Quis custodiet ipsos custodes? 这句经典的罗马格言担忧道:“谁来监督监督者?” 但是,今天为联网信息系统站岗的安全供应商正受到来自竞争对手、客户、黑客以及日益增多的、对国家安全感到担忧的政府的严格审查。《大众科学》主编约翰·伦尼今年五月在加利福尼亚州帕洛阿尔托市与来自安全行业以及一些将依赖他们提供的保护的行业的代表进行了座谈,讨论他们将面临的挑战。以下是这些会议部分重点内容的编辑稿;更完整的版本请点击此处。
—编辑部
参与者 Rahul Abhyankar
McAfee 公司 McAfee Avert Labs 产品管理高级总监
Whitfield Diffie
Sun 微系统公司副总裁兼院士、首席安全官
Art Gilliland
赛门铁克公司信息风险与合规产品管理副总裁
Patrick Heim
凯撒永久医疗集团首席信息安全官
John Landwehr
Adobe 系统公司安全解决方案与战略总监
Steven Lipner
微软公司安全工程战略高级总监
Martin Sadler
惠普实验室惠普公司系统安全实验室主任
Ryan Sherstobitoff
熊猫安全美国公司熊猫安全首席企业传播官
谁负责? 小组成员就维护或加强数据安全的一些优先事项达成了一致。其中一些是技术性的,但监管和法律框架也至关重要。
支持科学新闻报道
如果您喜欢这篇文章,请考虑支持我们屡获殊荣的新闻报道,方式是 订阅。通过购买订阅,您正在帮助确保未来能够持续发布关于塑造我们当今世界的发现和想法的有影响力的报道。
DIFFIE:未来十年对这些事情的最重要影响将是 Web 服务和我所说的数字外包。我们将进入一个世界,那里将有数百万种计算服务,其他人可以比您自己做得更好。十年后,您环顾四周,会发现我们今天所说的安全计算将不复存在。因此,需要的是一个法律框架,规定承包商有义务保护信息的安全。但是,除非开发出允许他们保护该信息的技术机制,否则他们无法履行这一义务。
GILLILAND:是的,但是如果您看看客户今天实际实施技术的方式,他们已经远远落后于技术所能达到的水平。这不一定是现在的问题。问题是如何使这项技术切实可行,以便客户能够实际解决他们自己的隐私问题、他们自己的审计流程,并按照当前的标准管理他们自身数据的保护,而他们在很大程度上今天并没有这样做。
LIPNER:对于企业客户,您需要 Art 和 Whit 所谈论的那种东西:关于如何处理您的数据的保证,描述对其限制的方法等等。对于消费者,您需要一个他们信任且开箱即用的环境——因为互联网和互联网业务的许多增长都基于消费者信心。我们需要提高这种信心,并确保这种信心是合理的。
GILLILAND:我们必须弄清楚的有趣的平衡是,如何在使企业能够继续尽可能快速地共享信息以便他们能够做出良好决策的同时,使这种共享变得简单?
