復(fù)雜性是否意味著IT安全的沒落?

責(zé)任編輯:editor04

2015-04-17 09:02:00

摘自:中國綠色數(shù)據(jù)中心

摘要:也許,關(guān)于安全問題,最明智的一句話是大衛(wèi) 萊特曼(馬修 布羅德里克飾)在1983年的電影《戰(zhàn)爭游戲(WarGames)》中說的:“我認(rèn)為沒有任何系統(tǒng)是絕對(duì)安全的。但不幸的是,簡單地依靠堆砌越來越復(fù)雜的措施以試圖阻止安全攻擊,可能反而會(huì)帶來更多的問題。

摘要:也許,關(guān)于安全問題,最明智的一句話是大衛(wèi) 萊特曼(馬修 布羅德里克飾)在1983年的電影《戰(zhàn)爭游戲(WarGames)》中說的:“我認(rèn)為沒有任何系統(tǒng)是絕對(duì)安全的。”這樣的想法無疑驅(qū)使著黑客,也應(yīng)該成為企業(yè)的驅(qū)動(dòng)力(當(dāng)然是以不同的方式)。但不幸的是,簡單地依靠堆砌越來越復(fù)雜的措施以試圖阻止安全攻擊,可能反而會(huì)帶來更多的問題。

由簡單到復(fù)雜

最近,我發(fā)現(xiàn)自己的某個(gè)個(gè)人網(wǎng)站被黑,并被留下一個(gè)小而頑固的出售藥品的網(wǎng)站鏈接,由此,我學(xué)到了一些經(jīng)驗(yàn)教訓(xùn)。首先,即使擁有強(qiáng)大的密碼、沒有明顯的外部訪問模式,連接系統(tǒng)也是脆弱的。任何有一個(gè)鏈接到更廣泛網(wǎng)絡(luò)的站點(diǎn)都可能是黑客攻擊的潛在目標(biāo)(甚至未連接設(shè)備也可能存在風(fēng)險(xiǎn))。其次,我學(xué)到了復(fù)雜性可能是黑客們最好的朋友。消除違規(guī)鏈接需要在多個(gè)代碼頁文件中找到那一小段的代碼。不幸的是,黑客并沒有留下任何注釋信息之代碼中提示說“//醫(yī)藥廣告在此”。然而,慶幸的是,我很少更新我的個(gè)人的網(wǎng)站:因而我能夠縮小搜索范圍,將目標(biāo)鎖定到最近更新的一個(gè)單個(gè)文件,并且其代碼包含了一些字符串,可能是一串編碼的URL或類似的東西。

但我的經(jīng)驗(yàn)相對(duì)無痛,雖然這有點(diǎn)討厭,但我并沒有丟失什么重要的數(shù)據(jù),也沒有造成真正的損害,除了花費(fèi)一些時(shí)間來找到并刪除有問題的代碼。但對(duì)于許多公司來說,這就非常嚴(yán)重了,其可能涉及到諸如:客戶信息,研究資料和商業(yè)秘密,并有可能造成價(jià)值數(shù)百萬美元商業(yè)損失。此外,企業(yè)所采用的網(wǎng)絡(luò)和系統(tǒng)要遠(yuǎn)比一個(gè)個(gè)人網(wǎng)站更復(fù)雜,這是問題之一。而黑客侵入主要企業(yè)網(wǎng)絡(luò)的動(dòng)力會(huì)更大,而安全設(shè)備的復(fù)雜性會(huì)帶來獨(dú)特和無法預(yù)見的攻擊機(jī)會(huì)。

以可靠性為例

如果您仔細(xì)想想就會(huì)知道,一個(gè)極其復(fù)雜的安全系統(tǒng)所存在的問題是相當(dāng)明顯的,但它可能對(duì)于考慮某點(diǎn)類似的情況是有幫助的,如:可靠性。例如,當(dāng)建造一架飛機(jī)時(shí),工程師將為各種系統(tǒng)增加冗余,以確保如果其中一個(gè)系統(tǒng)出現(xiàn)故障,備用系統(tǒng)能夠準(zhǔn)備接管。有人可能會(huì)認(rèn)為,在乍看之下,該工程師可以通過增加更多的冗余來簡單地實(shí)現(xiàn)他們想要的任何可靠性水平。但問題在于,除了前面提到的冗余系統(tǒng),比如說,方向舵控制冗余系統(tǒng),還必須有一個(gè)系統(tǒng)能夠管理在發(fā)生故障的情況下實(shí)施系統(tǒng)轉(zhuǎn)移。但是,即使該系統(tǒng)也可能會(huì)受到破壞,因此也可能需要冗余。這個(gè)問題的要點(diǎn)是,超過了某一程度,附加冗余實(shí)際上對(duì)于可靠性是由損害的。

