2006年3月30日,安络科技常务副总谢朝霞应邀出席了“2006年中国计算机网络安全应急年会暨亚太地区应急组织年会”,并代表安络科技做了主题发言。
作为资深的网络安全专业公司,安络科技的安全专家团队多年来一直致力于促进广大用户IT系统的稳固与安全。面对日益严峻的IT安全形势,及日新月异的IT攻击技术,安络人不满足于当今世界现有的信息安全理论和标准,除不断从丰富的安全实战案例中汲取经验外,还同时积极探索IT安全攻防活动中的深刻规律,力图发现有利于客户利益、有利于安全产业发展和有利于安全技术研究的攻防科学规律。
近年来安络人利用哲学领域中的科学哲学观,采用独立自主的思维方式,对IT安全攻防领域中一系列容易令人迷惑的问题做了初步的探索,对攻防规律进行了猜想、提炼、反驳和论证,并在借鉴了多位中国信息安全专家的意见基础之上,对IT攻防领域中的一些哲学问题进行科学思考,取得了一定的理论成果假设,除此之外还对未来的信息安全发展趋势做出了一些大胆估计。谢朝霞代表安络科技在应急年会上发布了这一原创的探索成果。
一、IT攻防安全的定义及标准
我们搞工程的人,很容易把科学和技术两者相混淆。在IT安全领域,我们所有人都几乎忽略了一个事实,那就是我们研究信息安全技术很多,但我们考虑信息安全科学问题太少。信息安全科学回答的是安全是什么和为什么的问题,而信息安全技术则是回答安全做什么和怎么做。
举一个例子。祖孙两个争论谁更无知。爷爷说我虽然是初小毕业,但我做了一辈子的机械维修,任何机床出问题我只要一个小时之内就可以找到原因,我吃的盐比你吃的米多;
孙子说我虽然大学还没有毕业,没有任何经验,但我知道牛顿三定律、材料力学和高等数学,所以我知道机床出问题的根源。
以上情况,我们有很多人相信,大学毕业的孙子在机修方面可能只要十年时间,就能赶上爷爷。这就是科学的力量。那我们到底是要做固步自封的爷爷,还是要做用科学去思考问题的孙子?我们做安全的如果不去考虑信息安全的科学问题,很多人最终会成为那个爷爷。而求知的理性告诉我们,关于信息安全我们还有太多东西不明白,我们应该去做那个孙子。
下面进入正题。
多年来,作为一个安全行业的从业者,我一直在致力于使我客户的IT系统更安全。那么,对于一个特定的IT系统,它真正的安全应该是什么样子的?我们如何去判断这个系统的安全性已经合格呢?我们任何人的安全知识是有限的,我们又怎么知道还有没有未知的安全问题我们没有解决呢?因此,当我们去解决安全问题的时候,我们仅仅是在解决已知的错误,其实我们自己并不知道要把安全做成什么样子才算终结,也就是说我们并不知道IT安全的目标是什么。至于我解决安全问题的做法,我相信这些做法可以使IT系统更安全,但我居然连自己的目标是什么都不知道,那我又怎么能判断我的行为可以使IT系统更安全呢?
因此,我们需要去搞清楚一个问题,IT安全的原定义及标准到底是什么?
有的人可能会告诉我,真正的安全是一个基于时间的概念。(注意,这个说法有点科学的意思了)一个密码,或者一个系统,对其攻击破解的时间如果超过3年、5年,或者它的生命周期,那么就是安全的。这个论调流传已久,它是最早的静态安全防御思想。而这个思想显然经不起分布式攻击的考验。因此又出现了以后所谓的动态安全防御,这个概念上是防守方的实时检测和反应的时间和,要小于攻击破解的时间。这个思想似乎描述了一个完美的安全模型,但它有三大毛病:
1、 自相矛盾:既然承认检测和反应都需要时间,那么反应时所截获的状况已经不是检测时的情况了,这个公式在现实中是不可能实现的,就好象三角形两边和不可能小于第三边一样。
2、 适用面狭隘:把安全工作逼入被攻击者牵着鼻子走的窘境。
3、 不承认存在未知的攻击,和貌似正常的攻击方式。
上述两个理论提到了什么是安全的标准,但显然是极其狭隘的,后来还出现了很多的安全防御思想和理论,但后来的这些包括深度防御、等级保护等都是技术性的标准,只说了怎么做,并没有告诉我们安全是什么,和为什么要这么去做。
例如我们打开ISO17799的第一页,关于信息安全的定义,只说了这么几句:
信息安全的主要特征在于保护其
- 保密性:确保只有那些经过授权的人员可以接触信息
-完整性:保护信息和信息处理办法的准确性和完整性
-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产
这仅仅回答了信息安全怎么做,而没有告诉我们安全是什么。这三性是不是就代表安全的全部,以及为什么要保护这三性?都没有答案。
为了避免陷入复杂的讨论,在这里我仅针对攻防双方对IT安全进行探讨,提出以下的前提和假设:
n IT安全研究的主体是作为防御方的人和信息系统,其对立面是攻击方。
n IT安全,是指信息系统的防御不发生违背人的意志的情况和事件,即不发生错误。
从这个定义我们可以推导出追求安全的方法:
n 追求安全的真理从寻找错误和漏洞开始
n 我们不应该自认为有办法使系统安全,但是我们应该尽力地减少一切不必要的错误。(风险、威胁)
n 我们不能宣称我们做到了安全,而应该清楚地认识到我们一定会犯错误。这样我们才能更接近安全。
那么存在判断安全的标准吗?是什么?
