希望的规则。
利普纳:我认为这绝对正确。解决这个问题的唯一方法是使用底层安全和身份验证。你给用户一个选择,但他们必须知道有些东西是安全的,无论是网站、附件还是可执行文件。有一些信誉服务可以让人们决定信任谁,然后系统为他们强制执行安全。如果你告诉用户,“你必须阅读代码,你必须解释SSL对话框”,那就太难了。对于凯撒医疗来说,这没问题。帕特里克可以建立所有这些策略。但是对于最终用户来说,你必须提供一个经过身份验证的基础设施,让他们知道他们正在与谁打交道,以及他们信任谁。
吉利兰:如果给最终用户机会,即使弹出警告说“警告:此网站似乎很危险”,他们也会在没有一定程度教育的情况下违反信任,但如果网站说“点击这里观看布兰妮·斯皮尔斯的裸体”,他们仍然会这样做。最有效的病毒传播方式始终是社会工程。始终如此。你看即时消息,你看电子邮件,它始终是社会工程。
更好的保护方式一种备受推崇的解决方案是通过使用密码学和多个独立的“密钥”(例如智能卡或令牌)来保护数据,使被盗数据无法使用,从而降低黑客攻击系统的动机。
兰德韦尔:难道我们不能用另一种方式来看待这个问题吗?与其过多关注如何教育用户,了解什么是恶意软件,不如改变黑客的游戏规则,让他们对攻击我们的计算机不那么感兴趣,因为我们更擅长保护计算机上的信息。然后,如果任何人偷走了磁盘上的文件,它们都是加密的。如果有人意外地通过电子邮件发送了某些内容,它也是加密的。如果它去了不该去的地方,他们就没有打开它的密钥。
此外,如果我们经常访问的网站不使用静态文本密码,而是使用更安全的东西,并且有人碰巧进行了网络钓鱼诈骗或安装了键盘记录器,他们也不会捕获人们完整的登录信息。如果我们能够使用智能卡或其他双因素加密技术,那么入侵计算机就不再有趣了,因为计算机内部磁盘上运行的和内存中运行的所有内容,如果没有外部身份验证机制,都将毫无用处。
迪菲:考虑到我们尝试做这些事情的时间,它们肯定比听起来要难得多。
吉利兰:我会说它们已经存在了,但最终用户看不到它们。所以没有人知道这些东西存在。
海姆:我认为你暗示的是数字版权管理——在数据级别保护数据本身。从概念上讲,这很棒。但是,如果你看看音乐行业的历史,例如,它并不完全成功。我认为最近发生了一个案例,某些网站被关闭,合法购买内容的人无法再访问密钥,他们对购买内容的合法访问权丧失了。因此,除非我们拥有极其强大的基础设施来维持对数据的密钥的长期持续访问,否则可能会产生非常重大的影响。
阿比安卡:一个巨大的挑战是,在大多数组织中,关于这些重要数据保存在哪里,在哪些系统中,如何被操作,以及由哪些流程操作,都不是很清楚……
舍斯托比托夫:同意。我想说,在金融界,他们正在进行带外身份验证的演变。例如,美国银行最近实施了手机带外身份验证。它提供了额外的身份验证层,很难被破解,尤其是当密钥是随机的,并且是通过当今黑客无法拦截的机制发送时。
因此,银行目前决定采用多因素身份验证,超越密码,超越令牌,转向带外身份验证。一些高层交易员正在获得身份验证设备、智能密钥、RSA令牌。金融界的一些人还在后端加入了异常检测,以检测可疑的模式和定位。最终,金融机构正在调整其技术和身份验证机制,以便他们基本上不邀请黑客。正如你所说的:让他们对攻击失去兴趣。如果他们无法通过身份验证,那还有什么意义呢?
