作者:SonicWALL首席技术官Joe Levy
针对数据安全的可审计性要求将会逐渐普及
• SSL将重获信任
• 虚拟化将成为一种安全工具
• 双因子认证将开始大规模使用
预测性文章的作者一般都尽量避免太直接的表述,而是喜欢通过暗示的方法提出引人注目的观点,并且通常试图造成这样一种感觉:“这个观点是由本文首次提出的”。这里,我也尊重这一习惯,以比较夸张的方式开始这篇文章。
2007年令人震惊的IT安全预测:在体验过Vista系统全新的并且有效的安全措施(如用户帐户控制和PatchGuard)之后,用户不停地抱怨“微软的系统过于‘安全’了”。史蒂夫鲍尔默回答:“唉,这不是你们一切要求的么?”,但不久之后又不得不做出让步,于是微软发布了Vista Service Pack1,推出了“Windows 95安全仿真”模式。
夸张归夸张,现在让我们回到现实中来:IT供应商多年来一直面临困难的选择:允许无限制地访问和使用所有功能会面临安全风险,而加强安全性又必须以牺牲可用性为代价。通常人们只能在“拥有无限权限的超级用户模式”以及“最高安全级别模式”之间寻找平衡点。不幸的是,准确定位平衡点是非常困难的,最好的情况是IT供应商提供自由的功能选项,而将配置工作留给IT人员和安全管理员。有人认为这样做是不够的,应当在缺省情况下就使用最严格的安全策略,尽管这种建议的初衷是好的,但提供这种观点的人可能确实不太熟悉IT支持工作费力不讨好的特点;另一些人则认为IT太复杂了,而用户教育和培训也没有太大用处,计算机应当变得像家电一样容易使用。尽管这听起来不错,但却太理想化了,而且忽略了这样的事实,即家电产品都是专用的、功能固定的系统,而计算机的价值恰恰在于其开放式应用所具有的灵活性以及由此带来的潜力。
尽管缺乏普遍的共识,但IT行业仍然在坚定不移地追求更高的安全性,特别是在安全强度以及可用性方面。下面是对2007年安全行业发展的一些预测:
• 针对数据安全的可审计性要求将会逐渐普及
大企业多年运营的经验表明,必须有相应的处罚措施才能保证合法操作。因此目前有一种倾向就是将严格的管理延伸到中等规模的企业。让咨询师、审计人员以及检查人员感到沮丧的是,小型企业可能无法忍受合法审计过程所带来的复杂性和成本。在现行法律和管理环境所影响到的所有业务领域中,许多人都认为对于IT行业的影响是最容易管理的,因为IT行业采用的主要是现有技术,包括用于数据存储和传输的加密方法和标准,切实可行的密码和认证策略以及平台,以及预防恶意软件和系统完整性保护的可行方法。要与这一描述保持一致,审计追踪性要求将会被分解,而负担主要落在IT硬件和软件供应商身上。
现在已经有这样的先例,用户起诉产品供应商,因为其产品有可被利用的漏洞和缺陷。因此供应商发现,不得不对源代码进行更全面的测试,从而保证用户不会因常见的漏洞而遭受损失,例如缓冲区溢出和权限漏洞。像Coverity和Klocwork这样的代码执行路径分析工具将会成为开发周期中不可缺少的工具,这样可以保证尽量在发布前发现缺陷并进行改正。提供此类源代码分析工具的企业将会成为安全行业大家庭的一员。这方面的需求还将迫使Flawfinder 和 Splint这样的开源代码分析工具进一步演化,从而为独立开发人员提供可用的代码分析工具。某些地方的司法当局将会强制要求销售此类产品的供应商证明自己采用了此类工具作为安全措施。一系列新的或扩展的行业认证计划将会包括这一部分内容。
在相关的报道中我们看到,今年8月,California州制定了一项含义模糊的关于可审计性的法案:参议院AB 2415号法案。该法案要求任何在2007年10月1日以后生产的针对50个或更少量用户系统销售的无线访问设备(如WiFi路由器或无线防火墙)必须明确以软件和硬拷贝的形式给出警告,告诫用户“其无线网络连接可能会被非授权用户使用”以及如何防止。当然,这样做的表面动机是保护消费者,防止非授权用户利用追踪消费者的网络连接传输违法的内容而对消费者带来可能的伤害。但更深一层的原因可能是为了在出现盗用事件时帮助供应商避免责任。但最有趣的是这一法案可能为下面的案例划上一个句号。在最近Virgin起诉Marson的案子中,美国唱片工业协会(RIAA)起诉Marson女士进行了非法文件共享。这个案子以带有传奇色彩的否认性辩护而成功使RIAA撤诉。正如Marson女士的辩护律师Ray Beckerman在其博客中所说,RIAA撤诉是因为面临这样一个无法取证的事实,“RIAA所指控的非法文件共享行为可能是任何其它能够访问Marson女士的因特网连接或其计算机的人干的(而事实上未启用安全功能的无线网络确实有可能被其它人访问和使用)。”
