科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全防火墙之父:安全就是关注细节

防火墙之父:安全就是关注细节

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在本文中,令人尊敬的安全专家Marcus Ranum将与大家分享安全领域所面临的问题,为什么网络战争毫无作用等一系列问题。

来源:ZDNET安全频道【原创】 2011年4月20日

关键字: 防火墙 移动设备 入侵检测 黑客 隐私保护

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  ZDNET至顶网安全频道 4月20日 编译:Marcus J. Ranum是IT安全领域全球知名的专家和创新者,在行业内备受赞誉。二十年前,他设计并创建了 Digital Equipment Corporation's (DEC) Secure External Access Link,即很多人所认识的第一款商业防火墙产品。

  他曾经担任过多家知名企业的首席安全主管,并曾经负责管理白宫的电子邮件系统。他曾经为财富500强中的多家企业提供过安全咨询服务。Ranum目前居住在宾夕法尼亚州的一个远离城市和宽带网络的农场里。他很希望看到IT安全领域的战争结束,即使这意味着安全行业消失。

  近日,Ranum接受了ZDNet的专访,与大家分享安全领域所面临的问题。

  您为什么会加入信息安全行业?您最感兴趣的是什么?

  其实我进入这个行业是很偶然的,那时候我在DEC的老板Fred Avolio让我负责公司的一个互联网网关,并让我“建立一个像Brian Reid 和 Bill Cheswick那样的防火墙”。20年后的今天,我觉得我还是在继续这个项目。老实说,我没在计算机安全行业发现什么有趣的事情,一旦你理解了策略的问题,剩下的就是花大量精力关注细节。

防火墙之父:安全就是关注细节

Marcus Ranum

  我在安全领域发现的最有趣的事情,大概就是有关于人们面对安全问题时的反应:他们总是想尽量安全的去做那些很危险的事情,而当你告诉他们这样做不可以的时候,他们通常都很愤怒。所以在我看来,整个行业就是一面是希望和努力,另一面是愤世嫉俗和无知,这两者之间的博弈。

  您认为目前信息安全领域最普遍的问题是什么?该怎么解决呢?

  信息安全领域最常见的一个问题也是我们从来没有去过多关注的,就是在终端系统上实现可靠的软件(安全性也是属于可靠性的)。这包含了操作系统设计和编码的可靠性,目前这两个方面的趋势是反向发展的。因此,也就出现了目前流行的“云计算”,即将主框架虚拟化:承认了目前终端设备具有很差的管理性能以及不可靠性,将数据和处理过程交由更好的数据维护机构去维护和管理,确保数据的可靠性,并降低IT部门的成本。

  当然,这只是痴人说梦。为什么呢,因为令我们的终端系统出现不可靠性的因素同样出现在建立云服务的过程中。

  那么该怎么去解决这个问题呢?重申一下,这个趋势的发展方向是错误的,而解决之道需要先进的技术管理模式,通过适度的投标需求,良好的软件工程,以及严谨的工作态度,而不是只考虑投标价格最低的供应商。这样整个趋势才可能自己修复。

  我们需要做的就是全力关注可靠性,即包括品质在内的各种内容。

  您并不赞赏黑名单模式,但是业界很多公司都在经营基于黑名单的安全产品,并且相当成功。您能解释一下您为什么不看好黑名单模式,以及您是否认为未来白名单将占统治地位?如果白名单成为主流,那么安全行业的收入状况将发生什么样的变化?

  不是这样的,我本人是黑名单模式的大粉丝!这是一个非常重要的技术!只不过这个技术并没有回答广大用户的一个疑问,即“这个软件到底好不好?”。黑名单是用来鉴定某个内容的最佳技术,因为它不但可以回答“这货是坏的吗?”这个问题,还能告诉我们“这货到底是神马?”这非常符合人性的特点,即想对自己接触到的东西进行确认。这就是基于特征码的入侵检测/预防系统以及基于特征码的杀毒软件能得到广大用户支持的原因。这个技术很好理解,实现起来也很容易,并且可以持续不断的销售升级版本的特征库。

  当你听说像Symantec这样的大公司都说黑名单不灵光的时候,我觉得这就是一个很重要的信号了,而目前安全软件行业的大部分厂商还是停留在有盈利就万事OK的阶段。目前行业中存在一个趋势,即建立一个基于云的完全混合的黑名单,这似乎是可以得到不少用户的信赖和认可,但是从长远看,这种动态黑名单也不会比现在的静态黑名单强多少。这里我所述的强弱是指“帮助客户解决恶意软件问题”,如果你的意思是指“帮助杀毒软件厂商解决他们自身的财务问题”,那我肯定会说,这个动态黑名单非常有效,并且在相当长一段时间内都会让这些厂商眉开眼笑。

  另外,我还问过很多IT经理相同的问题:“你为什么要给客户一台电脑?如果你知道客户为什么想要一台电脑,为什么你不将电脑设置成只能执行客户所需的那几种功能,而其它功能一概不能执行。”这里所说的其它功能,包括比如“加入僵尸网络散发垃圾邮件”。我一直很困惑,为什么很多IT经理都说很难知道客户的电脑中到底运行了多少软件。我认为这是IT部门分内的事情。如果我的公司给我配了一台电脑,让我能够收发电邮,编辑公司的文档,那么应该很清楚的知道我电脑里应该会有一些文本编辑工具或办公套件,以及一个电子邮件客户端程序,能让我顺利收发电子邮件,除此以外,应该就不会有别的程序了。有一段时间,我觉得那些强大的智能手机上运行的软件商店是一个很不错的实现软件管理的方式,完全可用于桌面电脑系统,帮助提高系统的安全水平。但是后来我发现软件店成为了黑客的首选目标,软件店里的软件成为了黑客散布病毒的最佳载体。

  因此,你还是需要一个黑名单系统,这样你就可以告诉某人:“你刚刚要安装的那个软件叫做 Stuxnet”,这很不错,而且很有用。但是你更需要的是白名单,因为这样才能体现出你到底想要你的电脑做些什么。我们可以拿一个防火墙策略来说明这个问题,传统的策略无非是默认拒绝和默认通过这两种。安全意识高的用户一般选择默认拒绝,而那些选择默认通过的用户,就要花很多时间来处理各种意外情况。二者的差别相当明显。

  至于安全行业收入的问题,谁又会在意呢?就好像没有人会在意内燃机的出现对蒸汽机行业的冲击一样。事实上,我觉得如果有一天我们都能从安全威胁中解放出来,把安全工具扔到一边说“没问题了,我们编个游戏玩吧!”,那简直就太好了。不管你信不信,在防火墙行业刚起步的时候,我还打算把全部安全所需的产品开发出来呢,那时候觉得无外乎就是基于策略的访问控制,离线认证,点到点加密以及提高这些软件的品质。而到了90年代末期,疯子掌管了疯人院,于是结果就不言自明了。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章