迪菲:双因素具有真正的优势,即这两个组成部分往往以不同的方式丢失。
兰德韦尔:我们看到围绕智能卡有很多活动。我这里有我的智能卡徽章,它与我用来进入我们在世界各地的建筑物的徽章相同,但它也有PKI(公钥基础设施)凭证,我可以用来登录应用程序、加密业务文档和数字签名PDF表格。还有一个PIN码来保护它,就像ATM卡一样。如果你从我这里偷了卡,你可以在PIN码上猜几次,然后它就会停止工作。
美国联邦政府正在向每位政府雇员推出带有PKI的智能卡徽章。员工只需将徽章插入电脑,然后使用PIN码登录,他们就不必记住复杂的用户名称和密码。在海外,整个国家都在向公民发放智能卡。比利时正在推出电子身份证,以便更好地保护其公民及其在线个人身份信息。你的电脑上有一个智能卡读卡器,你将卡插入其中,它在底层进行真正的PKI加密,以签名、加密和验证电子信息。但是,最终用户只需要知道,“我将卡插入插槽,然后像在银行一样输入我的PIN码,这使得人们更难在电子世界中冒充我。”
不过,一些挑战是组织内的权力孤岛。有控制徽章的物理安全团队,然后是有控制身份验证基础设施的IT安全团队,然后是有控制文档和表格的团队。我认为教育的机会是展示团队如何协同工作,不仅在组织内部,而且在跨组织之间,使用安全技术,使在线流程比其传统的纸质流程更快、更便宜、更安全。
海姆:同样,这又回到了规模问题。在香港或比利时,这是可行的,尤其是在中央政府强大,可以强制执行这些事情的情况下。如果我们看看或在一个行业内,当你有一个定义明确的某种工作流程时,你可以从中获得经济效益。但是,例如,在美国这样大的规模中,尤其是在各州和个人更喜欢自由地做他们想做的事情时,像国家身份证这样的宏伟计划确实与多元化社会背道而驰。
利普纳:我认为我们不需要国家身份证,我们只需要使我们现有的卡更强大。
迪菲:原则上,《真实身份法案》就是这样做的。
阿比安卡:《真实身份法案》的实施存在很多实际限制。谁来维护这个中央数据库?各州将如何针对它进行身份验证?再次回到智能卡,这现在是一个单点故障吗?因为现在你所有的身份都在那张卡里,如果它丢失了,那么妥协的代价就会高得多。
利普纳:我认为,美国任何真正的用户身份验证解决方案都必须承认一系列凭证、一系列身份验证或证明机构,并且系统必须处理这些凭证。我们不会为用户设立单一的银河身份证。我们可能会有多个。你必须让它们易于使用。我不知道这是否意味着装满智能卡的钱包。我现在有一个装满信用卡的钱包,它们不会给我带来不便,因为它们易于使用,而且我知道该使用哪些卡。
兰德韦尔:但我认为有趣的是,这里有两方面。有些组织已经认识我并拥有我的个人身份信息。他们需要保护它;我们都同意这一点。另一方面是那些以电子方式注册新客户、新患者或新公民的组织;他们需要更好地审查这些人是谁。问题是当来自第一组组织的信息在用户不知情的情况下发送到第二组组织时。那时经常发生身份盗窃。我们能做些什么来更好地控制身份冒充,即有人错误地声称访问了从未见过的医生,或注册了信用卡,或以你的名义购买了汽车或房子?
国际视角各国对数据安全和隐私的看法差异很大。在许多方面,美国在应对日益增长的威胁方面落后于其他国家。
舍斯托比托夫:从欧洲的角度来看,我们看到金融界正在采用智能卡。他们正在采用物理端点,因为用户人口并不多。当我们谈论美国银行时,他们有多少用户?他们面临的风险是否足够大——因为他们有反欺诈保险。他们可以通过反欺诈保险来注销损失。因此,实施和承担安装端点安全技术的成本是否值得?
但是,我们也看到有交易和异常检测,可以在冒充或受害期间发现高风险行为。它会考虑多个因素。用户是从哪里连接的?凌晨2:00连接是他的使用模式吗?他应该在全国各地支付平板电视吗?所有这些都被汇总并计算到整体行为配置文件中。然后,机构可以将策略应用于具有较高风险的某些用户群体,并减轻相关损失。
我想说,大约在18个月内,美国可能会被迫提供涉及某种廉价令牌的端点安全身份验证。但是现在,考虑这一点还为时过早,还需要十八个月。
迪菲:我注意到,当你使用令牌时,你将控制权从用户转移到其他人。密码方案的一大优点是,你可以通过网络与某人建立联系和身份,为其分配密码,并且这只在你俩之间进行。你在这方面拥有平等的角色,而不是他们通过向你发放一些识别性的物理对象,需要知道你在哪里才能将它发送给你等等,从而获得对你的一定程度的控制权。
萨德勒:我认为在法国、德国和英国,教育小型企业的力度比美国大得多。因此,尽管我反对教育,但我认为美国可能需要在为小型企业建立一些基本措施。此外,欧洲,特别是在英国和德国,学术界、政府机构和产业界之间的对话比美国要好得多。考虑到我们必须调动资源来对抗坏人,我认为美国在这些参与者之间没有表现出足够的共同对话。欧洲在解决这类问题方面做得更多。
舍斯托比托夫:在美国,我们没有看到执法部门和产业界之间的无缝合作。我们看到欧洲出现了专门打击网络犯罪的工作组。他们正在采取远超前的行动。但是,从我们与 FBI 的谈话来看,这种情况在这个国家还不存在。我们正在朝着这个方向发展,但还不是 100%,而他们都在相互合作,以实现身份的联邦化。
利普纳:由于欧洲和美国政府有其特定的用途和国家目标,我认为需要额外的标准。我认为这些标准必须是国际性的。一些特定的政策将你依赖的对象进行国有化,但基础技术和架构实际上必须符合国际标准。
吉利兰:显然,整个欧洲都有大量的不同的隐私法规。这对赛门铁克的影响是,全球公司购买我们的软件,并且必须根据不同国家的隐私法规对其进行不同的配置。因此,能够管理这一点是其中的一部分。公司正在试图弄清楚如何遵守某些流程或政策框架,以便尽可能地遵守规则。
我认为这是我们在这里没有花太多时间讨论的挑战。那些一直试图遵守隐私法规的人和公司,如何证明他们一直在这样做?
