面临淘汰的十项安全技术
coder e-works

   每一波新技术都会带来新的风险,安全社区必须努力抵御各种攻击。

 

    你最近有没有启用软盘的写保护模式来抵御启动病毒或恶意覆盖?你有没有关闭调制解调器来阻止黑客?你是否上传ansi.sys驱动程序来防止恶意文本文件重新映射你的键盘以让你的下一个按键重新格式化你的硬盘驱动器?你是否有检查你的autoexec.bat和config.sys文件以确保没有恶意条目被插入到自动启动恶意软件?

 

    如果你在计算机安全领域有足够长时间,你肯定看到过各种各样安全技术。现在这个时候,我们可以开始预测哪些技术将会继续改进,哪些技术早晚会过时。攻击和技术的变化速度意味着所谓的尖端防御技术(例如生物特征身份验证和高级防火墙)最终将会消失,本文中让我们看看哪些防御技术将会被淘汰。

 

    面临淘汰的安全技术第1名:生物特征身份验证

 

    生物特征身份验证是确保登录安全性的“万灵药”,毕竟,对于不擅长登录身份验证的人来说,通过脸、指纹、DNA或者其他生物特征标记进行身份验证似乎是完美的登录凭证。但专家表示,生物特征识别技术并不像大多数人认为的那么准确;而且,一旦被盗,你的生物识别标识不能改变。

 

    例如你的指纹。大多数人只有10个手指,在你使用指纹作为生物特征登录凭证时,这些指纹(更准确地说,这些指纹的数字形式)必须被储存用于此后登录时进行比较。然而,登录凭证经常被泄露或被盗。如果坏人窃取了你的指纹数据,系统怎么可以辨别你的指纹与此前接收的指纹数字形式?

 

    在这种情况下,唯一的解决办法让所有可能依靠你的指纹识别的系统取消对你的指纹识别,但这几乎是不可能的,对于其他生物特征标记同样是如此。

 

    而且,当你无法再使用你的指纹,而系统必须通过你的指纹来验证时,那该怎么办呢?

 

    为了抵御已经获取你的生物识别登录标记的攻击者,唯一的方法是在使用生物识别的同时,结合使用只有你自己知道的密码、PIN码等。不过,这些密码也可能被泄露,智能卡和USB密钥卡等非生物识别双因素登录凭证也是如此。在这些情况下,管理员可以简单地发给你新的物理因素,你可以使用新的PIN或密码。但生物特征识别因素就不可更改。

 

    虽然生物识别登录凭证正迅速成为流行的安全功能,但并没有全面普及。在人们意识到生物识别登录的局限性后,它们将会失去人气,总是会需要第二个验证形式,或者只有在不需要高安全性识别中使用。

 

    面临淘汰的安全技术第2名:SSL

 

    Netscape在1995年发明了安全套接字层(SSL),二十多年来,SSL发挥了重要的作用,但Poodle攻击让我们看到,SSL已经遭到不可逆转的破坏,并且无法修复。而SSL的替代品TLS(传输层安全)稍微好一些。在本文讨论的所有面临淘汰的安全技术中,SSL是最可能被取代的。

 

    问题何在?成千上万的网站依靠或允许SSL。如果你禁用所有SSL(这是主流浏览器新版本中的常见默认设置),大多数网站将无法运作,即使可以运作,也只是因为浏览器或应用程序接受“降级”到SSL。如果不是网站和浏览器,那么将会有数百万旧的SSH服务器。

 

    OpenSSH最近似乎不断遭到攻击,虽然半数OpenSSH攻击与SSL没有关系,但另外一半的攻击是因为SSL漏洞。数百万SSH/OpenSSH网站仍然在使用SSL,尽管它们不应该使用。

 

    更糟的是,技术人员之间使用的术语也在加剧这个问题,因为计算机安全行业几乎每个人都将TLS数字证书称为“SSL证书”,尽管他们不使用SSL。这就像把复印机称为施乐,而其实它根本不是这个品牌。如果我们将SSL淘汰,我们需要将TLS证书称为TLS证书。

 

    面临淘汰的安全技术第3名:公钥加密

 

    这可能会让有些人感到惊讶,但在量子计算和密码学研究成功后,现在我们使用的大多数公钥加密(RSA、Diffie-Hellman等)的机密很快会成为可读。很多人早就预计,在几年后我们将会看到可用的量子计算。当研究人员最终实现量子计算后,大多数公共加密算法将会被破解。世界各地的间谍机构多年来一直在保存加密的机密,等待这些技术突破,或者根据传闻称,他们已经破解了这个问题,并正在阅读我们的秘密。

 

    长期以来,Bruce Schneier等加密专家质疑量子密码技术的力量。但即使是批评家也不排除这种可能性,即RSA、Diffie-Hellmann甚至是ECC加密的信息都可能会变成可读。

 