同樣,對(duì)于安全問題而言,其對(duì)于有效的防范黑客的攻擊者有一定的價(jià)值。然而,隨著安全解決方案變得越來越復(fù)雜,一些相應(yīng)的問題也可能隨之出現(xiàn)。安全公司RSA的Amit Yoran表示說:“不幸的是,復(fù)雜性常常是安全的大敵。如果是一個(gè)內(nèi)容豐富、交互式的Web站點(diǎn),黑客只需要一個(gè)簡單動(dòng)作就能夠讓網(wǎng)站被黑。”他在談?wù)摫槐Wo(hù)站點(diǎn)的復(fù)雜性時(shí)提出該論點(diǎn)的,但同樣的道理也適用于安全本身。以下是一些隨著安全措施的復(fù)雜性增加而可能出現(xiàn)的潛在問題:

更多的人參與。隨著安全解決方案變得更加復(fù)雜,企業(yè)的這些安全解決方案會(huì)需要更多的人員來實(shí)現(xiàn)部署和維護(hù)。但企業(yè)要讓每位員工都清楚的了解企業(yè)的每一款I(lǐng)T系統(tǒng)幾乎是不可能的,所以一個(gè)專業(yè)團(tuán)隊(duì)是非常必要的。更為復(fù)雜的問題是企業(yè)往往需要獲得外界的幫助,這在某些情況下可能是最好的選擇,但也增加了更多的外鏈鏈接。

更多的對(duì)策。防火墻,入侵檢測系統(tǒng),惡意軟件探測器等等。所有這些元素如何共同保護(hù)企業(yè)網(wǎng)絡(luò),而不損害其性能呢?這些元素能否都來自同一家供應(yīng)商,或者假定沒有一個(gè)元素能夠執(zhí)行所有的任務(wù)更好呢?無論是哪種情況,都需要管理所有這些元素,更不用說圓滿完成這些特定的任務(wù)是一項(xiàng)艱巨的工作了。

更多的安全攻擊。即使您能夠確保您企業(yè)的系統(tǒng)對(duì)目前所有已知安全攻擊的途徑都是了如指掌的,但黑客明天一定會(huì)找到一個(gè)新的攻擊途徑。您企業(yè)的安全管理實(shí)施,是否能夠隨著時(shí)間的推移,針對(duì)這些新的安全攻擊途徑進(jìn)行快速和容易的更新,同時(shí)不會(huì)打亂您企業(yè)系統(tǒng)性能穩(wěn)定性與受安全保護(hù)之間的平衡呢?而您企業(yè)的員工是否會(huì)圍繞著這些安全監(jiān)管措施,尋求解決方案呢,畢竟,這些安全監(jiān)管解決方案是如此的臃腫和龐大,已然嚴(yán)重影響到了他們正常的工作了。

更多的自動(dòng)化。采用自動(dòng)化,減少一些人為操作可以解決某些問題,但就像在可靠性環(huán)節(jié)的冗余管理系統(tǒng)一樣,這樣做又增加了復(fù)雜性,并甚至可能埋下了新的安全攻擊的途徑。

據(jù)AlgoSec針對(duì)127 名IT安全專業(yè)人士進(jìn)行的調(diào)查顯示,超過半數(shù)的受訪人士認(rèn)為“復(fù)雜的或相互矛盾的安全策略,如防火墻規(guī)則集,路由器ACL,IPS的配置等”是導(dǎo)致其所在企業(yè)發(fā)生安全事件或運(yùn)行中斷的頭號(hào)原因。這些都是安全的一個(gè)方面。

