当心这个数十亿美元的行业做出的大胆承诺,因为它无法防止你的IT系统经常遭到黑客攻击
就当我是计算机安全领域的老顽固不化者吧。当一个厂商保证它最新、最强大的软件将保护世界免受所有计算机恶意攻击时,我打哈欠了。在那里;但没有成功。
所有的计算机安全供应商都希望我们认为,在虚线上签名并给他们寄一张支票就意味着我们的担忧结束了。他们很少兑现承诺。尽管一点小小的营销炒作从来没有真正伤害过我们——我们都习惯了半信半疑——但有些供应商可能会被发现完全撒谎,希望我们买的是安全方面的万金油。
[把你自己写在今天最狡猾的黑客使用的7次偷袭,14个肮脏的IT安全顾问技巧,9种行不通的流行IT安全实践,10个疯狂的安全技巧.|了解如何大大降低InfoWorld的恶意攻击威胁内部威胁PDF的特别报道。|学习如何保护您的系统与Roger Grimes'安全顾问博客和,安全中心通讯,都来自InfoWorld。]
如果您是一个经验丰富的IT安全专家,那么您可能已经反复使用过这些策略。不是只有一个小贩在兜售令人难以置信的主张,而是有很多。这就像计算机安全行业的一种病态,这种过于频繁的卑鄙的骗术希望欺骗It组织购买可疑的声明或过度宣传的产品。
以下是7个电脑安全声明或技术,当你在推销中提到它们时,你的“蛇油雷达”就会竖起来,为虚假承诺做好准备。
安全万金油第一名:牢不可破的软件信不信由你,厂商和开发者都声称他们的软件没有漏洞。事实上,“牢不可破”是一个著名供应商公关活动的名称。这种万金油的配方很简单:供应商声称其竞争对手很弱,不知道如何以自己的方式编写无懈可击的代码。购买供应商的软件,生活在一个永远没有漏洞的世界里。
上一个声称它的软件被如此严重地利用了,如此迅速,以至于它应该作为一个通知给每一个计算机安全组织永远不要再做这样的声明。令人惊讶的是,尽管在供应商的软件中发现了一个又一个漏洞(该供应商以数据库软件闻名),“牢不可破”的广告活动又持续了一年。我们这些安全专业人士想知道,有多少首席执行官会被公关宣传骗了,而没有意识到供应商的支持队列中充满了要求快速补丁的电话。直到今天,每年都能在那个供应商的软件中发现几十个漏洞。
当然,并非只有这家供应商抱有刀枪不入的幻想。浏览器供应商过去常常指责微软在Internet Explorer中制造了一个过于脆弱的浏览器。但随后他们发布了他们的无懈可击的浏览器,却发现他们发现的公共漏洞比他们声称过于脆弱的浏览器更多。你再也听不到浏览器厂商吹嘘自己开发出了完全安全的浏览器。
此外,还有一位声名狼藉的伊利诺伊大学芝加哥分校教授,他一直抨击软件供应商制造的软件充满了安全漏洞。他斥责并贬低他们,说他们应该因制作不完美的软件而受到法律起诉。他甚至制作了自己的软件程序,并向人们挑战,让他们找出哪怕一个安全漏洞,他还为自己的挑战提供了奖励。不足为奇的是,人们发现了漏洞。最初,他试图声称第一个发现的漏洞不是“在保证范围内”可以利用的漏洞。大多数人不同意。后来有人在他的另一个程序中发现了第二个漏洞,于是他支付了报酬。事实证明,制作无懈可击的软件是相当困难的。
我并不是要否定那位教授对计算机安全的贡献。他是世界上最好的计算机安全专家之一,是真正的英雄。但你不会再听到他宣称完美的软件是可以制造出来的。
下次当你听到某个厂商声称其软件无懈可击时,请记住这些引人注目的谦逊教训。
安全蛇油2号:100万比特加密每年都有一个没人听说过的供应商或编码器声称制造了无法破解的加密货币。而且,除了少数例外,它们都遭遇了悲惨的失败。尽管它的声称与牢不可破的软件类似,但技术讨论将揭示出一种非常不同的“万金油”风格。
好的加密很难制作;即使是世界上最好的,也没有胆量(或理智)声称他们不能被打破。事实上,你很幸运能让他们承认他们的加密是什么,但“不动性”妥协。我相信不信任自己的加密专家。其他任何意味着信任一名蛇油推销员试图销售你有缺陷的加密。
举个例子:几年前,一个供应商出现在现场,声称他有无法破解的密码。使他的加密如此令人难以置信的是,他使用了一个巨大的密钥,并在云中分布了一部分(或一部分)秘密密钥。因为钥匙从来都不在一个地方,所以不可能妥协。加密算法和程序是安全的,因为这也是一个秘密。
大多数知识渊博的安全专家都认识到,一个好的密码应该总是有一个能够经得起公众审查的已知加密算法。不是这个供应商。
但最好(也是最搞笑的)的部分是供应商声称他的超级密码是由一个百万比特的密钥支持的。不要介意今天强大的加密是由256位(对称)或2048位(非对称)的密钥支持的。这家公司承诺提供一个数量级更大的加密密钥。
密码学家对此感到好笑有两个原因。首先,当你有一个良好的加密程序时,所涉及的密钥大小可以很小,因为没有人能够强制所有可能的排列,即使是相对较小的加密密钥——想想,比“已知宇宙中的原子数量”之类的东西还要多。相反,今天为了破解密码,密码学家发现了密码数学上的缺陷,这使得他们排除了很大一部分可能的密钥。简而言之,发现的加密弱点允许攻击者开发快捷方式,以更快地猜测有效的可能密钥。