    这并不是说没有反量子加密算法,基于lattice的加密技术和Supersingular Isogeny Key Exchange等就是这样的加密算法。

 

    面临淘汰的安全技术第4名:IPsec

 

    在启用后,IPsec允许两个或多个点之间的所有网络流量受到加密保护,以确保数据包的完整性和隐私性。IPsec发明于1993年,并在1995年成为开放标准,它受到数百家供应商的支持,应用在数百万企业计算机中。

 

    与本文中探讨的大多数面临淘汰的加密技术不同,IPsec还很好用,但它存在两个问题。

 

    首先,尽管广泛得到使用和部署,但它从未达到必要的临界点以保持它更长的使用。此外,IPsec很复杂,并非受到所有供应商的支持。

 

    IPsec的复杂性也带来性能问题。当它启用时,可能显著减慢使用它的所有连接,除非你在隧道的两侧使用专门的IPsec硬件。因此,数据库和大多数网络服务器不能使用它。并且,这两种类型的服务器是大多数重要数据保存的位置,如果不能保存最重要的数据,它有什么用处呢?

 

    另外,尽管它是常用的开放标准,但IPsec部署在供应商之间通常不可行,这是阻止其广泛部署的另一个因素。

 

    但IPsec的“丧钟”主要是HTTPS的普及。当你启用hTTPS时,你不会需要IPsec。这是一个非此即彼的决定,HTTPS已经赢了。只要你有有效的TLS数字证书和兼容的客户端,这就会可行:没有互操作性问题,低复杂度。这会有一些性能影响,但对大多数用户来说并不明显。这个世界正在迅速变成HTTPS默认的世界,而同时,IPsec将会消亡。

 

    面临淘汰的安全技术第5名:防火墙

 

    HTTPS的普及基本上也宣告了传统防火墙的末日。笔者在2012年时提出这个结论时,很多人会说笔者错了,因为三年后,防火墙仍然随处可见。但大多数防火墙没有配置,大多数防火墙也没有太多价值,而且有过于宽松的规则,这基本上意味着防火墙有害无益,它智慧减缓网络连接。

 

    无论你怎么定义防火墙,它必须包含一些部分仅允许特定的预定义的端口。随着我们转移到仅HTTPS的网络连接,所有防火墙最终将只有少数规则—HTTP/HTTPS也许还有DNS。DNS、DHCP等其他协议也将开始使用HTTPS,当发生这种情况时,防火墙该何去何从?

 

    主要包含防火墙通常是抵御针对易受攻击服务的远程攻击。远程易受攻击服务、远程可利用缓冲区溢出,曾经是最常见的攻击,例如Robert Morris互联网蠕虫病毒、Code Red、Blaster和SQL Slammer。但你最后一次听到全球性快速反应的缓冲区溢出蠕虫是什么时候?也许是在上世纪80年代和90年代。从本质上讲,如果你没有未修复的易受攻击的监听服务,那么,你就不需要传统防火墙,现在你不需要。是的,你并不需要防火墙。

 

    防火墙供应商通常会称他们的“先进”防火墙具有超越传统防火墙的功能,非常值得购买,但事实证明并非如此。如果它们执行深度包检测或签名扫描,这要么会显著减慢网络流量,并充斥着误报,要么仅扫描小部分攻击。大多数先进的防火墙仅扫描几十到几百个攻击,而现在,每天会新出现39万恶意软件,还不包括与合法活动没有区别的攻击。

 

    即使防火墙可很好地抵御攻击,但它们并没有真正的作用,因为它们无法阻止大多数企业每天面临的两个最大恶意攻击:未打补丁的软件和社会工程学。

 

    无论出于何种原因,防火墙现在几乎已经没有用。

 

    面临淘汰的安全技术第6名:防病毒扫描仪

 

    根据统计数据显示(+本站微信networkworldweixin),目前恶意程序已经达到几十到数百万计,这个事实让防病毒扫描仪几乎没有可用性。

 

    但并不是完全无用,因为它们会帮助普通用户阻止80%到99.9%的攻击。但普通用户每年面对着数百恶意程序;即使是最好的情况下,攻击者总会赢一次。

 

    这并不是说我们不应该表扬防病毒供应商,他们已经做了很好的工作。但真正让防病毒扫描仪淘汰的不是恶意软件的数量。而是白名单,现在,一般电脑会运行你安装的任何程序,这也是恶意软件无处不在的原因。但计算机和操作系统制造商开始改变这种模式,“默认运行,阻止异常”正在让位给“默认阻止,允许特例”。

 

    当然,计算机早就有白名单程序,又称为应用程序控制程序。在2009年,笔者就评估了一些比较受欢迎的产品,问题是:大多数人没有使用白名单技术,即使这是内置技术。最大的障碍是什么呢?如果用户无法按意愿安装自己想要的程序,他们可能会做什么呢?而如果允许他们安装,还有巨大的管理工作。