海姆:我想说有很多标准可以遵守。但根本问题是,我们正在处理合规性而不是风险管理,而且在宏大的计划中,合规性是一个相对静态的过程。然而,我认为我们都可以同意的一件事是,威胁是非常动态的,并且一直在发展。完全依赖合规性的静态保护模型会失败。合规性需要与更动态的、风险驱动的安全方法相结合。
互联网的不足 一些与会者自愿提出他们理想情况下希望对互联网基础设施进行哪些改变以提高其安全性。但拉胡尔·阿布扬卡尔也提出了一个问题,直指问题的核心。
利普纳:我们建立了一个在全球范围内拥有大量有价值资产的基础设施,但它没有身份识别或问责制。微软可信赖计算公司副总裁斯科特·查尼曾是一名检察官,他认为这是一个理想的犯罪环境。因此,我们需要做的是转向更负责任的水平。不是你所做的一切都被认证或负责任,而是你所做的任何有价值的事情——无论是你孩子的游戏还是你的银行交易——都具有足够的责任性和认证,让你对你所做的事情的安全性有足够的信心。
迪菲:顺便说一句,我刚刚注意到这里的一个不对称现象。这里没有人表示赞成提高组织透明度。组织隐藏了与你打交道的员工的身份以及代表其员工的流程。这里唯一受到怀疑的是用户。如果你打电话给美国运通,接电话的人只会告诉你一个名字。所以你会依赖该组织要求其终端进行身份验证,但他们试图在你终端上夺走它。
利普纳:在互联网上,如果我知道它是美国运通而不是钓鱼网站的等效网站,我会很高兴。我与美国运通有关系。我决定依赖他们。如果我知道它是美国运通,那么我在网络上会比现在更好。
阿布扬卡尔:回到基础设施的问题,如果我们制定一项为期 10 年的提案,例如,重新发明考虑到经济、政策、责任的互联网……今天的互联网需求和在其上开发的应用是否正在以如此快的速度发展,以至于任何重新发明具有内置弹性属性的互联网的努力都不会奏效?
结束语 利普纳:在未来几年里,我们将不得不做出许多非常艰难的选择和艰难的决定,以重新调整互联网如何平衡身份验证和隐私。用于安全和身份验证的技术比我们今天使用的更多,但我认为非常需要对话,以便我们适当地平衡这些问题。
吉利兰:我认为需要找到一个平衡点,无论是组织的风险管理平衡,还是如果你在互联网上并且只是一个消费者,则是隐私和身份验证的平衡。我认为这些事情很复杂。作为行业,我们必须为公司和个人用户创造方法,让他们找出他们希望在风险平衡、权衡中处于哪个位置。这是问题的核心。
海姆:采用新技术和推动增强功能的势头强劲。这是一个竞争非常激烈的世界,技术采用率与风险不平衡。存在一个根本性的失衡,驱使公司和个人点击“我想要闪亮的新东西”按钮,而不是选择“我想要更安全和保守一点”按钮。快速采用的经济优势被视为超过了与安全风险相关的弊端。问题是,商业决策者对安全风险的弊端究竟了解多少?
舍斯托比托夫:我们需要帮助各行各业采用技术并实施措施,让他们能够解决并降低其特定的风险。因此,我们正在尽可能地简化最终用户的操作,同时牢记它正在降低非常具体的问题上的风险。但重要的问题是,我们是否真的在正确地管理网络犯罪今天的发展所带来的风险?
兰德维尔:我今天听到很多次的一件事是易用性的重要性。我认为这最终是我们第一的设计目标,而底层安全技术是第二位的。易用性是第一位的,因为如果它不易使用,人们就不会使用安全技术,或者他们不会正确使用它。我认为我们需要在网络上更多关注的其他领域是身份、品牌和声誉的概念,以及在信息层(而不仅仅是存储和传输)持续保护信息。
阿布扬卡尔:我们使用甚至可能是滥用技术的速度变化如此之快。我们不断建立新的联系,无论是在社交网络环境中,还是公司试图建立新的方式来接触他们的客户。我们需要更加注意简化技术,引导用户走向更安全的在线体验,并引导用户创建能够支持这一概念的声誉系统。