危险的人为因素 用户自身可能成为安全系统的阿喀琉斯之踵,因为他们容易犯错,并且倾向于(尽管是不自觉地)为了易用性而牺牲数据安全。因此,弥补用户潜在失误的责任落在了技术身上。
HEIM:我们不应低估人为因素。我将其比作驾驶。我们之所以设置驾驶执照之类的管理措施,是为了让人们至少对道路规则以及如何安全操作车辆有一个基本的了解,以便我们可以最大限度地减少这些风险。我认为,对于最终用户如何安全地使用他们的系统,教育普及还不够。我并不是说一定需要“网络驾驶执照”,但你知道,这可能不是一个坏主意,因为我们看到许多许多观察到的问题本质上是行为性的。
DIFFIE:看,那恰恰会是一个极其可怕的想法。网络空间是未来的世界。如果您没有权利在那里,您就没有一个自由的社会。
ABHYANKAR:人为因素是我们不能忽视的。我们最近庆祝了垃圾邮件诞生 30 周年。电子邮件仍然是一种被利用的东西。技术有一个黑暗的底端,坏人的创新速度以及他们窃取您数据的社会工程学技巧远远领先于好人。这单靠技术是无法解决的。
GILLILAND:如果您看看我们一直在做的研究,大约 98% 的数据丢失是由于人为错误和流程中断造成的。身处安全行业,我们将永远与坏人作斗争。但坏人并不是数据丢失的主要问题。能够窃取信息将永远是某些人的生意,您永远无法 100% 与他们作斗争。但是我们可以阻止很大一部分人为和流程错误。
HEIM:我们每天都看到,如果技术组织本身无法预测个人的需求,在许多情况下,他们会自行启用消费级技术来完成工作。
现代黑客行为的经济学 黑客行为不再是好奇或无聊的程序员的专属领域。恶意软件的生产现在已成为一项业务,这一事实深刻地改变了挑战的范围。
ABHYANKAR:黑客行为的经济模式已经非常成熟,以至于如果它是合法的,并且您是一位风险投资家,希望将资金投入这项业务,您将获得良好的回报,对吧?发送恶意电子邮件的成本一直在下降。网络中的匿名性使得从法律执行和起诉的角度更难追踪坏人。
SHERSTOBITOFF:许多活动实际上并非以最初的黑客为中心。他们正在使用中间人。当您实际调查时,最终会找到一些人——他们称之为“骡子”——他们根本没有意识到或知道自己正在成为整个计划的受害者。我们看到,来自那些说“我为您提供一份很棒的工作!每周赚 1000 美元!”的网站的激增就是这种结果。执法部门无法找到创建恶意软件的黑客;黑客或攻击者早已消失得无影无踪。黑客实际上并不进行攻击;他们出售这些创造物来赚钱。有一个地下经济专门销售这些攻击。您现在可以花 1200 美元购买一些东西,成为一名网络罪犯。
SADLER:那么,鉴于我们都了解坏人变得多么复杂,您认为我们应该采取什么程度的合作?因为,本质上,我们仍然都在竞争。我们是分散的,而坏人是协调的。并且有大量证据表明,这些不同的有组织犯罪团伙实际上正在彼此交易这些东西。我们自己之间没有那种程度的合作。
SHERSTOBITOFF:这就是为什么我主张在这里采取与供应商无关的方法。要规避这种威胁,不仅需要技术方法,还需要社区共享响应,研究实验室共同努力,分享他们所看到的情况。因为实际上,我们实验室中的并非所有恶意软件样本都来自我们的客户。我们也从行业内的其他人那里获得它们。在顶层,我们不像不共戴天的竞争对手。这是一个整个行业都需要应对的共同问题。
更好的教育?还是更好的设计? 或许令人惊讶的是,小组成员普遍预见到,通过更好地教育最终用户,数据安全方面不会取得持久的改进:威胁的性质变化太快了。
LIPNER:我们需要减轻最终用户接受复杂教育的负担,并达到技术只是在帮助用户安全,而不是给用户带来弹出窗口疲劳的程度,因为这会适得其反。构建安全系统在很大程度上与用户体验有关。我认为整个行业都忽视了这一点。
SADLER:我不认为我们应该把重点放在教育上。我认为只有极其笼统的教育才能持续超过六个月。您看看全球的许多教育计划,它们在告诉人们要做什么方面都非常非常短期。安装最新的防病毒软件,诸如此类的东西。
HEIM:如果人们真的知道安装免费的动画屏保小部件的后果——本质上,他们是在说,“我信任这个小部件的开发者,让他们完全访问我的系统和我所有的数据”——这可能会改变人们的在线行为方式。
SADLER:我认为有一个答案。您训练年幼的孩子,当他们外出时,要注意社区。“这些社区有点安全;这些社区不安全。” 现在互联网上的等价物是,我们带着我们所有的银行账户走进最不安全的社区,然后当我们被抢劫时,我们感到惊讶。必须要有关注点的分离。您希望人们能够下载最新的屏保程序,但在他们环境的一部分中,这不会影响他们的银行账户。
HEIM:但是,当我们处理大规模基础设施时,您需要能够快速应用新补丁并保持环境的稳定性。而且,应用安全补丁是否不会导致崩溃并不总是显而易见的。
GILLILAND:我同意不应该有像驾驶执照一样的互联网使用证书。但是,当您走进一家公司时,为什么我们不应该进行基本的最终用户教育呢?“这是您的笔记本电脑,这是您的 PDA。我将教您赛门铁克公司的安全原则。”
SADLER:您认为这些原则能持续多久?