 

    但恶意软件和攻击者正变得越来越普遍和严重,供应商正在开始在默认情况下启用白名单。Apple公司的OS X在三年前的Gatekeeper中退出了默认的白名单技术,而iOS设备也只能允许App Store中经批准的应用程序(除非设备越狱)。Apple公司的做法非常成功地阻止了一些恶意程序。

 

    微软早就有类似的机制,通过其软件限制政策和AppLocker,但其Windows 10中DeviceGuard具有更强大的机制。微软的Windows Store也提供与苹果公司的App Store相同的保护。虽然微软不会在默认情况下启用DeviceGuard或者仅允许使用Windows Store,但这些功能就在那里,比以前更容易使用。

 

    在白名单成为主流操作系统的默认设置后,恶意软件和防病毒扫描仪都将消失。

 

    面临淘汰的安全技术第7名:反垃圾邮件过滤器

 

    垃圾邮件仍然占互联网电子邮件的一半以上。你可能不会注意到这一点,这主要归功于反垃圾邮件过滤器,该技术已经达到非常精确的水平。然而,垃圾邮件发送者每天会发出数十亿不必要的邮件,最终,只有两件事情会阻止他们:通用、普适、高保证的认证和更有凝聚力的国际法律。

 

    垃圾邮件发送者仍然存在是因为我们不能轻易抓住他们。但随着互联网逐渐成熟,普遍的匿名性将会被普遍的高保障身份所取代。这样的话,当有人发送向你邮件时,你可以确保他们的身份。

 

    只有当所有用户采用双因素(或更高版)身份验证来验证其身份,还有使用身份保证的计算机和网络时,我们才可能建立高保证的身份体系。发送器和接收器之间将会有更高水平的可靠性,部分这种可靠性将由HTTPS提供,但最终将在身份验证的每个阶段需要额外的机制,以确保用户的身份。

 

    现在,几乎任何人都可以宣称自己是某某某,而且没有普遍的方式来验证每个人的说法,但这将会改变。我们依靠的所有关键基础设施(交通、电力等)需要这种身份保证。互联网现在可能还是狂野的西部,但最终将会发生改变。

 

    同时,在不久的将来,在几乎每起网络刑事起诉中涉及的国际边界问题可能得到解决。现在,很多大国不接受其他国家提供的证据,这使得逮捕垃圾邮件发送者几乎不可能。你可以收集所有证据,但如果攻击者的所在国不执行逮捕,你的工作都是徒劳。

 

    但是,随着互联网逐渐成熟,那些不帮助逮捕互联网最大罪犯的国家将受到惩罚,并可能放置到黑名单中。事实上,已经有国家是这样。例如,很多公司和网站拒绝来自俄罗斯的流量,无论是合法与否。

 

    面临淘汰的安全技术第8名:反DoS保护技术

 

    上述提到的身份保护机制也将让拒绝服务攻击和抵御它们的技术面临淘汰。

 

    现在,任何人都可以启用免费的互联网工具来用数十亿数据包来淹没网站。大多数操作系统都有内置反DoS攻击保护,并且,当遭受海量假信息的袭击时还有几十家供应商可以帮助保护你的网站。但身份保证将可以阻止所有DoS流量的发送者,在我们发现他们后,就可以逮捕他们。

 

    例如:早在20世纪20年代,当时出现了很多著名的银行劫匪,而银行最终加强了其保护机制,警察也可更好地识别和逮捕他们。如果这些劫匪仍然打劫银行,他们会被逮捕。DoS发送者也会面临这样的结果。只有我们能够找到他们,他们就会消失。

 

    面临淘汰的安全技术第9名:海量事件日志

 

    计算机安全事件监控和预警是很困难的事情。每台计算机可容易地每天收集数万事件日志,并将这些日志收集到集中式日志数据库,很快你会需要PB级存储空间。现在的事件日志管理系统因其庞大的磁盘存储阵列规模而被称赞。

 

    唯一的问题是:这种事件日志记录行不通。当几乎每个收集的事件数据包没有价值且未读时,所有这些未读事件会带来巨大的存储成本浪费。很快管理员会要求应用程序和操作系统供应商给他们更多信号和更少的噪音,给他们更有用的事件,而不是无效的信息。换句话说,事件日志供应商将很快会开始吹捧他们的产品占用多小的空间而不是多少钱。

 

    面临淘汰的安全技术第10名:匿名工具

 

    最后,任何匿名和隐私错误的痕迹将被彻底抹去。匿名躲藏的攻击者将会被逮捕,并用其真实的身份得到监狱编号。

 

    事实是,匿名工具已经不可行。很多公司以及执法机构已经知道你是谁。唯一的区别是,在未来,每个人将会心中有数,并停止假装他们正在保持隐蔽和匿名。


CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