自从十余年前安全顾问职位的首次出现,威胁形势如今已经发生了彻底转变——而且随着防御机制的不断完善,计算机安全水平已经达到前所未有的新高度。
安全变化之一:黑客活动呈现出专业性走势
当初刚刚进入安全行业时,笔者接触到的几乎所有威胁都属于恶意程序(包括病毒、蠕虫以及木马等等),且通常属于年轻人们恶作剧的产物。虽然其中一部分恶意程序确实造成了实际危害,例如格式化磁盘或者擦除数据文件等等,但大部分只是单纯对受害者进行骚扰。但如今我们面临的是一大帮专业甚至由国家负责资助的黑客,而且他们可绝对不讲什么规矩。
现在几乎所有恶意软件都拥有极为明确的犯罪目的,例如窃取钱财或者偷盗重要商业机密。那些只知道鼓捣脚本的年轻人已经不见踪迹,取而代之的是一大帮训练有素的黑客团体——他们每天从个人及企业受害者处窃取的资金以百万美元为单位,而且几乎从未被逮捕或者起诉。恶意软件已经由过去那些无害甚至颇为有趣的病毒及蠕虫发展成了专门进行身份窃取或者实施勒索计划的工具。
任何一位持有信用卡的朋友都面临着财务身份遭到窃取及伪造的风险。当财务记录的泄露规模达到上亿条之巨时,任何人都没办法独善其身。时至今日,还有人敢信誓旦旦地保证自己的信用自由没有受到监控吗?答案恐怕是否定的。
高级持续性威胁(简称APT)正在以正式或者非正式途径窥探国外政府的一举一动,而这已经成为新的常态。其背后的操纵者们肆无忌惮地偷盗隐私文件与邮件、甚至是专利与合同资料,就像孩子们在田野中采摘花朵般轻松愉快。
各个国家目前都在利用自己的攻击性网络安全手段窥探其它国家领导人的电子邮件——或者直接摧毁其有形资产(例如核物质离心机)。而哪个国家拥有最为强大的黑客,其就能在这场新时代的冷战当中成为最后的胜利者。
安全变化之二:每个人皆受到安全威胁
时至今日,每个人皆受到安全威胁。这样的说法毫不夸张,事实上每家值得黑客们袭击的企业都已经或者可能即将受到攻击。基于这种状况,新的防御战略规范被建立起来,也就是所谓“攻击假定”,这意味着我们已经承认自己无力彻底消除持续存在的安全威胁。
事实上,安全态势一直不容乐观。我们从来都没能有效阻止恶意人士的肆虐活动。真正改变的是,现在我们开始承认并积极面对这种令人忧心的状况。当大家假定攻击活动已经存在时,我们的防御战略自然也需要随之做出改变。
安全变化之三:漏洞检测工具得到改进
曾几何时,杀毒扫描软件就是我们实现漏洞检测的主要工具。但现在,多家新兴企业及其产品已经构建起一整套全新的检测体系,帮助我们及时识别出正在发生的恶意活动,甚至包括由“合法”用户做出的恶意行为。
事件监控系统正不断完善。很多企业现在开始对每天数以十亿计的事件进行记录与分析,而因此所使用的超大容量磁盘存储阵列在不久之前还足以容纳世界范围内的所有数字化内容。
入侵检测机制也不再满足于检测简单的恶意活动,而是进一步对企业自身以及内部员工超出合理范围的行为加以控制。指向已知且可能存在问题的网络的连接会被全程追踪,并像几年前的杀毒检测机制那样将结果汇报给管理员。数据泄露防护(简称DLP)已经形成了一整套规模可观的生态系统。
十年之前,当时以文件附件为载体的蠕虫病毒刚刚在网络上出现,企业不得不通过关闭电子邮件服务器及网络的方式加以应对。如今防御阵营则构建起更加稳固的计算机管理方案与高度隔离的管理环境,从而对被检测出异常活动的网络区域进行封锁。
尽管意外状况仍时有发生,但目前计算机基础设施与互联网已经成为企业不可或缺的重要业务组成部分,而且几乎没有哪家企业会选择全面离线的方式来应对哪怕最为严重的安全威胁。换言之,如今的防御者们必须在解决出血状况的同时,保证病人继续拥有稳定的生命体征。
安全变化之四:多因素验证快速普及
笔者刚刚涉足计算机安全领域时,只有政府机关或者极少数机密研究机构会强制要求员工利用智能卡或者其它多因素验证工具来证明自己的身份。现在几乎每一家企业都开始或多或少地使用这类方案。另外,大部分企业还拥有出色的物理安全保障制度,从访客接待桌到停车场皆是如此,计算机房也已经变成了大门紧锁的密闭空间——甚至连服务器都被罩在一个个铁架之内。
每个人都拥有大量密码需要管理,但多数企业以及最具人气的各大社交媒体站点现在亦开始推广双因素验证机制。移动手机与常见操作系统在默认情况下配备生物识别技术。最终,单纯依赖密码进行身份验证的时代将彻底结束,就像其它曾经被淘汰的验证机制一样——例如纸质记录方式以及不设用户照片及芯片的信用卡。
安全变化之五:加密成为新的默认选项
尽就目前来讲,大部分主流操作系统、计算机以及移动设备都具备内置且默认开启的磁盘加密机制。而且越来越多的网站也开始默认使用SSL(实际上是TLS)加密机制。
默认加密将意味着即使一台计算设备遭到窃取,受害者保存在其中的数据也不会被泄露或者报告给监管机构(以及媒体)。考虑到这一点,恶意人士以及未经授权的政治活动家也将不再热衷于监听我们的隐私对话及个人交易活动。
而从长远角度看,我们必须回答这样一个关键性问题:如何监管机构的判断是正确的,我们该怎么办?也许恶意人士真的能够依靠默认加密机制以隐私之名行罪恶之实?但就个人而言,对此并不认同。真正的犯罪分子已经拥有并一直在使用高强度加密手段,而且在大多数情况下监管机构仍然能够揪出他们并加以锁定。惟一的区别在于,在默认加密的世界当中、合法使用者的个人隐私也将得到确切保护。