GILLILAND:原则可以持续很长时间。
DIFFIE:这取决于它们是什么。
GILLILAND:“不要打开来自您不认识的人的电子邮件或附件。”
DIFFIE:那是一个毫无希望的规则。
LIPNER:解决这个问题的唯一方法是使用底层安全性和身份验证。您可以给用户一个选择,但他们必须知道存在一些安全的类别,无论是网站、附件还是可执行文件。如果您告诉用户,“您必须阅读代码,或者您必须解释 SSL 对话框”,那就太难了。对于最终用户,您必须提供一个经过身份验证的基础设施,让他们知道他们在与谁打交道。
GILLILAND:即使弹出警告说“警告:此站点似乎很危险”,但该站点说“单击此处查看布兰妮·斯皮尔斯裸照”,最终用户仍然会在有机会的情况下违反信任。最有效的病毒传播方式始终是社会工程学。永远都是。
LANDWEHR:我们是否可以考虑另一种解决这个问题的方法?与其如此专注于如何教育用户了解恶意软件,不如我们改变黑客的游戏规则,让他们对攻击我们的计算机不那么感兴趣,因为我们更擅长保护计算机上的信息。那么,如果有人窃取了磁盘上的文件,它们就会被加密。如果有人意外地通过电子邮件发送了某些内容,它也会被加密。如果它去了任何不应该去的地方,他们就没有密钥来打开它。
SHERSTOBITOFF:同意。在金融界,他们正在采用带外身份验证的演进 [通过两个独立系统(例如联网计算机和手机)进行联合身份验证]。一些级别较高的交易员正在获得身份验证设备:智能密钥、RSA 令牌。金融界的一些人还在后端放置了异常检测,以检测可疑模式和本地化。最终,金融机构正在调整其技术和身份验证机制,以便他们基本上不招惹黑客。
LANDWEHR:我们看到围绕智能卡的大量活动。我这里有我的智能卡徽章,它与我用来进入我们在世界各地的建筑物的徽章相同,但它也有一个 PKI [公钥基础设施] 凭证,我可以用来登录应用程序、加密业务文档和数字签名 PDF 表单。还有一个 PIN 码来保护它,就像 ATM 卡一样。如果您从我这里偷了卡,您有几次猜测 PIN 码的机会,然后它就会停止工作。
国际视角 各国对数据安全和隐私的看法差异很大。在许多方面,美国在应对日益增长的威胁方面落后了。
SADLER:我认为法国、德国和英国在教育小型企业方面比美国付出了更大的努力。因此,尽管我反对教育,但我认为美国可能必须为这里的小型企业制定一些基本措施。此外,在欧洲,特别是在英国和德国,学术界、政府机构和行业之间的对话比美国更好。我认为美国没有表现出这些方之间有任何足够的共同对话。
SHERSTOBITOFF:我们看到欧洲正在涌现专门打击网络犯罪的工作组。他们正在采取远远领先的举措。但从我们与 FBI 的谈话来看,美国在这方面仍然没有到位。
LIPNER:由于欧洲和美国政府有特定的用途和国家目的,因此需要额外的标准。我认为它们必须是国际性的。
GILLILAND:显然,整个欧洲都有大量的不同隐私法规在实施。公司正在努力弄清楚如何遵守一些流程或一些政策框架,以便他们能够尽可能多地遵守规则。这是我们在这里还没有花很多时间讨论的挑战。一直试图遵守隐私法规的个人和公司如何证明他们一直在这样做? 注:本文最初以“提升网络安全”为标题发表。