安全保障投入產(chǎn)出的權(quán)衡

這一問題固然是相當(dāng)困難的,您那么有什么解決辦法呢?走極端的過分的復(fù)雜性不僅從成功的角度來看存在問題,同時(shí)其成本也很昂貴。ZDNet的馬克·塞繆爾斯說,“這就是網(wǎng)絡(luò)安全威脅。在理論上,企業(yè)CIO們將其大部分IT預(yù)算用于建立堅(jiān)不可摧的安全防御是可能的。”但是,這就像買保險(xiǎn)一樣,安全攻擊威脅似乎是浪費(fèi)錢的,至少一直要到相關(guān)的安全威脅事件發(fā)生之后,其價(jià)值才能體驗(yàn)出來(當(dāng)然我們希望這不會(huì)常有)。而確定企業(yè)需要“投保”到什么程度,并說服企業(yè)其他對(duì)于安全攻擊威脅一無所知的CXO級(jí)別的領(lǐng)導(dǎo)對(duì)于安全“投保”的支持和審批也是一個(gè)相當(dāng)棘手的問題。投入安全保障資金的確會(huì)有回報(bào),但只體現(xiàn)在防止造成企業(yè)虧損方面,而不是類似于投入研發(fā)那樣的能夠直接產(chǎn)生營收的積極的回報(bào)。

此外,一款透明的、企業(yè)內(nèi)部的IT員工能夠理解甚至進(jìn)行修改的安全解決方案似乎要比一款內(nèi)部運(yùn)作神秘的黑盒解決方案要好很多。然而,對(duì)于現(xiàn)代的計(jì)算機(jī)及其所有的單片集成電路而言(其中根本就沒有什么是您企業(yè)IT員工能夠修復(fù)或修改的!)簡單往往是以犧牲性能為代價(jià)的。因此,復(fù)雜性并不是一定要避免的,但確實(shí)是在許多工程問題中必須平衡的東西。

然而,最終,像可靠性問題一樣,IT服務(wù)的復(fù)雜性及其對(duì)于安全性的需求可能會(huì)達(dá)到一個(gè)收益遞減點(diǎn)。黑客的不斷攻擊威脅可能會(huì)使一些服務(wù)由于風(fēng)險(xiǎn)的存在而不可用,這在理論上是可行的。隨著高調(diào)的黑客攻擊案件,以及對(duì)于政府機(jī)構(gòu)的偷窺威脅越來越多,這種收益遞減點(diǎn)可能不會(huì)太遠(yuǎn)。

結(jié)論

在互聯(lián)網(wǎng)發(fā)展的早期,彼時(shí)的網(wǎng)站僅僅只有相當(dāng)簡單的幾個(gè)HTML頁面,黑客攻擊頂多只是一件比較煩心的事,當(dāng)然也就不會(huì)給他們帶去什么潛在的回報(bào)了,除了少數(shù)比較罕見的情況之外。而今復(fù)雜的網(wǎng)絡(luò)為黑客攻擊創(chuàng)造了更大的挑戰(zhàn),但往往也為他們留下了更大的漏洞,一旦攻擊成功,可能為他們帶來更大的回報(bào)。從某種意義上說,復(fù)雜的安全措施需要擊退復(fù)雜的攻擊,但企業(yè)安全措施的復(fù)雜程度也可能是其自身的敵人。因此,我們第一步是要認(rèn)識(shí)到這一問題。有時(shí)候,可能越簡單越優(yōu)越:也許,比如利用一些小的烹飪智慧和一口很好的舊鑄鐵鍋,您就可以煎炸煮炒的烹制各種美食,同時(shí)仍期待其能夠繼續(xù)用上十年,而對(duì)于某項(xiàng)互聯(lián)網(wǎng)小發(fā)明,可能稍微不注意其某些部分就開始脫落,您就必須扔掉了。IT是許多行業(yè)的中心,而消費(fèi)者現(xiàn)在需要越來越多的服務(wù)。在企業(yè)安全方面最正確的是要找到與業(yè)務(wù)執(zhí)行的一個(gè)平衡,因此安全問題很可能只是會(huì)不斷進(jìn)化,而不會(huì)被最終解決。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)