(有利的预测:不屈不挠的RIAA、 MPAA、IFPI和MPA在花费巨额代价了解到IP地址并不能直接与个人对应后,又联合发起了一项新的运动,旨在加快IPv6的采用,同时试图游说将NAT(网络地址转换)定为危险行为并加以禁止。)
• SSL将重获信任
正如发明SSL的美国网景公司(Netscape)所描述的:SSL是要“在客户端和服务器之间提供保密连接,并且对服务器进行认证,对客户端的认证则是可选的。”自从1994年出现以来到现在,SSL已经丧失了大部分实用价值。早期,因特网是安全的地方,用户在使用采用SSL的网络浏览器时,一旦弹出带有主题名称、认证单位或合法性错误的加密链接警告,用户都会打电话给IT支持人员。由于警告经常是打字错误引起的,或者是由于证书是自我签发的 ,因此IT人员通常会说:“没事,点OK(确定)就行了。”因此,用户很快就变得对于警告没有什么戒心了。当有真正的威胁到来时,系统事实上已经处于危险之中了,SSL却只提供了加密,但没有进行任何有意义的身份认证。令人感到讽刺的是,使事情更糟的是,这种习惯实际上使得SSL可以被恶意代理软件所利用,一旦建立了一个“未经合法身份认证的”SSL连接,目前的防御性内容分析工具(如URL过滤或深度包检测)都无法起作用了,从而使得恶意的流量能够在检测不到的情况下“安全”地传输。
当然,现在情况有了新的变化。新的网络浏览器集成了防网络钓鱼的功能,并且还提供了供老版本浏览器使用的插件,但就像SSL警告一样,这些功能可能很快也会变成前面所述的情况,用户面对出现的警告最自然的反应就是“没事,按OK就行了”。但重要的是,微软的IE 7.0采取了一种聪明的(当然也可能是令人感到比较麻烦的)方式来给出SSL证书警告:当一个进程的SSL参数存在问题时,IE7会给出一个满屏的警告:如果用户以“没事,直接点OK”的方式来处理,那么整个浏览器会话会被关闭。这实际上是一种逆反心理效应,但其强制关闭会话的做法还是非常有用的。这一警告功能可以禁止掉,如果真的这样做的话,用户可能最终又会习惯于仅仅是按OK按钮,而不采取任何其它措施。当然IE7.0这一新特点的最大作用是使得业界开始重新关注SSL的意义。
随着IT支持人员开始认识到IE这一不寻常举动的影响,将会有新的行动来重建SSL连接的合法性。为了做到这一点,从未使用证书认证(CA)服务(或者更弱一些,采用内部CA)的管理人员也将会逐渐转向这种信任链传递方式。特别是经常访问的系统和程序,如SSL-VPN、Web邮件系统和某些基础设施网络以及安全设备将需要更高级别的安全证书,而不仅仅是自我签发或本地签发的证书。如果这种方法得到普及,那么将会为用户带来一种完全不同的使用体验,有关证书的警告将会成为一种受到注意的重要事项。
同时,内容和安全供应商也会调高将SSL作为隐藏传输内容工具这一潜在威胁的响应等级。为了响应采用SSL的隐蔽式匿名代理服务或其它利用SSL的威胁,内容安全解决方案将会采用更严格的措施,例如禁止可疑的SSL连接(采用自签发或未知CA机构签发的证书)和SSL代理(特别是避免SSL中间人攻击),从而达到重新获得内容可视性的目的。这种新的形势将会重新确立对于SSL的信任,并且使PKI服务重新获得活力。
• 虚拟化(Virtualization)成为新兴的安全工具
除了提高生产能力、可扩展性、节约空间和能源等经济因素以外,虚拟桌面还为用户提供了相对不易受系统崩溃影响的计算环境。随着恶意软件感染的方式和途径越来越隐蔽,并且更加难以检测和清除,IT人员越来越多地选择采用虚拟机器映像的方式将机器迅速恢复到已知的正常状态,这样做就不必重新安装或映像整个PC或服务器。AMD的Pacifica和英特尔的VT扩展技术为虚拟化技术提供了硬件优化支持。受此推动,安全软件供应商将会提供在更完善的超级监控(hypervisor)和虚拟机器监控架构上运行的产品,从而在虚拟机器中提供相对不易崩溃的针对实时恶意软件的防疫能力。
