由于我参加了周五的圆桌讨论(见之前的博客文章),可能会对我的安全理解水平产生一些疑问,并质疑英语是否是我的第一语言,所以我想在这里通过解释其他人的想法来澄清一些困惑。
其中一个问题是:您认为终结补丁/黑客/补丁周期的最终解决方案是什么?补丁/黑客/补丁周期是当今企业安全的基石。
这个很简单。在那里是没有解从来没有将一个。是的,有时候真相是伤人的。由于编码社区承担了部分责任,我将向他们解释如下:
10黑客
20.补丁
30.转到10
从第一次开始就是这样的循环物理贴片应用于霍尔瑞斯制表机器穿孔卡片(我相信是在星期二)。据传这些最初的补丁是为了响应第一个补丁而发布的黑客它是由19世纪末制表系统的竞争对手查尔斯·f·皮钦和威廉·c·亨特执行的。
首先,电信网络的每一个协议、平台和框架最初的开发都没有考虑或需要安全性。由于技术进步不允许“重来”,这将永远是一个核心问题。因此,许多人采取了“只要贴够创可贴,就能止血”的策略。使用这个战略类比需要把应用程序和互联网想象成一个被肝素攻击的血友病患者。尽管安全厂商尝试注射VIII因子和软件公司注射鱼精蛋白,但预后很差——远远不能治愈。(我不想再做医学类比了)
预防经常被吹捧为最好的保护方式。但我们怎么知道我们在防止什么呢?在一般意义上,显而易见的答案是:漏洞和利用。但是,如果不知道它们的具体存在和作用机制,我们就无法通过预防来提供保护。而安全社区的漏洞公开通常是一种信息丰富的发现方法(当不存在时)被法院命令封杀),很大一部分发现来自于对系统开发后的分析。因此,我们只剩下了无休止的hack, patch, hack, patch....的过程直到一种预先认知补丁形成。
对传统patch过程的检查揭示了周期性模式:
- 脆弱性识别
- 临界评估
- 补丁开发和测试
- 斑块分布
- 公众采用及安装
- 通过新的漏洞获取p0wn3d,冲洗并重复
这种过于简化的假设是,补丁在发布后立即应用,安装和后续功能不会出现问题或冲突……远离现实的假设。
漏洞修补过程的时间复杂度有点弄巧成拙。从漏洞公开到其相应补丁可用性之间的时间间隔——暴露窗口——是一个关键间隔。在这一时期,制度理论上是可以被利用的。此外,平均到补丁时间的可变性,或patch-latency,可以延长暴露窗口,当补丁安装严重滞后于其可用性。这可能会造成一场逆向工程补丁的竞赛,攻击者试图在系统执行补丁之前制造漏洞。最终的结果通常为创建恶意程序提供了足够的时间,从而使大众能够自动利用这些程序。
本分析的一个相关变量是责任漏洞披露的定义。不同的披露模型表明,安全研究人员的基本信念与许多企业供应商的基本信念相反。不幸的是,通过模糊的方式暴露安全实践导致组织寻求法律起诉,而不是解决底层系统的不安全性。只要这个问题仍然没有得到解决,供应商选择忽略系统漏洞或防止完全披露,利用的时间就会比打补丁的时间短。
一些公司在代码审查和补丁可用性方面做出了更大的努力。微软的两项新举措可利用性指数和微软主动保护计划(MAPP)是为了解决这些问题而开发的。然而,10月的补丁周二包括11个安全公告其中四项被评为“危险”。在此之前,一些行业参与者发布了大量漏洞和缺陷。苹果最近的安全更新2008 - 007今年的安全漏洞总数增至250个,思科也做到了发布一组针对IOS漏洞的安全补丁,包括SNMP中的一个关键漏洞。
尽管在安全性和补丁管理方面取得了进步,但随着时间的推移,几乎没有什么变化。信息技术的快速发展创造了获取资源的创新,为创造性发展提供了丰富的平台,并彻底改变了人机交互体验。不幸的是,发布到市场的最后期限带来的竞争业务压力导致产品缺乏质量保证和不充分的安全测试。
在军事应用中所讨论的“防守者的困境”指的是一种困难的战术措施。当防御者的资产变得更大、更受欢迎时,攻击者的数量也会增加。防守者面临的问题是必须保护更多的球员,以对抗更大的威胁。攻击者只需要找到一个入口来进行妥协,而防御则需要在每一个潜在的攻击区域进行。这种情况可以很好地转化为信息安全,然而,现在它是“CSO的困境”。
再一次…没有解决办法……但至少还有工作保障。
我可以在greyhat@computer.org上申请补丁