由于我们不可能不犯错误,因此安全的至高标准是个难以实现的极限,也就是说没有绝对的安全标准。
虽然没有绝对安全的标准,但存在着寻求安全中的进步的理性标准,因此存在着更安全(安全进步)的标准。
更安全的理性标准是什么?错误更少或更轻?
回答是攻击是检验安全的唯一方法。同样成本的条件下更难攻破的那个更安全。
因此解决安全问题,它始于一种试错法,始于批评活动,我们批评地检查安全假定,以便能发现错误,希望消除错误从而更接近安全。
黑客也好,安全专家也好,好的安全专家或黑客都是好的批评家。
二、成本决定安全-攻防的成本论
由于安全是一种减少错误的活动(也包括约束错误),因此安全活动是需要成本的。相反,攻击活动也是在寻找和利用错误,因此也同样需要成本。这些成本包括了技术、人力、时间、硬件和情报信息等。
由此我们可以解释一些很多原来令我们犹豫不决的论断。
比如一个论断是,在这个世界上没有一台我进不去的电脑。
侵入这台电脑的成本取决于这台电脑的用户和这台电脑本身的安全成本情况。不管这个用户上不上网,理论上我都可以进入。比如如果他用的是Windows,那么有一种成本很高的做法,就是在微软发行的操作系统产品代码里加入我的代码,当然前提是必须进入微软的开发部门的内部协作网络。
当然我也可以用一种无人机的方式在网络散播我那低调的黑客代码,总有一天这些代码会进入这个用户的电脑,这当然也取决于我的代码的扫描、入侵、隐藏和复制的能力有多强。
存在很多种进入方式,但我的任务是找一种成本最低的。
由此我们还可以知道,我们安全工作的目标是使我们潜在的攻击者的实施成功攻击的成本达到他无法承受的程度,或者迫使攻击者另外寻找更脆弱的其他目标。
所以我们可以这样要求用户:我们不必过多地投资在IT安全上,我们的任务是使我们的系统在同类中是最安全的。
了解了这一点之后,我们也可以理解,为什么攻击者总是会采用避实击虚的原则,为什么游击战术可以适用于远程攻击,为什么孙子兵法可以用于安全工程实践。
根据安全成本说,我们还可以预测信息安全未来的发展趋势。首先要说的是:
一方面,操作系统和软件开发商的产品在十多年来,已经经历了无数次攻击,这迫使他们不得不投入大量的人力物力到改善他们产品的安全性上去,因此对于软件产业来说,软件技术无疑是越来越安全的,攻击这些软件所需的成本将越来越高;尤其是较为底层的攻击。这将迫使大多数攻击者的视线向应用层转移。
另一方面,软件商除了不断地排除软件的安全问题外,还不断地增加软件的新功能和新应用,也就不断地带来了新的错误。软件商的创新迫使攻击技术必须不断创新;但如果攻击技术不创新,或者无新可创,软件将变得越来越安全,由于成本的考虑,将使软件商在以后忽视安全,这样又会带来新安全问题的发生。因此安全需求将始终存在,安全产业总有生存空间。
三、对我们自己的定位(对微软这类寡头切入IT安全领域的预测)
微软公司这个巨头已经切入了网络安全领域,这将对产业带来什么样的影响?是不是安全公司的生存空间将逐渐缩小甚至消失?
要回答这个问题,不仅要掌握安全的科学哲学观,而且要运用攻防成本论进行分析。
长期以来,存在着这么一个鲜为人知的事实:
例如:从1999年到2004年这五年期间,被世人发现的windows2k的安全漏洞,绝大多数属于微软早已经掌握的,而其数目不到微软自己掌握的5%!
从这点我们知道,微软对自己的错误了如指掌。同时,微软还花了巨大的成本去发现这些错误。但也正因为出于成本的考虑,除非有人发现微软的安全漏洞,否则微软是不会去修补这些问题的。这是一种强烈的信息不对称,这种制信息权在少数人手中的情况,是我们安全工作者最不愿意看到的,对广大用户来说也是最可怕的。
以微软公司的实力,可以开发任何一种市面上的安全产品,尤其是基于Windows平台的安全产品。利用微软的垄断优势,它如果真这么做,无疑可以对安全公司带来严重的打击,持续下去,安全产业和人才将日渐凋零。
那么希望在哪里?希望的根源在于微软产品不可能不犯错,任何时候都具有难以杜绝的安全漏洞。
世人发现了微软的安全漏洞后,针对该漏洞的解决办法和攻击利用方法应同时发布,在微软的解决方案出来之前,这个问题是只有安全公司才能解决的,正是由于这种第三方角色,安全公司才拥有了立身之本。
这告诉我们什么?让我用一段话来结束我的文章:
安全是一种批评活动。安全、攻击和发现错误使我们避免信息垄断,正是因为我们不断地寻找错误,我们才有了立足之地,用户的制信息权才不会被少数寡头所控制,这个世界才会变得真正意义上的更安全。安全工作者和攻击者站在一起,对软件寡头进行监督和批评,这是一种不可替代的安全模式,只有这样,这个IT社会才会真正和谐。
主要哲学参考-《科学发现的逻辑》-卡尔.波普