在所有条件相同的情况下,使用较小密钥大小的验证密码被认为更安全。一个主要的例子是ECC(椭圆曲线密码)与RSA。今天,rsa保护的密钥必须是2048位或更大的才能被认为是相对安全的。对于ECC, 384位就足够了。RSA(最初的算法)可能已经接近尾声,而ECC才刚刚开始成为主要的参与者。
所以说你有一个百万比特的密钥,就好比说你发明的密码太糟糕了,需要一百万比特的隐藏(而不是384比特)才能保证受保护的数据的安全。五千比特对于任何好的密码来说都是多余的,因为没有人能够从一个真正好的密码中破译出接近三千比特的密钥。当你制作一个百万比特的密钥时,你绝对是在说,你不相信你的密码擅长较小的密钥大小。这个悖论可能只有密码爱好者才能理解,但是,相信我,在任何一个加密会议上,你重复这个故事都会让观众着迷。
第二,如果你被要求使用百万比特的密钥,那就意味着你必须以某种方式与发送者和接收者之间的巨大母节点进行通信,至少要达到1兆字节。假设您加密了包含单个字符的电子邮件。生成的加密blob将是1MB。这很浪费。
一个“秘密”的百万比特密码在云中被分割,就足以完成这个加密。没有人把它当回事,至少有一位令人印象深刻的加密专家布鲁斯·施奈尔(Bruce Schneier)公开嘲笑了它。
最糟糕的是,该供应商声称有证据表明,它向军方出售了500万美元的加密货币。我希望小贩是在撒谎;否则,军需采购员就得做很多解释了。
安全万金油3号:百分百准确的杀毒软件与声称软件坚不可摧类似的还有来自多个供应商的声明,他们的反恶意软件检测是100%准确的。他们几乎都说,这个检出率“在一次又一次的试验中得到了独立验证”。
有没有想过为什么这些“一次性购买,永不再担心”的解决方案不能接管世界?那是因为他们在撒谎。没有反恶意软件是,或者可以是,百分之百的准确。当我们只有少数几个病毒要对付时,杀毒软件并不是百分之百准确的,而今天的世界有数千万变异的恶意软件程序。事实上,今天的恶意软件非常擅长改变它的形式。许多恶意程序使用“变异引擎”,再加上上面提到的非常好的加密。好的加密会引入真实的随机性,恶意软件也会使用相同的属性来隐藏自己。此外,大多数恶意软件创建者在开始传播之前,会对所有可用的反恶意软件程序运行最新的软件,然后每天进行自我更新。这是一场永无休止的战斗,而坏人会赢。
一些供应商使用一般的行为检测技术(称为启发式和变化检测仿真环境),勇敢地尝试提高其准确性。他们发现,当你进入检测的上限时,你会遇到假阳性的问题。事实证明,那些检测出恶意软件的程序在不将合法程序视为恶意的情况下是很糟糕的。给我展示一个100%准确的反恶意软件程序,我就会给你展示一个几乎把所有东西都标记为恶意软件的程序。
更糟糕的是,随着精确度的提高,性能会下降。一些防病毒程序使它们的主机系统运行非常慢,以至于无法使用。我知道有些用户宁愿使用活跃的恶意软件也不愿运行杀毒软件。由于一台普通电脑上有数千万个恶意软件程序,而这些程序必须与包含在其中的数十万个文件进行检查,因此要进行完全准确的比较将会花费太多的时间。反恶意软件供应商敏锐地意识到这些令人悲伤的矛盾,最终,他们都做出了不那么准确的决定。
与我们的直觉相反,不够准确实际上有助于安全厂商销售更多的产品。我的意思并不是说降低的准确率会让恶意软件传播,从而确保安全厂商可以销售更多的软件。对于那些购买安全软件的人来说,极端精确的反恶意软件检测是不可接受的。
如果你发现自己相信百分百的准确性,不要要求你的供应商把它写下来,或要求退款。他们不会支持这个要求。
安全蛇油4:网络入侵检测入侵检测系统(ids)的历史甚至比杀毒软件还要长。我的第一次经历是在20世纪80年代中期参加罗斯·格林伯格的流感疫苗项目。虽然经常被描述,甚至作者,作为一个早期的反病毒程序,它更多的是一个行为检测/预防程序。早期版本没有“签名”来检测早期的恶意软件;它很快就被恶意软件打败了。
在过去的二十年里,更复杂的IDSes被发明和发布。在美国,几乎所有的公司都在使用流行的。商用的、专业的版本只需几个传感器就可以轻易地花费几十万美元。我知道许多公司在没有首先部署NIDS(基于网络的IDS)的情况下是不会建立网络的。
不幸的是,IDSes的准确性和性能问题比杀毒程序更差。大多数NIDSes的工作原理是拦截网络数据包。平均每台计算机每秒接收数百个数据包,甚至更多。NIDS必须将已知的签名与所有这些网络数据包进行比较,如果这样做,即使比较准确,也会大大降低网络流量,使计算机的网络通信和涉及的应用程序变得无法忍受的迟缓。
因此,nids所做的是将网络流量与几十个或几百个签名进行比较。我从来没有见过一个入侵防御系统有200个签名被激活——这与他们应该检查的数千万个恶意软件和数千个网络攻击签名相比是微不足道的。相反,我们已经习惯了NIDSes不能被配置成有意义的精确,所以我们“微调”它们,使其对杀毒软件检测不太准确的东西有一定的准确性。
安全蛇油5号:防火墙我职业生涯的一部分时间都在告诉人们,一定要使用防火墙。如果你没有,我可能会写一份审计报告。但事实是,防火墙(传统的或先进的)很少能保护我们免受任何伤害。