如何看待信息安全：敦科尔克大撤退

　　1 引言

　　温水煮青蛙

　　对青蛙而言，这是一个相当残忍的比喻。

　　虽然大多数引用这个比喻的人并不清楚青蛙在温水中是否真正不会跳出来而一直被煮成青蛙汤。

　　如果我们将现在的信息安全产业看作成为那只温水中的青蛙，我们又会发现什么?

　　难道那只青蛙真的要被困于那渐沸的锅中?不得不进行历史上最著名的敦科尔克大撤退么?

　　你不愿相信，我不愿相信，我们都不愿相信这一点。

　　是时候承认失败了，我们所面对的信息安全现状是糟糕透顶的：大多数安全保护措施形同虚设;安全工程师们更乐于看到自己薪水以及地位的节节上升。或许这正是信息安全产业之所以还沾沾自喜且陶醉于其中的原因所在，尽管一切看上去都朝着失败的方向发展。

　　互联网以及全球经济的迅猛发展很大程度上依赖于长久以来形成的信任与安全机制。然而每年在电子商务交易中损失的交易额数以数亿美金计算。美国司法部的一项针对成人在网络上的犯罪行为研究调查表明，倾向并热衷于在网络上进行犯罪行为的人比例三倍于传统现实中的犯罪。不仅如此，来自盖纳调查机构的一份报告显示，14%曾经使用在线银行服务的用户因为安全方面的因素而停止使用在线银行服务，另外有37%的人很少使用在线银行服务。很显然，互联网信任危机成为罪魁祸首。

　　正如那个经典的形容互联网的优点的例子一样，“在互联网上，没有人知道你是谁;哪怕电脑的对面是一只狗”。

　　我们应该开心抑或是悲哀，当信任危机严重的影响到我们生活、工作、学习的方方面面时，我们开始质疑：信息安全，你究竟路在何方?

　　2 失败

　　2.1 产品迷思

　　我们面对着琳琅满目的安全产品：

　　第四、五代的防火墙(UTM统一威胁管理网关、应用防火墙等)

　　基于行为的反间谍软件(Pestpatrol、Spybot、WebRoot等)

　　主机或者网络入侵检测(防护)系统(ISS BlackICE、HIDS、NIDS、IPS、NGSsoftware等)

　　动态身份认证(双因子、电子令牌、生物识别认证等)

　　高度自动化的漏洞评估工具(GFI、SSS、eEye retina、Core Impact、Skyscope等)

　　个人防火墙(Zonealarm、天网等)

　　基于特征的反病毒软件、硬件(Kaspersky、AVG、AntiyLabs等)

　　……

　　我们始终坚信这些无所不能的安全产品使我们可以免于恐惧，处于一种平和的状态之中。但拥有并部署这些安全产品我们就真的获得“安全”了么?

　　根据美国今日杂志的统计，2005年是计算机系统受到威胁并出现事故最多与后果最严重的“最糟糕年”。美国财政部技术处的统计表明在2004年，由于网络犯罪所造成的损失高达1050亿美金，远远超过毒品非法销售所得。2005年，FBI与CSI联合进行的一个关于计算机犯罪与安全的调查表明，至少有90%以上的交易在2004年受到计算机病毒、间谍软件或者是其它形式的在线攻击影响，而在2005年，这一比例仍有所上升;尽管已经部署了大量的安全设备、软件等来防止并降低来自于网络的威胁程度。FBI还发现，平均每天有超过27000人的身份数据、社会保险号等数据在网络上失窃。蓝色巨人IBM也在2006年初发布一项预警报告声明在2006年更具有目的性、更为精密、更具有危害性的攻击数量将进一步上升。

　　一定有某个地方出错了，但是错在哪里呢?

　　如果你随意打开一张报纸并浏览当期头条，我打赌十次有八次你可以看到有“银行诈骗案”、“网络交易欺诈”、“钓鱼攻击愈演愈烈”等类似标题出现。我们承认人们有时候是很粗心的，很容易犯这样那样的小错误;但是如果超过数千万人天天都在犯粗心错误的时候，那就不仅仅属于个人行为，而更进一步的衍变成为社会行为，并进而影响到那些几乎“全副武装到牙齿的”IT部门以及安全专家甚至巨额的安全预算。不是么?

　　2.2 究竟有多糟糕

　　大多数情况下，我们所声称的安全最佳实践事实上是完全失效的。

　　AvanteGarde近期进行了一项实验，其在网络中部署了一批具备缺省安全配置系统并对其进行详尽的分析，也就是我们所俗称的“蜜罐Honeypot”做为诱饵调查攻击者的行为。通过这一项目，可以在一定时间内进行对攻击、威胁数量、种类的抽样统计同时也可以计算从威胁到攻击成功成为“傀儡”机器所需要的时间窗进行统计。统计表明，一次针对计算机成功的入侵平均时间仅需要4分钟。

　　试想一下，我们可以购买更为昂贵、性能更为强大的电脑，然后加电、开机、接入网络，起身去冲一杯咖啡，……这一切，只需要四分钟。回来之后呢?木马程序已经接管你系统权限，新机器已经成为“僵尸网络”中的一分子，参与了发送垃圾邮件、钓鱼攻击、病毒传播以及分布式拒绝服务攻击等诸多攻击行为浪潮中去。

　　绝大多数消费者都没有足够的安全意识，他们很少会在拿到一台计算机并将其连接入网络之前增加必要的安全措施，例如安装系统补丁等。当然，具备足够安全意识的用户会通过其它渠道按照SANS应急响应中心的建议并按照自己的操作系统种进行初级的安全设置，譬如安装系统补丁等。新问题又出现了，微软发布的Windows XP系统补丁小到70Mb，大到260Mb，你下载这些补丁所需要花费的时间已经大于4分钟，于是很遗憾，您的计算机可能已经被入侵者占据了。

　　因此，我们陷入怪圈：一方面下载并安装补丁是必须的，另一方面下载过程中即被入侵而导致下载回来补丁没有任何意义。更有甚者，我们对于计算机的控制权限可能少到可怜的30秒钟。

　　即便你通过离线方式获得并安装补丁确保系统安全性得以提升，这也仅仅是万里长征的第一步——因为，失败无所不在。