类似Altiris的软件虚拟解决方案,微软的SoftGrid、Vista等针对遗留应用的UAC文件和注册表虚拟化所提供的虚拟运行层会变得更为普遍,这样程序就可以安装在虚拟机器中而不会为主机带来风险。带有强认证和可靠的连续数据保护(备份)解决方案的大容量集成存储将用于虚拟映像库的存储和安全。
正像代码分析软件被做为安全工具一样,虚拟开发环境(VDE)也会变成开发周期中的一部分。即将流行的虚拟机器平台将提供完全的记录/回放能力,为运行过程中任意点存储器和处理器状态的分析提供一个时间状态机。在VDE环境中进行开发工具,可使遇到的所有软件缺陷都可以复制和检查,从而大大缩短定位和纠正问题所需要的时间,同时大幅提高整体产品可靠性。
双因子认证将开始大规模使用
双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,特别是在远程访问时,但在其它领域应用还很有限。双因子认证的推广之所以受阻,主要在于其需要使用额外的工具并且为IT和技术支持人员带来负担。其批评者还指出这种方法也容易遭受攻击,即在非常小的时间窗口内,易受到中间人(man-in-the-middle)攻击(这也是采用严格SSL处理的更多原因)。除了这些障碍以外,实际上现在我们已经开始认识到,不采用双因子认证所带来的隐含成本远远比采用双因子认证所需要的成本高得多。受到欧洲银行业的影响,以及欺诈行为带来的成本不断增加,美国金融机构将加快采用双因子认证的步伐,这一行动将会促使消费者更快习惯这一方法。为减轻必须携带专用双因子令牌设备所带来的阻力,可以利用现在无处不在的移动计算平台(如支持Java的手机或通过短信息服务传递的一次性口令)作为双因子客户平台。同时,就象欺诈带来的成本促使银行业采用双因子认证一样,这也是电子商务企业采用双因子认证的主要动力,电子支付行业团体,如PCI和APACS已经开始强制使用双因子认证。这一机制很快将会成为认证领域的通用作法,不久以后我们就会对仅仅采用密码认证的系统产生强烈的不信任感。
一般来说,在安全方面必须接受这样一个事实:并不存在任何形式的硬件或软件能够提供万能的安全解决方案。但这并不妨碍采取相应的安全措施:大门上的锁对“敲锁法”来说可能并不安全,而大门本身也耐不住斧头、锯子、火把或炸药的攻击,但即使这样你仍然不会因为安全系统不完美而始终大门敞开,或者根本不上锁。实际上,多采取一些安全措施会在攻击者和保护者之间的这场战斗中为我们增加一些胜算。当然,前提是这些措施是有效的,否则会造成一种虚假的安全感,反而会使事情恶化,因为用户会因此而警惕性变低。认识到这一点,最好的方式可能是改变游戏的规则,集中精力使数据窃取型犯罪不那么有利可图。
从根本上入手
双因子认证本身并不会使得窃取主密码更难,但它确实可以使窃取到的密码用处不大或根本没有用。同样,围绕面向服务的架构(SOA)和服务型软件(SaaS)的争论非常激烈,因此设计人员必须考虑采取切实的措施使得Web应用漏洞所导致的数据库非法访问无法用来牟利,比较可行的方法是对所有的数据进行有效的加密。当数据访问受到强加密保护时,盗窃物理设备(如笔记本、PDA或服务器)的价值就仅限于物理硬件本身。
让偷窃到的数据没有太大的价值并不是什么新创意,隐私和安全专家多年来不断在督促金融机构采取措施防止罪犯利用偷来的身份获取现金,至少使得获得现金比较困难。总之,并非您的姓名和社会安全号码具有价值,而是由于窃贼获得这些信息后可以比较容易地获得金钱。尽管促进金融行业认证系统采用更强的认证方式来代替简单的数据对比方式并不是我们能够控制的,但这并不意味着我们无事可做。作为消费者,我们应当在可行的时候尽量采用一次性信用卡密码;作为IT专业人员,我们应当积极欢迎新兴硬件和软件创新。抛开数字版权管理方面的讨论以及共谋理论不谈,采用可信计算工作组可信平台模块的工具,如微软Vista的BitLocker 和日立的DriveTrust,现在就已经可以使用了。与此前的软件或专有硬件产品一样,这些解决方案可以使被偷窃的数据立即失效,并且现在这些产品更易于使用。
早期使用者可能会发现,与任何其它增强安全性的努力一样,并没有完美的解决方案,通常还会带来相应的基础设施和支持成本。令人欣慰的是,对于从根本上消灭数据盗窃犯罪来说,这些只是必需支出的少量成本。